Не всі тести програмного забезпечення однакові. Це особливо вірно, коли йдеться про програмне забезпечення для кібербезпеки.
Тест, спрямований на заохочення постачальників за кожне згенероване попередження незалежно від ймовірності того, що воно є реальним вторгненням, визначає переможців на підставі кількості, а не ефективності. Він не перевіряє реальної безпеки підприємства. Але це може пояснити, чому сьогодні деякі співробітники та аналітики операційних центрів безпеки (SOC) перевантажені тисячами попереджень про загрози на день. Продукти, створені для успішного проходження подібних тестів, не забезпечують того, що дійсно важливо: ефективного та дієвого запобігання реальним загрозам для корпоративного середовища.
Коли все є загрозою
Теоретично може бути гарною ідеєю, що провідні рішення для виявлення та реагування на кінцевих точках (EDR) мають тенденцію фіксувати все — як реальні загрози, так і помилкові. Але на практиці це проблема, яка стала основною причиною багатьох успішних кібератак та витоків даних.
Дослідження показують, що коли аналітики не можуть відповісти на кожне попередження, вони схильні приглушувати шум, відбираючи та вибираючи, або, що ще гірше, відключатися та сподіватися на краще. Насправді, на сторінці 4 недавнього галузевого звіту International Data Corporation (IDC) дійшла висновку, що майже третина корпоративних SOC ігнорує понад 30 відсотків усіх оповіщень.
Проблема ще більше посилюється величезною кількістю джерел та каналів даних у типовому ІТ-середовищі підприємства. Дійсно, дослідження IBM показало, що, незважаючи на постійні інвестиції у збільшення кількості інструментів безпеки – понад 50 на типовому підприємстві – для моніторингу цих джерел даних та виявлення кібератак, чистим результатом стало те, що підприємства стали більш вразливими для атак, ніж будь-коли .
За такої кількості джерел даних і надто великої кількості інструментів для моніторингу цих джерел не дивно, що аналітики безпеки вважають, що ситуація складається не на їх користь. Втома від попереджень стає ендемічним явищем у галузі, оскільки аналітики виявляють, що їхнє головне завдання більше не полягає в усуненні реальних загроз, а часто у спробі визначити, чи є попередження реальною загрозою або просто черговим помилковим спрацьовуванням (FP).
Робити все правильно: Тестування в реальних умовах
Тестування в реальних умовах — це правильний спосіб оцінки рішення безпеки EDR. У ході цих тестів продукти поміщаються в середовище, яке показує, як вони працюють проти атак реальних суб’єктів загрози, чиї дії поєднуються з легітимним трафіком. При цьому не враховуються попередження, а визначається, чи SOC може виявити загрозу в цих серіях попереджень. Один із тестів, який, на думку компанії, є правильним, був проведений SE Labs.
SE Labs – приватна, незалежна компанія, розташована у Великій Британії, яка спеціалізується на передових випробуваннях у галузі кібербезпеки. Новий порівняльний тест EDR, проведений SE Labs, відтворює реальні методи, які використовуються різними активними групами кібератак. Цей тест SE Labs, Enterprise Advanced Security Test, заохочував учасників на основі точності виявлення загроз, у той час як за неправдиві спрацьовування накладалися штрафні санкції. Практично всі інші великі тести EDR не карають за помилкові спрацьовування, заохочуючи поведінку продукту, який добре виглядає на папері, але в реальному світі, як було показано, заважає SOC ефективно виконувати свою роботу.
Тест SE Labs імітував типове корпоративне середовище, в якому одночасно із шкідливою діяльністю відбувається какофонія хорошої та нормальної активності. Тести також більш точно відтворюють поточний ландшафт загроз, імітуючи кілька різних груп атак одночасно, а не одну чи дві окремо, як це відбувається у більшості тестів. Більше того, при використанні технік, що застосовуються різними відомими групами атак, зловмисники, які брали участь у тестуванні, також відходили від сценарію та вільно використовували варіації цих технік. Це різко відрізняється від більшості галузевих тестів.
Сукупний результат цих тестових сценаріїв створює набагато більш точну картину поведінки рішень EDR у реальному корпоративному середовищі.
Можливості EDR Symantec Endpoint Security Complete (SES Complete) отримали відмінну оцінку в першому порівняльному тесті EDR, проведеному SE Labs.
Нарешті, варто зазначити, що тест SE Labs наголошує на ще одному важливому аспекті безпеки підприємства, оцінюючи свої висновки на основі серйозності чи важливості загрози для самого підприємства. Як відомо фахівцям із безпеки, всі загрози не рівні. У порівняльному тесті SE Labs EDR це міркування було взяте за основу в умовах оцінки.
Функція EDR в Symantec Endpoint Security Complete (SES Complete) отримала відмінну оцінку у першому порівняльному тесті EDR від SE Labs. Symantec лідирували в цій галузі, набравши 100% балів за показником Total Accuracy, що означає, що Symantec вдалося досягти 100% виявлення при зниженні рівня шуму при оповіщенні. У той час, як більшість інших виробників намагалися знайти компроміс між виявленням і великою кількістю шуму.
Звісно, це не було несподіванкою. Рішення Symantec вже давно визнані золотим стандартом у галузі захисту кінцевих точок та EDR. Вони постійно показують високі результати у всіх галузевих тестах.
Рішення EDR має балансувати між виявленням та шумом. Тестування, яке не відображає реальний світ, заохочує шум. Тестування в реальному світі може показати вам, які продукти можуть досягти балансу, відмінного виявлення та великого збору даних, не перевантажуючи SOC попередження. Отже, розглянемо рішення EDR, визнане найкращим за результатами тестування, яке є найповнішим і найточнішим у галузі: Symantec Endpoint Security Complete.
З питань проведення індивідуальної демонстрації, пілотного тестування рішення Symantec і організації партнерських тренінгів звертайтеся, будь ласка: [email protected], +38 093 801 04 41.
Джерело: https://bit.ly/3Zaz1Vf