Whalebone, een DNS-filtering services aanbieder, testte de kwaliteit van ESET detectiedata op kwetsbare domeinen. Uit de tests bleek dat, na het gebruik van Indicators of Compromise (IoC) van ESET, het aantal detecties enorm toenam waarbij de false positives tot een minimum beperkt bleven.
22 juni 2018, Sliedrecht – Een test uitgevoerd door Whalebone, een DNS-filtering services aanbieder, toonde aan dat het toevoegen van Indicators of Compromise van ESET aan DNS-filtering detection de detectie aanzienlijk verbetert.
Experts van Whalebone en ESET onthulden de resultaten van een DNS-filtering test in een gezamenlijke presentatie tijdens de IS2 Conference, een informatie security event gehouden in Praag, Tsjechië. De test is uitgevoerd met een steekproef van 100.000 verbindingen, die ongeveer een half miljoen aangesloten apparaten (in Tsjechië en Slowakije) vertegenwoordigen.
Voorheen gebruikte Whalebone Indicators of Compromise (IoC) die gegenereerd zijn via methodes zoals Sandbox-simulaties, analyses van netwerkbeheer of gebruik van bekende malwarepatronen. ‘’We wilden detectiedata van endpoints als een nieuwe bron van IoC opnemen, in de hoop op een beter detectievermogen.’’ zegt Robert Šefr, Chief Technology Officer bij Whalebone.
De test was gericht op het bevestigen van de verwachting dat het toevoegen van IoC aan ESET Threat Intelligence zou leiden tot nieuwe, voorheen niet beschikbare detecties terwijl false positives tot een minimum beperkt blijven.
Whalebone heeft de data van ESET eerst grondig onderzocht vanwege het feit dat zij al veel andere bronnen tot hun beschikking hadden. Aan het einde van de test is te zien dat met slechtst 13% van alle IoC’s in het systeem van Whalebone, ESET in staat was om 52% van de malware te detecteren.
De test is uitgevoerd in het eerste kwartaal van 2018 en bevatte ongeveer 55.000 unieke kwaadwillende domeinen in de geteste IoC-feed. Daar werden ongeveer 1100 domeinen van gedetecteerd. 18,5% van de apparaten in de test heeft minstens één poging gedaan om contact te maken met een schadelijk domein uit de feed; het totale aantal incidenten in de test was ongeveer 1,75 miljoen. Daaruit werd ongeveer de helft (866.000 incidenten, precies 49,51%) gedetecteerd op basis van de IoC die door ESET werd geleverd – dat wil zeggen zonder data van ESET zouden deze incidenten onopgemerkt zijn gebleven. Slechts 0,47% van de incidenten werd gedetecteerd op basis van zowel data van ESET als van orginele Whalebone data; de overige 50,02% van de incidenten werden onafhankelijk van ESET gedetecteerd.
Van de 866.000 incidenten die zijn gedecteerd op basis van de IoC door ESET, bleek maar één enkele domeinblokkering een false positive te zijn.
’’De Whalebone-test heeft duidelijk aangetoond dat strenge categorisatie van data, wat van groot belang is voor ESET, zorgt voor zowel een hoge detectiegraad als voor false positives dicht bij nul te houden.‘‘ zegt Peter Dekýš, IT Security Director bij ESET.
‘‘Uit de test is gebleken dat door het toevoegen van IoC aan ESET Threat Intellgince de detecties aanzienlijk zijn toegenomen met false positives die vrijwel nul zijn. Over het algemeen heeft de test bewezen dat het gebruik van IoC op basis van endpoints voor DNS-bescherming geschikt is.‘‘ concludeert Robert Šefr. Ga naar https://www.eset.com/nl/zakelijk/it-security-services/threat-intelligence/ voor meer informatie over ESET Threat Intelligence.
Over ESET
Al 30 jaar lang ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten voor bedrijven en consumenten over de hele wereld. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf van de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Gesteund door R&D centra over de hele wereld, is ESET het eerste IT-security bedrijf dat 100 Virus Bulletin VB100-awards heeft verdiend, waarmee elke afzonderlijke ‘’in-the-wild’’ malware zonder onderbreking werd geïdentificeerd sinds 2003. Ga voor meer informatie naar www.eset.nl of volg ons op LinkedIn, Facebook en Twitter.