{"id":27172,"date":"2022-08-24T10:54:10","date_gmt":"2022-08-24T08:54:10","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=27172"},"modified":"2022-08-24T10:54:10","modified_gmt":"2022-08-24T08:54:10","slug":"kedr-selabs-test-2022","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/kedr-selabs-test-2022\/27172\/","title":{"rendered":"EDR Solutions: i risultati di test indipendenti"},"content":{"rendered":"<p>Il modo migliore per dimostrare l\u2019efficacia di una soluzione di sicurezza \u00e8 testarla nelle situazioni pi\u00f9 vicine all\u2019esperienza reale, utilizzando tattiche e tecniche tipiche di attacchi mirati. Kaspersky partecipa regolarmente a tali testi e si trova <a href=\"https:\/\/www.kaspersky.it\/top3\" target=\"_blank\" rel=\"noopener\">al top della classifica<\/a>.<\/p>\n<p><a href=\"https:\/\/selabs.uk\/\" target=\"_blank\" rel=\"noopener nofollow\">SE Labs<\/a> ha pubblicato i risultati di un recente test nel report del mese di luglio\u00a0\u2014 <a href=\"https:\/\/selabs.uk\/reports\/enterprise-advanced-security-edr-2022-q2-detection\/\" target=\"_blank\" rel=\"noopener nofollow\">Enterprise Advanced Security (EDR)<\/a><u>: Enterprise 2022 Q2 \u2013 DETECTION<\/u>. La societ\u00e0 britannica mette alla prova le soluzioni di sicurezza dei principali vendor ormai da molti anni. Nel suo ultimo test, il nostro prodotto per aziende K<em>aspersky Endpoint Detection and Response Expert\u00a0 <\/em>ha ricevuto il punteggio assoluto del 100% per quanto riguarda il rilevamento di attacchi mirati, conseguendo il rating massimo: AAA.<\/p>\n<p>Non si tratta della prima analisi a cui SE Labs sottopone i nostri prodotti per la protezione delle infrastrutture aziendali contro minacce sofisticate: l\u2019azienda aveva infatti gi\u00e0 effettuato un Breach Response Test (a cui abbiamo partecipato nel <a href=\"https:\/\/selabs.uk\/reports\/breach-response-test-kaspersky-anti-targeted-attack-platform\/\" target=\"_blank\" rel=\"noopener nofollow\">2019<\/a>). Nel <a href=\"https:\/\/selabs.uk\/reports\/enterprise-advanced-security-edr-kaspersky-2021-q4\/\" target=\"_blank\" rel=\"noopener nofollow\">2021<\/a>, il nostro prodotto era stato sottoposto al loro Advanced Security Test (EDR). Da allora, la metodologia di test \u00e8 stata ottimizzata e lo stesso test \u00e8 stato suddiviso in due parti: Detection e Protection (Rilevamento e Protezione). Questa volta SE Labs ha verificato l\u2019efficienza delle soluzioni di sicurezza nel <em>rilevare <\/em>attivit\u00e0 pericolose. Oltre a Kaspersky EDR Expert, altri quattro prodotti hanno partecipato al test: Broadcom Symantec, CrowdStrike, BlackBerry e un\u2019altra soluzione di cui non \u00e8 stato rivelato il nome.<\/p>\n<h2>Il sistema di valutazione<\/h2>\n<p>Il test era composto da diverse verifiche; per avere un\u2019idea dei risultati, potete dare un\u2019occhiata alla sezione <strong>Total Accuracy Ratings<\/strong>. I dati mostrano l\u2019efficienza delle soluzioni di sicurezza nel rilevare gli attacchi in fasi diverse e il numero di falsi positivi. Per maggiore chiarezza visiva, alle soluzioni di sicurezza sono stati assegnati dei valori in lettere: da AAA (prodotti con un rating elevato di Total Accuracy) a D (per le soluzioni meno efficaci). Come menzionato, la nostra soluzione ha ottenuto un punteggio pieno del 100% e un rating AAA.<\/p>\n<p>I Total Accuracy Ratings assegnano i punteggi in due categorie:<\/p>\n<ul>\n<li>Detection Accuracy: viene preso in considerazione il buon esito delle rilevazioni di ogni fase significativa di un attacco.<\/li>\n<li>Legitimate Software Rating: minore \u00e8 la quantit\u00e0 di falsi positivi generata dal prodotto, maggiore \u00e8 il punteggio.<\/li>\n<\/ul>\n<p>Vi \u00e8 inoltre un altro indicatore chiave, Attacks Detected, che indica la percentuale di attacchi rilevati dalla soluzione durante almeno una delle fasi, fornendo la possibilit\u00e0 di rispondere al problema alla squadra dell\u2019Information Security.