Bağımsız testlerde EDR çözümleri

SE Labs, bağımsız testlerde gerçek dünya saldırıları karşısında Kaspersky EDR’a en yüksek puanı verdi.

Bir güvenlik çözümünün etkinliğini kanıtlamanın en iyi yolu, hedefli saldırıların tipik taktik ve tekniklerini kullanarak gerçek dünyaya en yakın koşullarda test etmektir. Kaspersky bu tür testlere düzenli olarak katılıyor ve her zaman en üst sıralarda yer alıyor.

Kısa süre önce gerçekleştirilen Enterprise Advanced Security (EDR): Enterprise 2022 Q2 – DETECTION testinin sonuçları Temmuz ayında SE Labs raporunda yayınlandı. İngiliz şirket yıllardır büyük sağlayıcıların güvenlik çözümlerini test ediyor. Kurumsal Kaspersky Endpoint Detection and Response Expert çözümümüz, bu son testte hedefli saldırı tespitinde %100 tam puanla en yüksek derecelendirme olan AAA derecesini aldı.

SE Labs kurumsal altyapıları karmaşık tehditlere karşı korumaya yönelik ürünlerimizi ilk defa analiz etmiyor. Şirket daha önce de Güvenlik İhlaline Yanıt Testi gerçekleştirmişti (2019‘da bu testte yer aldık). 2021‘de ise ürünümüz şirketin Gelişmiş Güvenlik Testi’nde test edildi (EDR). O zamandan bu yana test metodolojisinde bazı değişiklikler yapıldı ve test Tespit ve Koruma olarak iki kısma ayrıldı. SE Labs bu kez güvenlik çözümlerinin kötü amaçlı aktiviteyi tespit etmekte ne kadar etkili olduğunu araştırdı. Testte Kaspersky EDR Expert’in yanı sıra Broadcom Symantec, CrowdStrike, BlackBerry ve başka bir anonim çözüm olmak üzere dört diğer ürün yer aldı.

Puanlama sistemi

Test birçok farklı kontrolden oluşuyor, ancak sonuçlar hakkında genel bir fikir edinmek için Toplam Doğruluk Derecelendirmesi‘ne bakmak yeterli. Bu derecelendirme, her bir çözümün farklı aşamalarda saldırıları ne kadar iyi tespit edebildiğini ve kullanıcıya yanlış pozitiflerle sıkıntı verip vermediğini gösteriyor. Teste katılan çözümlere, test sonucunu görsel olarak daha da netleştirmek adına AAA’dan (yüksek Toplam Doğruluk Derecelendirmesine sahip ürünler için) D’ye kadar (etkinliği en düşük çözümler için) bir derece verildi. Belirttiğimiz gibi, çözümümüz %100 tam puanla AAA derecesine sahip oldu.

Toplam Doğruluk Derecelendirmesi iki kategoride verilen puanlardan oluşuyor:

  • Tespit Doğruluğu: Bu kategori, bir saldırının her bir önemli aşamasını tespit etme becerisini değerlendiriyor.
  • Yasal Yazılım Derecelendirmesi: Ürün ne kadar az sayıda yanlış pozitif çıkarırsa puan o kadar yüksek oluyor.

Başka bir önemli gösterge daha var: Tespit Edilen Saldırılar. Bu da çözümün en az bir aşama sırasında saldırıyı tespit ederek bilgi güvenliği ekibine olaya müdahale şansı sunma oranı.

Nasıl test edildik

Testlerden ideal olarak gerçek bir saldırı sırasında çözümün nasıl davranacağını ortaya çıkarması beklenir. SE Labs bu doğrultuda test ortamını mümkün olduğunca gerçek hayattakine benzer oluşturmaya çalıştı. Birincisi, güvenlik çözümlerini test için yapılandıranlar geliştiriciler değil, tıpkı müşterilerin bilgi güvenliği ekipleri gibi sağlayıcıdan talimatları alan SE Labs test görevlileriydi. İkincisi, testler ilk temastan veri hırsızlığına ya da başka bir sonuca kadar tüm saldırı zincirini kapsayacak şekilde gerçekleştirildi. Üçüncüsü, testler gerçek ve aktif olan dört APT grubunun saldırı yöntemlerini baz aldı:

  • Wizard Spider: Şirketleri, bankaları, hatta hastaneleri hedef alıyor. Araçları arasında bankacılık Truva Atı Trickbot yer alıyor.
  • Sandworm: Genel olarak devlet kurumlarını hedef alıyor. Fidye yazılımı adı altında kullanılan, fakat aslında kurbanın verilerini kurtarılamayacak şekilde yok eden NotPetya kötü amaçlı yazılımıyla ünlü.
  • Lazarus: Kasım 2014’te Sony Pictures’a gerçekleştirdiği büyük ölçekli saldırı sonrası daha tanınır hale geldi. Önceden bankacılık sektörüne odaklanan grup son zamanlarda gözünü kripto borsalarına dikti.
  • Operation Wocao: Devlet kurumlarını, servis sağlayıcıları, enerji ve teknoloji şirketlerini ve sağlık sektörünü hedef alıyor.

