Bitdefender w Teście Endpoint Prevention & Response (EPR) 2024

Bitdefender GravityZone Business Security Enterprise otrzymał odznakę „Certified” w najnowszym teście Endpoint Prevention & Response (EPR) 2024 przeprowadzonym przez niezależny instytut badawczy AV-Comparatives. To wyróżnienie ukazuje, że systemy antywirusowe Bitdefender od wielu lat pozostają w ścisłej czołówce najskuteczniejszych narzędzi do ochrony przed cyberzagrożeniami.

Dlaczego EPR, EPP i EDR są obecnie kluczowe do ochrony przedsiębiorstw?

Produkty Endpoint Protection Products (EPP), rozwiązania Endpoint Detection and Response (EDR) i Extended Detection and Response (XDR) są kluczowymi składnikami bezpieczeństwa przedsiębiorstwa, zapewniającymi obronę przed ukierunkowanymi zagrożeniami, takimi jak zaawansowane trwałe zagrożenia (APT). Test AV-Comparatives Endpoint Prevention and Response (EPR) został zaprojektowany w celu oceny skuteczności tych rozwiązań w przeciwdziałaniu złożonym, wieloetapowym atakom, których celem jest cała infrastruktura organizacji. Oprócz zabezpieczania poszczególnych punktów końcowych, oczekuje się, że te systemy będą analizować źródła ataków, taktyki i cele, umożliwiając zespołom ds. bezpieczeństwa powstrzymywanie zagrożeń, naprawianie dotkniętych nimi systemów i zapobieganie przyszłym incydentom. Dla uproszczenia w niniejszym raporcie wszystkie produkty EPP, EDR, XDR i podobne określamy zbiorczo jako produkty „EPR ”.

Test Endpoint Prevention and Response firmy AV-Comparatives, który obejmuje również produkty EDR i XDR, pozostaje najbardziej kompleksową oceną tych rozwiązań bezpieczeństwa w branży. 12 testowanych produktów zostało poddanych 50 różnym ukierunkowanym scenariuszom ataków, obejmującym różne techniki i wektory ataków. Scenariusze te zostały zaprojektowane w celu symulacji rzeczywistych zagrożeń przechodzących przez trzy kluczowe fazy: Endpoint Compromise and Foothold; Internal Propagation; and Asset Breach. Test oceniał, czy każde rozwiązanie automatycznie blokowało zagrożenie (aktywna odpowiedź) lub dostarczało użytecznych informacji, których administrator mógł użyć do interwencji (pasywna odpowiedź). Jeśli produkt nie zatrzymał ataku w jednej fazie, scenariusz przechodził do następnej fazy, a odpowiedź produktu w każdym punkcie była rejestrowana.

Najnowszy raport AV-Comparatives zawiera wyniki testów, pokazujące, na jakim etapie (jeśli w ogóle) każdy produkt zapewnił aktywną lub pasywną odpowiedź na każde zagrożenie. Jednak brano pod uwagę również szereg innych czynników. Odnotowano zdolność każdego produktu do podjęcia działań naprawczych. Rozważono również zdolność każdego produktu do zbierania i prezentowania informacji o wskaźnikach naruszenia w łatwo dostępnej formie.

AV-Comparatives stworzył system Enterprise EPR CyberRisk Quadrant, który uwzględnia skuteczność każdego produktu w zapobieganiu naruszeniom, obliczone oszczędności wynikające z tego, koszty zakupu produktu, koszty dokładności operacyjnej produktu i koszty opóźnień w przepływie pracy. Do tego obliczenia przyjęto, że przedsiębiorstwo korzysta z 5000 komputerów w okresie 5 lat.

W ramach ciągłych wysiłków na rzecz udoskonalenia naszego Enterprise EPR CyberRisk Quadrant AV-Comparatives wprowadził w tym roku pewne udoskonalenia. Czynniki oceny nadal obejmują skuteczność zapobiegania naruszeniom, opłacalność, dokładność operacyjną i wydajność przepływu pracy. Analiza opiera się na hipotetycznym środowisku przedsiębiorstwa z 5000 punktów końcowych w okresie pięciu lat.

Szczegółowa metodologia testów AV-Comparatives

Aby zaliczyć aktywną odpowiedź (działanie zapobiegawcze), zweryfikowano, czy produkt wykonał aktywną odpowiedź w odpowiedniej fazie. Podobnie, aby zaliczyć pasywną odpowiedź (zdarzenie wykrycia), zweryfikowaliśmy, czy produkt wygenerował aktywny alert powiązany z atakiem w odpowiedniej fazie, umożliwiając administratorowi systemu podjęcie odpowiednich działań.

Metryki fazy 1: naruszenie punktu końcowego i przyczółek

Zawartość fazy 1 wykonanych ataków można opisać za pomocą MITRE ATT&CK i innych struktur. Następujące taktyki są częścią tej fazy.

Dostęp początkowy: Dostęp początkowy to metoda używana przez atakującego w celu uzyskania przyczółka w środowisku, które jest celem ataku. Atakujący mogą używać pojedynczej metody lub kombinacji różnych technik. Zagrożenia mogą pochodzić z zainfekowanych witryn, załączników e-mail lub nośników wymiennych. Metody infekcji mogą obejmować exploity, pobieranie danych z urządzeń mobilnych, phishing ukierunkowany, makra, zaufane relacje, prawidłowe konta i naruszenia łańcucha dostaw.

Wykonanie: Następnym celem atakującego jest wykonanie własnego kodu w środowisku docelowym. W zależności od okoliczności, może to być wykonane lokalnie lub poprzez zdalne wykonanie kodu. Niektóre z używanych metod obejmują wykonanie po stronie klienta, oprogramowanie innych firm, funkcje systemu operacyjnego, takie jak PowerShell, MSHTA i wiersz poleceń.

