Niezbędny przewodnik po niezależnych testach cyberbezpieczeństwa
Piotr R
22 marca 2024
Wiele firm ma trudności ze znalezieniem odpowiednich rozwiązań i usług w zakresie cyberbezpieczeństwa odpowiadających ich potrzebom. Niezależne testy cyberbezpieczeństwa, które przyczyniły się do zapewnienia przejrzystości sytuacji, stały się kamieniem węgielnym świadomego podejmowania decyzji. Kompleksowa analiza ma na celu rozwikłanie warstw złożoności, które ostatecznie prowadzą do znalezienia odpowiedniego dostawcy, ale jakie czynniki powinny wziąć pod uwagę organizacje, oceniając wyniki?
Znaczenie niezależnych testów cyberbezpieczeństwa
Niezależne oceny często kontrastują z wprowadzającymi w błąd klientów sponsorowanymi testami. W przeciwieństwie do recenzji zleconych przez dostawcę, gdzie wyniki mogą być wypaczone na korzyść podmiotu finansującego, niezależne testy cyberbezpieczeństwa oferują bezstronną ocenę skuteczności produktu. Ta bezstronność jest kluczowa; zapewnia, że organizacje opierają się na zweryfikowanych danych, a nie na przekonujących narracjach marketingowych. Udział dostawcy w tych niezależnych testach jest również ważny, ponieważ odzwierciedla chęć dostawcy do zachowania całkowitej przejrzystości w zakresie swoich rozwiązań lub usług. Preferując rozwiązania sprawdzone w rygorystycznych, bezstronnych testach, firmy mogą podejmować decyzje w oparciu o zasługi i skuteczność, zapewniając, że ich zabezpieczenia antywirusowe są tak solidne, jak to tylko możliwe.
Rola AMTSO i jej wpływ na cyberbezpieczeństwo
W 2008 roku grupa naukowców, recenzentów, testerów i dostawców z branży cyberbezpieczeństwa założyła organizację Anti-Malware Testing Standards Organisation (AMTSO), której celem jest poprawa obiektywności, jakości i przydatności metodologii testowania złośliwego oprogramowania oraz zapewnienie wytycznych za dokładne, a także uczciwe oceny rozwiązań chroniących przed złośliwym oprogramowaniem. AMTSO znacząco wpływa na ekosystem oceny cyberbezpieczeństwa. Wytyczne AMTSO pomagają w tworzeniu realistycznych środowisk testowych naśladujących rzeczywiste scenariusze ataków, zapewniając w ten sposób wgląd w to, jak rozwiązania bezpieczeństwa działają w rzeczywistych warunkach. Wkład ten jest nieoceniony, ponieważ podnosi jakość i niezawodność niezależnych testów, oferując organizacjom zaufany punkt odniesienia, względem którego można mierzyć rozwiązania w zakresie cyberbezpieczeństwa. Niezależne firmy testujące certyfikowane przez AMTSO uważane są za bardziej wiarygodne źródła bezstronnych ocen, a wśród nich znajdują się:
- AV TEST®
- AV-Comparatives®
- MITRE®
- MRG Effitas™
- Virus Bulletin®
Aby uzyskać certyfikat AMTSO, laboratoria testowe przechodzą rygorystyczny proces oceny, by upewnić się, że spełniają wysokie standardy ustanowione przez organizację. Certyfikacja oznacza, że ewaluator wykazał zaangażowanie w przestrzeganie tych zasad, co powinno dać pewność każdej organizacji, która rozważa wyniki jednego z tych niezależnych ewaluatorów.
Oceniając wyniki niezależnych testów, organizacje muszą mieć na uwadze kilka czynników, aby w rezultacie podjąć właściwą decyzję dla swojej firmy.
