Onafhankelijke tests van EDR-oplossingen

SE Labs heeft Kaspersky EDR de hoogste score toegekend in onafhankelijke tests op basis van echte aanvallen.

SE Labs heeft Kaspersky EDR de hoogste score toegekend in onafhankelijke tests op basis van echte aanvallen.

De beste manier om de efficiëntie van een beveiligingsoplossing te bewijzen, is door deze te testen in omstandigheden die zo realistisch mogelijk zijn, terwijl er gebruik wordt gemaakt van typische tactieken en technieken van gerichte aanvallen. Kaspersky doet regelmatig mee aan dergelijke tests en doet het erg goed in de beoordelingen.

De resultaten van een recente test — Enterprise Advanced Security (EDR): Enterprise 2022 Q2 – DETECTION — werden in juli in een rapport van SE Labs bekendgemaakt. Het Britse bedrijf voelt al enkele jaren de beveiligingsoplossingen van grote leveranciers aan de tand. In deze laatste test behaalde ons zakelijke product Kaspersky Endpoint Detection and Response Expert een score van 100% op het gebied van gerichte aanvalsdetectie en kreeg het dan ook de hoogst mogelijke beoordeling: AAA.

Dit is niet de eerste analyse van SE Labs van onze producten voor de bescherming van de bedrijfsinfrastructuur tegen geavanceerde bedreigingen. Het bedrijf deed eerder al de Breach Response Test (waar wij ook aan deelnamen in 2019). In 2021 werd ons product getest in hun Advanced Security Test (EDR). Sindsdien is de testmethode bijgesteld en is de test zelf in twee delen opgesplitst: detectie en bescherming. Dit keer heeft SE Labs onderzocht hoe effectief beveiligingsoplossingen zijn bij het detecteren van kwaadaardige activiteiten. Naast Kaspersky EDR Expert namen nog vier andere producten deel aan de test: Broadcom Symantec, CrowdStrike, BlackBerry en nog een andere anonieme oplossing.

Beoordelingssysteem

De test bestond uit verschillende controles, maar om een idee te krijgen van de resultaten, volstaat het te kijken naar de Total Accuracy Ratings. Dit laat in feite zien hoe goed elke oplossing aanvallen in verschillende stadia detecteerde, en of het de gebruiker lastigviel met valse meldingen. Voor nog meer visuele duidelijkheid kregen de deelnemende oplossingen een onderscheiding: van AAA (voor producten met een hoge Total Accuracy Rating) tot D (voor de minst effectieve oplossingen). Zoals gezegd kreeg onze oplossing een score van 100% en een AAA-rating.

De Total Accuracy Ratings  bestaan uit scores in twee categorieën:

  • Detection Accuracy: hierbij wordt rekening gehouden met het succes waarmee elke belangrijke fase van een aanval wordt gedetecteerd.
  • Legitimate Software Rating: hoe minder fout-positieven het product genereert, hoe hoger de score.

Er is nog een andere belangrijke indicator: gedetecteerde aanvallen. Dit is het percentage aanvallen dat door de oplossing wordt gedetecteerd tijdens ten minste één van de fases, waardoor het infosec-team de kans krijgt om op het incident te reageren.

Hoe we werden getest

Idealiter zou het testen moeten uitwijzen hoe de oplossing zich tijdens een echte aanval zou gedragen. Met dat in het achterhoofd heeft SE Labs geprobeerd de testomgeving zo levensecht mogelijk te maken. Ten eerste waren het niet de ontwikkelaars die de beveiligingsoplossingen voor de test configureerden, maar de eigen testers van SE Labs, die instructies kregen van de leverancier, zoals de infosec-teams van klanten gewoonlijk doen. Ten tweede werden de tests uitgevoerd over de hele aanvalsketen: van het eerste contact tot gegevensdiefstal of een ander resultaat. Ten derde waren de tests gebaseerd op de aanvalsmethoden van vier echte en actieve APT-groepen:

