Nel contesto attuale, accade spesso che il digital marketing e influencer indirizzino le scelte anche su prodotti e servizi di cybersecurity. Tra questi, vi sono anche sistemi di sicurezza per gli endpoint destinati al mercato consumer o enterprise, quali antivirus, antimalware, ATP, etc. , prodotti che spesso rappresentano la prima linea di difesa (se non l’unica, in certi contesti). Pertanto, sarebbe opportuno ponderare una scelta così rilevante, affidandosi ad organismi di valutazione terzi ed indipendenti.
Esistono diversi organismi di test dei prodotti di sicurezza in tutto il mondo, dotati di laboratori professionali capaci di testare diversi campioni, nelle medesime condizioni. Si pensi, ad esempio, al fatto che tutti i prodotti debbano eseguire la scansione simultanea di un campione di malware (poiché un fornitore avrebbe più tempo per aggiornare le definizioni del proprio software) oppure alla complessità di analisi su malware che mutano automaticamente ogni volta che vengono scaricati. La sofisticata configurazione dei laboratori e le metodologie utilizzate indipendenti garantiscono condizioni di parità per tutti i prodotti. e forniscono informazioni utili non solo agli utenti del software, ma anche ai produttori.
AV-Comparatives
Tra i diversi laboratori indipendenti (AV-Test, MRG Effitas, SE Labs, Virus Bulletin) focalizziamo l’attenzione su AV-Comparatives, tra i più autorevoli, certificato ISO e EICAR-Trusted labs. Che si tratti del segmento delle micro-imprese e PMI (dove spesso non sono presenti figure professionali IT dedicate alla sicurezza) o di organizzazioni più strutturate con team dedicati, è fondamentale valutare accuratamente le esigenze e il profilo di rischio dell’organizzazione per identificare lo strumento di sicurezza più adeguato.
Di seguito i principali test condotti da AV-Comparatives
Real World Protection
Il test riguarda il malware proveniente da Internet e non considera altri vettori attraverso i quali il malware può entrare nel computer, ad esempio tramite chiavetta USB o rete locale. Prima di accedere a ogni nuovo URL dannoso vengono aggiornati i programmi/firme. La procedura di test automatizzata invia un URL dannoso a tutte le macchine di test contemporaneamente. Dopo che il malware è stato eseguito (se non è stato bloccato prima), si attendono diversi minuti per verificare le azioni intraprese Se il malware non viene rilevato e il sistema è effettivamente infetto/compromesso, il processo passa a “Sistema compromesso”. In caso contrario si ritiene che il prodotto abbia protetto il sistema di test, a meno che non sia richiesta l’interazione dell’utente. Laddove un prodotto testato richieda una decisione da parte dell’utente per consentire l’esecuzione del programma malevolo. si ritiene che il software abbia protetto il sistema quando, nonostante il “consenti” il programma viene comunque bloccato
Malware Protection
Nel test di protezione malware vengono eseguiti file dannosi sul sistema. Mentre nel Real-World Protection Test il vettore è il web, nel Malware Protection Test i vettori possono essere ad esempio unità di rete, USB o scenari di copertura in cui il malware è già sul disco.
Performance
Il test misura la riduzione delle prestazioni (velocità) causata dai programmi di sicurezza durante l’esecuzione di una serie di attività quotidiane come l’apertura e il salvataggio di file. Non misura l’impatto dei prodotti di sicurezza sul tempo di avvio, poiché alcuni prodotti danno la falsa impressione di essersi caricati rapidamente. I test effettuati sono: copia di file, archiviazione e rimozioni dall’archivio, installazione applicazioni, avvio applicazioni, download di file e navigazione siti web. La valtuazione di impatto su sistema viene effettuate mediante il software PC Mark Professional
False Positive
Il test di “falsi positivi” è composto da due parti: domini bloccati erroneamente (durante la navigazione) e file bloccati erroneamente (durante il download/installazione).
Nel primo caso si utilizzano circa mille domini popolari scelti casualmente. I domini/URL non dannosi bloccati vengono conteggiati come falsi positivi (FP).
Nel secondo si utilizzano circa un centinaio di applicazioni diverse elencate come download più scaricati o come download nuovi/consigliati da dieci diversi portali di download popolari. Le applicazioni vengono scaricate dai siti Web degli sviluppatori del software originale,salvate su disco e installate per verificare se sono bloccate in qualsiasi fase della procedura.
Endpoint Prevention & Response
Il test di prevenzione e risposta degli endpoint è un test molto articolato sui prodotti EPR. I prodotti vengono sottoposti a 50 scenari di attacco mirato separati. In ogni fase, il test completo della catena di attacco determina se il prodotto ha intrapreso un’azione automatizzata per bloccare la minaccia (risposta attiva) o ha fornito informazioni sull’attacco che l’amministratore poteva utilizzare per intraprendere un’azione autonoma (risposta passiva).
Advanced Trheat Protection
Nel test di protezione avanzata dalle minacce si utilizzano tattiche, tecniche e procedure (TTP) che riflettono le strategie utilizzate dagli aggressori per infiltrarsi in una rete con malware secondo il noto framework MITRE ATT&CK®. I test sono progettati per simulare il più fedelmente possibile gli scenari del mondo reale, utilizzando una varietà di tecniche e risorse che imitano il malware presente negli attacchi informatici del mondo reale. Si utilizzano programmi di sistema progettati per eludere il rilevamento basato sulla firma, sfruttando al tempo stesso la versatilità dei linguaggi di scripting più diffusi come JavaScript, file batch, PowerShell e script Visual Basic. I test intrecciano campioni di malware con strategie di offuscamento e crittografia come Base64, XOR e AES per mascherare il codice dannoso prima che venga eseguito.
Risultati
I risultati dei test di laboratorio sono racchiusi in report periodici di valutazione delle principali soluzioni di sicurezza. Di seguito un esempio relativo agli esiti dell’ ultimo “Real World Protection 2023”
Per ulteriori approfondimenti si rimanda al sito ufficiale di AV-Comparatives
L’intento del presente breve articolo è quello di sottolineare l’importanza della terzietà (indipendente e rigorosa) nella valutazione di soluzioni software con particolare riferimento al settore cybersecurity e, più in generale in linea con le campagne di orientamento e sensibilizzazione promosse da da ENISA nella certificazione di sicurezza di prodotti, processi e servizi ICT
