Les groupes APT utilisent de nombreuses tactiques d'attaque différentes. AV-TEST a attaqué les produits de sécurité pour les entreprises dans 10 scénarios actuellement utilisés avec les techniques ".Net Reflective Assembly loading", ".Net Dynamic P/Invoke" et "AMSI Bypass". Seule la moitié des produits examinés ont pu résister à 100 % de toutes les attaques.
Les tests Advanced Threat Protection sont spécifiques, mais ils testent à plusieurs reprises les logiciels de protection contre les dernières techniques d'attaque des groupes APT. Comme le ".Net Reflective Assembly loading", une technique utilisée dans sa forme de base dans les attaques de Cobalt Strike, Cuba ou Lazarus. Mais les techniques ".Net Dynamic P/Invoke" et "AMSI-Bypass" sont également populaires pour les attaques actuelles avec ransomware.
Après une attaque réussie, les systèmes sont cryptés et l'extorsion par les groupes APT commence. Sauf si : les produits de protection pour les particuliers et les entreprises reconnaissent les techniques d'attaque utilisées, arrêtent l'attaque et liquident le ransomware.
Test avancé : des solutions pour les entreprises
Les produits d'AhnLab, Bitdefender (2 versions), Check Point, G DATA, Kaspersky (2 versions), Microsoft, Sangfor, Symantec, Trellix, VMware, WithSecure et Xcitium font face au test étendu des solutions de sécurité des terminaux pour les entreprises.
Chaque produit doit reconnaître la technique d'attaque et repousser le ransomware dans 10 scénarios. Le laboratoire attribue 3 points pour chaque soutenance complète. Les produits de Bitdefender (versions Endpoint et Ultra), Check Point, G DATA, Kaspersky (versions Endpoint et Small Office Security) et Xcitium brillent par une détection sans erreur de toutes les attaques et une défense contre les ransomwares. Pour leurs performances, ces produits reçoivent 30 points pour le score de protection.
Détection Oui - arrêt uniquement sous condition
Bien que Symantec et Microsoft reconnaissent également les 10 scénarios d'attaque, ils ont un problème dans un cas : ils reconnaissent l'attaque ainsi que le ransomware. Ils initient même tous les deux de nouvelles mesures contre l'attaque. Mais au final, Symantec crypte les fichiers individuels et Microsoft crypte même l'ensemble du système. Cela donne à Symantec 29 points et Microsoft 28,5 points pour le score de protection.
Après cela, le champ s'affaiblit : AhnLab, Sangfor et WithSecure ont tous le même problème. Dans un cas, ils ne reconnaissent ni la technique d'attaque ni le rançongiciel. Enfin, le système est crypté et tous les produits perdent la totalité des 3 points pour un cas : 27 points chacun pour le score de protection. Les autres solutions de terminaux de Trellix et VMware n'obtiennent respectivement que 24 et 22,5 points.
Plus sur AV-TEST.org
À propos du TEST AV AV-TEST GmbH est un fournisseur indépendant de services dans le domaine de la sécurité informatique et de la recherche antivirus, qui se concentre sur l'identification et l'analyse des derniers logiciels malveillants et leur utilisation dans des tests comparatifs complets. L'actualité des données de test permet l'analyse rapide des nouveaux logiciels malveillants, la détection précoce des tendances virales et l'examen et la certification des solutions de sécurité informatique. Les résultats de l'Institut AV-TEST représentent une base d'informations exclusive et servent aux fabricants pour l'optimisation des produits, aux magazines spécialisés pour la publication des résultats et aux clients finaux pour l'orientation lors de la sélection des produits.
La société AV-TEST est active à Magdebourg depuis 2004 et emploie plus de 30 personnes avec une expérience professionnelle et pratique approfondie. Les laboratoires sont équipés de 300 systèmes client et serveur dans lesquels plus de 2.500 XNUMX téraoctets de données de test autodéterminées d'informations dangereuses et non dangereuses sont stockées et traitées. Visitez https://www.av-test.org pour plus d'informations.