Advanced Threat Protection Test 2022 - Unternehmen

Einführung

"Advanced Persistent Threat" (fortgeschrittene anhaltende Bedrohung) ist ein Begriff, der üblicherweise verwendet wird, um einen gezielten Cyberangriff zu beschreiben, der eine komplexe Reihe von Methoden und Techniken einsetzt, um in Informationssysteme einzudringen. Die verschiedenen Ziele solcher Angriffe können darin bestehen, vertrauliche Informationen zu stehlen/zu ersetzen/zu beschädigen oder Sabotagefähigkeiten aufzubauen, wobei letzteres zu einer finanziellen Schädigung und einer Schädigung des Ansehens der betroffenen Organisationen führen kann. Solche Angriffe sind sehr zielgerichtet, und in der Regel werden hoch spezialisierte Tools eingesetzt. Zu den eingesetzten Tools gehören stark verschleierter Schadcode, die böswillige Verwendung gutartiger Systemtools und nicht dateibasierter Schadcode.

In unserem Advanced Threat Protection Test (Enhanced Real-World Test) verwenden wir Hacking- und Penetrationstechniken, die Angreifenden den Zugriff auf interne Computersysteme ermöglichen. Diese Angriffe lassen sich in die Cybersecurity Kill Chain von Lockheed Martin und sieben verschiedene Phasen unterteilen - jede mit einzigartigen IOCs (Indicators of Compromise) für die Opfer. Alle unsere Tests verwenden eine Teilmenge der TTP (Tactics, Techniques, Procedures), die in der MITRE ATT&CK® Frameworkgelistet sind. Ein False-Alarm Test ist ebenfalls in dem Bericht enthalten.

Die Tests verwenden eine Reihe von Techniken und Ressourcen, die die in der realen Welt verwendete Malware imitieren. Einige Beispiele dafür sind hier aufgeführt. Wir setzen Systemprogramme ein, um die signaturbasierte Erkennung zu umgehen. Es werden gängige Skriptsprachen (JavaScript, Batch-Dateien, PowerShell, Visual Basic-Skripte usw.) verwendet. Die Tests umfassen sowohl inszenierte als auch nicht inszenierte Malware-Samples und setzen eine Verschleierung und/oder Verschlüsselung des bösartigen Codes vor der Ausführung ein (Base64, AES). Für die Verbindung zum Angreifer werden verschiedene C2-Kanäle verwendet (HTTP, HTTPS, TCP). Es werden bekannte Exploit-Frameworks verwendet (Metasploit Framework, PowerShell Empire, kommerzielle Frameworks usw.).

Zur Darstellung der Ziel-PCs verwenden wir vollständig gepatchte 64-Bit-Windows-10-Systeme, auf denen jeweils ein anderes AV-Produkt installiert ist. Im Test für Unternehmensprodukte hat der Zielbenutzer ein Standardbenutzerkonto. Im Test für Endverbraucherprodukte wird ein Administratorkonto anvisiert, obwohl jeder POC nur mit einem Standardbenutzerkonto mit mittlerer Integrität ausgeführt wird. Die Windows-Benutzerkontensteuerung ist in beiden Tests aktiviert und auf die Standardstufe eingestellt. Bei Anbietern, deren Produkte sowohl im Consumer- als auch im Enterprise-ATP-Test getestet wurden, ist zu beachten, dass die Produkte und ihre Einstellungen unterschiedlich sein können. Daher sollten die Ergebnisse der Consumer Tests nicht mit denen der Enterprise Tests verglichen werden.

Sobald die Nutzlast vom Opfer ausgeführt wird, wird ein Befehls- und Kontrollkanal (C2) zum System des Angreifers geöffnet. Damit dies geschehen kann, muss auf der Seite des Angreifers ein Listener ausgeführt werden. Dies könnte zum Beispiel ein Metasploit-Listener auf einem Kali Linux-System sein. Über den C2-Kanal hat der Angreifer vollen Zugriff auf das kompromittierte System. Die Funktionalität und Stabilität des hergestellten Zugangs wird in jedem Testfall überprüft. Wenn eine stabile C2-Verbindung hergestellt wird, gilt das System als kompromittiert.