Dopasowanie wyników testów cyberbezpieczeństwa do potrzeb organizacji
Wybór dostawcy rozwiązań w zakresie cyberbezpieczeństwa to złożona decyzja, na którą wpływa kilka czynników, przy czym najważniejszym priorytetem są specyficzne potrzeby Twojej organizacji. Zacznij od usprawnienia listy dostawców w oparciu o Twoje unikalne wymagania. Może to obejmować konkretne systemy operacyjne wymagające ochrony lub to, czy Twoja sieć ma segmenty typu air-gap, czy offline.
Przed oceną wyników testów decydenci w organizacji muszą wziąć pod uwagę kilka kluczowych obszarów, niezależnie od wielkości swoich podmiotów:
Infrastruktura organizacyjna: oceniając rozwiązanie, zastanów się, czy obejmuje ono wszystkie punkty końcowe – stacje robocze, serwery, obciążenia w chmurze, urządzenia IOT, starsze systemy, typy systemów operacyjnych, pracowników zdalnych itp. Zrób inwentaryzację struktury swojej sieci i określ, na czym będzie polegać wdrożenie rozwiązania w całej organizacji. Jeśli Twoja firma wymaga zarządzania środowiskami z sieciami zamkniętymi lub pozbawionymi powietrza, konieczne jest dalsze rozważenie.
Wymogi dotyczące zgodności i ochrony danych: przestrzeganie wymogów regulacyjnych ma kluczowe znaczenie. Rozważ rozwiązania zapewniające zgodność z przepisami dotyczącymi ochrony danych we wszystkich jurysdykcjach, w których działa Twoja firma, takie jak RODO, HIPAA itp., oraz to, czy dostawca spełnia te wymagania regulacyjne.
Skalowalność rozwiązań i usług: rozwiązanie i usługi oferowane przez dostawcę muszą umożliwiać skalowanie w celu objęcia wszystkich urządzeń w organizacji.
Łatwość obsługi i zarządzania: należy wziąć pod uwagę ilość szkoleń, jakie będą potrzebne pracownikom, aby zapoznać się z dostawcą. Rozwiązanie, które jest zbyt złożone i uciążliwe w użyciu, może prowadzić do wydłużenia czasu reakcji w przypadku wystąpienia incydentu bezpieczeństwa. Scentralizowane funkcje zarządzania i automatyzacji mogą pomóc w usprawnieniu operacji związanych z bezpieczeństwem i uzyskaniu lepszych wyników.
Spójność dostawców: traktuj priorytetowo dostawców z udokumentowaną historią. Ocena konkretnego wyniku testu może dać obraz tego, jak dostawca działał w danym okresie, ale należy zachować należytą staranność podczas sprawdzania, jak ten dostawca działał w przeszłości. Stała dobra wydajność jest dobrym wskaźnikiem tego, że dostawca będzie w dalszym ciągu skutecznie zarządzać obecnymi i przyszłymi zagrożeniami.
Te podstawowe rozważania mogą pomóc w stworzeniu podstaw do podjęcia świadomej decyzji. Aby uzyskać rzeczywiste wyniki testów, należy wziąć pod uwagę inne krytyczne pojemności.
Zrozumienie tego, co jest oceniane podczas testów cyberbezpieczeństwa
Przed dokonaniem oceny jakichkolwiek wyników niezależnych testów należy zdawać sobie sprawę, że istnieją różnice pomiędzy oceniającymi instytucjami. Niektórzy oceniający skupiają się wyłącznie na określonych rynkach lub określonych typach zagrożeń. Niektóre testy są bardziej dostosowane do potrzeb większych klientów korporacyjnych, a inne są bardziej dostosowane do małych i średnich organizacji. Wiele z nich korzysta z systemu rankingowego i przyznaje nagrody najlepszym producentom, ale niektórzy tego nie robią. Niektórzy publikują swoje wyniki w taki sposób, aby mogły być łatwo dostępne dla mas, zawierające wykresy, wykresy i liczby, które większość informatyków może z łatwością zinterpretować, podczas gdy inne publikują informacje dostosowane do potrzeb doświadczonych analityków bezpieczeństwa.