<\/p>\n<h2>Come si \u00e8 svolto il test<\/h2>\n<p>In teoria il test dovrebbe far emergere il comportamento della soluzione durante un attacco reale. In quest\u2019ottica, SE Labs ha provato a rendere l\u2019ambiente di test il pi\u00f9 realistico possibile. Innanzitutto, le soluzioni di sicurezza non sono state configurate dagli sviluppatori bens\u00ec dai tester di SE Labs che hanno ricevuto le opportune istruzioni dal fornitore, proprio come farebbe il team dell\u2019Information Security di un\u2019azienda. In secondo luogo, i test sono stati svolti sull\u2019intera sequenza dell\u2019attacco, dal primo contatto fino al furto dei dati o altri eventi. Infine, i test si sono basati sui metodi di attacco di quattro gruppi APT reali e attivi:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.theregister.com\/2022\/05\/18\/wizard-spider-ransomware-conti\/\" target=\"_blank\" rel=\"noopener nofollow\">Wizard Spider<\/a>, che ha come obiettivi aziende, banche e anche ospedali. Tra gli strumenti che utilizza troviamo il Trojan bancario <a href=\"https:\/\/www.kaspersky.it\/blog\/trickbot-new-tricks\/25818\/\" target=\"_blank\" rel=\"noopener\">Trickbot<\/a>.<\/li>\n<li><a href=\"https:\/\/www.welivesecurity.com\/2022\/03\/21\/sandworm-tale-disruption-told-anew\/\" target=\"_blank\" rel=\"noopener nofollow\">Sandworm<\/a>, il cui target primario \u00e8 rappresentato da agenzie governative, \u00e8 tristemente famoso per il malware <a href=\"https:\/\/securelist.com\/expetrpetyanotpetya-is-a-wiper-not-ransomware\/78902\/\" target=\"_blank\" rel=\"noopener\">NotPetya<\/a> che si camuffa da ransomware ma, in realt\u00e0, distrugge i dati delle vittime senza possibilit\u00e0 di recuperarli.<\/li>\n<li><a href=\"https:\/\/www.kaspersky.com\/blog\/lazarus-defi-wallet-backdoor\/44138\/\" target=\"_blank\" rel=\"noopener nofollow\">Lazarus<\/a>, noto alle cronache dopo l\u2019attacco su vasta scala alla Sony Pictures del novembre 2014. Precedentemente focalizzato sul settore bancario, oggi il gruppo rivolge l\u2019attenzione all\u2019 exchange di criptovalute.<\/li>\n<li><a href=\"https:\/\/www.fox-it.com\/media\/kadlze5c\/201912_report_operation_wocao.pdf\" target=\"_blank\" rel=\"noopener nofollow\">Operation Wocao<\/a> ha come target agenzie governative, fornitori di servizi, societ\u00e0 di energia e tech e il settore sanitario.<\/li>\n<\/ul>\n<h3>Test di rilevamento delle minacce<\/h3>\n<p>Durante i test Detection Accuracy, SE Labs ha studiato l\u2019efficienza reale nel rilevare le minacce da parte delle soluzioni di sicurezza. Sono stati effettuati 17 attacchi complessi, basati su quattro attacchi realistici di Wizard Spider, Sandworm, Lazarus Group e Operation Wocao, nei quali sono state identificate quattro fasi cruciali, ognuna delle quali consisteva in uno o pi\u00f9 passaggi interconnessi:<\/p>\n<ul>\n<li>Delivery\/Execution<\/li>\n<li>Action<\/li>\n<li>Privilege Escalation\/Action<\/li>\n<li><a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/lateral-movement\/\" target=\"_blank\" rel=\"noopener\">Lateral Movement<\/a>\/Action<\/li>\n<\/ul>\n<p>La logica del test non richiedeva alla soluzione di rilevare tutti gli eventi in una fase specifica dell\u2019attacco, era sufficiente identificarne almeno uno. Per esempio, se il prodotto non riusciva a rilevare in che modo il payload arrivava al dispositivo ma individuava un tentativo per avviarlo, la prima fase era considerata superata.<\/p>\n<p><strong>Delivery\/Execution.<\/strong>\u00a0Questa fase testa la capacit\u00e0 della soluzione di rilevare un attacco in fase embrionale: al momento della ricezione \u2014 per esempio, di una mail di phishing o un link malevolo \u2014 e l\u2019esecuzione di un codice pericoloso. In condizioni reali, l\u2019attacco di solito si ferma a questo step, in quanto la soluzione di sicurezza semplicemente non permette al malware di proseguire la sua strada. Tuttavia, ai fini del test, la filiera dell\u2019attacco \u00e8 stata fatta proseguire in modo da verificare se la soluzione sarebbe stata in grado di affrontare gli step successivi.<\/p>\n<p><strong>Action.<\/strong>\u00a0In questa fase i ricercatori hanno studiato il comportamento della soluzione quando i cybercriminali sono gi\u00e0 riusciti ad accedere all\u2019endpoint. In questo caso \u00e8 stato richiesto di rilevare un\u2019azione illecita effettuata dal software.<\/p>\n<p><strong>Privilege Escalation\/Action.<\/strong>\u00a0In un attacco con esito vincente, l\u2019intruso cerca di ottenere maggiori privilegi nel sistema e causare danni ancora maggiori. Se la soluzione di sicurezza monitora questo tipo di eventi o lo stesso processo di escalation dei privilegi, vengono concessi punti extra.<\/p>\n<p><strong>Lateral Movement\/Action.