Der Test besteht aus 15 verschiedenen Angriffen. Er konzentriert sich auf den Schutz, nicht auf die Erkennung, und wird vollständig manuell durchgeführt. Obwohl das Testverfahren notwendigerweise komplex ist, haben wir in diesem Bericht eine recht einfache Beschreibung verwendet.

Wir beglückwünschen alle Anbieter, die an dem Test teilgenommen haben, auch diejenigen, deren Produkte nicht die besten Ergebnisse erzielt haben, denn sie sind bestrebt, ihre Software zu verbessern.

Anwendungsbereich des Tests

Der Advanced Threat Protection (ATP) Test untersucht, wie gut die getesteten Produkte vor ganz bestimmten gezielten Angriffsmethoden schützen. Er berücksichtigt nicht die allgemeine Sicherheit, die jedes Programm bietet, oder wie gut es das System vor Malware schützt, die aus dem Internet heruntergeladen oder über USB-Geräte und gemeinsam genutzte Netzlaufwerke eingeschleust wird.

Er sollte als Ergänzung zum Real-World Protection Test und zum Malware Protection Test betrachtet werden, nicht als Ersatz für diese beiden Tests. Folglich sollten die Leser auch die Ergebnisse der anderen Tests in unserer Main-Test Series berücksichtigen, wenn sie den Gesamtschutz eines einzelnen Produkts bewerten. Dieser Test konzentriert sich darauf, ob die Security-Produkte vor bestimmten Angriffs-/Ausbeutungstechniken schützen, die bei Advanced Persistent Threats verwendet werden. Leser, die über solche Angriffe besorgt sind, sollten die an diesem Test teilnehmenden Produkte in Betracht ziehen, deren Hersteller sich sicher waren, dass sie vor diesen Bedrohungen schützen können.

Beim ATP-Test konzentrieren wir uns auf das Testen verschiedener Arten von POC-C2-Malware, die auf unterschiedlichen Taktiken und Techniken der Angreifer basieren. Wir verwenden eine Vielzahl von Auslieferungsszenarien, um die möglichen Strategien der Angreifer zu berücksichtigen. Das Ziel des ATP-Tests ist es, die Präventionsfähigkeiten der jeweiligen Produkte zu demonstrieren. Um dies zu erreichen, verwenden wir verschiedene POCs, die alle versuchen, nach der Ausführung einen stabilen C2-Kanal zu öffnen und so eine erfolgreiche erste Kompromittierung zu simulieren. In den Fällen, in denen ein POC nicht verhindert wurde und der Angreifer in der Lage war, eine stabile C2-Sitzung zu öffnen, wurde der Ziel-PC als kompromittiert betrachtet. Der Test prüft nicht die verschiedenen Phasen eines Angriffs (wie dies in unserem EPR-Test der Fall ist).

Unterschiede zwischen unserem ATP-Test und unserem EPR-Test

Unser ATP-Test (Advanced Threat Protection) konzentriert sich auf den Schutz (im Gegensatz zur Erkennung oder Informationsbeschaffung). Das Stadium, in dem der Angriff abgeblockt wird, ist nicht relevant, solange das System letztendlich geschützt ist. Der ATP-Test wird sowohl für Consumer- als auch für Enterprise-Produkte durchgeführt und ist somit für alle Nutzer von Interesse. Daher haben wir versucht, ihn auch für Nicht-Experten leichter verständlich zu machen.

Unser EPR (Endpoint Protection and Response) Test, hingegen, berücksichtigt, welche Stufe(n) ein Angriff erreicht, bevor er entdeckt und blockiert wird. Außerdem werden alle Reaktionen und die Gesamtbetriebskosten berücksichtigt. Der EPR-Test gilt nur für Unternehmensprodukte und ist komplexer. Die Zielgruppe sind IT-Sicherheitsexperten in größeren Unternehmen.