Dobrym tego przykładem są oceny MITRE ATT&CK®, które skupiają się głównie na wykrywaniu zaawansowanych trwałych zagrożeń (ATP), powszechnie używanych przez znane podmioty zagrażające. MITRE przywiązuje wagę do tego, ile szczegółów wykrywania może dostarczyć dostawca. Dla ekspertów do spraw cyberbezpieczeństwa MITRE ważne jest nie tylko wykrycie zagrożenia, ale także raportowanie, w jaki sposób doszło do tego wykrycia. Tego typu specyfika może być przydatna dla organizacji, które mają własne centrum operacji bezpieczeństwa i chcą sprawdzić jak najwięcej szczegółów na temat działania określonego cyberprzestępcy. Jednak w swojej ocenie MITER nie zwraca uwagi na skłonność produktu do generowania fałszywych alarmów ani na wpływ rozwiązania na wydajność systemów. MITRE® nie korzysta również z systemu rankingowego, a wyniki są publikowane w skomplikowanych tabelach, których zrozumienie wymaga pewnego poziomu wiedzy na temat bezpieczeństwa. Z kolei czynniki takie jak fałszywe alarmy i wpływ na wydajność systemu są mocno uwzględniane w testach takich jak AV-Comparatives i AV-Test. Sprawdzenie możliwości dostawcy w zakresie ochrony przed zaawansowanymi zagrożeniami ma kluczowe znaczenie, ale nie należy pomijać wpływu, jaki będzie to miało na codzienne użytkowanie, ponieważ może to mieć wpływ na produktywność i efektywność reagowania na zagrożenia. Każda organizacja powinna wziąć pod uwagę najważniejsze dla niej czynniki oceny i rozważyć te czynniki przed podjęciem ostatecznej decyzji w sprawie dostawcy.
Jak wybrać odpowiednie zabezpieczenie na podstawie testów cyberbezpieczeństwa?
Biorąc pod uwagę wyrafinowanie i ogromną liczbę współczesnych cyberataków, dokonanie właściwego wyboru przy wyborze dostawcy zabezpieczeń jest ważniejsze niż kiedykolwiek wcześniej. Wszyscy dostawcy oferują pewien stopień ochrony przed współczesnymi zagrożeniami, ale drobne różnice mogą mieć ogromne znaczenie podczas prawdziwego incydentu związanego z bezpieczeństwem. Różne podejścia mogą wpływać na wpływ, zakres, czas rozwiązania (TTR) i zdolność zaradczą zagrożenia. Przyjrzyjmy się kilku ważnym punktom, które należy wziąć pod uwagę:
Wykrywanie zaawansowanych typów ataków
Żadne rozwiązanie przygotowane, aby stawić czoła złożoności i zakresowi współczesnych cyberataków, nie może polegać na starszej technologii w zakresie wykrywania zagrożeń. Rozwiązania polegające wyłącznie na wykrywaniu na podstawie sygnatur są przestarzałe i nieskuteczne. Każde oceniane rozwiązanie bezpieczeństwa musi obejmować heurystyczne wykrywanie zagrożeń przy użyciu sztucznej inteligencji i uczenia maszynowego, czego Bitdefender był pionierem w 2008 roku. Nowoczesne rozwiązanie antywirusowe powinno być w stanie monitorować aktywność sieciową i chronić przed zaawansowanymi technikami ruchu bocznego, atakami bezplikowymi, które unikają dostępu do dysku, naruszeniami bezpieczeństwa oraz innymi nowatorskimi taktykami i technikami.
Obejmuje cały łańcuch zabójstw
Umiejętność rozwiązania cyberbezpieczeństwa w udaremnianiu zagrożeń w całym łańcuchu zabójstw, od wstępnego rozpoznania po eksfiltrację danych, ma kluczowe znaczenie. Ta kompleksowa strategia obrony gwarantuje, że nawet jeśli napastnicy ominą początkowe bariery bezpieczeństwa, zastosowane zostaną kolejne warstwy zabezpieczeń, które udaremnią ich postęp. Rozwiązanie, które skutecznie uwzględnia wiele etapów łańcucha zabijania, zapewnia bardziej odporną obronę przed złożonymi, wielowektorowymi atakami. Najlepsza ochrona obejmuje osłonięcie możliwie największej powierzchni ataku, a dla wielu organizacji widoczność ma kluczowe znaczenie. Wszelkie niewykryte działania ugrupowania zagrażającego mogą być kosztowne.
