Des résultats impressionnants sur le front anti-APT

Business

Comme nous l’avons déjà dit, nous ne considérons pas les tests indépendants comme un indicateur de l’efficacité de nos solutions mais plutôt comme un outil pour améliorer nos technologies. C’est pourquoi nous publions rarement des articles sur notre réussite à un test malgré les performances élevées de nos produits. Cependant, le test de certification Advance Threat Defense conduit par le laboratoire de tests, ICSA Labs, vaut la peine d’être mentionné.

Notre plateforme Kaspersky Anti-Targeted Attack a participé à cette certification pendant trois trimestres consécutifs et a obtenu d’excellents résultats dans le dernier : 100% des menaces détectés et 0 faux positifs. Pourquoi est-ce important pour nos clients corporatifs et qu’est-ce que ces chiffres impressionnants signifient ?

Certification

Selon ICSA Labs, l’objectif de cette certification est de déterminer l’efficacité des différentes solutions de protection contre les dernières menaces. Par  » dernières « , ICSA entend les menaces qui ne sont pas détectées par la majorité des solutions traditionnelles. Pour choisir un scénario de test, ils se sont basés sur le rapport de l’enquête relative au vol de données de Verizon. C’est donc ainsi que leur test comprend les menaces les plus populaires et tous les trimestres, ils changent leur sélection selon le paysage des menaces.

Cela permet à ICSA d’analyser la dynamique de performance de la solution. A proprement parler, un bon résultat dans un seul test n’est pas un indicateur mais si un produit montre de bons résultats malgré des changements réguliers au niveau des menaces, c’est un indicateur d’efficacité évident.
En même temps, le rapport de Verizon contient des données sur des cyberincidents qui se sont produits dans de grande entreprises. C’est pourquoi, il ne s’agit pas seulement des vecteurs d’attaque les plus communs et les plus pertinents mais aussi de menaces qui sont réellement utilisées par les cybercriminels contre les grandes entreprises.

Résultats les plus récents

L’étude la plus récente a été conduite au cours du deuxième trimestre de cette année et ses résultats ont été publiés au mois de Juillet. Pour chaque participant, les experts de ICSA Labs ont créé une infrastructure test protégée par une solution spécialisée. Ensuite, sous 37 jours, ils ont simulé diverses attaques contre cette infrastructure. Au total, plus de 1100 tests ont été conduits et 600 malwares différents ont été utilisés : tous ont été détectés par notre solution spécialisée. En outre, la plateforme Kaspersky Anti-Targeted Attack a obtenu un sans-faute pour ce qui est des faux positifs : les experts de ICSA Labs ont lancé plus de 500 éléments sains qui semblaient être malveillants et notre solution n’a signalé aucun d’entre eux comme dangereux.
ICSA Labs ne réalise pas de tests comparatifs, c’est pourquoi ils n’ont pas publié de tableaux de résumé des données obtenues. Nous avons donc créé notre propre tableau, en nous basant sur les données publiques qu’il est possible de trouver ici.

Comment est-il possible d’obtenir de tels résultats ?

Nos produits, et en particulier la plateforme Kaspersky Anti-Targeted Attack, utilise une approche à plusieurs niveaux afin de détecter les menaces. On y trouve des mécanismes d’analyse statiques, des règles YARA configurables, des règles SNORT uniques pour les moteurs IDS, des mécanismes de vérification des certificats, des contrôles de réputation des fichiers et des domaines via la base de données des menaces mondiales (KSN), des outils pour une analyse avancée des dynamiques au sein d’un environnement isolé (sandbox) et un moteur d’apprentissage automatique : notre outil d’analyse des attaques avancées. La combinaison de ces outils dans Kaspersky Anti-Targeted Attack lui permet de détecter aussi bien les technologies malveillantes connues que celles encore inconnues.

L’outil d’analyse des attaques ciblées est en fait le noyau analytique central. Basé sur l’apprentissage automatique, il permet à la plateforme Kaspersky Anti-Targeted Attack de comparer les informations qui entrent depuis différents niveaux de détection mais aussi de détecter avec succès les anomalies du réseau et le comportement du poste de travail. L’analyse comportementale peut détecter des déviations qui peuvent indiquer qu’une attaque est en cours même si elle n’utilise pas de logiciel malveillant. Par exemple, il peut s’agir d’une attaque conduite avec l’utilisation d’un logiciel légitime, d’identifiants volés ou via des failles dans l’infrastructure informatique.

Néanmoins, la détection des menaces n’est pas suffisante. A proprement parler, si un produit bloque tout, il arrêtera alors 100% des menaces mais les programmes légitimes ne fonctionneront pas non plus. De plus, il est important d’éviter les faux positifs. Nos technologies nous permettent de définir des processus sécurisés, grâce à l’approche HuMachine. Le juste équilibre entre le niveau de détection et le nombre de faux positifs repose sur trois éléments :

• Le Big Data (nous disposons d’une énorme base de données sur les menaces qui collecte des données depuis plus de 20 ans et qui est mise à jour en temps réel via la Kaspersky Security Network avec des informations provenant de nos solutions installées sur les ordinateurs de nos clients à travers le monde)
• Des technologies avancées d’apprentissage automatique qui analyse les données
• L’expertise de nos chercheurs, qui, si nécessaire, corrigent et dirigent le moteur d’apprentissage automatique
Nous pouvons donc dire que les résultats de la certification ICSA, à de nombreux égards, est le résultat de l’utilisation de l’approche HuMachine.