Независимый тест решений класса EDR

Лаборатория SE Labs присудила Kaspersky EDR наивысшую оценку в ходе независимых тестов на основе реальных атак.

Лучший способ доказать эффективность защитного решения — протестировать его в условиях, максимально приближенных к реальным, с применением тактик и техник, характерных для целевых атак. «Лаборатория Касперского» регулярно принимает участие в таких тестах и уверенно держится в топе рейтингов.

Результаты очередной проверки — Enterprise Advanced Security (EDR): Enterprise 2022 Q2 – DETECTION — представила британская компания SE Labs в своем июльском отчете. Ее эксперты не первый год испытывают на прочность защитные решения крупных производителей. В их очередном тесте наш продукт для бизнеса, Kaspersky Endpoint Detection and Response Expert, достиг абсолютного 100%-ного результата в обнаружении таргетированных атак и был удостоен самого престижного рейтинга ААА.

Это не первое исследование наших продуктов для защиты корпоративной инфраструктуры от сложных угроз. Раньше SE Labs проводила тест под названием Breach Response Test (мы участвовали в нем в 2019 году). А в 2021-м мы приняли участие в их исследовании Advanced Security Test (EDR). С тех пор методику усовершенствовали, а сам тест разделили на две части — обнаружение угроз (Detection) и защита от них (Protection). В этот раз специалисты лаборатории изучили, насколько эффективно защитные решения выявляют вредоносную активность. Помимо Kaspersky EDR Expert, в тесте приняли участие еще четыре продукта: три из них принадлежали компаниям Broadcom Symantec, CrowdStrike и BlackBerry, а еще одно решение было представлено анонимно.

Система оценок

Тестирование состояло из нескольких проверок, но чтобы понять его результаты, достаточно посмотреть на сводный показатель — Total Accuracy Ratings. По сути, он показывает, насколько хорошо решение выявляло атаки на разных этапах и не мешало ли пользователю ложными срабатываниями. Для еще большей наглядности решениям-участникам присваивали награду: от AAA — для продуктов с высоким Total Accuracy rating, до D — для наименее успешных. Наше решение достигло 100%-ного результата и получило почетный знак AAA-продукта.

Total Accuracy Ratings складывается из результатов в двух категориях:

  • Точность обнаружения (Detection Accuracy) — здесь оценивается успешность обнаружения каждого из значимых этапов каждой атаки.
  • Реакция на легитимные сервисы (Legitimate Software Rating) — здесь оценка тем выше, чем меньше ложных срабатываний выдал продукт.

Кроме того, в результатах приводится еще один показатель: обнаружение атак в целом (Attacks Detected). Это процент нападений, которые решение заметило хотя бы на одном из этапов, оставляя ИБ-специалисту шанс среагировать на инцидент.

Как нас тестировали

В идеале тестирование должно показывать, как решение поведет себя в ходе настоящих атак. Исходя из этого, лаборатория SE Labs постаралась приблизить условия испытаний к реальным. Во-первых, настройкой защитных решений для теста управляли не их разработчики, а собственные тестировщики SE Labs, которые прошли инструктаж от компании-производителя, как это обычно и бывает с ИБ-специалистами клиентов. Во-вторых, в ходе тестов проводили полные цепочки атак — от первого контакта до кражи данных или другого результата. В-третьих, за основу проверок взяли методы атак четырех настоящих и весьма активных APT-группировок. Это:

  • Wizard Spider, атакующая крупные коммерческие компании, банки и даже больницы. Среди ее инструментов — банковский троян Trickbot.
  • Sandworm, преимущественно атакующая правительственные организации и известная своим зловредом NotPetya, который притворялся вымогателем, но на самом деле уничтожал данные без возможности их восстановления.
  • Lazarus, ставшая широко известной после масштабной атаки на Sony Pictures в ноябре 2014 года. Ранее группировка специализировалась на банковском секторе, а в последнее время нацелилась на криптобиржи.
  • Operation Wocao, атакующая государственные структуры, поставщиков услуг, организации энергетической и технологической отрасли и здравоохранения.

Тесты на обнаружение угроз

В тесте на точность детектирования специалисты SE Labs изучали, насколько эффективно защитное решение способно выявлять угрозы. Для этого они провели 17 комплексных атак на базе четырех реальных инцидентов, за которыми стояли группировки Wizard Spider, Sandworm, Lazarus Group и Operation Wocao, выделив в них четыре значимых этапа, каждый из которых состоял из одной или нескольких связанных между собой стадий:

  • доставка и исполнение полезной нагрузки (Delivery/Execution);
  • вредоносная активность (Action);
  • эскалация привилегий и действия после нее (Privilege escalation / Action);
  • горизонтальное перемещение и действия внутри корпоративной сети (Lateral movement / Аction).

Логика теста не требует, чтобы решение детектировало все события на том или ином этапе атаки — достаточно выявить хотя бы одно из них. Например, если продукт не заметил, как полезная нагрузка попала на устройство, но выявил попытку ее запустить, первый этап ему засчитывался.

Доставка и исполнение.На этом этапе проверялась способность решения обнаруживать атаку в самом зародыше: в момент доставки — например, фишингового письма или вредоносной ссылки — и выполнения опасного кода. В реальных условиях на этом этапе атака обычно успешно останавливается, так как защитное решение просто не позволяет зловреду двинуться дальше. Но для целей теста цепочку атаки продолжали, чтобы посмотреть, как защита сработает на следующих этапах.

Вредоносная активность.Здесь эксперты изучали поведение защиты, когда атакующие уже получили доступ к конечной точке. Решение должно было зафиксировать нелегитимное действие программы.

Эскалация привилегий и действия.При успешной атаке злоумышленник старается получить больше прав в системе и сделать что-нибудь особо опасное и разрушительное. Если защитное решение отслеживает такие события или сам процесс эскалации привилегий, оно получает дополнительные баллы.

Горизонтальное перемещение и действия внутри целевой сети.Проникнув на конечную точку, злоумышленник может попытаться заразить и другие устройства в корпоративной сети. Это и есть горизонтальное перемещение. Тестировщики проверили, выявляют ли защитные решения попытки такого перемещения или действия, которые становятся возможны после него.

Результат Kaspersky EDR Expert в этом блоке — 100%, то есть ни один этап ни одной атаки не прошел незамеченным.

Реакция на легитимные сервисы (Legitimate Software Ratings)

Хорошая защита должна не только надежно отражать угрозы, но и не мешать пользователю работать с безопасными сервисами. Поэтому исследователи ввели отдельную оценку, которая была тем выше, чем реже решение по ошибке считало опасными добропорядочные сайты или программы, особенно популярные.

Результат Kaspersky EDR Expert в этом блоке: 100%.

Результаты тестов

По итогам всех испытаний решение Kaspersky Endpoint Detection and Response Expert заслужило самый высокий рейтинг — AAA. Такой же статус заработали еще три продукта наших коллег — Broadcom Symantec Endpoint Security and Cloud Workload Protection, CrowdStrike Falcon и анонимное решение. Однако только мы и Broadcom Symantec смогли добиться стопроцентного результата Total Accuracy Ratings.

Советы