AV-Comparatives przetestował produkty EPR

AV Compartives definiuje EPR jako produkty przeznaczone do wykrywania, zapobiegania, analizowania i reagowania na ukierunkowane ataki, takie jak zaawansowane trwałe zagrożenia (APT).  Rozwiązania zabezpieczające punkty końcowe wykrywają i blokują złośliwe oprogramowanie i ataki sieciowe na poszczególne stacje robocze. Natomiast systemy EPR muszą radzić sobie z wieloetapowymi atakami mającymi na celu infiltracja całej sieci organizacji.

W teście wzięło udział 10 produktów, które zostały poddane 50 oddzielnym scenariuszom ataków ukierunkowanych. Niektóre testy branżowe koncentrują się na możliwościach prewencji (na przykład Business Security Test firmy AV-Comparatives), podczas gdy inne skupiają się na możliwościach wykrywania (na przykład MITER ATT&CK Evaluations). Raport EPR to ambitna, kompleksowa ocena, która odzwierciedla codzienną rzeczywistość w przedsiębiorstwach, łącząc w jednym raporcie zarówno funkcje zapobiegania, jak i wykrywania.

Raport EPR rozróżnia reakcję aktywną (zapobieganie działaniu) i reakcję pasywną (działanie jest wykrywane i zgłaszane, ale wymaga interakcji z człowiekiem). Atak przechodzi przez trzy różne fazy,

1. wstępny dostęp, próba wykonania złośliwego kodu, uporczywe działania takie jak utrzymywanie dostępu do systemu po ponownym uruchomieniu, zmianie poświadczeń itp.
2. eskalacja uprawnień, dostęp do poświadczeń, pozyskiwanie informacji o systemie i sieci wewnętrznej, techniki służące do przejmowania i kontrolowania zdalnych systemów,
3. gromadzenie informacji, komunikacja i kontrola przejętych serwerów, wykradanie danych, manipulacja, niszczenie systemów i danych.

Celem jest zablokowanie ataku, zanim osiągnie on fazę 3, ostatnią fazę, w której cyberprzestępcy zaczynają realizować swój ostateczny cel. Jeśli zapobieganie i wykrywanie nie powiedzie się w tej końcowej fazie, cyberprzestępcy osiągnęli naruszenie bezpieczeństwa bez wykrycia. W tym roku połowa uczestniczących dostawców nie zapobiegła naruszeniu bezpieczeństwa. W związku z tym postanowiła pozostać anonimowa w raporcie EPR.

Pomiar fałszywych zgłoszeń, TCO oraz ROI

Połączenie operacji zapobiegania i wykrywania w jednym raporcie sprawia, że ma on unikalny charakter. Niejednokrotnie zdarza się, że dostawcy konfigurują rozwiązania w taki sposób, aby przystosować je do agresywnej ochrony, sztucznie poprawiając oceny zapobiegania. Niestety, to skutkuje dużą liczbą fałszywych alarmów, a tym samym ogranicza produktywność użytkowników końcowych,  powoduje wzrost TCO oraz ROI i niepotrzebnie angażuje zespół ds. bezpieczeństwa.

Raport EPR radzi sobie z tym wyzwaniem poprzez uwzględnienie danych o kosztach dokładności operacyjnej i opóźnień przepływu pracy. Dokładność operacyjna symuluje typową aktywność użytkownika (otwieranie plików, przeglądanie), jednocześnie monitorując, czy rozwiązanie bezpieczeństwa punktu końcowego wpływa na wydajność (fałszywe alarmy). Co istotne, autorzy raportu łączą informacje z testów efektywności z danymi dotyczącymi kosztów i dokładności produktu w celu obliczenia całkowitego kosztu posiadania.

Bitdefender wśród liderów „EPR CyberRisk Quadrant”

AV Compartives bazując na wynikach przeprowadzonych badań, a także kilku innych kryteriach, takich jak koszty zakupu, koszty całkowitego użytkowania (TCO), czy oszczędności wynikające z zapobieganiu naruszeniom, opracował zestawienie „EPR CyberRisk Quadrant”. Badacze jako model bazowy przyjęli przedsiębiorstwo z 5 tysiącami komputerów objętych ochroną EPR przez okres pięciu lat. W „EPR CyberRisk Quadrant” znajdują się trzy obszary przeznaczone dla certyfikowanych przez AV Compartives dostawców - Strategic Leaders, CyberRisk Visionaries oraz Strong Challengers. Co istotne, producenci, którym nie udało się osiągnąć współczynnika reakcji aktywnej oraz pasywnej powyżej 90 proc. lub ze zbyt wysokim TCO nie trafili do zestawienia.

