Как мы уже писали, мы рассматриваем независимые тесты не столько как показатель эффективности защитных решений, сколько как инструмент, помогающий совершенствовать наши технологии. Поэтому, в последнее время мы нечасто рассказываем на блоге про успехи наших решений, несмотря на их стабильно высокие показатели. Однако о сертификации Advanced Threat Defense, проводившейся тестовой лабораторией ICSA Labs рассказать стоит.
Дело в том, что наша платформа по противодействию передовым угрозам и целенаправленным атакам Kaspersky Anti-Targeted Attack участвовала в этой сертификации уже третий квартал подряд и в последнем тесте показала превосходный результат — стопроцентное обнаружение угроз и при этом ноль ложных срабатываний. Почему это важно для корпоративных клиентов и что стоит за этими красивыми цифрами?
Что это за сертификация?
Согласно формулировке ICSA Labs, цель этого исследования — определить, как различные защитные продукты справляются с новейшими киберугрозами. Под «новейшими» ICSA понимают угрозы, которые не выявляются большей частью традиционных решений. При выборе тестовых сценариев они опираются на аналитику из отчета Verizon Data Breach Investigation Report. Поэтому, во-первых, в их подборке всегда самые актуальные угрозы, а во-вторых, каждый квартал (а исследование это ежеквартальное) подборка кардинальным образом меняется с учетом изменения ландшафта угроз.
Помимо всего прочего, это позволяет посмотреть на динамику успехов решения. Потому что, строго говоря, хороший результат в одном тесте — это еще не показатель. А вот если решение стабильно достигает высоких результатов, несмотря на то, что образцы угроз регулярно меняются, это уже признак эффективности.
При этом отчет Verizon содержит данные о киберинцидентах, произошедших в Enterprise-компаниях. То есть это не просто самые распространенные и актуальные векторы атак, это угрозы, применяемые злоумышленником против крупного бизнеса.
Результаты последней сертификации
Последнее исследование проводилось во втором квартале этого года, а его результаты были опубликованы в июле. В ходе этого исследования эксперты из ICSA Labs для каждого из участников создали тестовую инфраструктуру, в которой было развернуто решение для передовой защиты. Затем в течение 37 дней они имитировали различные атаки на эту инфраструктуру. Всего было проведено более 1100 тестов с использованием почти 600 образцов вредоносного ПО. И все они были успешно выявлены нашим специализированным решением. Kaspersky Anti Targeted Attack также показала высочайшую эффективность и в проверке на ложные срабатывания: эксперты ICSA Labs попытались запустить в тестовой инфраструктуре более полусотни «чистых» образцов, максимально похожих на вредоносные, и ни один из них наше решение не сочло опасным.
В ICSA Labs не позиционируют свой тест как сравнительный, а потому не публикуют сводных таблиц. Но мы, опираясь на открытые данные, которые можно найти вот здесь, сделали это сами.
Как мы этого добились?
В основе наших продуктов — и в первую очередь платформы Kaspersky Anti-Targeted Attack— лежит многоуровневый подход к обнаружению угроз. В частности, параллельно применяются статические механизмы анализа, настраиваемые YARA-правила, уникальные SNORT-правила для IDS-движка, проверка сертификатов, репутационные проверки файлов и доменов по глобальной базе угроз (KSN), передовые средства динамического анализа в изолированной среде (песочница) и самообучающийся движок машинного обучения – Анализатор целенаправленных атак. Их комбинация позволяет неизменно эффективно выявлять как известные угрозы, так и новейшие, пока еще не изученные вредоносные технологии.
Важная часть этого решения — Анализатор целенаправленных атак. По сути, это центральное аналитическое ядро, работающее на основе машинного обучения. Оно позволяет не только сопоставлять информацию, поступающую с разных уровней детектирования, но и успешно обнаруживать аномалии в нормальном поведении сети и рабочих станций. Поведенческий анализ позволяет выявлять отклонения в нормальных активностях, которые могут свидетельствовать об атаках без применения вредоносного ПО. Например тех, которые проводятся с использованием легитимного софта, краденных идентификационных данных или при помощи эксплуатации ошибок в ИТ-инфраструктуре.
Однако грамотное детектирование угроз — это далеко не все. Строго говоря, если продукт будет блокировать вообще все, то он тоже защитит от 100% угроз. Только вот и легитимные программы работать не смогут. Поэтому так важно следить и за уровнем ложных срабатываний. Наши технологии позволяют точно определять безопасные процессы во многом благодаря принципу HuMachine intelligence. Достижение правильного баланса между уровнем обнаружения и количеством ложных срабатываний складывается из трех элементов:
- больших данных (у нас огромная база информации об угрозах, которая собирается уже более 20 лет и в реальном времени пополняется информацией от наших решений, работающих на компьютерах клиентов по всему миру, через распределенную сеть Kaspersky Security Network);
- передовых технологий машинного обучения, которые анализируют эти данные;
- экспертных знаний и опыта наших исследователей, которые при необходимости корректируют и направляют движок машинного обучения.
Собственно, 0% ложных срабатываний — во многом заслуга применения именно такой концепции.
Чтобы узнать больше о платформе Kaspersky Anti-Targeted Attack, загляните вот сюда.