Данные телеметрического сервиса ESET Threat Intelligence вдвое повышают уровень детектирования угроз. Это подтвердил тест DNS-фильтрации, проведенный компанией Whalebone. Результаты теста представлены на IS2 Conference, мероприятии в области информационной безопасности в Праге.
Телеметрический сервис ESET Threat Intelligence предоставляет данные о целевых атаках, новых вредоносных программах и активности ботнетов, помогая организациям своевременно реагировать на инциденты безопасности. В основе сервиса – данные продуктов и технологий ESET: свыше ста миллионов сенсоров по всему миру, облачная система ESET LiveGrid, песочницы, трекер ботнетов и собственная база данных ДНК-сигнатур ESET, в сочетании с информацией из внешних источников.
Whalebone, провайдер сервиса DNS-фильтрации, ранее использовала индикаторы компрометации, полученные с помощью запуска в изолированной среде (песочнице), анализа сетевого трафика и на основе известных образцов вредоносного ПО. В рамках тестирования телеметрического сервиса компания дополнительно включила в данные обнаружения индикаторы компрометации ESET Threat Intelligence.
Общее число инцидентов в тесте DNS-фильтрации достигло 1,75 млн. Примерно половина инцидентов (866 000) была обнаружена только на основе индикаторов компрометации, предоставленных ESET Threat Intelligence. Фактически, без данных ESET 49,51% инцидентов остались бы незамеченными.
Из 866 000 инцидентов, обнаруженных на основе данных ESET Threat Intelligence, ложной оказалась лишь одна блокировка домена.
50,02% инцидентов обнаружены Whalebone без помощи ESET. Всего 0,47% инцидентов потребовали для обнаружения данные и ESET, и Whalebone.
"Тест Whalebone демонстрирует, что жесткая категоризация данных, имеющая первостепенное значение для ESET, способствует высокой точности обнаружения и близкому к нулю числу ложных срабатываний", – комментирует Питер Декиш, директор по информационной безопасности ESET.
"Тест показал, что включение индикаторов компрометации из ESET Threat Intelligence позволяет существенно улучшить обнаружение угроз, причем уровень ложных срабатываний близок к нулю, – комментирует Роберт Шефр, технический директор Whalebone. – В целом, тест доказывает, что для защиты на уровне DNS целесообразно использовать индикаторы компрометации конечных точек"».
Тест проводился в первом квартале 2018 года на выборке из 100 000 подключений к интернету, представляющих около полумиллиона подключенных устройств в Чехии и Словакии. В нем использовалось 55 000 уникальных вредоносных доменов в тестируемом фиде индикаторов компрометации. Из общего числа вредоносных доменов было обнаружено около 1100. 18,5% устройств, участвовавших в тесте, совершили как минимум одну попытку обращения к вредоносному домену.