Компанія AV-Comparatives опублікувала результати свого тесту захисту від несанкціонованого доступу «Anti-Tampering Certification Test», який показує, чи захищають рішення кінцевих точок від несанкціонованого доступу: CrowdStrike, ESET, Kaspersky і Palo Alto Networks.
Тест намагається вимкнути або змінити компоненти простору користувача та ядра кінцевих рішень, щоб оцінити їхні властивості захисту від несанкціонованого доступу. Тест оцінює, чи можна вимкнути або змінити компоненти чи функції AV/EPP/EDR шляхом маніпуляцій, причому всі втручання (маніпуляції) виконуються в області користувача Windows. До тесту входять такі продукти.
- Crowd Strike Falcon Enterprise
- Запис ESET PROTECT
- Kaspersky Endpoint Security для бізнесу
- Palo Alto Networks Cortex XDR Prevent
Маніпуляція: від чого потрібно захищатися?
Щоб отримати схвалення AV-Comparatives як засіб захисту від несанкціонованого доступу, усі спроби несанкціонованого втручання під час тестування повинні бути запобігні. За допомогою різноманітних тестів, інструментів і процедур тестувальники намагаються проникнути в кінцеві рішення або перевірити безпеку маніпуляцій кожного продукту. Робляться спроби відключити найважливіші функції в рамках профілактики, впливаючи на різні компоненти відповідного продукту.
- Тест 1: Успішний захист від маніпуляційних атак, які можуть призвести до тимчасової або постійної та часткової або повної дезактивації функціональності EDR, неможливо.
Перелічені нижче компоненти або категорії перевірено на захист від атак зі зловживанням, які можуть призвести до постійної, тимчасової, часткової або повної втрати функціональності продукту:
- Процеси простору користувача, включаючи потоки та дескриптори (завершення, призупинення тощо)
- Служби в просторі користувача (пауза, зупинка, вимкнення, видалення тощо)
- Ключі реєстру (видалити, видалити, перейменувати, додати тощо)
- DLL (маніпуляції, модифікації, викрадення тощо)
- Цілісність агента (відключення, зміна, видалення тощо)
- Файлова система (маніпуляції, модифікація тощо)
- Драйвери ядра (драйвери ELAM, драйвери фільтрів, драйвери мініфільтрів тощо)
- Інші компоненти та функції (наприклад, підключення до служб оновлення тощо)
Усі 4 продукти CrowdStrike Falcon Enterprise, ESET PROTECT Entry, Kaspersky Endpoint Security for Business і Palo Alto Networks Cortex XDR Prevent успішно пройшли тестування та отримали сертифікат «Approved Anti Tempering 2023» від AV-Comparatives.
Більше на AV-Comparatives.org
Про AV Comparatives AV-Comparatives — це незалежна лабораторія AV-тестування, що розташована в Інсбруку, Австрія, і публічно тестує програмне забезпечення для комп’ютерної безпеки з 2004 року. Він має сертифікат ISO 9001:2015 для незалежного тестування антивірусного програмного забезпечення. Він також має сертифікат EICAR як «Надійна лабораторія тестування безпеки ІТ».