如之前文章提到的,我们认为独立测试并不是指示我们解决方案有效性的指标,而是促进我们改进技术的工具。因此,虽然我们的产品一贯保持着高性能,但我们很少发布关于测试成功的故事。不过,由ICSA Labs(国际计算机安全协会实验室,以下简称”ICSA实验室”)实验室进行的高级威胁防御认证值得重点介绍一下。
卡巴斯基反定向攻击平台连续三个季度参与了此项认证,最新的认证结果证明此平台表现十分卓越 – 100%地检测出所有威胁,误报率为零。为什么这对企业客户很重要?这些令人钦佩的数据背后意味着什么呢?
认证
据ICSA实验室称,此项认证的目的是确定各种不同的防御解决方案针对最新网络威胁的有效性。ICSA说的”最新威胁”是指大多数普通解决方案检测不到的威胁。在选择测试场景时,ICSA依据是Verizon发布的”数据泄露调查报告”。因此,首先他们的测试工具包由最流行的威胁构成,其次随着威胁形态的变化,每个季度选择的威胁都会发生变化。
这种选择方式让ICSA能分析解决方案性能的动态。严格来说,一个测试中获得良好的结果并不能作为指标,但是如果一个产品在威胁模式经常变化的情况下,仍然取得良好的测试结果,那么这就是一个明确的有效性标志。
同时,Verizon的报告还包含企业级公司发生的网络事件相关数据。因此,这些不仅仅是最常见、最相关的攻击向量 – 这些正是网络犯罪分子攻击大型企业所采用的威胁。
最新结果
最近的一次测试是今年二季度进行的,结果已在七月份公布。ICSA实验室专家们针对每个参与方,创建了一个通过专用解决方案防御的测试基础设施。随后,在37天内,他们模拟了针对这一基础设施的各种攻击。测试总数超过1100多次,使用了近600个恶意软件样本,我们的专用解决方案成功检测到了所有这些样本,无一遗漏。此外,卡巴斯基反定向攻击平台在误报率方面拿到满分:ICSA实验室专家使用了500多个干净样本,这些样本看上去像是恶意样本,我们的解决方案没有将其中任何一个错误地标记为危险。
最近的一次测试是今年二季度进行的,结果已在七月份公布。ICSA实验室专家们针对每个参与方,创建了一个通过专用解决方案防御的测试基础设施。随后,在37天内,他们模拟了针对这一基础设施的各种攻击。测试总数超过1100多次,使用了近600个恶意软件样本,我们的专用解决方案成功检测到了所有这些样本,无一遗漏。此外,卡巴斯基反定向攻击平台在误报率方面拿到满分:ICSA实验室专家使用了500多个干净样本,这些样本看上去像是恶意样本,我们的解决方案没有将其中任何一个错误地标记为危险。
我们怎样做到的?
我们的产品,特别是卡巴斯基反定向攻击平台,采用了多层方法来检测威胁,包括静态分析机制、可配置的YARA规则、IDS引擎的独特SNORT规则、证书检查机制、通过全球威胁库(卡巴斯基安全网络)检查文件和域声望、在隔离环境(沙箱)中执行高级动态分析的工具以及机器学习引擎(即卡巴斯基定向攻击分析器)。卡巴斯基反定向攻击通过这些工具组合,支持识别已知和未知的恶意技术。
定向攻击分析器实际是中央分析核心。它基于机器学习,支持卡巴斯基反定向攻击平台比较来自不同检测级别的信息,并成功检测出网络和工作站行为中的异常情况。行为分析能检测到偏差,偏差可能表明不使用恶意软件的攻击正在进行中。例如,这可能是使用合法软件、被盗凭证或通过IT基础架构中的漏洞进行的攻击。
但是,检测出威胁还不够。严格来说,如果某个产品能阻止一切攻击,那么它将阻止100%的威胁 – 但也会阻止合法程序运行。因此,重要的是在没有误报的情况下工作。借助我们的技术,我们能定义安全进程,这多亏了人机一体化智能原则。使检测水平与误报率之间保持适当平衡包括以下三个要素:
所以我们可以说ICSA认证的结果在许多方面是人机一体化原则的结果。
要了解有关卡巴斯基反定向攻击平台的更多信息,请访问此网站。