W najbardziej prestiżowej części Strategic Leaders umieszczono po raz kolejny Bitdefendera z produktem GravityZone Business Security Enterprise w wersji 7.5. Rozwiązanie Bitdefender osiągnęło skumulowany wskaźnik aktywnych odpowiedzi na poziomie 100 proc., zapobiegając naruszeniom bezpieczeństwa we wszystkich testowanych scenariuszach. To niesamowite osiągnięcie, pokazujące pozycję Bitdefendera na rynku bezpieczeństwa punktów końcowych. Warto podkreślić, że produkt Bitdefendera nie generował fałszywych alarmów, a także cechuje się wysokim zwrotem z inwestycji i bardzo niskim kosztem posiadania (TCO).

Możliwość działania

Posiadanie skutecznych narzędzi bezpieczeństwa jest jednym z najważniejszych czynników powstrzymujących incydenty przed przekształceniem się w naruszenia danych. Raport EPR zawiera wymierne informacje, takie jak fałszywe alarmy, ale istnieje więcej subiektywnych elementów, które poprawiają skuteczność i wykonalność zespołów ds. bezpieczeństwa.

AV-Comparatives zwraca uwagę na fakt, iż platforma Bitdefender posiada szerokie możliwości w zakresie  korelacji oraz harmonogramy rozprzestrzeniania się zagrożeń. Na przykład, gdy niektóre ataki zostały wykryte w późniejszej fazie, produkt prześledził ich pochodzenie i dostarczył bardzo szczegółowych informacji.

Bitdefender GravityZone XDR zaprojektowano jako rozwiązanie Native XDR. Jednym z jego zalet jest lepsza dokładność w wykrywaniu zagrożeń, co potwierdzają wyniki testu AV-Comparatives.

Jedną z najważniejszych funkcji jest „Incident Advisor” — przegląd podsumowujący najważniejsze informacje o incydentach na jednej stronie. Koreluje on dane z wielu źródeł, prezentując je w formacie, który minimalizuje czas potrzebny na dochodzenie i odpowiedź. Obejmuje to informacje o tym, co się stało, na kogo wpłynęło, jak doszło do incydentu oraz zalecane działania. Rozszerzona analiza przyczyn źródłowych jest dostępna do dalszego zbadania, w tym wizualizacji łańcucha ataku, aby umożliwić analitykowi bezpieczeństwa przerwanie go, zanim w pełni się rozwinie.

Podsumowanie

Najlepszą ochroną przed współczesnymi atakami jest wdrożenie architektury dogłębnej obrony. Należy rozpocząć od zmniejszenia powierzchni ataku, a następnie wykorzystać zautomatyzowane mechanizmy prewencji, aby jak najszybciej wyeliminować większość incydentów związanych z bezpieczeństwem. W przypadku nielicznych incydentów, które mogą przejść przez zabezpieczenia, trzeba polegać na możliwościach wykrywania i reagowania, przyjętych jako usługa lub jako produkt.

Wdrażanie wielu warstw zabezpieczeń nie powinno być ćwiczeniem typu „checkbox” – jakość każdej warstwy musi być dokładnie i regularnie oceniana. Chociaż wysoki wskaźnik ochrony przed złośliwym oprogramowaniem i niewielka liczba fałszywych alertów są dobrymi wskaźnikami prawidłowego rozwiązania zabezpieczającego, należy wziąć pod uwagę również inne czynniki decyzyjne – na przykład, czy rozwiązanie to Native XDR lub Open XDR i jak łatwo jest je wdrożyć, skonfigurować oraz zarządzać produktem.

Niezależne testy z dobrze zdefiniowaną metodologią zapewniają bezcenny wgląd w możliwości firm zajmujących się cyberbezpieczeństwem, co pozwala klientom podejmować świadome decyzje. Cyberbezpieczeństwo to gra w kotka i myszkę, w której obie strony nieustannie wprowadzają innowacje i ulepszają narzędzia i techniki, a dostawcy zabezpieczeń muszą udowodnić, że ich rozwiązania są skuteczne, dokładne i zapewniają spójne wyniki.

O systemie GravityZone Business Security Enterprise

GravityZone Business Security Enterprise (wcześniej znany jako GravityZone Ultra) łączy najbardziej efektywną na świecie platformę ochrony punktów końcowych z funkcjami Endpoint Detection and Response (EDR), aby pomóc chronić infrastrukturę punktów końcowych (stacje robocze, serwery i kontenery) przez cały cykl życia zagrożenia, z wysoką skutecznością i efektywność. Korelacja zdarzeń między punktami końcowymi przenosi wykrywanie zagrożeń i widoczność na nowy poziom, łącząc szczegółowość i bogaty kontekst zabezpieczeń EDR z analizą XDR (eXtended Detection and Response) obejmującą całą infrastrukturę.

Źródła: marken.com.pl; bitdefender.pl