Nach Abschluss umfangreicher Tests veröffentlicht AV-TEST heute den ersten Prüfbericht von Endpoint Protection Platformen – EPP und Endpoint Detection & Response-Produkten – kurz EDR. Der Fokus lag auf der Erkennung und Abwehr von APT-Angriffen, bei denen Ransomware zum Einsatz kommt.
Sicherheitslecks wie die jüngst bekanntgewordene Microsoft Exchange-Lücke verdeutlichen die Gefahren, die Unternehmen, Behörden und kritische Infrastruktur weltweit bedrohen. Nur wenige Tage dauerte es, bis nach Bekanntwerden des Massen-Hacks durch Hafnium mit DearCry auch schon die erste Ransomware zum Ausnutzen der Exchange-Lücke in Umlauf war.
9 Endpoint-Lösungen auf dem Prüfstand
Die von den Experten des AV-TEST Instituts entwickelten Advanced EPP- & EDR-Tests folgen dezidierten Angriffsszenarien nach der MITRE ATT&CK Matrix. In den Labors des IT-Sicherheitsinstituts standen insgesamt 9 Sicherheitslösungen auf dem Prüfstand.
Die folgenden 6 EPP-Produkte (Endpoint Protection Platform) wurden getestet
- AhnLab V3 Endpoint Security
- Avast Premium Security
- Avira Antivirus Security
- Bitdefender Endpoint Security Tools
- G DATA Security Client
- McAfee Endpoint Security
Alle Produkte erhalten das Zertifikat „Approved Endpoint Protection“ für Windows
Die folgenden 3 EDR-Lösungen (Endpoint Detection & Response) wurden geprüft
- Bitdefender Endpoint Security Tools
- McAfee Agent
- VMware Carbon Black Cloud
Alle Produkte erhalten das Zertifikat „Approved Endpoint Detection & Response“ für Windows
Dreistufiger Testaufbau
Die Überprüfung der Erkennungs- und Abwehrleistung der getesteten EPP- und EDR-Lösungen erfolgt in einem dreistufigen Aufbau.
1. In der „Attack Simulation“ überprüfen die Tester, wie gut EPP-Lösungen APT-Angriffe unter Einsatz unterschiedlicher Ransomware-Samples erkennen und stoppen können und wie gut EDR-Lösungen diese Angriffe erkennen und melden.
2. Im „Sanity Check“ müssen die überprüften EPP-Lösungen bei false-positive Checks unter Beweis stellen, ob sie in der Lage sind, normales Nutzerverhalten von erkannten Angriffsmustern zu unterscheiden oder es fälschlicherweise blockieren. Dabei wird überprüft, ob das System in seiner Bedienbarkeit eingeschränkt ist, wobei die Tester sowohl die Benutzer- als auch die Admin-Ansicht nach folgenden Schemata testen
3. Im „Noise-Check“ wird überprüft, welche normalen Aktionen (Techniken), die wiederum von Angreifern missbraucht werden können, durchführbar sind und von den EDR-Lösungen protokolliert werden. Dabei werden vor allem solche Techniken eingesetzt, die auch im Rahmen der getesteten Angriffe zum Einsatz kommen (z. B. Entpacken eines Archivs mit Hilfe der GUI).
Mehr bei AV-TEST.org
Über AV-TEST Die AV-TEST GmbH ist ein unabhängiger Anbieter für Services im Bereich IT-Sicherheit und Anti-Viren-Forschung mit Fokussierung auf die Ermittlung und Analyse der neuesten Schadsoftware und deren Einsatz in umfassenden Vergleichstests. Die Aktualität der Testdaten ermöglicht die reaktionsschnelle Analyse neuer Schädlinge, die Früherkennung von Trends im Viren-Bereich sowie die Untersuchung und Zertifizierung von IT-Sicherheitslösungen. Die Ergebnisse des AV-TEST Institutes stellen ein exklusives Informations-Fundament dar und dienen Herstellern zur Produktoptimierung, Fachmagazinen zur Ergebnis-Publikationen und Endkunden zur Orientierung bei der Produktauswahl.
Das Unternehmen AV-TEST agiert seit 2004 in Magdeburg und beschäftigt mehr als 30 Mitarbeiter mit profunder Fach- und Praxiserfahrung. Die Labore sind mit 300 Client- und Serversystemen ausgestattet, in denen mehr als 2.500 Terabyte an selbst ermittelten Testdaten schädlicher sowie ungefährlicher Informationen gespeichert und verarbeitet werden. Weitere Informationen finden Sie unter https://www.av-test.org.