tests indépendants

Solutions EDR et tests indépendants

SE Labs a attribué la meilleure note à Kaspersky EDR lors d’un test indépendant qui repose sur des attaques réelles.

Kaspersky Team
23 Août 2022

La meilleure façon de prouver l’efficacité d’une solution de sécurité est de la tester dans des conditions réelles, et d’utiliser les tactiques et les techniques d’attaques ciblées habituelles. Kaspersky participe régulièrement à ces tests et est confortablement installé à la tête de ce classement.

Les résultats du test Enterprise Advanced Security (EDR) : Enterprise 2022 Q2 – DETECTION ont été révélés dans le rapport de juillet de SE Labs. Depuis plusieurs années, les solutions de sécurité des principaux acteurs sont mises à rude épreuve par cette entreprise britannique. Lors de ce dernier test, notre solution Kaspersky Endpoint Detection and Response Expert destinée aux entreprises a obtenu le score parfait de 100 % de détection des attaques ciblées, ce qui lui a valu la note maximale AAA.

Ce n’est pas la première fois que SE Labs analyse les capacités de nos produits conçus pour les entreprises face aux menaces sophistiquées. L’entreprise a auparavant effectué le Branch Response Test, auquel nous avons participé en 2019. Puis, notre produit a subi le Advanced Security Test (EDR) en 2021. Depuis, cette méthodologie de test a été ajustée et le test a été divisé en deux parties : détection et protection. Cette fois, SE Labs a étudié l’efficacité de solutions de sécurité lorsqu’il s’agit de détecter une activité malveillante. En plus de Kaspersky EDR Expert, quatre autres produits ont participé au test : Broadcom Symantec, CrowdStrike, BlackBerry et une autre solution anonyme.

Le système de notation

Le test comprend plusieurs vérifications, mais il suffit de regarder la note obtenue pour Total Accuracy Ratings pour comprendre les résultats. Cette catégorie montre à quel point chaque solution a détecté les attaques aux différents stades, et si elle aurait communiqué un faux positif à l’utilisateur. Afin d’avoir une meilleure clarté visuelle, les solutions qui ont participé ont reçu une note allant de AAA (pour les produits ayant un score Total Accuracy Ratings élevé) à D (pour les solutions moins efficaces). Comme nous l’avons mentionné, notre solution a obtenu un taux de précision total de 100 % et une note AAA.

La catégorie Total Accuracy Ratings se divise en deux parties :

La précision de détection (Detection Accuracy) qui prend en compte la détection de chaque attaque à tous les stades.
La détection légitime (Legitimate Software Rating) dont la note dépend des faux positifs. Moins il y a de faux positifs, plus la note est élevée.

Un autre indicateur est déterminant : les attaques détectées (Attacks Detected). Il s’agit du pourcentage d’attaques détectées par la solution à au moins un des stades pour que l’équipe de sécurité de l’information ait la possibilité de répondre à l’incident.

Comment nous avons été testés

Dans l’idéal, le test devrait révéler comment la solution agirait lors d’une attaque réelle. C’est dans cette optique que SE Labs a essayé de créer un environnement de test aussi réel que possible. Tout d’abord, les développeurs n’ont pas configuré les solutions de sécurité pour le test. Ce sont les testeurs de SE Labs qui ont effectué cette tâche en suivant les instructions du fournisseur ; exactement comme le font généralement les équipes de sécurité de l’information du client. Ensuite, les tests ont été effectués en chaîne, du premier contact au vol des données ou à toute autre conséquence. Enfin, les tests reposaient sur les méthodes d’attaque de quatre grands groupes APT réels et actifs :

Wizard Spider, qui vise les entreprises, les banques et même les hôpitaux. Le cheval de Troie bancaire Trickbot est un de ses outils.
Sandworm, qui s’en prend principalement aux services publics. Ce groupe est tristement célèbre pour son programme malveillant NotPetya, qui se faisait passer pour un ransomware mais détruisait les données de la victime après la récupération.
Lazarus, qui s’est fait connaître après l’attaque à grande échelle de Sony Pictures en novembre 2014. Alors qu’il se concentrait sur le secteur bancaire, le groupe a récemment jeté son dévolu sur les échanges de cryptomonnaie.
Operation Wocao, qui cible les services publics, les fournisseurs de services, les entreprises énergétiques et technologiques, et le secteur de la santé.

