AV-Comparatives は、CrowdStrike、ESET、Kaspersky、Palo Alto Networks のエンドポイント ソリューションが改ざんから身を守るかどうかを示す、改ざん防止保護テスト「Anti-Tampering Certification Test」の結果を公開しました。
このテストでは、エンドポイント ソリューションのユーザーおよびカーネル空間コンポーネントを無効化または変更して、耐改ざん特性を評価します。 このテストでは、Windows ユーザー領域で実行されるすべての改ざんアクティビティ (操作) を使用して、操作を通じて AV/EPP/EDR コンポーネントまたは機能を無効化または変更できるかどうかを評価します。 以下の製品がテスト対象となります。
- クラウドストライクファルコンエンタープライズ
- ESET PROTECTエントリー
- Kaspersky Endpoint Security for Business
- パロアルトネットワーク Cortex XDR Prevent
操作: 何を防御する必要があるか?
AV-Comparatives によって改ざん防止保護として承認されるには、テスト中に行われるすべての改ざんの試みを防止する必要があります。 テスターは、さまざまなテスト、ツール、手順を使用して、エンドポイント ソリューションに侵入したり、各製品の操作セキュリティをテストしたりしようとします。 それぞれの製品のさまざまなコンポーネントに影響を与えることで、予防の範囲内で最も重要な機能を無効にする試みが行われます。
- テスト 1: EDR 機能の一時的または永続的、部分的または完全な非アクティブ化につながる可能性のある操作攻撃から正常に保護されましたが、不可能でした。
次のコンポーネントまたはカテゴリは、製品の機能の永続的、一時的、部分的、または全体的な損失を引き起こす可能性のある改ざん攻撃に対してテストされています。
- スレッドおよびハンドル (終了、一時停止など) を含むユーザー空間プロセス
- ユーザー空間のサービス (一時停止、停止、無効化、アンインストールなど)
- レジストリ キー (削除、削除、名前変更、追加など)
- DLL (操作、変更、ハイジャックなど)
- エージェントの整合性 (無効化、変更、アンインストールなど)
- ファイルシステム(操作、変更など)
- カーネル ドライバー (ELAM ドライバー、フィルター ドライバー、ミニフィルター ドライバーなど)
- その他のコンポーネントと機能 (例: サービスを更新するための接続など)
CrowdStrike Falcon Enterprise、ESET PROTECT Entry、Kaspersky Endpoint Security for Business、および Palo Alto Networks Cortex XDR Prevent の 4 つの製品すべてがテストに合格し、AV-Comparatives から「Approved Anti Tempering 2023」証明書を受け取りました。
AV-Comparatives.org の詳細
AV比較について AV-Comparatives は、オーストリアのインスブルックに本拠を置く独立した AV テスト ラボであり、2004 年からコンピューター セキュリティ ソフトウェアの公開テストを行っています。 独立したウイルス対策ソフトウェア テストの ISO 9001:2015 認定を受けています。 また、「Trusted IT Security Testing Lab」として EICAR 認定を受けています。