Analýza AV-Comparatives: GravityZone zastavuje útoky C2

Pre organizácie, ktoré podporujú hybridnú a vzdialenú prácu, už tradičný perimeter siete nestačí. Táto zmena v prevádzke vyžaduje bezpečnostné riešenia, ktoré ponúkajú komplexnú ochranu koncových bodov, vrátane podrobnej analýzy sieťového prevádzky, najmä proti škodlivým odchádzajúcim pripojeniam, t.j. prevádzke smerujúcej z vnútornej siete von.

V reakcii na túto bezpečnostnú výzvu vyvinula spoločnosť Bitdefender technológiu GravityZone Network Attack Defence. Funguje ako bezpečná webová brána na každom koncovom bode, vykonáva hlbokú kontrolu paketov a identifikuje škodlivú činnosť.

NAD monitoruje širokú škálu protokolov, vrátane sieťovej vrstvy (IPv4/IPv6), transportnej vrstvy (TCP/UDP) a aplikačnej vrstvy, ako sú HTTP(S), SSL, SCP/SSH, (S)FTP, RDP, DNS, Telnet a SMB (vrátane subprotokolov založených na Sambě, ako je RPC) a mnoho ďalších. Blokuje aktivity na základe kombinácie faktorov, vrátane analýzy reputácie (IP adresy, domény a URL adresy, o ktorých je známe, že sú škodlivé) a analýzy správania sieťového prevádzky. Táto kontrola siete prebieha v nanosekundách bez spomalenia sieťovej komunikácie alebo narušenia produktivity používateľov.

Výsledky nezávislej validácie treťou stranou

V certifikačnom teste AV-Comparatives NGFW Egress C2 GravityZone preukázala absolútnu ochranu proti pripojeniam Command-and-Control (C2) a bola jediným dodávateľom, ktorý získal túto certifikáciu v 2025 testoch. Integrácia tejto jedinečnej technológie priamo do jadra ochrany koncových bodov zabraňuje cieleným útokom a pokročilým perzistentným hrozbám (APT), ktoré sú sofistikovane navrhnuté tak, aby obišli počiatočné bezpečnostné mechanizmy a umožnili útočníkom prevziať kontrolu nad celou sieťou organizácie.

Nebezpečenstvo povolených odchádzajúcich pripojení C2

Akonáhle útočník úspešne napadne zariadenie, jeho hlavným cieľom je vytvoriť skrytý komunikačný kanál späť na svoj vlastný server. Toto pripojenie, bežne označované ako command-and-control (C2), umožňuje útočníkovi vykonávať rôzne činnosti, vrátane prieskumu, nasadenia ransomwaru, exfiltrácie dát a prípravy útokov na dodávateľský reťazec.

Obrázok 1: Pomocou jediného kompromitovaného koncového bodu môže útočník preniknúť do organizácie a jej partnerských spoločností.

ZZatiaľ čo tradičné firewally často vynikajú v blokovaní útokov zvonku dovnútra (pokusy o preniknutie do siete), kanály C2 sa vyznačujú prevádzkou smerujúcou zvonku dovnútra (egress). Ak je takéto pripojenie vytvorené a nie je zabránené bezpečnostným riešením, útočník môže kanál C2 využiť na činnosti po zneužití prostredníctvom príslušného rámca C2.

Cieľom však nie sú len koncové body – útočníci môžu zneužiť aj zariadenia na okraji siete, aby získali počiatočný prístup do podnikovej siete. Ochrana zariadení umiestnených mimo perimeteru siete organizácie je obzvlášť náročná.

Účinná ochrana sa preto musí zamerať na prevenciu a detekciu odchádzajúceho sieťového prevádzky v kontexte známych nástrojov C2 a profilov ransomware C2. Úspešné riešenia musia riešiť tento problém na úrovni siete, vrátane analýzy šifrovaného prevádzky, vzhľadom na široké používanie protokolu HTTPS. Zároveň musia byť nezávislé od mechanizmov zabezpečenia obvodu, ktoré zvyčajne nie sú schopné adekvátne chrániť vzdialených pracovníkov.

Stanovovanie nového štandardu v oblasti ochrany sietí

Aby overil odolnosť tejto kľúčovej druhej línie obrany, Bitdefender sa nedávno zúčastnil certifikačného testu NGFW Egress C2, ktorý vykonala organizácia AV-Comparatives. Táto certifikácia sa zameriavala na meranie účinnosti schopnosti produktov zabraňovať a detekovať odchádzajúci sieťový prevádzku. Na tieto vysoko špecifické testy, ktoré AV-Comparatives vykonáva pravidelne, je pozvaných viacero výrobcov, ale certifikáciu získajú len tí, ktorí dosiahnu bezchybné výsledky!

