Test: Lassen sich Endpoint-Lösungen manipulieren?

Test: Lassen sich Endpoint-Lösungen manipulieren?

Beitrag teilen

AV-Comparatives hat die Ergebnisse seines Anti-Manipulations-Schutztest „Anti-Tampering Certification Test“ veröffentlicht, der zeigt, ob sich Endpoint-Lösungen gegen Manipulationen verteidigen: Mit dabei CrowdStrike, ESET, Kaspersky und Palo Alto Networks.

Bei dem Test wird versucht, User- und Kernel-Space-Komponenten von Endpoint-Lösungen zu deaktivieren oder zu modifizieren, um ihre Anti-Manipulations-Eigenschaften zu bewerten. Der Test bewertet, ob es möglich ist, AV/EPP/EDR-Komponenten oder -Funktionen durch Manipulation zu deaktivieren oder zu verändern, wobei alle Tampering-Aktivitäten (Manipulation) im Windows-Nutzerbereich durchgeführt wurden. Mit im Test sind folgende Produkte.

Anzeige
  • CrowdStrike Falcon Enterprise
  • ESET PROTECT Entry
  • Kaspersky Endpoint Security für Business
  • Palo Alto Networks Cortex XDR Prevent

Manipulation: Was gilt es abzuwehren?

Um von AV-Comparatives als Anti-Tampering-Schutz zugelassen zu werden, müssen alle Manipulationsversuche, die während des Tests durchgeführt werden, verhindert werden. Mit verschiedenen Tests, Werkzeugen und Verfahren versuchen die Tester, in die Endpoint-Lösungen einzudringen bzw. zu testen die Manipulationssicherheit jedes Produkts zu durchdringen/zu testen. Es wird versucht, die wichtigsten Funktionen im Rahmen der Prävention zu deaktivieren, indem verschiedene diverse Komponenten des jeweiligen Produkts beeinflusst werden.

  • Test 1: Erfolgreich geschützt gegen Manipulationsangriffe die zu einer vorübergehenden oder dauerhaften und teilweisen oder vollständigen Deaktivierung der EDR-Funktionalität führen könnten, war nicht möglich.

Die folgenden Komponenten oder Kategorien wurden gegen Manipulationsangriffe getestet, die dazu führen könnten zu einem dauerhaften, vorübergehenden, teilweisen oder vollständigen Verlust der Produktfunktionalität führen könnten:

  • User-Space-Prozesse, einschließlich Threads und Handles (Beenden, Anhalten usw.)
  • Dienste im Benutzerbereich (Anhalten, Stoppen, Deaktivieren, Deinstallieren, usw.)
  • Registrierungsschlüssel (löschen, entfernen, umbenennen, hinzufügen, usw.)
  • DLLs (Manipulation, Modifikation, Hijacking, usw.)
  • Agentenintegrität (deaktivieren, ändern, deinstallieren usw.)
  • Dateisystem (Manipulation, Änderung usw.)
  • Kernel-Treiber (ELAM-Treiber, Filter-Treiber, Minifilter-Treiber, etc.)
  • Andere Komponenten und Funktionen (z. B. Verbindung zu Aktualisierungsdiensten, usw.)

Alle 4 Produkte CrowdStrike Falcon Enterprise, ESET PROTECT Entry, Kaspersky Endpoint Security für Business und Palo Alto Networks Cortex XDR Prevent haben den Test erfolgreich bestanden und erhalten von AV-Comparatives das Zertifikat „Approved Anti Tempering 2023“.

Mehr bei AV-Comparatives.org

 


Über AV-Comparatives

AV-Comparatives ist ein unabhängiges AV-Testlabor mit Sitz in Innsbruck, Österreich, und testet seit 2004 öffentlich Computer Security-Software. Es ist nach ISO 9001:2015 für den Bereich „Unabhängige Tests von Anti-Virus Software“ zertifiziert. Außerdem besitzt es die EICAR-Zertifizierung als „Trusted IT-Security Testing Lab“.


 

Passende Artikel zum Thema

Modulare Speicherlösung für hohe Sicherheitsanforderungen

Die hochmoderne Speicherlösung Silent Brick Pro wurde speziell für Unternehmen entwickelt die Daten effizient, schnell und besonders sicher speichern wollen. ➡ Weiterlesen

Veraltete Benutzernamen und Passwörter weit verbreitet

In einer Zeit der Verunsicherung durch KI und der Zunahme von Cybersecurity-Verstößen hat ein Anbieter von Sicherheitsschlüsseln für die Hardware-Authentifizierung ➡ Weiterlesen

Mit Passphrasen mobile Androidgeräte schützen

Passphrasen sind länger und komplexer als einfache Passwörter. Mithilfe eines Passphrasen-Generators lassen sie sich einfach erstellen. Ein führender Anbieter von ➡ Weiterlesen

Sicherheitsfunktionen automatisieren verringert Risiken

Ein Anbieter von Converged Endpoint Management (XEM) bietet eine neue Lösung an, mit der Unternehmen ihre Sicherheits- und IT-Betriebsaufgaben in ➡ Weiterlesen

Staatlich geförderte Cyberangriffe gegen kritische Infrastruktur

Staatlich geförderte Cyberangriffe entwickeln sich zu einer immer größeren Bedrohung, da digitale Systeme unverzichtbar für Regierungen, Unternehmen und kritische Infrastrukturen ➡ Weiterlesen

Phishing: Cyberkriminelle imitieren Zahlungsdienst Zelle

Immer öfter werden Finanzdienstleister Opfer von Third-Party-Phishing-Kampagnen. Neu betroffen ist der Zahlungsdienst Zelle. Kriminelle erbeuten persönliche Daten, indem sie ihre ➡ Weiterlesen

End-to-End-Framework schützt vor Datenverlusten

Proofpoint und zertifizierte Partner stellen ihren Kunden ein NIST-orientiertes End-to-End-Framework vor, das bei der Entwicklung, Implementierung und Optimierung von Data ➡ Weiterlesen

Schwachstellen beim Schutz von SaaS-Daten

Es sollte nicht überraschen, dass sich Unternehmen in der heutigen digitalen Landschaft mehr denn je auf Software-as-a-Service (SaaS)-Anwendungen verlassen, um ➡ Weiterlesen