Günümüzde Uç Nokta Güvenliği söz konusu olduğunda, bu alandaki ihtiyaçların karşılanması aşamasında kurumlar marketteki seçenekleri, davranışsal bilgiye dayalı proaktif koruma sağlaması açısından değerlendirir. Doğru ürünün belirlenmesi açısından, kurum içerisinde gerçekleştirilen testlerin yanı sıra bağımsız kurumlar tarafından gerçekleştirilen karşılaştırmalı test raporları da belirleyici bir özelliğe sahiptir.
Bağımsız karşılaştırmalı test gerçekleştiren söz konusu kurumlardan biri olan İngiltere merkezli MRG-Effitas, TRAPMINE’ın koruma mekanizmalarını diğer ürünler ile karşılaştıran test raporu hazırladı. Rapora göre TRAPMINE, gerçek dünya ve özelleştirilmiş örnekler ile gerçekleştirilen testte en iyi sonucu verdi.
Yukarıda görüldüğü üzere TRAPMINE, rakipleri ile kıyaslandığında popüler uygulamaları kapsayan zafiyet tabanlı exploit saldırılarına karşı %100 koruma sağlamaktadır.
Gerçekleştirilen testlerde rakip ürünler %50 koruma sağlarken saldırı engelleme/koruma işlemini davranışsal ya da ML (Machine Learning) ve benzeri yollar ile değil tamamen IP/URL repütasyonu gibi klasik yöntemler ile gerçekleştirdiği raporda yer almaktadır.
TRAPMINE ise herhangi bir imza veritabanı, IP/URL repütasyonu gibi klasik yöntemler kullanmadan ve güncelleme ihtiyacı duymadan tamamen davranışsal olarak gelen saldırıları %100 oranında engellemeyi başarmıştır.
MRG Effitas tarafından gerçekleştirilen bu testin sonucu, raporda aşağıdaki sözlerle özetlenmiştir;
“As a conclusion, we observed that TrendMicro utilised its URL reputation checks to analyse the entered URLs and in the in-the-wild scenarios, therefore actual exploit code has not been downloaded and execution has not started on TrendMicro’s VM. As our known samples utilised custom URLs of neutral reputation, testing provides a realistic demonstration of the participants’ protection potential when considering a sophisticated attacker scenario getting actual exploit code run on the victim’s workstation. Trapmine performs behavioral analysis to block file-based and browser-based exploit attacks without needing URL reputation checks. Based on the number of different tests, Trapmine provided better protection against exploit-based attacks compared to Trend Micro OfficeScan XGEN.”
MRG Effitas – Efficacy Assessment & Assurance
Sonuç olarak, Trend Micro‘nun ziyaret edilen web sitelerini, URL repütasyonu ile kontrol ettiği gözlemlenmiştir. In-the-wild testlerde, daha önceden yakalanmış, bilinen exploit kitlerin PCAP paketleri Fiddler / Wireshark vb. yazılımlarla replay edilerek test yapılmaktadır. Bilinen exploit kitlerin IP/Domain bilgileri halihazırda URL repütasyon veritabanlarında bulunduğu için, asıl exploit kodu çalışmadan URL tabanlı bir şekilde Trend Micro tarafından engellenmiştir. Testlerde kullanılan bilinen metasploit exploitleri senaryosunda ise, hazırlanan exploitler, repütasyon veritabanlarında bulunmayan custom (özel) URL’ler kullanmaktadır. Bu senaryo, sofistike saldırganları düşündüğümüzde, iki ürünün koruma mekanizmasını daha gerçekçi bi şekilde test etme imkanı sunmaktadır. Trapmine dosya tabanlı ve tarayıcı (browser) tabanlı exploit ataklarını hiçbir URL repütasyonu kontrolüne ihtiyaç duymadan, davranışsal analiz ile engellemiştir. Yapılan çeşitli testlerde, Trapmine‘ın exploit ataklarına karşı, Trend Micro XGEN ile kıyaslandığında daha iyi bir koruma sağladığı görülmüştür.
MRG-Effitas’ın hazırladığı bu rapora aşağıdaki bağlantılardan ulaşabilirsiniz.
https://www.mrg-effitas.com/wp-content/uploads/2017/08/MRG-Effitas-Trapmine_v105.pdf