روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ بهترین راه برای ثابت کردن  میزان کارایی یک راهکار امنیتی تست کردن آن در شرایطی است که تا حد امکان واقعی باشد. این تست با استفاده از تاکتیک‌های معمول و تکنیک‌های حملات هدف‌دار انجام می‌شود. کسپرسکی مرتباً در چنین تست‌هایی شرکت می‌کند در صدر جدول امتیازدهی‌ها می‌نشیند. نتایج تست اخیر روی راهکارهای EDR[1] (سه ماهه‌ی دوم سال 2022) در گزارش لابراتوار SE منتشر شده است. با ما همراه بمانید تا نتایج را بررسی کنیم. SE این شرکت بریتانیایی چندین سال است که راهکارهای امنیتی فروشندگان بزرگ را مورد بررسی و تحلیل قرار می‌دهد. در تست آخرش این شرکت، محصول تجاری ما Kaspersky Endpoint Detection and Response Expert امتیاز کامل 100% را در شناسایی حمله هدف‌دار دریافت کرد و بالاترین امتیاز ممکن (AAA) را از آن خود کرد.

این اولین تحلیل SE Labs نیست که روی محصولات ما انجام شده تا به نحوی از زیرساخت سازمانی در برابر تهدیدهای پیچیده محافظت شود. این شرکت پیشتر هم (سال 2019) تست واکنش به نقش داده‌ی خود را برگزار کرد (که ما هم در آن شرکت داشتیم). در سال 2021 نیز محصول ما در تست امنیت پیشرفته‌ی EDR مورد آزمایش قرار گرفت. از آن به بعد این متودولوژی تست تغییر پیدا کرد و خود تست به دو بخش تقسیم شد: شناسایی و محافظت. این بار لابراتوار SE بررسی کرده است راهکارهای امنیتی در شناسایی فعالیت مخرب تا چه میزان مؤثر عمل می‌کنند. جدا از راهکار Kaspersky EDR Expert ما، چهار محصول دیگر هم در این تست شرکت کردند که عبارتند از: Broadcom Symantec، CrowdStrike، BlackBerry و دیگری یک راهکار بدون نام.

سامانه درجه‌بندی

این تست از چند کانال بررسی تشکیل شده بود اما برای اینکه از کلیت نتیجه درکی بدست آورید بسنده خواهیم کرد به بخش Total Accuracy Ratings. این بخش اساساً نشان می‌دهد چطور هر راهکاری بخوبی در مراحل مختلف حملات را شناسایی کرده و اینکه آیا در این حین کاربر در مورد مثبت کاذب‌ها اذیت شده است یا نه. حتی برای شفافیت بصری بیشتر، راهکارهای شرکت‌کننده جایزه‌ای هم در نظر گرفته شد: از AAA (برای محصولاتی با Total Accuracy Rating بالا) گرفته تا D (برای راهکارهایی که پایین‌ترین کارایی را داشتند). همانطور که پیشتر اشاره کردیم، راهکار ما نتیجه حداکثری را گرفت و امتیاز AAA را دریافت نمود.

Total Accuracy Ratings امتیازاتش در دو طبقه‌بندی قرار می‌گیرد:

•         دقت تشخیص: این امر موفقیت شناسایی هر مرحله مهم از حمله را در نظر می‌گیرد.
•         رتبه‌بندی نرم‌افزار قانونی: هرچه مثبت‌های کاذب تولید شده توسط محصول کمتر باشد، امتیاز بالاتری خواهد داشت.

یک شاخص کلیدی دیگر نیز وجود دارد: حملاتِ شناسایی‌شده. این درصدِ حملات شناسایی‌شده توسط راهکار در حداقل یکی از مراحل است که به تیم infosec فرصتی می‌دهد تا به رخداد سایبری واکنش نشان دهند.

چطور از راهکارهای ما تست گرفته شد؟

در حالت ایده‌آل، این عملیات تستینگ نشان می‌دهد چطور یک راهکار در طول حمله‌ای واقعی رفتار می‌کند. با در نظر گرفتن این موضوع لابراتوار SE سعی داشت محیط تستی ایجاد کند که تا حد امکان واقعی باشد. نخست این توسعه‌دهندگان نبودند که راهکارهای امنیتی را برای تست پیکربندی کردند بلکه این خود تست‌گیرنده‌های لابراتور بودند که دستورات را از فروشنده دریافت کردند. دوم اینکه این تست‌ها در کل زنجیره حمله انجام شدند- از اولین تماس با سارق داده گرفته تا برخی پیامدهای دیگر. سوم اینکه تست‌ها بر اساس متودهای حمله چهار گروه واقعی و فعال APT بودند:

•         Wizard Spider که شرکتها،‌ بانک‌ها و حتی بیمارستان‌ها را هدف قرار می‌دهد. از جمله ابزارهای آن تروجان بانکی Trojan Trickbot است.
•         Sandworm، که عمدتاً سازمان‌های دولتی را هدف قرار می‌دهد و به بدافزار NotPetya معروف است که به عنوان باج‌افزار ظاهر می‌شد، اما در واقع اطلاعات قربانیان را فراتر از بازیابی از بین می‌برد.
•         لازاروس که پس از حمله گسترده به شرکت سونی پیکچرز در نوامبر 2014 به طور گسترده‌ای شناخته شد. این گروه با تمرکز بر بخش بانکی، اخیراً صرافی‌های رمزنگاری را مورد توجه قرار داده است.
•         عملیات Wocao، که سازمان‌های دولتی، ارائه‌دهندگان خدمات، شرکت‌های انرژی و فناوری و بخش مراقبت‌های بهداشتی را هدف قرار می‌دهد.