Les tests de détection des menaces

Lors du test Detection Accuracy, SE Labs étudie dans quelle mesure les solutions de sécurité détectent efficacement les menaces. Pour ce faire, 17 attaques complexes basées sur quatre cas réels des groupes Wizard Spider, Sandworm, Lazarus Group et Operation Wocao sont lancées. Quatre stades importants ont été soulignés, et chacun d’entre eux comprend une ou plusieurs étapes interconnectées :

Livraison et exécution
Action
Élévation des privilèges et action
Mouvement latéral et action

La logique du test n’attend pas que la solution détecte tous les événements à un stade spécifique de l’attaque. Il suffit d’en identifier au moins un. Par exemple, si le produit ne détecte pas comment la charge utile est installée sur le dispositif mais détecte une tentative d’exécution, il a réussi le premier stade.

Livraison et exécution. Ce stade permet de tester la capacité de la solution à détecter une attaque en phase préliminaire, c’est-à-dire lors de la livraison (e-mail d’hameçonnage ou lien malveillant) et lors de l’exécution d’un code dangereux. Dans des conditions réelles, l’attaque est généralement interrompue à ce moment-là puisque la solution de sécurité n’autorise pas le programme malveillant à aller plus loin. Aux fins de ce test, la chaîne d’attaque continue afin d’observer comment la solution agirait dans les prochains stades.

Action. Ici, les chercheurs étudient le comportement de la solution lorsque les cybercriminels ont accès au terminal. Le produit doit détecter une action illégitime du logiciel.

Élévation des privilèges et action. Lorsqu’une attaque réussie, l’intrus essaie d’obtenir plus de privilèges dans le système et de causer plus de dégâts. Si la solution de sécurité surveille ces événements ou le processus d’élévation des privilèges, elle reçoit des points supplémentaires.

Mouvement latéral et action. Une fois qu’ils ont accès au terminal, les cybercriminels essaient d’infecter les autres dispositifs connectés au réseau de l’entreprise. C’est ce qu’on appelle le mouvement latéral. Les testeurs vérifient si la solution de sécurité détecte les tentatives de mouvement de ce type ou n’importe quelle action qui résulte de ce comportement.

Le produit Kaspersky EDR Expert a obtenu un score de 100 % dans cette catégorie. Cela signifie qu’il a détecté l’attaque à tous les stades.

La détection légitime

Une bonne protection doit être capable de repousser efficacement les menaces et ne doit pas empêcher l’utilisateur d’utiliser des services sûrs. Pour ce faire, les chercheurs attribuent une autre note : plus elle est élevée, moins la solution identifie par erreur des sites ou des programmes légitimes, surtout ceux qui sont connus, comme dangereux.

Là encore, Kaspersky EDR Expert a obtenu un score de 100 %.

Les résultats du test

À partir des résultats de ce test, Kaspersky Endpoint Detection and Response Expert a obtenu la note la plus élevée : AAA. Trois autres produits ont eu le même résultat : Symantec Endpoint Security et Cloud Workload Protection de Broadcom, CrowdStrike Falcon et une solution anonyme. Pourtant, nous sommes les seuls avec Broadcom Symantec à avoir obtenu un score de 100 % dans la catégorie Total Accuracy Ratings.

L’attaque Retbleed, ou le retour de Spectre

Nous utilisons une étude récente sur les vulnérabilités du hardware dans les processeurs pour comprendre le coût de la sécurité.

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Comment distinguer une photo ou vidéo réelle d’un trucage et retracer sa provenance.

Passer à Kaspersky : guide de migration pas à pas

Comment faire passer la cyberprotection de votre ordinateur ou de votre smartphone à la solution de sécurité la plus primée de Kaspersky ?

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Vous avez reçu un message inattendu de la part de votre patron ou d’un collègue qui vous demande de « régler un problème » ? Attention aux escrocs ! Comment pouvez-vous vous protéger, vous et votre entreprise, contre une attaque potentielle ?

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.

Protection des enfants

Solutions EDR et tests indépendants

Le système de notation

Comment nous avons été testés

Les tests de détection des menaces

La détection légitime

Les résultats du test

Kaspersky Next : une nouvelle gamme de solutions de sécurité

Passer à Kaspersky : guide de migration pas à pas

L’attaque Retbleed, ou le retour de Spectre

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Passer à Kaspersky : guide de migration pas à pas

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Assurer la sécurité du domicile

Abonnez-vous et recevez tous nos titres à la une par e-mail

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky