実際の攻撃シナリオを使用したテストでは、個人ユーザーと企業向けの 26 の保護ソリューションが AV-TEST ラボでのパフォーマンスを実証しています。 ラボでは一連の Advanced Threat Protection テストで、製品がランサムウェアからどの程度保護されているかを調べます。
暗号化に至るまで、マルウェア攻撃のすべてのステップが記録され、評価されます。 多くのソリューションは、ランサムウェアに対する保護を提供するという約束を果たします。 しかし、すべてのソリューションが優れたパフォーマンスを発揮するわけではありません。
ランサムウェア - 21 世紀の疫病
ランサムウェアは、間違いなく 21 世紀のペストです。 部分的または完全に成功した攻撃に関するメディアのレポートは、止めようとはしません。 興味深いソフォスの調査「The State of Ransomware 2022」も、この感覚が欺瞞ではないことを示しています。 この調査から得られた最初のポイントの 66 つは、「ランサムウェア攻撃がより蔓延しています。2021 年の 37% から、2020 年には調査対象の組織の XNUMX% がランサムウェアの被害を受けました。」
Advanced Threat Protection テストで 26 製品
Advanced Threat Protection テストは、製品が実際のシナリオでランサムウェアからどれだけ安全に保護されるかについて、メーカーとユーザーに重要な洞察を提供します。 14 のエンタープライズ セキュリティ ソリューションと 12 のエンド ユーザー製品がテストに参加しました。 エンドユーザー製品のメーカーは、Avast、AVG、Bitdefender、F-Secure、G DATA、K7 Computing、Kaspersky、Microsoft、Microworld、NortonLifeLock、PC Matic、および VIPRE Security です。
企業向けソリューションには、Acronis、Avast、Bitdefender (XNUMX つのバージョン)、Comodo、F-Secure、G DATA、Kaspersky (XNUMX つのバージョン)、Microsoft、Seqrite、Symantec、Trellix、および VMware の製品が含まれます。
すべての製品は、Windows 10 での 10 の実際のシナリオでランサムウェアに合格する必要があります。 たとえば、アーカイブにマルウェアが隠されているファイル、スクリプトを含む Powerpoint ファイル、または危険なコンテンツを含む HTML ファイルが使用されます。 「テスト シナリオ」の 10 個の図には、攻撃の種類とその各ステップが一覧表示されています。 ラボでは、MITRE ATT&CK 技術コードの定義も提供しています。 このラボでは、すでに公開されている記事「新しい防御: APT およびランサムウェア攻撃に対するテストにおける EPP と EDR」に関心のある人向けに、Advanced Threat Protection テストの正確な技術的手順についても説明しています。
企業:ランサムウェアによるライブ攻撃テスト
このラボでは、14 の実世界のランサムウェア シナリオで 10 のエンタープライズ ネットワーク保護ソリューションをテストします。 このテストでは、10 個の定義済みシナリオが使用されます。 主な攻撃ベクトルは、悪意のあるファイルが添付された電子メールです。 添付ファイルには常に危険な攻撃者が含まれています。たとえば、スクリプトを含む Office ファイルの形式で、PowerShell などを介してさらに手順を実行します。
テストでは、すべての製品が例外なく最初のステップ (初期アクセスまたは実行) で攻撃者を認識します。 ただし、攻撃が認識され、完全にブロックされたのは 10 製品中 14 製品のみでした。 最終結果は、10 点満点の 40 社の製品です。 続いて Symantec が 39,5 ポイント、Seqrite と VMware がそれぞれ 39 ポイント、Trellix が 36,5 ポイントで続きます。
ホーム ユーザー: ランサムウェアによるライブ攻撃テスト
テストでは、12 のエンドユーザー製品が実験室の専門家の試験に直面します。 すべての製品は、異なる攻撃パスを持つ 10 のシナリオで自らを主張する必要があります。 すべての攻撃で、ユーザーは添付ファイル付きの電子メールを受け取ります。 これは、感染した Powerpoint、スクリプト、またはマルウェアに圧縮されたアーカイブなど、あらゆる場合に危険です。 このテストは、攻撃者が最初のステップ (最初のアクセスまたは実行) を行うとすぐに、すべての製品が攻撃者を認識することを示しています。 11 個の保護パッケージのうち 12 個も、この時点でそれ以上の攻撃の実行を停止するため、40 ポイントの完全な評価を受けます。 K7 Computing だけに問題があります。攻撃は認識されますが、シナリオ 6 のさらに進んだ過程で、攻撃者はなんとかファイルを作成します。 これが無害でも0,5点の減点があります。
AV-TEST.org の詳細
AVテストについて AV-TEST GmbH は、最新のマルウェアの特定と分析、および包括的な比較テストでの使用に重点を置いた、IT セキュリティおよびウイルス対策研究の分野におけるサービスの独立プロバイダーです。 最新のテスト データにより、新しいマルウェアの迅速な分析、ウイルスの傾向の早期検出、および IT セキュリティ ソリューションの検査と認証が可能になります。 AV-TEST Institute の結果は、独占的な情報ベースであり、製品の最適化のためのメーカー、結果の公開のための専門誌、および製品を選択する際のオリエンテーションのための最終顧客に役立ちます。
AV-TEST 社は 2004 年からマクデブルクで事業を展開しており、30 人以上の従業員が深い技術的および実践的経験を持っています。 ラボには 300 台のクライアント システムとサーバー システムが装備されており、2.500 テラバイトを超える自己決定された有害および非危険情報のテスト データが保存および処理されます。 詳細については、https://www.av-test.org をご覧ください。