Nach Abschluss umfangreicher Tests veröffentlicht AV-TEST heute den ersten Prüfbericht von Endpoint Protection Platformen – EPP und Endpoint Detection & Response-Produkten – kurz EDR. Der Fokus lag auf der Erkennung und Abwehr von APT-Angriffen, bei denen Ransomware zum Einsatz kommt.
Sicherheitslecks wie die jüngst bekanntgewordene Microsoft Exchange-Lücke verdeutlichen die Gefahren, die Unternehmen, Behörden und kritische Infrastruktur weltweit bedrohen. Nur wenige Tage dauerte es, bis nach Bekanntwerden des Massen-Hacks durch Hafnium mit DearCry auch schon die erste Ransomware zum Ausnutzen der Exchange-Lücke in Umlauf war.
9 Endpoint-Lösungen auf dem Prüfstand
Die von den Experten des AV-TEST Instituts entwickelten Advanced EPP- & EDR-Tests folgen dezidierten Angriffsszenarien nach der MITRE ATT&CK Matrix. In den Labors des IT-Sicherheitsinstituts standen insgesamt 9 Sicherheitslösungen auf dem Prüfstand.
Die folgenden 6 EPP-Produkte (Endpoint Protection Platform) wurden getestet
AhnLab V3 Endpoint Security
Avast Premium Security
Avira Antivirus Security
Bitdefender Endpoint Security Tools
G DATA Security Client
McAfee Endpoint Security
Alle Produkte erhalten das Zertifikat “Approved Endpoint Protection” für Windows
Die folgenden 3 EDR-Lösungen (Endpoint Detection & Response) wurden geprüft
Bitdefender Endpoint Security Tools
McAfee Agent
VMware Carbon Black Cloud
Alle Produkte erhalten das Zertifikat “Approved Endpoint Detection & Response” für Windows
Dreistufiger Testaufbau
Die Überprüfung der Erkennungs- und Abwehrleistung der getesteten EPP- und EDR-Lösungen erfolgt in einem dreistufigen Aufbau.
1. In der „Attack Simulation“ überprüfen die Tester, wie gut EPP-Lösungen APT-Angriffe unter Einsatz unterschiedlicher Ransomware-Samples erkennen und stoppen können und wie gut EDR-Lösungen diese Angriffe erkennen und melden.
2. Im „Sanity Check“ müssen die überprüften EPP-Lösungen bei false-positive Checks unter Beweis stellen, ob sie in der Lage sind, normales Nutzerverhalten von erkannten Angriffsmustern zu unterscheiden oder es fälschlicherweise blockieren. Dabei wird überprüft, ob das System in seiner Bedienbarkeit eingeschränkt ist, wobei die Tester sowohl die Benutzer- als auch die Admin-Ansicht nach folgenden Schemata testen
3. Im „Noise-Check“ wird überprüft, welche normalen Aktionen (Techniken), die wiederum von Angreifern missbraucht werden können, durchführbar sind und von den EDR-Lösungen protokolliert werden. Dabei werden vor allem solche Techniken eingesetzt, die auch im Rahmen der getesteten Angriffe zum Einsatz kommen (z. B. Entpacken eines Archivs mit Hilfe der GUI).
Über AV-TEST
Die AV-TEST GmbH ist ein unabhängiger Anbieter für Services im Bereich IT-Sicherheit und Anti-Viren-Forschung mit Fokussierung auf die Ermittlung und Analyse der neuesten Schadsoftware und deren Einsatz in umfassenden Vergleichstests.
Die Aktualität der Testdaten ermöglicht die reaktionsschnelle Analyse neuer Schädlinge, die Früherkennung von Trends im Viren-Bereich sowie die Untersuchung und Zertifizierung von IT-Sicherheitslösungen. Die Ergebnisse des AV-TEST Institutes stellen ein exklusives Informations-Fundament dar und dienen Herstellern zur Produktoptimierung, Fachmagazinen zur Ergebnis-Publikationen und Endkunden zur Orientierung bei der Produktauswahl.
Das Unternehmen AV-TEST agiert seit 2004 in Magdeburg und beschäftigt mehr als 30 Mitarbeiter mit profunder Fach- und Praxiserfahrung. Die Labore sind mit 300 Client- und Serversystemen ausgestattet, in denen mehr als 2.500 Terabyte an selbst ermittelten Testdaten schädlicher sowie ungefährlicher Informationen gespeichert und verarbeitet werden. Weitere Informationen finden Sie unter https://www.av-test.org.
Unternehmen benötigen eine Lösung für Backup, Disaster-Recovery, Archivierung und auch für ihre kalten Daten. Sechs Fragen, sechs Antworten von Hannes ➡ Weiterlesen
Im Rahmen der Operation „Africa Cyber Surge II“ unterstützte Kaspersky INTERPOL mit der Bereitstellung von Threat-Intelligence-Daten. Dadurch konnten die Ermittler, ➡ Weiterlesen
Der Security Anbieter Wiz hat beim stöbern im KI-GitHub-Repository von Microsoft 38 TByte an Daten gefunden samt 30.000 internen Teams-Nachrichten. ➡ Weiterlesen
Double-Extortion-Angriffe nehmen zu: Bei der Attacke werden nicht nur die Daten verschlüsselt und ein Lösegeld erpresst, sondern auch noch Daten ➡ Weiterlesen
KI-gestützte Wiederherstellung hilft Security-Teams, Warnungen über Schwachstellen schneller zu verarbeiten und vereinfacht ihre Zusammenarbeit mit Entwicklungsteams. Aqua Security, der Pionier ➡ Weiterlesen
Kriminelle nutzen mittlerweile KI, um ihre Ransomware-Angriffe noch effizienter zu machen. Betrachtet man die neuesten Entwicklungen, ist keine Entwarnung in ➡ Weiterlesen
Das vor kurzem veröffentlichte Bundeslagebild Cybercrime 2022 des BKA zeigt wieder teils erschütternde Fakten. Zwar waren die registrierten Fälle rückläufig, ➡ Weiterlesen