I gruppi APT usano molte tattiche di attacco differenti. AV-TEST ha attaccato i prodotti di sicurezza per le aziende in 10 scenari attualmente utilizzati con le tecniche ".Net Reflective Assembly loading", ".Net Dynamic P/Invoke" e "AMSI Bypass". Solo la metà dei prodotti esaminati è stata in grado di resistere al 100% di tutti gli attacchi.
I test Advanced Threat Protection sono specifici, ma testano ripetutamente il software di protezione contro le più recenti tecniche di attacco dei gruppi APT. Come ".Net Reflective Assembly loading", una tecnica utilizzata nella sua forma base negli attacchi di Cobalt Strike, Cuba o Lazarus. Ma anche le tecniche ".Net Dynamic P/Invoke" e "AMSI-Bypass" sono popolari per gli attuali attacchi con ransomware.
🔎 Solo 7 delle 14 soluzioni endpoint testate possono difendersi dall'ultimo ransomware senza errori (Immagine: AV-TEST).
Dopo un attacco riuscito, i sistemi vengono crittografati e inizia l'estorsione da parte dei gruppi APT. A meno che: i prodotti di protezione per utenti privati e aziende riconoscano le tecniche di attacco utilizzate, fermino l'attacco e liquidino il ransomware.
Test avanzato: soluzioni per le aziende
I prodotti di AhnLab, Bitdefender (2 versioni), Check Point, G DATA, Kaspersky (2 versioni), Microsoft, Sangfor, Symantec, Trellix, VMware, WithSecure e Xcitium affrontano il test esteso delle soluzioni di sicurezza degli endpoint per le aziende.
Ogni prodotto deve riconoscere la tecnica di attacco e respingere il ransomware in 10 scenari. Il laboratorio assegna 3 punti per ogni difesa completa. I prodotti di Bitdefender (versioni Endpoint e Ultra), Check Point, G DATA, Kaspersky (versioni Endpoint e Small Office Security) e Xcitium si distinguono per il rilevamento senza errori di tutti gli attacchi e la difesa contro il ransomware. Per le loro prestazioni, questi prodotti ricevono 30 punti per il punteggio di protezione.
Rilevamento Sì - arresto solo condizionale
Sebbene anche Symantec e Microsoft riconoscano tutti e 10 gli scenari di attacco, hanno un problema in un caso: riconoscono l'attacco e anche il ransomware. Entrambi iniziano anche ulteriori passi contro l'attacco. Ma alla fine, Symantec crittografa i singoli file e Microsoft crittografa persino l'intero sistema. Questo dà a Symantec 29 punti ea Microsoft 28,5 punti per il punteggio di protezione.
Dopodiché, il campo si indebolisce: AhnLab, Sangfor e WithSecure hanno tutti lo stesso problema. In un caso, non riconoscono né la tecnica di attacco né il ransomware. Infine, il sistema viene crittografato e tutti i prodotti perdono tutti i 3 punti per caso: 27 punti ciascuno per il punteggio di protezione. Le altre soluzioni endpoint di Trellix e VMware ottengono rispettivamente solo 24 e 22,5 punti.
Altro su AV-TEST.org
Informazioni sul TEST AV AV-TEST GmbH è un fornitore indipendente di servizi nel campo della sicurezza informatica e della ricerca antivirus con particolare attenzione all'identificazione e all'analisi del malware più recente e al suo utilizzo in test comparativi completi. L'attualità dei dati di test consente l'analisi rapida di nuovi malware, il rilevamento tempestivo delle tendenze dei virus e l'esame e la certificazione delle soluzioni di sicurezza IT. I risultati dell'Istituto AV-TEST rappresentano una base di informazioni esclusiva e servono i produttori per l'ottimizzazione dei prodotti, le riviste specializzate per la pubblicazione dei risultati e i clienti finali per l'orientamento nella scelta dei prodotti.
La società AV-TEST opera a Magdeburgo dal 2004 e impiega più di 30 persone con una profonda esperienza tecnica e pratica. I laboratori sono dotati di 300 sistemi client e server in cui vengono archiviati ed elaborati oltre 2.500 terabyte di dati di test autodeterminati di informazioni dannose e non pericolose. Visita https://www.av-test.org per ulteriori informazioni.