AV-Comparatives ha pubblicato i risultati del suo test di protezione anti-manomissione "Anti-Tampering Certification Test", che mostra se le soluzioni endpoint si difendono da manomissioni: CrowdStrike, ESET, Kaspersky e Palo Alto Networks.
Il test tenta di disabilitare o modificare i componenti spazio utente e kernel delle soluzioni endpoint per valutarne le proprietà anti-manomissione. Il test valuta se è possibile disabilitare o modificare componenti o funzioni AV/EPP/EDR attraverso la manipolazione, con tutte le attività di manomissione (manipolazione) eseguite nell'area utente di Windows. I seguenti prodotti sono inclusi nel test.
- Folla Strike Falcon Enterprise
- Entrata ESET PROTECT
- Kaspersky Endpoint Security for Business
- Prevenzione Cortex XDR di Palo Alto Networks
Manipolazione: da cosa bisogna difendersi?
Per essere approvato da AV-Comparatives come protezione antimanomissione, tutti i tentativi di manomissione effettuati durante il test devono essere prevenuti. Con vari test, strumenti e procedure, i tester cercano di penetrare le soluzioni endpoint o testare la sicurezza di manipolazione di ciascun prodotto. Vengono fatti tentativi per disabilitare le funzioni più importanti come parte della prevenzione influenzando vari componenti diversi del rispettivo prodotto.
- Test 1: Non è stato possibile proteggersi con successo da attacchi di manipolazione che potrebbero portare a una disattivazione temporanea o permanente e parziale o completa della funzionalità EDR.
I seguenti componenti o categorie sono stati testati contro attacchi di manomissione che potrebbero comportare la perdita permanente, temporanea, parziale o totale della funzionalità del prodotto:
- Processi dello spazio utente, inclusi thread e handle (terminare, sospendere, ecc.)
- Servizi nello spazio utente (pausa, arresto, disabilitazione, disinstallazione, ecc.)
- Chiavi di registro (cancella, rimuovi, rinomina, aggiungi, ecc.)
- DLL (manipolazione, modifica, dirottamento, ecc.)
- Integrità dell'agente (disabilita, modifica, disinstalla, ecc.)
- File system (manipolazione, modifica, ecc.)
- Driver del kernel (driver ELAM, driver filtro, driver minifiltro, ecc.)
- Altri componenti e funzioni (es. connessione a servizi di aggiornamento, ecc.)
Tutti e 4 i prodotti CrowdStrike Falcon Enterprise, ESET PROTECT Entry, Kaspersky Endpoint Security for Business e Palo Alto Networks Cortex XDR Prevent hanno superato con successo il test e hanno ricevuto il certificato "Approved Anti Tempering 2023" da AV-Comparatives.
Altro su AV-Comparatives.org
Informazioni sui comparativi AV AV-Comparatives è un laboratorio di test AV indipendente con sede a Innsbruck, in Austria, che testa pubblicamente software di sicurezza informatica dal 2004. È certificato ISO 9001:2015 per il test del software antivirus indipendente. Ha anche la certificazione EICAR come "Trusted IT Security Testing Lab".