Die beste Möglichkeit, die Effektivität einer Sicherheitslösung zu beweisen, ist, sie unter möglichst realen Bedingungen zu testen und dabei typische Taktiken und Techniken zielgerichteter Angriffe anzuwenden. Kaspersky nimmt regelmäßig an solchen Tests teil und liegt bei den Bewertungen ganz weit vorne.
Die Ergebnisse eines kürzlich durchgeführten Tests – Enterprise Advanced Security (EDR): Enterprise 2022 Q2 – DETECTION – wurden im Juli in einem Bericht von SE Labs veröffentlicht. Das britische Unternehmen testet seit mehreren Jahren Sicherheitslösungen großer Anbieter auf Herz und Nieren. Unsere Unternehmenslösung Kaspersky Endpoint Detection and Response Expert erreichte im Rahmen dieser jüngsten Prüfung bei der Erkennung zielgerichteter Angriffe die volle Punktzahl und folglich die höchstmögliche Bewertung – AAA.
SE Labs hat unsere Produkte zum Schutz der Unternehmensinfrastruktur vor ausgeklügelten Bedrohungen bereits zuvor analysiert. Bereits 2019 nahmen wir am Breach Response Test des Unternehmens teil. Im Jahr 2021 wurde unser Produkt zudem im Advanced Security Test (EDR) von SE Labs unter die Lupe genommen. Seither wurde die Testmethodik optimiert und der Test selbst in zwei Bereiche aufgeteilt: Erkennung und Schutz. Dieses Mal analysierte SE Labs, wie effektiv Sicherheitslösungen schädliche Aktivitäten erkennen. Neben Kaspersky EDR Expert nahmen vier weitere Produkte am Test teil: Broadcom Symantec, CrowdStrike, BlackBerry und eine weitere, anonyme Lösung.
Bewertungssystem
Die Tests bestanden aus mehreren Prüfungen, aber ein Blick auf die Total Accuracy Ratings reicht aus, um ein Gefühl für die Ergebnisse zu bekommen. Die Gesamtwertung zeigt, wie gut die einzelnen Lösungen Angriffe in verschiedenen Stadien erkannt haben und ob sie den Benutzer mit False-Positives belästigt haben. Um die Übersichtlichkeit zu erhöhen, wurden die teilnehmenden Lösungen mit einer Auszeichnung versehen: von AAA (für Produkte mit einer hohen Genauigkeit) bis D (für die am wenigsten effektiven Lösungen). Wie bereits erwähnt, erhielt unsere Lösung ein Rating von 100% und somit die Bewertung AAA.
Die Accuracy Ratings werden in folgende 2 Kategorien unterteilt:
- Detection Accuracy: Diese berücksichtigt den Erfolg bei der Erkennung jeder wichtigen Phase eines Angriffs.
- Legitimate Software Rating: Je weniger Fehlalarme das Produkt auslöst, desto höher die Bewertung.
Darüber hinaus gibt es einen weiteren wichtigen Indikator: Attacks Detected. Hierbei handelt es sich um den Prozentsatz der Angriffe, die von der Lösung in mindestens einer der Phasen erkannt werden, so dass das Sicherheitsteam die Möglichkeit hat, auf den Vorfall zu reagieren.
So wurde unsere Lösung getestet
Im Idealfall sollten die Tests zeigen, wie sich die Lösung bei einem realen Angriff verhalten würde. Aus diesem Grund hat SE Labs versucht, die Testumgebung so realistisch wie möglich zu gestalten. Zum einen haben nicht die Entwickler die Sicherheitslösungen für den Test konfiguriert, sondern die unternehmenseigenen Prüfer von SE Labs, die dann spezifische Anweisungen vom Hersteller erhielten. Zum anderen wurden die Tests über die gesamte Angriffskette durchgeführt – vom ersten Kontakt bis hin zum Datendiebstahl o. ä. Darüber hinaus basierten die Tests auf den Angriffsmethoden vier realer und aktiver APT-Gruppen:
- Wizard Spider, die es auf Unternehmen, Banken und sogar Krankenhäuser abgesehen hat. Zu ihren Tools gehört der Banking-Trojaner Trickbot.
