La meilleure façon de prouver l’efficacité d’une solution de sécurité est de la tester dans des conditions réelles, et d’utiliser les tactiques et les techniques d’attaques ciblées habituelles. Kaspersky participe régulièrement à ces tests et est confortablement installé à la tête de ce classement.
Les résultats du test Enterprise Advanced Security (EDR) : Enterprise 2022 Q2 – DETECTION ont été révélés dans le rapport de juillet de SE Labs. Depuis plusieurs années, les solutions de sécurité des principaux acteurs sont mises à rude épreuve par cette entreprise britannique. Lors de ce dernier test, notre solution Kaspersky Endpoint Detection and Response Expert destinée aux entreprises a obtenu le score parfait de 100 % de détection des attaques ciblées, ce qui lui a valu la note maximale AAA.
Ce n’est pas la première fois que SE Labs analyse les capacités de nos produits conçus pour les entreprises face aux menaces sophistiquées. L’entreprise a auparavant effectué le Branch Response Test, auquel nous avons participé en 2019. Puis, notre produit a subi le Advanced Security Test (EDR) en 2021. Depuis, cette méthodologie de test a été ajustée et le test a été divisé en deux parties : détection et protection. Cette fois, SE Labs a étudié l’efficacité de solutions de sécurité lorsqu’il s’agit de détecter une activité malveillante. En plus de Kaspersky EDR Expert, quatre autres produits ont participé au test : Broadcom Symantec, CrowdStrike, BlackBerry et une autre solution anonyme.
Le système de notation
Le test comprend plusieurs vérifications, mais il suffit de regarder la note obtenue pour Total Accuracy Ratings pour comprendre les résultats. Cette catégorie montre à quel point chaque solution a détecté les attaques aux différents stades, et si elle aurait communiqué un faux positif à l’utilisateur. Afin d’avoir une meilleure clarté visuelle, les solutions qui ont participé ont reçu une note allant de AAA (pour les produits ayant un score Total Accuracy Ratings élevé) à D (pour les solutions moins efficaces). Comme nous l’avons mentionné, notre solution a obtenu un taux de précision total de 100 % et une note AAA.
La catégorie Total Accuracy Ratings se divise en deux parties :
- La précision de détection (Detection Accuracy) qui prend en compte la détection de chaque attaque à tous les stades.
- La détection légitime (Legitimate Software Rating) dont la note dépend des faux positifs. Moins il y a de faux positifs, plus la note est élevée.
Un autre indicateur est déterminant : les attaques détectées (Attacks Detected). Il s’agit du pourcentage d’attaques détectées par la solution à au moins un des stades pour que l’équipe de sécurité de l’information ait la possibilité de répondre à l’incident.
Comment nous avons été testés
Dans l’idéal, le test devrait révéler comment la solution agirait lors d’une attaque réelle. C’est dans cette optique que SE Labs a essayé de créer un environnement de test aussi réel que possible. Tout d’abord, les développeurs n’ont pas configuré les solutions de sécurité pour le test. Ce sont les testeurs de SE Labs qui ont effectué cette tâche en suivant les instructions du fournisseur ; exactement comme le font généralement les équipes de sécurité de l’information du client. Ensuite, les tests ont été effectués en chaîne, du premier contact au vol des données ou à toute autre conséquence. Enfin, les tests reposaient sur les méthodes d’attaque de quatre grands groupes APT réels et actifs :
- Wizard Spider, qui vise les entreprises, les banques et même les hôpitaux. Le cheval de Troie bancaire Trickbot est un de ses outils.
- Sandworm, qui s’en prend principalement aux services publics. Ce groupe est tristement célèbre pour son programme malveillant NotPetya, qui se faisait passer pour un ransomware mais détruisait les données de la victime après la récupération.
- Lazarus, qui s’est fait connaître après l’attaque à grande échelle de Sony Pictures en novembre 2014. Alors qu’il se concentrait sur le secteur bancaire, le groupe a récemment jeté son dévolu sur les échanges de cryptomonnaie.
- Operation Wocao, qui cible les services publics, les fournisseurs de services, les entreprises énergétiques et technologiques, et le secteur de la santé.
Les tests de détection des menaces
Lors du test Detection Accuracy, SE Labs étudie dans quelle mesure les solutions de sécurité détectent efficacement les menaces. Pour ce faire, 17 attaques complexes basées sur quatre cas réels des groupes Wizard Spider, Sandworm, Lazarus Group et Operation Wocao sont lancées. Quatre stades importants ont été soulignés, et chacun d’entre eux comprend une ou plusieurs étapes interconnectées :
- Livraison et exécution
- Action
- Élévation des privilèges et action
- Mouvement latéral et action
La logique du test n’attend pas que la solution détecte tous les événements à un stade spécifique de l’attaque. Il suffit d’en identifier au moins un. Par exemple, si le produit ne détecte pas comment la charge utile est installée sur le dispositif mais détecte une tentative d’exécution, il a réussi le premier stade.
Livraison et exécution. Ce stade permet de tester la capacité de la solution à détecter une attaque en phase préliminaire, c’est-à-dire lors de la livraison (e-mail d’hameçonnage ou lien malveillant) et lors de l’exécution d’un code dangereux. Dans des conditions réelles, l’attaque est généralement interrompue à ce moment-là puisque la solution de sécurité n’autorise pas le programme malveillant à aller plus loin. Aux fins de ce test, la chaîne d’attaque continue afin d’observer comment la solution agirait dans les prochains stades.
Action. Ici, les chercheurs étudient le comportement de la solution lorsque les cybercriminels ont accès au terminal. Le produit doit détecter une action illégitime du logiciel.
Élévation des privilèges et action. Lorsqu’une attaque réussie, l’intrus essaie d’obtenir plus de privilèges dans le système et de causer plus de dégâts. Si la solution de sécurité surveille ces événements ou le processus d’élévation des privilèges, elle reçoit des points supplémentaires.
Mouvement latéral et action. Une fois qu’ils ont accès au terminal, les cybercriminels essaient d’infecter les autres dispositifs connectés au réseau de l’entreprise. C’est ce qu’on appelle le mouvement latéral. Les testeurs vérifient si la solution de sécurité détecte les tentatives de mouvement de ce type ou n’importe quelle action qui résulte de ce comportement.
Le produit Kaspersky EDR Expert a obtenu un score de 100 % dans cette catégorie. Cela signifie qu’il a détecté l’attaque à tous les stades.
La détection légitime
Une bonne protection doit être capable de repousser efficacement les menaces et ne doit pas empêcher l’utilisateur d’utiliser des services sûrs. Pour ce faire, les chercheurs attribuent une autre note : plus elle est élevée, moins la solution identifie par erreur des sites ou des programmes légitimes, surtout ceux qui sont connus, comme dangereux.
Là encore, Kaspersky EDR Expert a obtenu un score de 100 %.
Les résultats du test
À partir des résultats de ce test, Kaspersky Endpoint Detection and Response Expert a obtenu la note la plus élevée : AAA. Trois autres produits ont eu le même résultat : Symantec Endpoint Security et Cloud Workload Protection de Broadcom, CrowdStrike Falcon et une solution anonyme. Pourtant, nous sommes les seuls avec Broadcom Symantec à avoir obtenu un score de 100 % dans la catégorie Total Accuracy Ratings.