Після завершення масштабних тестів AV-TEST сьогодні публікує перший звіт про тестування платформ захисту кінцевих точок (EPP) і продуктів Endpoint Detection & Response (скорочено EDR). Основна увага була зосереджена на виявленні та захисті від APT-атак за допомогою програм-вимагачів.
Витоки безпеки, такі як уразливість Microsoft Exchange, яка нещодавно стала публічною, ілюструють небезпеки, які загрожують компаніям, державним установам та критичній інфраструктурі в усьому світі. Минуло лише кілька днів після того, як стало відомо про масовий злом Hafnium, перш ніж DearCry, перше програмне забезпечення-вимагач, яке використовує вразливість Exchange, уже було в обігу.
9 рішень для кінцевих точок, підданих тестуванню
Удосконалені тести EPP і EDR, розроблені експертами Інституту AV-TEST, відповідають спеціальним сценаріям атак на основі матриці MITER ATT&CK. Всього в лабораторіях Інституту ІТ-безпеки було протестовано 9 рішень безпеки.
Було протестовано наступні 6 продуктів EPP (Endpoint Protection Platform).
- AhnLab V3 Endpoint Security
- Avast PremiumSecurity
- Авіра Антивірусна Безпека
- Інструменти безпеки кінцевої точки Bitdefender
- Клієнт безпеки даних G
- McAfee Endpoint Security
Усі продукти отримують сертифікат «Approved Endpoint Protection» для Windows
Було оцінено наступні 3 рішення EDR (виявлення кінцевої точки та реагування).
- Інструменти безпеки кінцевої точки Bitdefender
- Агент McAfee
- VMware Carbon Black Cloud
Усі продукти отримують сертифікат «Approved Endpoint Detection & Response» для Windows
Триступенева тестова установка
Перевірка ефективності виявлення та захисту випробуваних рішень EPP і EDR відбувається в три етапи.
1. У симуляції атаки Тестери перевіряють, наскільки добре рішення EPP можуть виявляти та зупиняти атаки APT за допомогою різних зразків програм-вимагачів, а також наскільки добре рішення EDR можуть виявляти ці атаки та повідомляти про них.
2. У «перевірці осудності» У разі хибнопозитивних перевірок перевірені рішення EPP повинні підтвердити, чи здатні вони відрізнити звичайну поведінку користувача від розпізнаних шаблонів атак, чи вони неправильно її блокують. Перевіряється, чи обмежена зручність використання системи, тестувальники перевіряють як користувача, так і адміністратора за наступними схемами
3. У «перевірці шуму» перевіряється, які звичайні дії (техніки), якими, у свою чергу, можуть зловживати зловмисники, можуть бути виконані та реєструються рішеннями EDR. Перш за все, використовуються ті прийоми, які також використовуються в тестованих атаках (наприклад, розпакування архіву за допомогою GUI).
Більше на AV-TEST.org
Про AV TEST AV-TEST GmbH є незалежним постачальником послуг у сфері ІТ-безпеки та антивірусних досліджень, зосереджених на виявленні та аналізі найновіших зловмисних програм і їх використанні в комплексних порівняльних тестах. Актуальність тестових даних дозволяє швидко реагувати на аналіз нового шкідливого програмного забезпечення, раннє виявлення вірусних тенденцій, перевірку та сертифікацію рішень безпеки ІТ. Результати Інституту AV-TEST є ексклюзивною інформаційною базою та служать виробникам для оптимізації продукції, спеціалізованим журналам для публікації результатів і кінцевим клієнтам для орієнтації при виборі продукції.
Компанія AV-TEST працює в Магдебурзі з 2004 року і налічує більше 30 людей з глибоким технічним і практичним досвідом. Лабораторії оснащені 300 клієнтськими та серверними системами, в яких зберігається та обробляється понад 2.500 терабайт самовизначених тестових даних шкідливої та нешкідливої інформації. Відвідайте https://www.av-test.org для отримання додаткової інформації.