- Sandworm, die in erster Linie auf Regierungsbehörden abzielt und für ihre Malware NotPetya berüchtigt ist, die sich als Ransomware ausgab, in Wirklichkeit aber die Daten der Opfer ohne die Möglichkeit auf Wiederherstellung zerstörte.
- Lazarus, die nach einem großangelegten Angriff auf Sony Pictures im November 2014 weltweit bekannt wurde. Nachdem sich die Gruppe zuvor auf den Bankensektor konzentriert hatte, hat sie nun Krypto-Börsen ins Visier genommen.
- Operation Wocao, die auf Regierungsbehörden, Dienstleistungsunternehmen, Energie- und Technologieunternehmen sowie den Gesundheitssektor abzielt.
Tests zur Bedrohungserkennung
Im Test Detection Accuracy untersuchte SE Labs, wie effektiv Sicherheitslösungen Bedrohungen erkennen. Dazu wurden 17 komplexe Angriffe auf der Grundlage von vier realen Angriffen der Akteure Wizard Spider, Sandworm, Lazarus und Operation Wocao durchgeführt, bei denen vier wichtige Phasen hervorgehoben wurden:
- Lieferung/Ausführung
- Aktion
- Privilegienerweiterung/Aktion
- Lateral Movement/Aktion
Die Testlogik verlangt nicht, dass die Lösung alle Ereignisse in einer bestimmten Phase des Angriffs erkennt; es reicht aus, mindestens eines davon zu identifizieren. Wenn das Produkt beispielsweise nicht feststellen konnte, wie die Nutzlast auf das Gerät gelangt ist, aber einen Versuch, sie auszuführen, erkannt hat, hat es die erste Stufe erfolgreich bestanden.
Lieferung/Ausführung. In dieser Phase wird die Fähigkeit der Lösung getestet, einen Angriff in seinen Anfängen zu erkennen: zum Zeitpunkt der Lieferung – zum Beispiel in Form einer Phishing-E-Mail oder eines schädlichen Links – und der Ausführung des gefährlichen Codes. Unter realen Bedingungen wird der Angriff in der Regel an dieser Stelle von der Sicherheitslösung gestoppt. Um die Effektivität der Lösung zu testen, wurde die Angriffskette jedoch fortgesetzt.
Aktion. In diesem Schritt untersuchen die Forscher das Verhalten der Lösung, wenn Angreifer bereits Zugriff auf den Endpunkt erhalten haben.
Privilegienerweiterung/Aktion. Bei einem erfolgreichen Angriff versucht der Eindringling, weitere Privilegien im System zu erlangen und weiteren Schaden anzurichten. Wenn die Sicherheitslösung solche Ereignisse oder den Prozess der Privilegienerweiterung selbst überwacht, erhält sie zusätzliche Punkte.
Lateral Movement/Aktion. Nachdem sich der Angreifer Zugriff zum Endpunkt verschafft hat, kann er versuchen, andere Geräte im Unternehmensnetz zu infizieren. Dies wird als Lateral Movement (Seitwärtsbewegung) bezeichnet. Die Prüfer analysieren, ob die Sicherheitslösungen Versuche einer solchen Bewegung oder daraus resultierende Aktionen erkennen.
Kaspersky EDR Expert erzielte in diesem Segment ein Rating von 100%, d. h. kein einziges Stadium eines Angriffs blieb unbemerkt.
Bewertung legitimer Software
Ein guter Schutz muss nicht nur Bedrohungen zuverlässig abwehren, sondern darf den Nutzer auch nicht an der Nutzung sicherer Dienste hindern. Dafür haben die Forscher eine eigene Bewertung eingeführt: Je höher diese Bewertung, desto seltener hat die Lösung fälschlicherweise legitime Websites oder Programme – vor allem beliebte – als gefährlich eingestuft.
Die Erfolgsquote von Kaspersky EDR Expert lag erneut bei 100%.
Testergebnisse
Auf der Grundlage aller Testergebnisse wurde Kaspersky Endpoint Detection and Response Expert mit der Höchstwertung ausgezeichnet: AAA. Drei weitere Produkte erhielten die gleiche Bewertung: Broadcom Symantec Endpoint Security and Cloud Workload Protection, CrowdStrike Falcon und die anonyme Lösung. Allerdings erreichten nur wir und Broadcom Symantec die volle Punktzahl in der Gesamtwertung der Genauigkeit (Total Accuracy Ratings).