{"id":25724,"date":"2021-10-06T15:00:22","date_gmt":"2021-10-06T13:00:22","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=25724"},"modified":"2024-11-08T16:19:06","modified_gmt":"2024-11-08T14:19:06","slug":"ransomware-protection-test-2021","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/ransomware-protection-test-2021\/25724\/","title":{"rendered":"Quanto sono efficaci le soluzioni di sicurezza contro i ransomware?"},"content":{"rendered":"

Quasi tutti gli sviluppatori di soluzioni per la sicurezza delle informazioni affermano che i loro prodotti combattono gli attacchi ransomware, il che \u00e8 vero. Tutti forniscono un certo grado di protezione contro i ransomware. Ma quanto \u00e8 forte questa protezione? Quanto sono efficaci queste tecnologie?<\/p>\n

Queste non sono domande insignificanti: una protezione parziale contro il ransomware \u00e8 un risultato discutibile. Se una soluzione non pu\u00f2 fermare una minaccia sul nascere, allora dov’\u00e8 la garanzia che sia stata in grado di tenere al sicuro i file critici?<\/p>\n

Tenendo questo in mente, la societ\u00e0 indipendente AV-Test ha messo alla prova 11 prodotti per piattaforme di protezione degli endpoint in 113 attacchi diversi per determinare in che misura proteggono effettivamente gli utenti. AV-Test ha selezionato Kaspersky Endpoint Security Cloud per i test, e il nostro prodotto si \u00e8 comportato in modo impeccabile. I casi erano tre:<\/p>\n

Protezione dei file dell’utente contro i ransomware prevalenti<\/h2>\n

Il primo test prevedeva il pi\u00f9 tipico attacco ransomware, quello in cui la vittima esegue il malware sul proprio computer, e il malware cerca di arrivare ai file locali. L’esito positivo significa che la minaccia \u00e8 stata neutralizzata (cio\u00e8, tutti i file del malware eliminati, l’esecuzione dei processi fermati, tutti i tentativi di prendere piede nel sistema contrastati), con ogni singolo file utente non cifrato e accessibile. AV-Test ha eseguito un totale di 85 test in questo scenario con le seguenti 20 famiglie di ransomware: conti, darkside, fonix, limbozar, lockbit, makop, maze, medusa (ako), mountlocker, nefilim, netwalker (aka mailto), phobos, PYSA (aka mespinoza), Ragnar Locker, ransomexx (aka defray777), revil (ossia Sodinokibi o Sodin), ryuk, snatch, stop e wastedlocker.<\/p>\n

In questo caso, quasi tutte le soluzioni di sicurezza hanno svolto un lavoro eccellente, il che non ci sorprende; sono state utilizzate famiglie di malware ben note. I casi successivi sono stati pi\u00f9 difficili.<\/p>\n

Protezione contro la cifratura remota<\/h2>\n

Nel test successivo, il dispositivo protetto conteneva file che erano accessibili sulla rete locale, e l’attacco proveniva da un altro computer sulla stessa rete (l’altro computer non aveva soluzioni di sicurezza, lasciando ai criminali informatici la libert\u00e0 di eseguire il malware, cifrare i file locali, e poi cercare informazioni accessibili sugli host vicini). Le famiglie di malware erano: avaddon, conti, fonix, limbozar, lockbit, makop, maze, medusa (ako), nefilim, phobos, Ragnar Locker, Ransomexx (ossia defray777), revil (ossia Sodinokibi o Sodin), e ryuk.<\/p>\n

La soluzione di sicurezza, vedendo un processo di sistema che manipolava i file locali, ma incapace di individuare il lancio del malware, non poteva controllare la reputazione del processo dannoso o il file che lo aveva avviato, o semplicemente scansionare il file. Degli 11 tester solo tre hanno offerto un qualche tipo di protezione contro questo tipo di attacco, e solo Kaspersky Endpoint Security Cloud lo ha gestito perfettamente. Inoltre, anche se il prodotto di Sophos \u00e8 stato attivato nel 93% dei casi, ha protetto completamente i file dell’utente solo nel 7%.<\/p>\n

Protezione contro il ransomware proof-of-concept<\/h2>\n

Il terzo test mostra come i prodotti affrontano il malware che non hanno incontrato prima e che non possono, anche ipoteticamente, essere presenti nei database del malware. Dato che la sicurezza pu\u00f2 identificare una minaccia ancora sconosciuta solo per mezzo di tecnologie proattive che reagiscono al comportamento del malware, i ricercatori hanno creato 14 nuovi campioni di ransomware che impiegano metodi e tecnologie che i criminali informatici usano raramente, cos\u00ec come alcune tecniche di cifratura originali mai viste prima. Come nel primo scenario, hanno definito il successo come il rilevamento e il blocco della minaccia, compreso il mantenimento dell’integrit\u00e0 di tutti i file sul dispositivo della vittima e la rimozione completa di tutte le tracce della minaccia dal computer.<\/p>\n

I risultati variano, con alcuni (ESET e Webroot) che non rilevano affatto il malware personalizzato e altri che hanno prestazioni migliori (WatchGuard 86%, TrendMicro 64%, McAfee e Microsoft 50%). L’unica soluzione che ha dimostrato il 100% di rendimento \u00e8 stata Kaspersky Endpoint Security Cloud.<\/p>\n

Risultati dei test<\/h2>\n

Per riassumere, Kaspersky Endpoint Security Cloud ha superato i suoi concorrenti in tutti i casi riguardanti gli AV-Test, proteggendo gli utenti dalle minacce sia conosciute in the wild che create di recente.<\/p>\n

\"Risultati<\/p>\n

Per inciso, il secondo scenario ha rivelato un altro fatto inaspettato: la maggior parte dei prodotti che non sono riusciti a proteggere i file degli utenti hanno comunque rimosso i file delle note di riscatto. Anche volendo tralasciare il problema, questa non \u00e8 una buona pratica; tali file possono contenere informazioni tecniche che potrebbero aiutare gli investigatori di incidenti a recuperare i dati.<\/p>\n

\u00c8 possibile scaricare il report completo, con una descrizione dettagliata del malware di prova (sia conosciuto che creato dai tester), dopo aver compilato questo modulo.<\/p>\n