Analýza AV-Comparatives: GravityZone zastavuje C2 útoky

Pro organizace podporující práci zaměstnanců v hybridním režimu a na dálku, již tradiční síťový perimetr nestačí. Tato změna v provozu vyžaduje, aby bezpečnostní řešení nabízela komplexní ochranu koncových bodů, která zahrnuje hloubkovou analýzu síťového provozu, zejména proti škodlivým odchozím připojením – tedy provoz směřující zevnitř ven.

S ohledem na tuto bezpečnostní výzvu vyvinul Bitdefender technologii GravityZone Network Attack Defense. Ta funguje jako zabezpečená webová brána na každém koncovém bodu, kde provádí hloubkovou inspekci síťových paketů (deep-packet inspection) a identifikuje aktivity spojené se škodlivým úmyslem.

NAD monitoruje širokou škálu protokolů, včetně síťové vrstvy (IPv4/IPv6), transportní vrstvy (TCP/UDP) i aplikační vrstvy, jako jsou HTTP(S), SSL, SCP/SSH, (S)FTP, RDP, DNS, Telnet a SMB (včetně subprotokolů založených na Samba, například RPC), a řadu dalších. Aktivitu blokuje na základě kombinace faktorů, mimo jiné reputační analýzy (IP adresy, domény a URL, které jsou známé jako škodlivé) a behaviorální analýzy síťového provozu. Tato síťová inspekce probíhá v řádu nanosekund, aniž by zpomalovala síťovou komunikaci nebo narušovala produktivitu uživatelů.

Výsledky nezávislé validace třetí stranou

V testu AV-Comparatives NGFW Egress C2 Certification Test GravityZone prokázalo absolutní ochranu proti připojením Command-and-Control (C2) a bylo jediným dodavatelem, který tuto certifikaci v testech v roce 2025 získal. Začlenění této jedinečné technologie přímo do jádra ochrany koncových bodů brání cíleným útokům a Advanced Persistent Threats (APT), které jsou sofistikovaně navrženy tak, aby obešly počáteční bezpečnostní mechanismy a umožnily útočníkům převzít kontrolu nad celou sítí organizace.

Nebezpečí povolených odchozích C2 spojení

Jakmile útočník úspěšně kompromituje jedno zařízení, je jeho hlavním cílem navázat skrytý komunikační kanál zpět na vlastní server. Toto spojení, běžně označované jako command-and-control (C2), umožňuje útočníkovi provádět celou řadu činností – včetně průzkumu prostředí, nasazení ransomwaru, exfiltrace dat a přípravy podmínek pro útoky na dodavatelský řetězec.

Obrázek 1: Pomocí jediného napadeného koncového bodu může útočník proniknout do organizace a jejích partnerských společností.

Zatímco tradiční firewally často vynikají v blokování útoků zvenčí dovnitř (pokusů o průnik do sítě), C2 kanály se vyznačují provozem směřujícím zevnitř ven (egress). Pokud je takové spojení navázáno a není zabráněno jeho vzniku bezpečnostním řešením, může útočník C2 kanál využít k post-exploatačním aktivitám prostřednictvím odpovídajícího C2 frameworku.

Endpointy však nejsou jediným cílem — útočníci mohou zneužít také zařízení na okraji sítě k získání počátečního přístupu do firemní sítě. Ochrana zařízení, která se nacházejí mimo síťový perimetr organizace, je obzvláště náročná.

Efektivní ochrana se proto musí zaměřit na prevenci a detekci odchozího síťového provozu v kontextu známých C2 nástrojů a C2 profilů ransomwaru. Úspěšná řešení musí tuto problematiku řešit na úrovni sítě, včetně analýzy šifrovaného provozu, a to vzhledem k rozšířenému využívání protokolu HTTPS. Zároveň musí být nezávislá na perimetrových bezpečnostních mechanismech, které obvykle nejsou schopny adekvátně chránit vzdálené pracovníky.

