A SE Labs, membro da AMTSO (Anti-Malware Testing Standards Organization) e laboratório de testes independente sediado no Reino Unido, avaliou o Acronis Cyber Protect Cloud com Advanced Security + EDR em maio de 2024. O produto foi submetido a testes avançados de EDR para avaliar suas capacidades contra uma variedade de técnicas de invasão. A metodologia de teste imitou o comportamento de cibercriminosos do mundo real, seguindo cadeias de ataque completas para avaliar minuciosamente o desempenho do produto na detecção, proteção e mitigação de ameaças cibernéticas.
O Acronis Advanced Security + EDR alcançou uma classificação de 100% de precisão de detecção em relação a todos os elementos dos ataques, desde a entrega inicial até as atividades maliciosas subsequentes. Além disso, o produto rastreou e mitigou efetivamente atividades maliciosas em toda a cadeia de ataque.
Metodologia de teste semelhante à da MITRE
A abordagem de teste da SE Labs envolveu a configuração de redes realistas e a realização de ataques abrangentes que refletiram as táticas do mundo real usadas por cibercriminosos. Os testadores utilizaram uma variedade de ferramentas e técnicas para penetrar nos sistemas de destino, simulando cadeias de ataque completas para entender a eficácia do produto. A SE Labs enfatiza que cada etapa do ataque, desde a penetração inicial até o possível roubo de dados ou dano ao sistema, foi cuidadosamente executada e monitorada. Esta série de testes específica foi baseada em atores de ameaças do mundo real:
- Scattered Spider: um grupo com motivação financeira conhecido por ataques de alto perfil.
- APT29: Conhecido por incorporar ransomware em documentos PDF.
- Lapsus$: Notório por engenharia social e coleta de credenciais.
Os testes abrangeram cinco estágios de um ciberataque:
1. Contato inicial: E-mails de phishing ou exploração de vulnerabilidades em aplicativos voltados para a Internet.
2. Acesso e execução: Obtenção de acesso inicial e execução de payloads maliciosos.
3. Escalonamento de privilégios: Obtenção de acesso de nível mais alto para realizar ações mais prejudiciais.
4. Movimento lateral: Movimentação dentro da rede para comprometer sistemas adicionais.
5. Roubo e dano de dados: Roubo de informações confidenciais ou dano à rede.
A rede de teste incluiu vários componentes, como workstations, servidores de arquivos, controladores de domínio, serviços de e-mail baseados em nuvem e um servidor de comando e controle (C&C). Essa configuração permitiu simulações realistas de movimentos laterais e outras técnicas de ataque avançadas. A configuração de rede foi projetada para refletir ambientes empresariais do mundo real, garantindo a validação do processo de teste.
Para avaliações de EDR, o SE Labs utiliza o framework MITRE ATT&CK para ilustrar os estágios do ataque e como o produto respondeu em cada estágio. Esse framework ajuda a visualizar a progressão do ataque e os pontos de detecção e mitigação do produto.
Os testes confirmaram que o Acronis Advanced Security + EDR consegue identificar e responder a ataques em vários estágios, mitigando efetivamente possíveis danos.
Pontuação de detecção de 100% para todas as fases dos ataques
O desempenho do produto foi avaliado com base na precisão da detecção, recursos de proteção e precisão na classificação de aplicativos e URLs legítimos. As principais descobertas são resumidas a seguir:
Melhor precisão de detecção possível: O Acronis Advanced Security + EDR obteve 100% na detecção de todos os elementos dos ataques, desde a entrega inicial até as atividades maliciosas subsequentes. O produto detectou tanto a entrega quanto a execução inicial de todos os ataques, seja através de spear phishing ou de exploits de aplicativos.
Proteção de nível superior: O produto rastreou e mitigou com eficácia atividades maliciosas em toda a cadeia de ataque. O Acronis Advanced Security + EDR detectou com sucesso tentativas de escalonamento de privilégios e movimentação lateral na rede.
Precisão legítima: Houve vários falsos positivos, com alguns aplicativos legítimos incomuns classificados erroneamente como ameaças, resultando em uma classificação de precisão legítima de 77%. Essas falhas foram logo corrigidas após a análise dos resultados do teste por parte dos especialistas da Acronis.
Tudo isso resultou em uma classificação de precisão total de 88% — uma classificação AA de prestígio para segurança avançada de empresas. Isso é impressionante, considerando que o Acronis Advanced Security + EDR foi lançado há apenas um ano.
Conclusão
O Acronis Cyber Protect Cloud com Advanced Security + EDR demonstrou capacidades robustas de detecção e mitigação de ameaças avançadas. O desempenho geral do produto foi impressionante, proporcionando um alto nível de segurança para ambientes corporativos. Os especialistas da SE Labs observaram que o produto da Acronis se destaca na identificação de vários estágios de ciberataques, garantindo proteção abrangente.
Você pode ler o relatório completo aqui.
Sobre a Acronis
Uma empresa suíça fundada em Singapura em 2003, a Acronis possui 15 escritórios no mundo inteiro e funcionários em mais de 50 países. O Acronis Cyber Protect Cloud está disponível em 26 idiomas em 150 países e é utilizado por mais de 21,000 provedores de serviços para proteger mais de 750,000 empresas.