تست‌های شناسایی تهدید

در تست «دقت شناسایی» لابراتوار SE بررسی کرد راهکارهای امنیتی چطور در شناسایی تهدیدها مؤثر عمل کردند. این شامل انجام 17 حمله پیچیده می‌شد که مبتنی بر حملات واقعی توسط Wizard Spider، Sandworm، Lazarus Group و Operation Wocao بودند. در آن‌ها چهار مرحله مهم برجسته شد که هر یک از آن‌ها نیز شامل یک یا بیش از یک مرحله بهم‌پیوسته می‌شدند:

•         ارسال/اجرا
•         اقدام
•         ارتقای مزیت/عمل
•         حرکت جانبی/عمل

منطق آزمون نیازی به راهکار برای تشخیص همه رخدادها در هر مرحله خاص از حمله ندارد. برای شناسایی، حداقل یکی از آنها کافی است. به عنوان مثال، اگر محصول متوجه نحوه ورود پی‌لود به دستگاه نشد، اما تلاشی برای اجرای آن تشخیص داد، مرحله اول را با موفقیت پشت سر گذاشت.

ارسال/اجرا: این مرحله ظرفیت راهکار را برای شناسایی یک حمله در مراحل اولیه آزمایش کرد: در زمان تحویل - برای مثال، ایمیل فیشینگ یا لینک مخرب - و اجرای کد خطرناک. در شرایط واقعی، حمله معمولاً در آنجا متوقف می‌شود، زیرا راهکار امنیتی به سادگی اجازه نمی‌دهد بدافزار بیشتر از این پیش برود. اما برای اهداف آزمایش، زنجیره حمله ادامه یافت تا ببینیم راهکار چگونه با مراحل بعدی مقابله خواهد کرد.

اقدام: در اینجا، محققین رفتار راهکار را زمانیکه مهاجمین قبلاً به نقطه پایانی دسترسی پیدا کرده‌اند، مطالعه کردند. این تحقیق برای شناسایی اقدامی غیرقانونی توسط نرم‌افزار لازم بود.

ارتقای مزیت/عمل: در یک حمله موفقیت‌آمیز، مهاجم تلاش می‌کند تا امتیازات بیشتری در سیستم به دست آورد و حتی آسیب بیشتری را وارد کند. اگر راهکار امنیتی چنین رخدادهایی یا خود روند افزایش امتیاز را نظارت کند، امتیاز اضافی به آن تعلق می‌گیرد.

حرکت جانبی/عمل: مهاجم که حالا به اندپوینت نفوذ کرده می‌تواند سعی کند در شبکه سازمانی سایر دستگاه‌ها را نیز آلوده کند. به این می‌گویند حرکت جانبی. تست‌گیرندگان بررسی کردند آیا راهکارهای امنیتی در چنین حرکتی(یا هر اقدامی که در نتیجه آن امکان‌پذیر شده باشد)، اقدامات را شناسایی کرده‌اند یا خیر.

Kaspersky EDR Expert در این بخش 100% امتیاز را از آن خود کرد: این یعنی حتی یک مرحله از حمله هم نتوانست قسر در رود.

امتیازدهی‌ نرم‌افزارهای قانونی

محافظت خوب نه تنها باید به طور قابل‌اطمینانی تهدیدات را دفع کند که همچنین مانع استفاده از خدمات امن از سوی کاربر نیز نشود. به همین منظور محققین یک امتیاز مجزا نیز در نظر دیدند: هر قدر آن امتیاز بالا می‌بود کمتر راهکار به اشتباه، اَنگ خطرناک بودن به برنامه‌ها یا وبسایت‌های قانونی می‌زد (خصوصاً برنامه‌ها و وبسایت‌های مهم). باری دیگر هم  Kaspersky EDR Expert امتیاز 100% را گرفت.

نتایج تست

بر اساس نتایج کلی تست، Kaspersky Endpoint Detection and Response Expert بالاترین امتیاز را که AAA باشد دریافت کرد. سه محصول دیگر هم که نام بردیم این امتیاز را دریافت کردند اما فقط کسپرسکی و Broadcom Symantec توانست در بخش Total Accuracy Ratings به بالاترین امتیاز دست پیدا کند.

[1] Enterprise Advanced Security

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.