Групи APT використовують багато різних тактик нападу. AV-TEST атакував продукти безпеки для компаній у 10 сценаріях, що зараз використовуються, за допомогою методів «.Net Reflective Assembly loading», «.Net Dynamic P/Invoke» та «AMSI Bypass». Лише половина перевірених продуктів була здатна витримати 100 відсотків усіх атак.
Тести Advanced Threat Protection є специфічними, але вони неодноразово перевіряють програмне забезпечення захисту від найновіших методів атак від груп APT. Такий як «.Net Reflective Assembly loading», техніка, яка використовується в своїй основній формі в атаках Cobalt Strike, Cuba або Lazarus. Але методи «.Net Dynamic P/Invoke» і «AMSI-Bypass» також популярні для поточних атак з програмами-вимагачами.
Після успішної атаки системи шифруються і починається вимагання з боку груп APT. Якщо: продукти захисту для приватних користувачів і компаній розпізнають використані методи атаки, зупиняють атаку та ліквідують програмне забезпечення-вимагач.
Поглиблений тест: рішення для компаній
Продукти AhnLab, Bitdefender (2 версії), Check Point, G DATA, Kaspersky (2 версії), Microsoft, Sangfor, Symantec, Trellix, VMware, WithSecure і Xcitium проходять розширене випробування рішень безпеки кінцевих точок для компаній.
Кожен продукт має розпізнавати техніку атаки та відбиватися від програми-вимагача за 10 сценаріями. За кожен повний захист лабораторія виставляє 3 бали. Продукти Bitdefender (версії Endpoint і Ultra), Check Point, G DATA, Kaspersky (версії Endpoint і Small Office Security) і Xcitium сяють безпомилковим виявленням усіх атак і захистом від програм-вимагачів. За свою продуктивність ці продукти отримують 30 балів для оцінки захисту.
Виявлення Так - зупинка лише умовно
Хоча Symantec і Microsoft також розпізнають усі 10 сценаріїв атак, у них є проблема в одному випадку: вони розпізнають атаку, а також програму-вимагач. Вони навіть ініціюють подальші кроки проти нападу. Але зрештою Symantec шифрує окремі файли, а Microsoft навіть шифрує всю систему. Це дає Symantec 29 балів і Microsoft 28,5 балів за показник захисту.
Після цього поле слабшає: у AhnLab, Sangfor і WithSecure однакова проблема. В одному випадку вони не розпізнають ні техніку атаки, ні програму-вимагач. Зрештою, система зашифрована, і всі продукти втрачають повні 3 бали за один випадок: по 27 балів кожен для оцінки захисту. Інші кінцеві рішення від Trellix і VMware отримують лише 24 і 22,5 бали відповідно.
Більше на AV-TEST.org
Про AV TEST AV-TEST GmbH є незалежним постачальником послуг у сфері ІТ-безпеки та антивірусних досліджень, зосереджених на виявленні та аналізі найновіших зловмисних програм і їх використанні в комплексних порівняльних тестах. Актуальність тестових даних дозволяє швидко реагувати на аналіз нового шкідливого програмного забезпечення, раннє виявлення вірусних тенденцій, перевірку та сертифікацію рішень безпеки ІТ. Результати Інституту AV-TEST є ексклюзивною інформаційною базою та служать виробникам для оптимізації продукції, спеціалізованим журналам для публікації результатів і кінцевим клієнтам для орієнтації при виборі продукції.
Компанія AV-TEST працює в Магдебурзі з 2004 року і налічує більше 30 людей з глибоким технічним і практичним досвідом. Лабораторії оснащені 300 клієнтськими та серверними системами, в яких зберігається та обробляється понад 2.500 терабайт самовизначених тестових даних шкідливої та нешкідливої інформації. Відвідайте https://www.av-test.org для отримання додаткової інформації.