Не все тесты программного обеспечения одинаковы. Это особенно верно, когда речь идет о программном обеспечении для кибербезопасности.

Тест, направленный на поощрение поставщиков за каждое сгенерированное предупреждение, независимо от вероятности того, что оно является реальным вторжением, определяет победителей на основании количества, а не эффективности. Он не проверяет реальную безопасность предприятия. Но это может объяснить, почему сегодня некоторые сотрудники и аналитики операционных центров безопасности (SOC) перегружены тысячами предупреждений об угрозах в день. Продукты, созданные для успешного прохождения подобных тестов, не обеспечивают того, что действительно важно: эффективного и действенного предотвращения реальных угроз для корпоративной среды.

Когда все является угрозой

Теоретически может быть хорошей идеей, что ведущие решения для обнаружения и реагирования на конечных точках (EDR) имеют тенденцию фиксировать все – как реальные угрозы, так и ошибочные. Но на практике это проблема, которая стала основной причиной многих успешных кибератак и утечек данных.

Исследования показывают, что когда аналитики не могут ответить на каждое предупреждение, они склонны приглушать шум, отбирая и выбирая, или, что еще хуже, отключаться и надеяться на лучшее. На самом деле, на странице 4 недавнего отраслевого отчета International Data Corporation (IDC) пришла к выводу, что почти треть корпоративных SOC игнорируют более 30 процентов всех оповещений.

Проблема еще более усугубляется огромным количеством источников и каналов данных в типичной ИТ-среде предприятия. Действительно, исследование IBM показало, что, несмотря на постоянные инвестиции в увеличение количества инструментов безопасности – более 50 на типичном предприятии – для мониторинга этих источников данных и обнаружения кибератак, чистым результатом стало то, что предприятия стали более уязвимыми для атак, чем когда-либо.
При таком количестве источников данных и слишком большом количестве инструментов для мониторинга этих источников неудивительно, что аналитики по безопасности считают, что ситуация складывается не в их пользу. Усталость от предупреждений становится эндемическим явлением в отрасли, так как аналитики обнаруживают, что их главная задача больше не заключается в устранении реальных угроз, а часто в попытке определить, является ли предупреждение реальной угрозой или просто очередным ложным срабатыванием (FP).

Делать все правильно: Тестирование в реальных условиях

Тестирование в реальных условиях – это правильный способ оценки решения безопасности EDR. В ходе этих тестов продукты помещаются в среду, которая показывает, как они работают против атак реальных субъектов угрозы, чьи действия смешиваются с легитимным трафиком. При этом не учитываются предупреждения, а определяется, может ли SOC обнаружить угрозу в этих сериях предупреждений. Один из тестов, который, по нашему мнению, является правильным, был проведен SE Labs.

SE Labs – частная, независимая компания, расположенная в Великобритании, которая специализируется на передовых испытаниях в области кибербезопасности. Новый сравнительный тест EDR, проведенный SE Labs, воспроизводит реальные методы, используемые различными активными группами кибератак. Этот тест SE Labs, Enterprise Advanced Security Test, поощрял участников на основе точности обнаружения угроз, в то время как за ложные срабатывания налагались штрафные санкции. Практически все другие крупные тесты EDR не наказывают за ложные срабатывания, поощряя поведение продукта, которое хорошо выглядит на бумаге, но в реальном мире, как было показано, мешает SOC эффективно выполнять свою работу.

Тест SE Labs имитировал типичную корпоративную среду, в которой одновременно с вредоносной деятельностью происходит какофония хорошей и нормальной активности. Тесты также более точно воспроизводят текущий ландшафт угроз, имитируя несколько различных групп атак одновременно, а не одну или две по отдельности, как это происходит в большинстве тестов. Более того, при использовании техник, применяемых различными известными группами атак, злоумышленники, участвовавшие в тестировании, также отходили от сценария и свободно использовали вариации этих техник. Это резко отличается от большинства отраслевых тестов.
Совокупный результат этих тестовых сценариев создает гораздо более точную картину поведения решений EDR в реальной корпоративной среде.

Возможности EDR в Symantec Endpoint Security Complete (SES Complete) получили отличную оценку в первом сравнительном тесте EDR, проведенном SE Labs.

Наконец, стоит отметить, что тест SE Labs подчеркивает еще один важный аспект безопасности предприятия, оценивая свои выводы на основе серьезности или важности угрозы для самого предприятия. Как известно специалистам по безопасности, все угрозы не равны. В сравнительном тесте SE Labs EDR это соображение было поставлено во главу угла в критериях оценки.

Функция EDR в Symantec Endpoint Security Complete (SES Complete) получила отличную оценку в первом сравнительном тесте EDR от SE Labs. Symantec лидировали в этой области, набрав 100% баллов по показателю Total Accuracy, что означает, что Symantec удалось добиться 100% обнаружения при снижении уровня шума при оповещении. В то время как большинство других производителей пытались найти компромисс между обнаружением и большим количеством шума.

Конечно, это не было неожиданностью. Решения Symantec уже давно признаны золотым стандартом в области защиты конечных точек и EDR. Они неизменно показывают высокие результаты во всех отраслевых тестах.

Решение EDR должно балансировать между обнаружением и шумом. Тестирование, которое не отражает реальный мир, поощряет шум. Тестирование в реальном мире может показать вам, какие продукты могут достичь баланса, отличного обнаружения и обширного сбора данных, не перегружая SOC предупреждениями. Итак, рассмотрим решение EDR, признанное лучшим по результатам тестирования, которое является самым полным и точным в отрасли: Symantec Endpoint Security Complete.

По вопросам проведения индивидуальной демонстрации, пилотного тестирования решений Symantec и организации партнерских тренингов обращайтесь, пожалуйста, к нашей команде в Вашей стране:

Украина — info.ua@oberig-it.com, +38 093 801 04 41.
Казахстан — info.kz@oberig-it.com, +7 775 395 0803.
Молдова — info.md@oberig-it.com, +373 686 76535.

Источник: https://bit.ly/3Zaz1Vf