Labor-Test: Endpoint Protection, Detection & Response

Beitrag teilen

Nach Abschluss umfangreicher Tests veröffentlicht AV-TEST heute den ersten Prüfbericht von Endpoint Protection Platformen – EPP und Endpoint Detection & Response-Produkten – kurz EDR. Der Fokus lag auf der Erkennung und Abwehr von APT-Angriffen, bei denen Ransomware zum Einsatz kommt.

Sicherheitslecks wie die jüngst bekanntgewordene Microsoft Exchange-Lücke verdeutlichen die Gefahren, die Unternehmen, Behörden und kritische Infrastruktur weltweit bedrohen. Nur wenige Tage dauerte es, bis nach Bekanntwerden des Massen-Hacks durch Hafnium mit DearCry auch schon die erste Ransomware zum Ausnutzen der Exchange-Lücke in Umlauf war.

9 Endpoint-Lösungen auf dem Prüfstand

Die von den Experten des AV-TEST Instituts entwickelten Advanced EPP- & EDR-Tests folgen dezidierten Angriffsszenarien nach der MITRE ATT&CK Matrix. In den Labors des IT-Sicherheitsinstituts standen insgesamt 9 Sicherheitslösungen auf dem Prüfstand.

AV-Test Endpoint Protection Die folgenden 6 EPP-Produkte (Endpoint Protection Platform) wurden getestet

  • AhnLab V3 Endpoint Security
  • Avast Premium Security
  • Avira Antivirus Security
  • Bitdefender Endpoint Security Tools
  • G DATA Security Client
  • McAfee Endpoint Security

Alle Produkte erhalten das Zertifikat “Approved Endpoint Protection” für Windows

AV-TEST Endpoint Protection & Response Die folgenden 3 EDR-Lösungen (Endpoint Detection & Response) wurden geprüft

  • Bitdefender Endpoint Security Tools
  • McAfee Agent
  • VMware Carbon Black Cloud

Alle Produkte erhalten das Zertifikat “Approved Endpoint Detection & Response” für Windows

Dreistufiger Testaufbau

Die Überprüfung der Erkennungs- und Abwehrleistung der getesteten EPP- und EDR-Lösungen erfolgt in einem dreistufigen Aufbau.

1. In der „Attack Simulation“ überprüfen die Tester, wie gut EPP-Lösungen APT-Angriffe unter Einsatz unterschiedlicher Ransomware-Samples erkennen und stoppen können und wie gut EDR-Lösungen diese Angriffe erkennen und melden.

2. Im „Sanity Check“ müssen die überprüften EPP-Lösungen bei false-positive Checks unter Beweis stellen, ob sie in der Lage sind, normales Nutzerverhalten von erkannten Angriffsmustern zu unterscheiden oder es fälschlicherweise blockieren. Dabei wird überprüft, ob das System in seiner Bedienbarkeit eingeschränkt ist, wobei die Tester sowohl die Benutzer- als auch die Admin-Ansicht nach folgenden Schemata testen

3. Im „Noise-Check“ wird überprüft, welche normalen Aktionen (Techniken), die wiederum von Angreifern missbraucht werden können, durchführbar sind und von den EDR-Lösungen protokolliert werden. Dabei werden vor allem solche Techniken eingesetzt, die auch im Rahmen der getesteten Angriffe zum Einsatz kommen (z. B. Entpacken eines Archivs mit Hilfe der GUI).

Mehr bei AV-TEST.org

 


Über AV-TEST

Die AV-TEST GmbH ist ein unabhängiger Anbieter für Services im Bereich IT-Sicherheit und Anti-Viren-Forschung mit Fokussierung auf die Ermittlung und Analyse der neuesten Schadsoftware und deren Einsatz in umfassenden Vergleichstests. Die Aktualität der Testdaten ermöglicht die reaktionsschnelle Analyse neuer Schädlinge, die Früherkennung von Trends im Viren-Bereich sowie die Untersuchung und Zertifizierung von IT-Sicherheitslösungen. Die Ergebnisse des AV-TEST Institutes stellen ein exklusives Informations-Fundament dar und dienen Herstellern zur Produktoptimierung, Fachmagazinen zur Ergebnis-Publikationen und Endkunden zur Orientierung bei der Produktauswahl.

Das Unternehmen AV-TEST agiert seit 2004 in Magdeburg und beschäftigt mehr als 30 Mitarbeiter mit profunder Fach- und Praxiserfahrung. Die Labore sind mit 300 Client- und Serversystemen ausgestattet, in denen mehr als 2.500 Terabyte an selbst ermittelten Testdaten schädlicher sowie ungefährlicher Informationen gespeichert und verarbeitet werden. Weitere Informationen finden Sie unter https://www.av-test.org.


 

Passende Artikel zum Thema

Cloud-Speicher: Sichere und einfache Datenverwaltung

Ein Anbieter für Datensicherung lanciert seinen neuen Zero-Trust Cloud-Speicher, der in sein Backup-System integriert ist und auf Microsoft Azure basiert. ➡ Weiterlesen

NIS2-Richtlinie: Viele Unternehmen planen noch

Im Oktober diesen Jahres soll die NIS2-Richtlinie in Kraft treten. Bisher erfüllt nur ein Drittel der deutschen Unternehmen die Richtlinie ➡ Weiterlesen

Verfälschte Ergebnisse durch KI-Poisining

Seit der Veröffentlichung von ChatGPT stellt sich Cybersicherheitsexperten die Frage, wie sie die Verfälschung der GenKI durch Poisining kontrollieren sollen. ➡ Weiterlesen

E-Mail-Sicherheit: Effektiverer Schutz durch KI

Ein Anbieter von Sicherheitslösungen hat seine Plattform für E-Mail-Sicherheit weiterentwickelt. Die KI-gestützte Lösung ergänzt Microsoft 365 und verbessert den Datenschutz. ➡ Weiterlesen

KRITIS: Fernzugriff von OT-Geräten ist ein Sicherheitsrisiko

Der zunehmende Fernzugriff von OT-Geräten bringt eine größere Angriffsfläche und ein höheres Ausfallrisiko kritischer Infrastrukturen mit sich. Dies kann sich ➡ Weiterlesen

Risiken cyber-physischer Systeme reduzieren

Klassische Schwachstellenmanagement-Lösungen erkennen nicht alle Risiken von cyber-physischen Systemen (CPS). Das neue Exposure Management von Claroty ist speziell auf CPS-Risiken ➡ Weiterlesen

Negative Trust als Ergänzung zu Zero Trust

Negative Trust als Weiterentwicklung von Zero Trust: Vertrauen ohne drohende Konsequenzen gibt es in der IT-Sicherheit schon länger nicht mehr. ➡ Weiterlesen

Schnelleres und platzsparendes Backup & Recovery

Mit der Unterstützung von Fast Clone unter Veeam Backup & Recovery lassen sich Dauer und Speicherbedarf für Backups dramatisch reduzieren. ➡ Weiterlesen