Labor-Test: Endpoint Protection, Detection & Response

Beitrag teilen

Nach Abschluss umfangreicher Tests veröffentlicht AV-TEST heute den ersten Prüfbericht von Endpoint Protection Platformen – EPP und Endpoint Detection & Response-Produkten – kurz EDR. Der Fokus lag auf der Erkennung und Abwehr von APT-Angriffen, bei denen Ransomware zum Einsatz kommt.

Sicherheitslecks wie die jüngst bekanntgewordene Microsoft Exchange-Lücke verdeutlichen die Gefahren, die Unternehmen, Behörden und kritische Infrastruktur weltweit bedrohen. Nur wenige Tage dauerte es, bis nach Bekanntwerden des Massen-Hacks durch Hafnium mit DearCry auch schon die erste Ransomware zum Ausnutzen der Exchange-Lücke in Umlauf war.

Anzeige

9 Endpoint-Lösungen auf dem Prüfstand

Die von den Experten des AV-TEST Instituts entwickelten Advanced EPP- & EDR-Tests folgen dezidierten Angriffsszenarien nach der MITRE ATT&CK Matrix. In den Labors des IT-Sicherheitsinstituts standen insgesamt 9 Sicherheitslösungen auf dem Prüfstand.

AV-Test Endpoint ProtectionDie folgenden 6 EPP-Produkte (Endpoint Protection Platform) wurden getestet

  • AhnLab V3 Endpoint Security
  • Avast Premium Security
  • Avira Antivirus Security
  • Bitdefender Endpoint Security Tools
  • G DATA Security Client
  • McAfee Endpoint Security

Alle Produkte erhalten das Zertifikat „Approved Endpoint Protection“ für Windows

AV-TEST Endpoint Protection & ResponseDie folgenden 3 EDR-Lösungen (Endpoint Detection & Response) wurden geprüft

  • Bitdefender Endpoint Security Tools
  • McAfee Agent
  • VMware Carbon Black Cloud

Alle Produkte erhalten das Zertifikat „Approved Endpoint Detection & Response“ für Windows

Dreistufiger Testaufbau

Die Überprüfung der Erkennungs- und Abwehrleistung der getesteten EPP- und EDR-Lösungen erfolgt in einem dreistufigen Aufbau.

1. In der „Attack Simulation“ überprüfen die Tester, wie gut EPP-Lösungen APT-Angriffe unter Einsatz unterschiedlicher Ransomware-Samples erkennen und stoppen können und wie gut EDR-Lösungen diese Angriffe erkennen und melden.

2. Im „Sanity Check“ müssen die überprüften EPP-Lösungen bei false-positive Checks unter Beweis stellen, ob sie in der Lage sind, normales Nutzerverhalten von erkannten Angriffsmustern zu unterscheiden oder es fälschlicherweise blockieren. Dabei wird überprüft, ob das System in seiner Bedienbarkeit eingeschränkt ist, wobei die Tester sowohl die Benutzer- als auch die Admin-Ansicht nach folgenden Schemata testen

3. Im „Noise-Check“ wird überprüft, welche normalen Aktionen (Techniken), die wiederum von Angreifern missbraucht werden können, durchführbar sind und von den EDR-Lösungen protokolliert werden. Dabei werden vor allem solche Techniken eingesetzt, die auch im Rahmen der getesteten Angriffe zum Einsatz kommen (z. B. Entpacken eines Archivs mit Hilfe der GUI).

Mehr bei AV-TEST.org

 


Über AV-TEST

Die AV-TEST GmbH ist ein unabhängiger Anbieter für Services im Bereich IT-Sicherheit und Anti-Viren-Forschung mit Fokussierung auf die Ermittlung und Analyse der neuesten Schadsoftware und deren Einsatz in umfassenden Vergleichstests. Die Aktualität der Testdaten ermöglicht die reaktionsschnelle Analyse neuer Schädlinge, die Früherkennung von Trends im Viren-Bereich sowie die Untersuchung und Zertifizierung von IT-Sicherheitslösungen. Die Ergebnisse des AV-TEST Institutes stellen ein exklusives Informations-Fundament dar und dienen Herstellern zur Produktoptimierung, Fachmagazinen zur Ergebnis-Publikationen und Endkunden zur Orientierung bei der Produktauswahl.

Das Unternehmen AV-TEST agiert seit 2004 in Magdeburg und beschäftigt mehr als 30 Mitarbeiter mit profunder Fach- und Praxiserfahrung. Die Labore sind mit 300 Client- und Serversystemen ausgestattet, in denen mehr als 2.500 Terabyte an selbst ermittelten Testdaten schädlicher sowie ungefährlicher Informationen gespeichert und verarbeitet werden. Weitere Informationen finden Sie unter https://www.av-test.org.


 

Passende Artikel zum Thema

EMA: Cloud Connector für Microsoft 365

Für die einfachere Anbindung der Datenmanagement- und Archivierungslösung EMA an Microsoft 365 Exchange Online sowie an lokale Exchange-Infrastrukturen ist jetzt ➡ Weiterlesen

Analyse von BSI gelisteter APT-Gruppe Earth Estries

Die vom BSI als in Deutschland aktiv gelistete APT-Gruppe Earth Estries, auch bekannt als Salt Typhoon, FamousSparrow, GhostEmperor und UNC2286, ➡ Weiterlesen

MDR-Kunden erhalten bis zu 1 Million US-Dollar Schadensersatz

Klassische Cyber-Versicherungen gibt es zwar schon länger, aber nicht in dieser Form: Bitdefender-MDR-Kunden erhalten bei Sicherheitsvorfällen mit Folgen für den ➡ Weiterlesen

Ransomware: Typische Angriffsschritte einer Cyberattacke

Nach einer Cyberattacke ist es schwierig, den Angriffshergang zu rekonstruieren. Ein führender Anbieter für Cybersicherheit hat analysiert, in welchen Angriffsschritten ➡ Weiterlesen

XDR: KI-Funktionen erkennen und wehren Bedrohungen ab

Bei der Erkennung und Neutralisierung von Bedrohungen kann für Sicherheitsexperten, darunter auch Managed Service Provider (MSP), jede Minute entscheidend sein. ➡ Weiterlesen

Modulare Speicherlösung – Hochsicher und sofort verfügbar

Hochsichere Speicherlösungen müssen nicht nur höchsten Qualitätsansprüchen genügen, sie müssen schnell arbeiten und so schnell wie möglich verfügbar sein. FAST ➡ Weiterlesen

Netzwerkprobleme fordern Industrieunternehmen heraus

Netzwerkprobleme sind eine häufig auftretende Herausforderung in Industrieunternehmen. 38 Prozent von ihnen sind ein bis drei Mal im Monat davon ➡ Weiterlesen

SIEM-Strategie für moderne Cybersicherheit

Die Bedrohungslage im Cyberraum spitzt sich weiter zu. Cyberkriminelle agieren zunehmend professionell. Sie bieten Ransomware-Kits im Affiliate-Modell an und verkaufen ➡ Weiterlesen