04/08/2017

Wspaniałe wiadomości z frontu walki z atakami APT

Biznes Technologie

Dla nas niezależne testy są nie tylko wskaźnikiem skuteczności naszych produktów, lecz traktujemy je także jako narzędzie, dzięki któremu możemy ulepszać nasze technologie. Z tego względu rzadko informujemy o sukcesach naszych produktów w testach — mimo że nieustannie wykazują one wysoką skuteczność. Jednak proces certyfikacji Advanced Threat Defense, przeprowadzony przez laboratorium testowe ICSA Labs, jest wart tego, aby poświęcić mu cały post.

Nasza platforma Kaspersky Anti-Targeted Attack uczestniczyła w tym procesie certyfikacji przez trzy kolejne kwartały, a w ostatnim osiągnęła doskonałe wyniki — wykrywała zagrożenia na poziomie 100%, nie wzbudzając przy tym ani jednego fałszywego alarmu. Dlaczego jest to cenna wiadomość dla klientów korporacyjnych i co oznaczają te wyniki?

Certyfikacja

ICSA Labs przeprowadza tę certyfikację, aby określić skuteczność wykrywania najnowszych cyberzagrożeń przez różne produkty zabezpieczające. Mianem „najnowszych” laboratorium ICSA określa zagrożenia, które nie są wykrywane przez większość tradycyjnych produktów. Podczas wybierania scenariuszy testowych wykorzystywany jest raport Verizon Data Breach Investigation Report. Przynosi to podwójne korzyści: zestaw testowy składa się z zagrożeń, które są najpopularniejsze w danym okresie, oraz zmienia się w każdym kwartale w zależności od zmian w krajobrazie zagrożeń.

Dzięki temu ICSA może analizować dynamikę skuteczności rozwiązań. Mówiąc dokładniej: osiągnięcie dobrego wyniku w jednym teście nie jest żadnym wskaźnikiem, lecz jeśli produkt utrzymuje swoją skuteczność bez względu na zmiany zachodzące w świecie zagrożeń, jest to wiarygodnym dowodem na jego efektywność.

Raport Verizon zawiera informacje na temat cyberincydentów, które dotknęły firmy klasy korporacyjnej. Dlatego nie są to jedynie najpopularniejsze wektory ataku.

Najnowsze wyniki

Najnowsze badanie zostało przeprowadzone w drugim kwartale tego roku, a jego wyniki zostały opublikowane w lipcu. Dla każdego z uczestników eksperci z laboratorium ICSA Labs przygotowali infrastrukturę testową, którą chroniło wyspecjalizowane rozwiązanie. Następnie w ciągu 37 dni symulowali różne ataki na tę infrastrukturę. W sumie przeprowadzono ponad 1100 testów z użyciem niemal 600 próbek szkodliwych programów, a wszystkie z nich zostały wykryte przez nasze zaawansowane rozwiązanie. Ponadto platforma Kaspersky Anti-Targeted Attack uzyskała doskonałe wyniki, jeśli chodzi o liczbę fałszywych trafień: eksperci z ICSA Labs użyli ponad 500 czystych próbek, które imitowały szkodliwe — nasz produkt nie oznaczył żadnej z nich jako niebezpiecznej.

ICSA Labs nie przeprowadza testów porównawczych, więc w efekcie nie publikuje tabeli podsumowujących. Jeśli chcesz rzucić okiem na dane, znajdziesz je tutaj.

Jak to osiągnęliśmy?

Nasze produkty, a w szczególności platforma Kaspersky Anti-Targeted Attack, wykrywają zagrożenia przy użyciu podejścia wielopoziomowego. Wykorzystywane są mechanizmy analizy statycznej, konfigurowalne reguły YARA, unikatowe reguły SNORT dla silnika IDS, certyfikowane mechanizmy sprawdzania, sprawdzana jest reputacja plików i domen za pośrednictwem globalnej bazy zagrożeń (KSN), używane są narzędzia do zaawansowanych analiz dynamicznych w środowisku odizolowanym (piaskownica), a także silnik uczenia maszynowego — nasz Targeted Attacks Analyzer. Połączenie tych narzędzi w platformie Kaspersky Anti-Targeted Attack umożliwia identyfikację zarówno znanych, jak i jeszcze nieodkrytych szkodliwych technologii.

Silnik Targeted Attacks Analyzer stanowi podstawę analizy. Wykorzystuje on uczenie maszynowe, dzięki czemu umożliwia platformie Kaspersky Anti-Targeted Attack nie tylko porównywanie informacji uzyskanych na różnych poziomach wykrywania, ale także pomyślne wykrywanie anomalii w zachowaniu sieci i stacji roboczej. Analiza zachowania może wykrywać odchylenia wskazujące na obecność ataku, w którym nie jest używane szkodliwe oprogramowanie. Mógłby to być na przykład atak przeprowadzony z wykorzystaniem legalnego oprogramowania, skradzionych danych uwierzytelniających czy luk w strukturze IT.

Jednak samo wykrywanie zagrożeń nie wystarczy. Jeśli produkt blokuje wszystko, zatrzyma nie tylko 100% zagrożeń, lecz także działanie legalnych programów. W tym miejscu pojawia się zagadnienie fałszywych trafień. Nasze technologie pozwalają nam rozpoznawać fałszywe procesy dzięki wykorzystaniu podejścia HuMachine. Na odpowiednią równowagę pomiędzy poziomem wykrywania oraz fałszywymi alarmami składają się trzy elementy:

  • wielkie zbiory danych (posiadamy ogromne zbiory danych związanych z zagrożeniami, które gromadziliśmy przez ponad 20 lat i które wciąż są aktualizowane w czasie rzeczywistym przez technologię Kaspersky Security Network, która dostarcza informacje od naszych produktów zainstalowanych na komputerach klienckich na całym świecie),
  • zaawansowane technologie uczenia maszynowego, które analizują te dane,
  • specjalistyczna wiedza badaczy, którzy w razie konieczności poprawiają działanie silnika uczenia maszynowego i kierują nim.

Możemy zatem powiedzieć, że w wielu aspektach wyniki certyfikacji ICSA są wynikiem zasady HuMachine.

Jeśli interesuje Cię ten temat i chcesz dowiedzieć się więcej o platformie Kaspersky Anti-Targeted Attack, przejdź na tę stronę.