Trwałość: Gdy atakujący dostanie się do docelowego środowiska, spróbuje uzyskać tam trwałą obecność. W zależności od docelowego systemu operacyjnego atakujący może użyć narzędzi i funkcji systemu operacyjnego. Obejmują one manipulację rejestrem, określanie wartości biblioteki dynamicznego łącza w rejestrze, skrypty powłoki, które mogą zawierać polecenia powłoki, shimming aplikacji i manipulację kontem.

Metryki fazy 2: propagacja wewnętrzna

W tej fazie produkt EPR powinien być w stanie zapobiec wewnętrznej propagacji. Ta faza jest wyzwalana, jeśli atak nie zostanie zatrzymany w fazie 1. Produkt EPR w tej fazie powinien umożliwić administratorowi systemu natychmiastową identyfikację i śledzenie wewnętrznej propagacji zagrożenia w czasie rzeczywistym. Poniżej wyjaśniliśmy odpowiednie taktyki z MITRE ATT&CK Framework.

Eskalacja uprawnień: W sieciach przedsiębiorstw standardową praktyką dla użytkowników (w tym administratorów systemów na ich własnych komputerach osobistych) jest korzystanie ze standardowych kont użytkowników bez uprawnień administratora. Jeśli punkt końcowy przedsiębiorstwa zostanie zaatakowany, zalogowane konto nie będzie miało uprawnień, których atakujący potrzebuje do uruchomienia kolejnej fazy ataku. W takich przypadkach należy uzyskać eskalację uprawnień, stosując techniki takie jak manipulacja tokenem dostępu użytkownika, eksploatacja, podszywanie się pod aplikację, podczepianie lub osłabianie uprawnień. Gdy przeciwnik uzyska przyczółek w środowisku, spróbuje eskalować uprawnienia. Aby zaliczyć aktywną odpowiedź, przyjrzeliśmy się różnym fazom w każdej metodzie, aby sprawdzić, czy produkt podjął działanie zapobiegawcze.

Uchylanie się od obrony: Celem atakującego jest realizacja jego celów bez wykrycia lub zablokowania. Uchylanie się od obrony polega na stosowaniu środków mających na celu zapewnienie, że atak pozostanie niezauważony. Może to obejmować manipulowanie oprogramowaniem zabezpieczającym, zaciemnianie procesów i nadużywanie np. narzędzi systemowych w celu ukrycia ataku.

Dostęp do poświadczeń: Jest to metoda używana przez atakującego, aby upewnić się, że jego dalsze działania są wykonywane przy użyciu legalnego konta użytkownika sieci. Oznacza to, że może uzyskać dostęp do zasobów, których chce, i nie zostanie oznaczony jako intruz przez zabezpieczenia systemu. Można użyć różnych metod dostępu do poświadczeń, w zależności od charakteru docelowej sieci. Poświadczenia można uzyskać na miejscu, przy użyciu metody takiej jak przechwytywanie danych wejściowych (np. keyloggery). Alternatywnie można to zrobić przy użyciu metody offline, w której atakujący kopiuje całą bazę danych haseł poza witrynę, a następnie może użyć dowolnej metody, aby ją złamać bez obawy przed wykryciem.

Odkrycie: Gdy atakujący uzyska dostęp do sieci docelowej, będzie eksplorował środowisko, mając na celu znalezienie zasobów, które są ostatecznym celem ataku. Zazwyczaj odbywa się to poprzez skanowanie sieci.

Ruch boczny: Atakujący będzie poruszał się bocznie w środowisku, aby uzyskać dostęp do zasobów, które go interesują. Używane techniki obejmują pass the hash, pass the ticket i eksploatację zdalnych usług i protokołów, takich jak RDP.

Metryki fazy 3: naruszenie aktywów

Ostatnia faza przepływu pracy, naruszenie zasobów, to miejsce, w którym atakujący realizują swój ostateczny cel. Poniżej przedstawiamy istotne taktyki z MITRE ATT&CK Framework:

Gromadzenie: Gromadzenie informacji docelowych, często obejmujące kradzież dokumentów, wiadomości e-mail lub baz danych.

Dowodzenie i kontrola: Umożliwianie komunikacji między systemem atakującego i atakowaną siecią, pozwalając na wykonywanie poleceń i wymianę danych, często zakamuflowaną jako zwykły ruch sieciowy.

Eksfiltracja: Ukryte kopiowanie zebranych danych z atakowanej sieci na serwer atakującego, zazwyczaj z wykorzystaniem infrastruktury dowodzenia i kontroli.

Wpływ: Odnosi się do bezpośredniej szkody wyrządzonej sieci organizacji docelowej, która może obejmować manipulację, zakłócenie lub zniszczenie systemów operacyjnych i danych. Może służyć jako cel końcowy (sabotaż) lub środek do zaciemniania kradzieży danych poprzez komplikowanie dochodzeń w sprawie naruszeń.

Bitdefender GravityZone Business Security Enterprise osiągnął następujące wyniki:

Aktywna odpowiedź
Tylko faza 1 – 98%
Faza 1 i 2 – 100%
Całość (faza 1, 2 i 3) – 100%

Bierna odpowiedź
Tylko faza 1 – 98%
Faza 1 i 2 – 100%
Całość (faza 1, 2 i 3) – 100%
Scenariusze – 50
Całkowita aktywna prewencja – 50
Całkowita odpowiedź pasywna – 50
Brak zapobiegania/reakcji – 0

Szczegółowe wyniki, które osiągnął Bitdefender, możesz znaleźć Tutaj.

Jeśli chcesz poznać więcej możliwości, które zapewni Ci Bitdefender GravityZone Business Security Enterprise, to sprawdź tę stronę.