  • Wizard Spider, een groep die zich op bedrijven, banken en zelfs ziekenhuizen richt. Onder hun tools vinden we de banking trojan Trickbot.
  • Sandworm, een groep die zich voornamelijk op overheidsinstellingen richt en berucht is vanwege de NotPetya-malware, die als ransomware is gemomd, maar in werkelijkheid de gegevens van slachtoffers onherroepelijk vernietigt.
  • Lazarus, de groep die bekend werd na de grootschalige aanval op Sony Pictures in november 2014. De groep richtte zich voorheen op de banksector, maar heeft onlangs zijn zinnen gezet op cryptobeurzen.
  • Operation Wocao, gericht op overheidsinstanties, dienstverleners, energie- en technologiebedrijven en de gezondheidszorg.

Dreigingsdetectietests

In de Detection Accuracy-test onderzocht SE Labs hoe effectief beveiligingsoplossingen bedreigingen detecteren. Hierbij werden er 17 complexe aanvallen uitgevoerd op basis van vier realistische aanvallen door de groepen Wizard Spider, Sandworm, Lazarus Group en Operation Wocao. Hierbij werden er vier belangrijke fasen belicht, die elk uit een of meer onderling verbonden stappen bestonden:

De testlogica vereist niet dat de oplossing alle gebeurtenissen in een bepaalde fase van de aanval detecteert; het is voldoende dat ten minste één ervan wordt geïdentificeerd. Als het product bijvoorbeeld niet opmerkt hoe de payload op het apparaat terecht is gekomen, maar wel een poging om het uit te voeren detecteert, heeft het de eerste fase met succes doorstaan.

Aflevering/uitvoering. In deze fase werd getest in hoeverre de oplossing in staat is een aanval in de kinderschoenen op te sporen: op het moment van aflevering (bijvoorbeeld van een phishing-e-mail of een kwaadaardige link) en uitvoering van de gevaarlijke code. In echte omstandigheden wordt de aanval daar meestal gestopt, omdat de beveiligingsoplossing de malware gewoon niet verder laat gaan. Maar voor het doel van de test werd de aanvalsketen voortgezet om te zien hoe de oplossing met de volgende fases zou omgaan.

Actie. Hier bestudeerden de onderzoekers het gedrag van de oplossing wanneer aanvallers al toegang tot het eindpunt hebben verkregen. Hier moest de onwettige actie van de software worden gedetecteerd.

Privilege escalation/actie. Bij een succesvolle aanval probeert de indringer meer privileges in het systeem te krijgen en nog meer schade aan te richten. Als de beveiligingsoplossing dergelijke gebeurtenissen of het proces van privilege escalation zelf in de gaten houdt, levert dat extra punten op.

Zijdelingse beweging/actie. Als de aanvaller het eindpunt is binnengedrongen, kan hij proberen andere apparaten op het bedrijfsnetwerk te infecteren. Dit wordt ook wel zijdelingse beweging genoemd. De testers gingen na of de beveiligingsoplossingen pogingen tot een dergelijke beweging of acties die daaruit voortvloeien detecteerden.

Kaspersky EDR Expert behaalde een score van 100% in dit segment; dat wil zeggen dat geen enkele fase van een aanval onopgemerkt bleef.

Legitimate Software Ratings

Goede bescherming moet niet alleen bedreigingen op betrouwbare wijze afweren, maar mag de gebruiker er ook niet van weerhouden veilige diensten te gebruiken. Hiervoor maakten de onderzoekers gebruik van een aparte score: hoe hoger die was, hoe minder vaak de oplossing ten onrechte legitieme websites of programma’s – vooral populaire – als gevaarlijk markeerde.

Ook hier behaalde Kaspersky EDR Expert een score van 100%.

Testresultaten

Op basis van alle testresultaten kreeg Kaspersky Endpoint Detection and Response Expert de hoogst mogelijke beoordeling: AAA. Er waren nog drie andere producten die dezelfde score toebedeeld kregen: Broadcom Symantec Endpoint Security and Cloud Workload Protection, CrowdStrike Falcon en de anonieme oplossing. Maar alleen wij en Broadcom Symantec behaalden een score van 100% in de Total Accuracy Ratings.

Tips