Nastavení nového standardu ochrany sítě

Pro ověření odolnosti této klíčové druhé linie obrany se společnost Bitdefender nedávno zúčastnila certifikačního testu NGFW Egress C2 Certification Test, který provedla organizace AV-Comparatives. Tato certifikace se zaměřila na měření účinnosti schopností produktů zabránit odchozímu síťovému provozu a detekovat jej. K účasti v těchto vysoce specifických testech, které AV-Comparatives periodicky provádí, je zvána řada výrobců, avšak certifikaci získají pouze ti, kteří dosáhnou bezchybných výsledků!

Zásadní je, že testovací metodika byla navržena tak, aby hodnotila ochranu na síťové vrstvě izolovaně, tedy aby výsledky nebyly závislé na tradičních mechanismech prevence spuštění škodlivého kódu. Pro účely certifikačního testu stanovila organizace AV-Comparatives přísné parametry:

• AV, EPP a EDR jako první linie obrany nebylo zahrnuto do rozsahu posuzování.

• Moduly nebo funkce související s ochranou endpointů nesměly být aktivovány.

• Funkce prevence nebo detekce malwaru, založené na signaturách či chování, musely zůstat deaktivovány.

Testovaným produktem byl Bitdefender GravityZone Business Security Enterprise 7.9. V souladu s pravidly stanovenými organizací AV-Comparatives byly deaktivovány všechny související technologie detekce a ochrany, včetně Antimalware, Sandbox Analyzer, Exchange Protection, Antispam, Incident Sensor a ochrany před bezsouborovými útoky.

Jedinou technologií, která mohla být aktivní, byla Network Attack Defense a veškerá zjištěná aktivita byla nastavena na blokování. Díky zpracování v reálném čase NAD poskytuje kontinuální inspekci síťového provozu. Jeho provozní stav je určen konfigurací nasazení: inline integrace v rámci Bitdefender Endpoint Security (dostupné pro Windows, macOS nebo Linux), režim tap pro síťové snímání Bitdefender XDR, nebo PCAP režim pro zachytávání paketů pro následnou analýzu. Pro tento test byl NAD provozován v inline režimu jako součást Bitdefender Endpoint Security.

Obrázek 2: GravityZone Network Attack Defense je navržen tak, aby zabránil pokročilým technikám síťových útoků, nezávisle na síťovém připojení.

Konfigurace, která izolovala pouze funkce síťové ochrany, znamenala, že řešení bylo testováno pouze z hlediska schopnosti detekovat a blokovat C2 komunikaci na základě charakteristik síťového provozu, bez ohledu na to, zda byla počáteční infekce úspěšně spuštěna.

Aby produkt získal certifikaci AV-Comparatives NGFW Egress C2, musel během testu zablokovat veškeré scénáře škodlivého provozu. Bitdefender GravityZone Business Security Enterprise úspěšně splnil požadavky certifikace tím, že zablokoval veškerý škodlivý provoz použitý v tomto testu.

To zahrnovalo blokování různých profilů HTTP command-and-control provozu, například Meterpreter, Emotet, Trickbot, Havex, Gandcrab a Bazarloader. V testovacích případech zahrnujících Gandcrab a Bazarloader bylo možné zpočátku navázat stabilní C2 kanál. Nicméně i v těchto případech byla veškerá post-exploitační komunikace úspěšně zablokována síťovou obranou Bitdefenderu.

GravityZone potvrzuje svou jedinečnost

GravityZone byl jediným produktem, který v letošním specializovaném hodnocení získal certifikaci AV-Comparatives. Technologie GravityZone Network Attack Defense jednostranně zabraňuje stabilním C2 kanálům a blokuje následnou post-exploatační komunikaci – i v případech, kdy byly všechny ostatní ochrany endpointů úmyslně deaktivovány.

Tyto nezávislé výsledky testování poskytují jistotu, že kritická aktiva organizace zůstávají chráněna i proti pokročilým hrozbám, které jsou navrženy tak, aby obešly více vrstev počáteční obrany. Toto izolovaná validace potvrzuje, že prevence C2 na úrovni sítě funguje jako robustní a zásadní ochranný mechanismus proti nově vznikajícím hrozbám v dnešních distribuovaných IT prostředích.

Celý test AV-Comparatives NGFW Egress C2 Certification Test najdete na oficiálních stránkách testu AV-Comparatives: NGFW Egress C2 Certification - Bitdefender GravityZone Business Security Enterprise - AV-Comparatives