AV-Comparatives ha publicado los resultados de su prueba de protección antimanipulación "Anti-Tampering Certification Test", que muestra si las soluciones de punto final se defienden contra la manipulación: CrowdStrike, ESET, Kaspersky y Palo Alto Networks.
La prueba intenta deshabilitar o modificar los componentes del espacio del kernel y del usuario de las soluciones de punto final para evaluar sus propiedades antimanipulación. La prueba evalúa si es posible deshabilitar o cambiar componentes o funciones AV/EPP/EDR a través de la manipulación, con todas las actividades de manipulación (manipulación) realizadas en el área de usuario de Windows. Los siguientes productos están incluidos en la prueba.
- Multitud Strike Falcon Enterprise
- Entrada ESET PROTECT
- Kaspersky Endpoint Security para empresas
- Palo Alto Networks Cortex XDR Prevención
Manipulación: ¿de qué hay que defenderse?
Para ser aprobado por AV-Comparatives como protección contra la manipulación, se deben evitar todos los intentos de manipulación realizados durante la prueba. Con varias pruebas, herramientas y procedimientos, los probadores intentan penetrar en las soluciones de punto final o probar la seguridad de manipulación de cada producto. Se intenta desactivar las funciones más importantes dentro del alcance de la prevención afectando a varios componentes diversos del producto respectivo.
- Prueba 1: No fue posible protegerse con éxito contra ataques de manipulación que podrían conducir a una desactivación temporal o permanente y parcial o completa de la funcionalidad EDR.
Los siguientes componentes o categorías han sido probados contra ataques de manipulación que podrían resultar en la pérdida permanente, temporal, parcial o total de la funcionalidad del producto:
- Los procesos del espacio de usuario, incluidos los subprocesos y los identificadores (terminar, suspender, etc.)
- Servicios en el espacio del usuario (pausar, detener, deshabilitar, desinstalar, etc.)
- Claves de registro (eliminar, eliminar, renombrar, agregar, etc.)
- DLLs (manipulación, modificación, secuestro, etc.)
- Integridad del agente (deshabilitar, cambiar, desinstalar, etc.)
- Sistema de archivos (manipulación, modificación, etc.)
- Controladores de kernel (controladores ELAM, controladores de filtro, controladores de minifiltro, etc.)
- Otros componentes y funciones (por ejemplo, conexión a servicios de actualización, etc.)
Los 4 productos CrowdStrike Falcon Enterprise, ESET PROTECT Entry, Kaspersky Endpoint Security for Business y Palo Alto Networks Cortex XDR Prevent pasaron con éxito la prueba y recibieron el certificado "Approved Anti Tempering 2023" de AV-Comparatives.
Más en AV-Comparatives.org
Acerca de AV Comparatives AV-Comparatives es un laboratorio de pruebas AV independiente con sede en Innsbruck, Austria, y ha estado probando públicamente software de seguridad informática desde 2004. Cuenta con la certificación ISO 9001:2015 para pruebas independientes de software antivirus. También cuenta con la certificación EICAR como "Laboratorio de Pruebas de Seguridad TI de Confianza".