<\/strong>\u00a0Una volta penetrati nell\u2019endpoint, i criminali possono cercare di infettare altri dispositivi della rete aziendale. Tale attivit\u00e0 viene definita movimento laterale. I tester hanno verificato se le soluzioni di sicurezza erano riuscite a rilevare tentativi di questo tipo o comunque ogni altra azione conseguente a tale attivit\u00e0.<\/p>\n<p>Kaspersky EDR Expert ha ottenuto un punteggio del 100% in quest\u2019area, il che significa che ogni singola fase dell\u2019attacco non \u00e8 passata inosservata.<\/p>\n<h3>Legitimate Software Ratings<\/h3>\n<p>Una buona soluzione di sicurezza deve non solo proteggere da possibili attacchi in modo affidabile ma anche far s\u00ec che l\u2019utente possa accedere senza problemi a siti \/ servizi sicuri. Per questa sezione, i ricercatori hanno introdotto un punteggio separato: pi\u00f9 \u00e8 elevato, minore \u00e8 la frequenza con cui la soluzione contrassegna come pericolosi siti web o programmi in modo erroneo, specie quelli molto conosciuti.<\/p>\n<p>Ancora una volta, Kaspersky EDR Expert ha ottenuto un punteggio del 100%.<\/p>\n<h2>I risultati del test<\/h2>\n<p>Sulla base dei risultati del test, <a href=\"https:\/\/www.kaspersky.it\/enterprise-security\/endpoint-detection-response-edr?icid=it_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Endpoint Detection and Response Expert<\/a> ha conseguito il rating pi\u00f9 elevato: AAA. Gli altri tre prodotti hanno ottenuto lo stesso rating: Broadcom Symantec Endpoint Security e Cloud Workload Protection, CrowdStrike Falcon, e la soluzione di cui non \u00e8 stato rivelato il nome. Tuttavia, soltanto noi e Broadcom Symantec siamo riusciti a ottenere un punteggio del 100% nella sezione Total Accuracy Ratings.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>SE Labs ha assegnato il punteggio massimo a Kaspersky EDR in occasione di test indipendenti condotti su attacchi simulati nel mondo reale.<\/p>\n","protected":false},"author":2706,"featured_media":27175,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[14],"tags":[2573,2723,1023,2515,572],"class_list":{"0":"post-27172","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-products","8":"tag-edr","9":"tag-se-labs","10":"tag-test","11":"tag-test-independenti","12":"tag-test-indipendenti"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/kedr-selabs-test-2022\/27172\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/kedr-selabs-test-2022\/24463\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/kedr-selabs-test-2022\/19929\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/kedr-selabs-test-2022\/26907\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/kedr-selabs-test-2022\/24821\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/kedr-selabs-test-2022\/25192\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/kedr-selabs-test-2022\/27520\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/kedr-selabs-test-2022\/33872\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/kedr-selabs-test-2022\/10941\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/kedr-selabs-test-2022\/45160\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/kedr-selabs-test-2022\/19304\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/kedr-selabs-test-2022\/19911\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/kedr-selabs-test-2022\/29172\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/kedr-selabs-test-2022\/28424\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/kedr-selabs-test-2022\/25366\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/kedr-selabs-test-2022\/30868\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/kedr-selabs-test-2022\/30576\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/test-independenti\/","name":"Test independenti"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/27172","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=27172"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/27172\/revisions"}],"predecessor-version":[{"id":27174,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/27172\/revisions\/27174"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/27175"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=27172"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=27172"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=27172"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}