Tehdit tespiti testleri

SE Labs, Tespit Doğruluğu testinde güvenlik çözümlerinin tehditleri ne kadar etkin şekilde tespit ettiğini araştırdı. Bu kapsamda Wizard Spider, Sandworm, Lazarus Group ve Operation Wocao aktörlerinin gerçek hayattaki saldırılarını baz alan 17 karmaşık saldırı yürüttü. Bu saldırılar içerisinde her biri bir ya da birbirine bağlı birden çok adımdan oluşan dört önemli aşama vurgulandı:

  • Dağıtım/Yürütme
  • Eylem
  • Ayrıcalık Yükseltme/Eylem
  • Yanal Hareket/Eylem

Test mantığı, çözümün belirli herhangi bir saldırı aşamasındaki tüm olayları tespit etmesini gerektirmiyordu, en azından birini belirlemesi yeterliydi. Örneğin, ürün kötü amaçlı yükün cihaza nasıl girdiğini fark edemediyse, fakat yürütülmesine yönelik bir girişimi fark ettiyse birinci aşamayı başarıyla geçiyordu.

Dağıtım/Yürütme. Bu aşama, çözümün bir saldırıyı en başından tespit edebilme becerilerini ölçüyordu: Dağıtım (örneğin, bir kimlik avı e-postası veya kötü amaçlı bir bağlantıyla) ve tehlikeli kodun yürütülmesi sırasında. Gerçek koşullarda saldırı genellikle bu noktada durdurulur, çünkü güvenlik çözümleri kötü amaçlı yazılımın daha fazla ilerlemesine izin vermez. Ancak testin amacı doğrultusunda çözümün sonraki aşamalarla nasıl başa çıktığını görebilmek için saldırı zinciri devam ettirildi.

Eylem. Araştırmacılar bu aşamada saldırganlar uç noktaya erişim elde ettikten sonra çözümün nasıl davrandığını araştırdı. Yazılımın doğru olmayan bir eylemi tespit etmesi gerekiyordu.

Ayrıcalık Yükseltme/Eylem. Başarılı bir saldırıda saldırgan, sistemde daha fazla ayrıcalık elde ederek daha fazla zarara yol açmaya çalışır. Güvenlik çözümü bu tür olayları veya ayrıcalık yükseltme işleminin kendisini gözetim altında tutuyorsa ekstra puan kazandı.

Yanal Hareket/Eylem. Uç noktaya giriş sağlayan bir saldırgan, kurumsal ağdaki diğer cihazlara da virüs bulaştırmaya çalışabilir. Bu, yanal hareket olarak bilinir. Test görevlileri, güvenlik çözümünün bu tür bir hareket veya bu hareketin sonucunda ortaya çıkabilecek bir eylem tespit edip etmediğini kontrol etti.

Kaspersky EDR Expert bu segmende %100 puan aldı, yani herhangi bir saldırının tek bir aşamasını bile gözden kaçırmadı.

Yasal Yazılım Derecelendirmeleri

İyi bir korumanın yalnızca güvenilir şekilde tehditleri püskürtmesi yetmez, aynı zamanda kullanıcının güvenli servisleri kullanmasına engel de olmamalıdır. Araştırmacılar bu yüzden teste ayrı bir puan türü daha ekledi. Çözüm, yasal web sitelerini veya programları (özellikle de popüler olanları) ne kadar az sıklıkla tehlikeli olarak işaretlerse bu puan o kadar yüksek oluyordu.

Kaspersky EDR Expert buradan da %100 puan aldı.

Test sonuçları

Kaspersky Endpoint Detection and Response Expert tüm test sonuçlarına göre en yüksek derecelendirme olan AAA derecesine layık görüldü. Üç diğer ürün daha aynı dereceyi kazandı: Broadcom Symantec Endpoint Security and Cloud Workload Protection, CrowdStrike Falcon ve anonim çözüm. Ancak yalnızca Kaspersky ve Broadcom Symantec Toplam Doğruluk Derecelendirmesinde %100 tam puan almayı başardı.

 

İpuçları