3 Ago 2017

Grandi risultati nella lotta alle APT

Business

Lo abbiamo detto in varie occasioni, i test indipendenti non solo rappresentano un indicatore importante dell’efficacia dei nostri prodotti, ma sono anche uno strumento molto utile per migliorare le nostre tecnologie. Non pubblichiamo spesso articoli circa i successi ottenuti durante i test, nonostante non siano pochi. Tuttavia, la certificazione Advanced Threat Defense assegnataci da ICSA Labs è degna di nota.

La nostra piattaforma Kaspersky Anti-Targeted Attack ha partecipato ai test per 3 trimestri consecutivi e nell’ultimo abbiamo ottenuti risultati davvero eccellenti: minacce individuate al 100% e 0 falsi positivi. Perché tale risultato è così importante per le nostre aziende clienti e cosa c’è dietro a questi dati notevoli?

La certificazione

Secondo ICSA Labs, lo scopo di questa certificazione è quello di determinare l’efficacia delle varie soluzioni di sicurezza nella lotta contro le più recenti minacce informatiche. Con l’espressione “più recenti”, ICSA Labs fa riferimento alle minacce non ancora individuate dalla maggior parte delle soluzioni tradizionali. ICSA Labs si affida al report Verizon Data Breach Investigation per creare uno scenario tipo per i test; il kit per i test è composto innanzitutto dalle minacce più diffuse e poi vi è una tornata diversa ogni trimestre in base ai cambiamenti nel panorama delle minacce.

In questo modo ICSA Labs può analizzare dinamicamente le prestazioni di ogni prodotto. Un buon risultato in un test non è un indicatore tassativo di qualità; tuttavia, se un prodotto ottiene grandi risultati nonostante il panorama delle minacce sia in continuo cambiamento, allora sì che si può parlare di efficacia.

Inoltre, il report Verizon comprende alcuni dati sugli incidenti informatici subìti dalle grandi aziende. Non si tratta, quindi, solamente dei vettori di attacco più diffusi, ma di minacce impiegate dai cybercriminali per colpire colossi del business.

Gli utimi risultati

Lo studio più recente è stato condotto durante l’ultimo trimestre di quest’anno e i risultati sono stati pubblicati lo scorso luglio. Per ogni partecipante al test, ICSA Labs ha creato un’infrastruttura specifica, protetta da una soluzione specializzata. All’interno di tale infrastruttura, sono stati simulati attacchi differenti per 37 giorni; in totale sono stati effettuati oltre 1.100 test con quasi 600 campioni di malware. Tutti sono stati individuati con successo e nessun falso positivo per la piattaforma Kaspersky Anti-Targeted Attack: gli esperti di ICSA Labs hanno lanciato oltre 500 campioni innocui ma all’apparenza dannosi, e nessuno di questi è stato identificato come pericoloso dalla nostra soluzione di sicurezza.

ICSA Labs non effettua test comparativi, per questo non è disponibile una tabella riassuntiva dei dati. Abiamo elaborato una nostra tabella, utilizzando i dati disponibili pubblicamente, e potete consultarla qui.

Come ce l’abbiamo fatta?

I nostri prodotti, in particolare la piattaforma Kaspersky Anti-Targeted Attack, per individuare le minacce impiegano un approccio multilivello: meccanismi di analisi statica, regole YARA configurabili, regole SNORT uniche per il motore IDS, meccanismi di verifica dei certificati, verifica della reputazione dei file e dei domini mediante il nostro database di minacce generale (Kaspersky Security Network), strumenti di analisi dinamica avanzata in ambiente isolato (sandbox) e un motore di apprendimento automatico (Targeted Attack Analyzer). La combinazione di tutti questi tool dà come risultato il nostro Kaspersky Anti-Targeted Attack, che riesce a identificare tecnologie dannose conosciute e sconosciute.

Il Targeted Attacks Analyzer è il nostro nucleo di analisi. Basato sull’apprendimento automatico, non solo consente alla piattaforma Kaspersky Anti-Targeted Attack di confrontare le informazioni provenienti dai diversi livelli di analisi, ma anche d’individuare le anomalie di comportamento nella rete e nelle postazioni di lavoro. L’analisi comportamentale individua quelle deviazioni che sono sintomo di un attacco in corso senza l’impiego di un software dannoso (ad esempio, un attacco perpretrato mediante un software legittimo, furto di credenziali di accesso, falle nell’infrastruttura IT).

In ogni caso, individuare le minacce non è sufficiente. Se un prodotto blocca di tutto, bloccherà sì il 100% delle minacce ma non farà funzionare neanche i programmi legittimi. Per questo è importante che non ci siano falsi positivi. Le nostre tecnologie ci aiutano a definire procedure sicure grazie al meccanismo di previsione HuMachine; il giusto equilibro tra l’individuazione delle minacce e un basso tasso di falsi positivi si fonda su tre elementi:

  • Big Data (grande database di informazioni sulle minacce, raccolte per oltre 20 anni e aggiornate in tempo reale con i dati inviati dalle nostre soluzioni installate in tutto il mondo sui terminali client attraverso Kaspersky Security Network);
  • Tecnologie avanzate di apprendimento automatico per l’analisi dei dati;
  • Ricercatori esperti che, se necessario, correggono e guidano il motore di apprendimento automatico.

In definitiva, i risultati espressi nella certificazione di ICSA Labs sono dovuti principalmente, per molti aspetti, all’utilizzo dell’approccio HuMachine.

Qui potrete saperne di più sulla piattaforma Kaspersky Anti-Targeted Attacks.