AV-Comparatives hat die Ergebnisse seines Anti-Manipulations-Schutztest „Anti-Tampering Certification Test“ veröffentlicht, der zeigt, ob sich Endpoint-Lösungen gegen Manipulationen verteidigen: Mit dabei CrowdStrike, ESET, Kaspersky und Palo Alto Networks.
Bei dem Test wird versucht, User- und Kernel-Space-Komponenten von Endpoint-Lösungen zu deaktivieren oder zu modifizieren, um ihre Anti-Manipulations-Eigenschaften zu bewerten. Der Test bewertet, ob es möglich ist, AV/EPP/EDR-Komponenten oder -Funktionen durch Manipulation zu deaktivieren oder zu verändern, wobei alle Tampering-Aktivitäten (Manipulation) im Windows-Nutzerbereich durchgeführt wurden. Mit im Test sind folgende Produkte.
- CrowdStrike Falcon Enterprise
- ESET PROTECT Entry
- Kaspersky Endpoint Security für Business
- Palo Alto Networks Cortex XDR Prevent
Manipulation: Was gilt es abzuwehren?
Um von AV-Comparatives als Anti-Tampering-Schutz zugelassen zu werden, müssen alle Manipulationsversuche, die während des Tests durchgeführt werden, verhindert werden. Mit verschiedenen Tests, Werkzeugen und Verfahren versuchen die Tester, in die Endpoint-Lösungen einzudringen bzw. zu testen die Manipulationssicherheit jedes Produkts zu durchdringen/zu testen. Es wird versucht, die wichtigsten Funktionen im Rahmen der Prävention zu deaktivieren, indem verschiedene diverse Komponenten des jeweiligen Produkts beeinflusst werden.
- Test 1: Erfolgreich geschützt gegen Manipulationsangriffe die zu einer vorübergehenden oder dauerhaften und teilweisen oder vollständigen Deaktivierung der EDR-Funktionalität führen könnten, war nicht möglich.
Die folgenden Komponenten oder Kategorien wurden gegen Manipulationsangriffe getestet, die dazu führen könnten zu einem dauerhaften, vorübergehenden, teilweisen oder vollständigen Verlust der Produktfunktionalität führen könnten:
- User-Space-Prozesse, einschließlich Threads und Handles (Beenden, Anhalten usw.)
- Dienste im Benutzerbereich (Anhalten, Stoppen, Deaktivieren, Deinstallieren, usw.)
- Registrierungsschlüssel (löschen, entfernen, umbenennen, hinzufügen, usw.)
- DLLs (Manipulation, Modifikation, Hijacking, usw.)
- Agentenintegrität (deaktivieren, ändern, deinstallieren usw.)
- Dateisystem (Manipulation, Änderung usw.)
- Kernel-Treiber (ELAM-Treiber, Filter-Treiber, Minifilter-Treiber, etc.)
- Andere Komponenten und Funktionen (z. B. Verbindung zu Aktualisierungsdiensten, usw.)
Alle 4 Produkte CrowdStrike Falcon Enterprise, ESET PROTECT Entry, Kaspersky Endpoint Security für Business und Palo Alto Networks Cortex XDR Prevent haben den Test erfolgreich bestanden und erhalten von AV-Comparatives das Zertifikat „Approved Anti Tempering 2023“.
Mehr bei AV-Comparatives.org
Über AV-Comparatives AV-Comparatives ist ein unabhängiges AV-Testlabor mit Sitz in Innsbruck, Österreich, und testet seit 2004 öffentlich Computer Security-Software. Es ist nach ISO 9001:2015 für den Bereich „Unabhängige Tests von Anti-Virus Software“ zertifiziert. Außerdem besitzt es die EICAR-Zertifizierung als „Trusted IT-Security Testing Lab“.