Dopo aver completato test approfonditi, AV-TEST pubblica oggi il primo rapporto di prova delle piattaforme di protezione degli endpoint - prodotti EPP e Endpoint Detection & Response - EDR in breve. L'obiettivo era rilevare e difendersi dagli attacchi APT tramite ransomware.
Fughe di sicurezza come la vulnerabilità di Microsoft Exchange, recentemente resa pubblica, illustrano i pericoli che minacciano aziende, agenzie governative e infrastrutture critiche in tutto il mondo. Ci sono voluti solo pochi giorni dopo che l'hack di massa di Hafnium è diventato noto prima che DearCry, il primo ransomware a sfruttare la vulnerabilità di Exchange, fosse già in circolazione.
9 soluzioni endpoint messe alla prova
I test avanzati EPP & EDR sviluppati dagli esperti dell'AV-TEST Institute seguono scenari di attacco dedicati basati sulla matrice MITRE ATT&CK. Un totale di 9 soluzioni di sicurezza sono state messe alla prova nei laboratori dell'istituto di sicurezza IT.
Sono stati testati i seguenti 6 prodotti EPP (Endpoint Protection Platform).
- Sicurezza degli endpoint AhnLab V3
- Avast Premium Sicurezza
- Avira Antivirus Security
- Strumenti per la sicurezza di Bitdefender Endpoint
- Cliente di sicurezza G DATA
- McAfee Endpoint Security
Tutti i prodotti ricevono il certificato "Approved Endpoint Protection" per Windows
Sono state valutate le seguenti 3 soluzioni EDR (Endpoint Detection & Response).
- Strumenti per la sicurezza di Bitdefender Endpoint
- Agente McAfee
- VMware Carbon Black Cloud
Tutti i prodotti ricevono il certificato "Approved Endpoint Detection & Response" per Windows
Configurazione del test in tre fasi
La verifica delle prestazioni di rilevamento e difesa delle soluzioni EPP ed EDR testate avviene in una struttura a tre fasi.
1. Nella simulazione di attacco i tester controllano quanto bene le soluzioni EPP possono rilevare e fermare gli attacchi APT utilizzando diversi campioni di ransomware e quanto bene le soluzioni EDR possono rilevare e segnalare questi attacchi.
2. Nel "controllo di sanità mentale" In caso di controlli falsi positivi, le soluzioni EPP verificate devono dimostrare se sono in grado di distinguere il normale comportamento dell'utente dai modelli di attacco riconosciuti o se lo bloccano in modo errato. Viene verificato se il sistema è limitato nella sua usabilità, con i tester che testano sia la vista dell'utente che quella dell'amministratore secondo i seguenti schemi
3. Nel "controllo del rumore" viene verificato quali azioni normali (tecniche), che a loro volta possono essere utilizzate in modo improprio dagli aggressori, possono essere eseguite e vengono registrate dalle soluzioni EDR. Vengono utilizzate soprattutto quelle tecniche che vengono utilizzate anche negli attacchi testati (ad es. decompressione di un archivio con l'aiuto della GUI).
Altro su AV-TEST.org
Informazioni sul TEST AV AV-TEST GmbH è un fornitore indipendente di servizi nel campo della sicurezza informatica e della ricerca antivirus con particolare attenzione all'identificazione e all'analisi del malware più recente e al suo utilizzo in test comparativi completi. L'attualità dei dati di test consente l'analisi rapida di nuovi malware, il rilevamento tempestivo delle tendenze dei virus e l'esame e la certificazione delle soluzioni di sicurezza IT. I risultati dell'Istituto AV-TEST rappresentano una base di informazioni esclusiva e servono i produttori per l'ottimizzazione dei prodotti, le riviste specializzate per la pubblicazione dei risultati e i clienti finali per l'orientamento nella scelta dei prodotti.
La società AV-TEST opera a Magdeburgo dal 2004 e impiega più di 30 persone con una profonda esperienza tecnica e pratica. I laboratori sono dotati di 300 sistemi client e server in cui vengono archiviati ed elaborati oltre 2.500 terabyte di dati di test autodeterminati di informazioni dannose e non pericolose. Visita https://www.av-test.org per ulteriori informazioni.