Test: Lassen sich Endpoint-Lösungen manipulieren?

Test: Lassen sich Endpoint-Lösungen manipulieren?

Beitrag teilen

AV-Comparatives hat die Ergebnisse seines Anti-Manipulations-Schutztest “Anti-Tampering Certification Test” veröffentlicht, der zeigt, ob sich Endpoint-Lösungen gegen Manipulationen verteidigen: Mit dabei CrowdStrike, ESET, Kaspersky und Palo Alto Networks.

Bei dem Test wird versucht, User- und Kernel-Space-Komponenten von Endpoint-Lösungen zu deaktivieren oder zu modifizieren, um ihre Anti-Manipulations-Eigenschaften zu bewerten. Der Test bewertet, ob es möglich ist, AV/EPP/EDR-Komponenten oder -Funktionen durch Manipulation zu deaktivieren oder zu verändern, wobei alle Tampering-Aktivitäten (Manipulation) im Windows-Nutzerbereich durchgeführt wurden. Mit im Test sind folgende Produkte.

  • CrowdStrike Falcon Enterprise
  • ESET PROTECT Entry
  • Kaspersky Endpoint Security für Business
  • Palo Alto Networks Cortex XDR Prevent

Manipulation: Was gilt es abzuwehren?

Um von AV-Comparatives als Anti-Tampering-Schutz zugelassen zu werden, müssen alle Manipulationsversuche, die während des Tests durchgeführt werden, verhindert werden. Mit verschiedenen Tests, Werkzeugen und Verfahren versuchen die Tester, in die Endpoint-Lösungen einzudringen bzw. zu testen die Manipulationssicherheit jedes Produkts zu durchdringen/zu testen. Es wird versucht, die wichtigsten Funktionen im Rahmen der Prävention zu deaktivieren, indem verschiedene diverse Komponenten des jeweiligen Produkts beeinflusst werden.

  • Test 1: Erfolgreich geschützt gegen Manipulationsangriffe die zu einer vorübergehenden oder dauerhaften und teilweisen oder vollständigen Deaktivierung der EDR-Funktionalität führen könnten, war nicht möglich.

Die folgenden Komponenten oder Kategorien wurden gegen Manipulationsangriffe getestet, die dazu führen könnten zu einem dauerhaften, vorübergehenden, teilweisen oder vollständigen Verlust der Produktfunktionalität führen könnten:

  • User-Space-Prozesse, einschließlich Threads und Handles (Beenden, Anhalten usw.)
  • Dienste im Benutzerbereich (Anhalten, Stoppen, Deaktivieren, Deinstallieren, usw.)
  • Registrierungsschlüssel (löschen, entfernen, umbenennen, hinzufügen, usw.)
  • DLLs (Manipulation, Modifikation, Hijacking, usw.)
  • Agentenintegrität (deaktivieren, ändern, deinstallieren usw.)
  • Dateisystem (Manipulation, Änderung usw.)
  • Kernel-Treiber (ELAM-Treiber, Filter-Treiber, Minifilter-Treiber, etc.)
  • Andere Komponenten und Funktionen (z. B. Verbindung zu Aktualisierungsdiensten, usw.)

Alle 4 Produkte CrowdStrike Falcon Enterprise, ESET PROTECT Entry, Kaspersky Endpoint Security für Business und Palo Alto Networks Cortex XDR Prevent haben den Test erfolgreich bestanden und erhalten von AV-Comparatives das Zertifikat “Approved Anti Tempering 2023”.

Mehr bei AV-Comparatives.org

 


Über AV-Comparatives

AV-Comparatives ist ein unabhängiges AV-Testlabor mit Sitz in Innsbruck, Österreich, und testet seit 2004 öffentlich Computer Security-Software. Es ist nach ISO 9001:2015 für den Bereich „Unabhängige Tests von Anti-Virus Software“ zertifiziert. Außerdem besitzt es die EICAR-Zertifizierung als „Trusted IT-Security Testing Lab“.


 

Passende Artikel zum Thema

Robotik, KI oder Firmenwagen – wo Manager Cybergefahren sehen

Deutsche und Schweizer C-Level Manager sehen besonders für das Home-Office Handlungsbedarf, um dort in der Zukunft sensible Daten besser zu ➡ Weiterlesen

Schutzlösungen für MacOS Sonoma im Test

Der große Test von Schutz-Software für Unternehmen und Einzelplatz-PCs für MacOS fand im AV-TEST-Labor erstmals unter der MacOS Version Sonoma ➡ Weiterlesen

Ohne Notfallplan ist der Datenverlust vorprogrammiert

In der Umfrage des Uptime Institute geben 60 Prozent der Unternehmen an, dass sie in den letzten drei Jahren einen ➡ Weiterlesen

Win 11 Copilot+ Recall: Microsoft baut auf Druck IT-Security ein

Kurz nachdem Microsoft Chef Satya Nadella Copilot+ Recall für Windows 11 vorgestellt hatte, haben Experten in Sachen IT-Security vernichtende Urteile ➡ Weiterlesen

CISOs unter Druck: Sollen Cyberrisiken herunterspielen

Die Studienergebnisse zum Umgang mit Cyberrisiken in Unternehmen haben es in sich. Die Trend Micro-Studie zeigt: Drei Viertel der deutschen ➡ Weiterlesen

APT-Gruppen: Viele Router als Teil riesiger Botnetze 

In einem Blogbeitrag analysiert Trend Micro wie Pawn Storm (auch APT28 oder Forest Blizzard) und andere APT-Akteure Router kompromittieren und ➡ Weiterlesen

Microsofts Copilot+ Recall: Gefährliche Totalüberwachung?

Microsoft sieht es als Superservice, Security-Experten als Super-GAU: Microsofts Copilot+ Recall für Windows 11 zeichnet alle 5 Sekunden die Tätigkeiten ➡ Weiterlesen

Ransomware: 97 Prozent der Betroffen sucht Rat bei Behörden

Enorm viele Unternehmen wenden sich bei einer Cyberattacke an behördliche Einrichtungen. Der aktuelle Sophos State of Ransomware Report bestätig, dass ➡ Weiterlesen