Uniemożliwianie ataków, zanim będą mogły działać
Zatrzymywanie zagrożeń na etapie przed wykonaniem jest znacznie skuteczniejsze niż interwencje w trakcie lub po ich wykonaniu. Przed detonacją złośliwego ładunku środki bezpieczeństwa zapobiegają aktywowaniu go przez złośliwe oprogramowanie, zapobiegając w ten sposób potencjalnym szkodom. Ta proaktywna postawa nie tylko zmniejsza ryzyko kompromisu, ale także minimalizuje potrzebę podejmowania działań zaradczych, które mogą wymagać dużych zasobów i być kosztowne. Zasadniczo zapobieganie zagrożeniom przed ich wykonaniem przypomina zatrzymanie intruza przy drzwiach, co jest znacznie lepszym scenariuszem niż radzenie sobie z konsekwencjami, gdy znajdą się w środku. Testy zaawansowanej ochrony przed zagrożeniami firmy AV-Comparative doskonale mierzą skuteczność rozwiązania ocenianego dostawcy w tej kategorii. Podkreślając znaczenie powstrzymywania zagrożeń, zanim będą mogły wykonać jakiekolwiek działanie, pracownik AV-Comparatives komentuje: „Dobry alarm antywłamaniowy powinien włączyć się natychmiast po włamaniu się do domu. Nie należy czekać, aż złodzieje zaczną kraść”.
Ocena wpływu na wydajność i względy materialne
Wpływ rozwiązania cyberbezpieczeństwa na wydajność wykracza poza samą produktywność. Ponieważ może również bezpośrednio wpływać na koszty operacyjne, zwłaszcza w środowiskach opartych na chmurze, gdzie zasoby obliczeniowe równają się wydatkom finansowym. Rozwiązanie zabezpieczające wymagające nadmiernej mocy obliczeniowej może przypadkowo zwiększyć koszty obciążenia chmurą i negatywnie wpłynąć na produktywność. Organizacje muszą zrównoważyć potrzebę solidnego bezpieczeństwa z koniecznością zarządzania wydajnością operacyjną i kosztami.
Niezależne testy cyberbezpieczeństwa – podsumowanie
Podsumowując, ścieżka wyboru rozwiązania w zakresie cyberbezpieczeństwa jest złożona i wymaga starannego wyważenia spostrzeżeń z niezależnych testów, potrzeb organizacyjnych i rozważań strategicznych. Nadając priorytet bezstronnym ocenom, dostosowując wybory do konkretnych kontekstów organizacyjnych i koncentrując się na kompleksowym, skutecznym łagodzeniu zagrożeń, firmy mogą wzmocnić swoją obronę przed stale zmieniającym się krajobrazem zagrożeń.
Jeśli chcesz poznać rozwiązanie antywirusowe, które od wielu lat osiąga świetne wyniki w testach przeprowadzanych przez AV TEST i AV-Comparatives, to sprawdź stronę produktu Bitdefender GravityZone Business Security.
Autor
Piotr R
Obecnie
Najnowsze wpisy
Bitdefender liderem w nowych niezależnych testach AV-Comparatives i AV-TEST
11 października 2024
Naruszenie RansomHub naraża ponad milion użytkowników Patelco
10 października 2024
Hakerzy z LockBit zdemaskowani w globalnej akcji organów ścigania
10 października 2024
Artykuły które mogą Ci się spodobać
Bitdefender liderem w nowych niezależnych testach AV-Comparatives i AV-TEST
Piotr R
11 października 2024