Kľúčové je, že metodika testovania bola navrhnutá tak, aby hodnotila ochranu sieťovej vrstvy izolovane, aby výsledky nezáviseli od tradičných mechanizmov zabraňujúcich spusteniu škodlivého kódu. Spoločnosť AV-Comparatives stanovila prísne parametre certifikačného testu:

• AV, EPP a EDR ako prvá línia obrany neboli zahrnuté do rozsahu hodnotenia.

• Moduly alebo funkcie súvisiace s ochranou koncových bodov nesmeli byť aktivované.

• Funkcie prevencie alebo detekcie malvéru založené na podpisoch alebo správaní museli zostať deaktivované.

Testovaným produktom bol Bitdefender GravityZone Business Security Enterprise 7.9. V súlade s pravidlami stanovenými spoločnosťou AV-Comparatives boli deaktivované všetky súvisiace technológie detekcie a ochrany, vrátane Antimalware, Sandbox Analyzer, Exchange Protection, Antispam, Incident Sensor a ochrany proti bezsúborovým útokom.

JJedinou technológiou, ktorá mohla byť aktívna, bola Network Attack Defence (ochrana proti sieťovým útokom) a všetky zistené aktivity boli nastavené na blokovanie. Vďaka spracovaniu v reálnom čase poskytuje NAD nepretržitú kontrolu sieťového prevádzky. Jeho prevádzkový stav je určený konfiguráciou nasadenia: inline integrácia v rámci Bitdefender Endpoint Security (dostupné pre Windows, macOS alebo Linux), režim tap pre sieťové skenovanie Bitdefender XDR alebo režim PCAP pre zachytávanie paketov na následnú analýzu. Pre tento test bola NAD prevádzkovaná v inline režime ako súčasť Bitdefender Endpoint Security.

Obrázok 2: GravityZone Network Attack Defence je navrhnutý tak, aby zabránil pokročilým technikám sieťových útokov bez ohľadu na sieťové pripojenie.

Konfigurácia, ktorá izolovala iba funkcie ochrany siete, znamenala, že riešenie bolo testované výlučne na jeho schopnosť detekovať a blokovať komunikáciu C2 na základe charakteristík sieťového prevádzky, bez ohľadu na to, či bola počiatočná infekcia úspešne spustená.

Na získanie certifikácie AV-Comparatives NGFW Egress C2 musel produkt počas testu blokovať všetky scenáre škodlivého prevádzky. Bitdefender GravityZone Business Security Enterprise úspešne splnil certifikačné požiadavky blokovaním všetkej škodlivej prevádzky použitej v tomto teste.

To zahŕňalo blokovanie rôznych profilov HTTP príkazového a kontrolného prevádzky, ako napríklad Meterpreter, Emotet, Trickbot, Havex, Gandcrab a Bazarloader. V testovacích prípadoch s Gandcrabom a Bazarloaderom bolo spočiatku možné vytvoriť stabilný kanál C2. Avšak aj v týchto prípadoch bola všetka komunikácia po zneužití úspešne blokovaná sieťovou ochranou Bitdefender.

GravityZone potvrdzuje svoju jedinečnosť

GravityZone bol jediným produktom, ktorý v tohtoročnom špecializovanom hodnotení získal certifikát AV-Comparatives. Technológia GravityZone Network Attack Defense jednostranne zabraňuje stabilným kanálom C2 a blokuje následnú komunikáciu po zneužití – aj v prípadoch, keď boli všetky ostatné ochrany koncových bodov úmyselne deaktivované.

Tieto nezávislé výsledky testov poskytujú istotu, že kritické aktíva organizácie zostanú chránené aj pred pokročilými hrozbami, ktoré sú navrhnuté tak, aby obišli viacero vrstiev počiatočnej ochrany. Toto izolované overenie potvrdzuje, že prevencia C2 na úrovni siete funguje ako robustný a nevyhnutný ochranný mechanizmus proti novým hrozbám v dnešných distribuovaných IT prostrediach.

Kompletný certifikačný test AV-Comparatives NGFW Egress C2 Certification Test nájdete na oficiálnej webovej stránke AV-Comparatives.: NGFW Egress C2 Certification - Bitdefender GravityZone Business Security Enterprise - AV-Comparatives