Geprüfte Produkte

Die folgenden Anbieter haben an dem Advanced Threat Protection Test teilgenommen. Dies sind die Anbieter, die von den Schutzfunktionen ihrer Produkte gegen gezielte Angriffe überzeugt genug waren, um an diesem öffentlichen Test teilzunehmen.

Informationen über zusätzliche Engines/Signaturen von Drittanbietern, die von einigen der Produkte verwendet werden: Acronis, G Data und VIPRE verwenden die Bitdefender-Engine (zusätzlich zu ihren eigenen Schutzfunktionen). VMware verwendet die Avira-Engine (zusätzlich zu seinen eigenen Schutzfunktionen). G Data’s OutbreakShield basiert auf Cyren.

• Acronis Cyber Protect Cloud with Advanced Security pack 15.0
• Avast Ultimate Business Security 22.7 - 22.9
• Bitdefender GravityZone Business Security Premium 7.7
• CrowdStrike Falcon Pro 6.45
• ESET PROTECT Entry with ESET PROTECT Cloud 9.0
• G Data Endpoint Protection Business 15.3
• Kaspersky Endpoint Security for Business – Select, with KSC 11.10
• Microsoft Defender Antivirus for Business 4.18
• VMware Carbon Black Cloud Endpoint Standard 3.8

Die meisten AV-Anbieter haben mit ihren jeweiligen EDR-Produkten nicht teilgenommen oder die EDR-Komponenten ihrer teilnehmenden Produkte deaktiviert (siehe Einstellungen unten). Dies lässt sich wie folgt erklären. Der ATP-Test für Unternehmen ist ein optionaler Zusatz zur Enterprise Main-Test Series. Wir verwenden das gleiche Produkt und die gleiche Konfiguration für alle Tests innerhalb einer Serie, und einige EDR-Funktionen können sich negativ auf die Performance und Fehlalarme auswirken.

Settings

In Unternehmensumgebungen und bei Unternehmensprodukten im Allgemeinen ist es üblich, dass die Produkte vom Systemadministrator gemäß den Richtlinien des Herstellers konfiguriert werden, und so haben wir alle Hersteller aufgefordert, ihre jeweiligen Produkte zu konfigurieren. Nachfolgend haben wir relevante Abweichungen von den Standardeinstellungen (d.h. von den Herstellern vorgenommene Änderungen in den Einstellungen) aufgeführt:

Acronis: “Backup”, “Vulnerability assessment”, “Patch management”, “Device control”, “Data Loss Prevention” und “Data protection map” deaktiviert. “Third-party scan engine” aktiviert.

Avast: “Scan for potentially unwanted programs (PUPs)” wurde in “File Shield”, “Web Shield” und “Mail Shield” aktiviert.

Bitdefender: "Sandbox Analyzer" (für Anwendungen und Dokumente) aktiviert. “Analysis mode” auf “Monitoring” eingestellt. "Scan SSL" für HTTP und RDP aktiviert. "HyperDetect" und “Device Control” deaktiviert. "Update ring" auf "Fast ring" geändert. "Web Traffic Scan" und "Email Traffic Scan" für eingehende E-Mails (POP3) aktiviert. “Ransomware Mitigation” aktiviert. “Process memory Scan” für “On-Access scanning” aktiviert. Alle “AMSI Command-Line Scanner” -Einstellungen für “Fileless Attack Protection” aktiviert.

CrowdStrike: Alles aktiviert und auf Maximum eingestellt, d.h. "Extra Aggressive". "Sensor Visibility" für "Firmware" deaktiviert. Hochladen von "Unknown Detection-Related Executables" und "Unknown Executables" deaktiviert.

ESET: Alle Einstellungen für “Real-Time & Machine Learning Protection” sind auf "Aggressive" eingestellt.

G Data: "BEAST Behavior Monitoring” auf “Halt program and move to quarantine” eingestellt. "G DATA WebProtection"-add-on für Google Chrome installiert und aktiviert. "Malware Information Initiative" aktiviert.

Kaspersky: “Adaptive Anomaly Control” deaktiviert; “Detect other software that can be used by criminals to damage your computer or personal data” aktiviert;

Microsoft: Google Chrome-Erweiterung "Windows Defender Browser Protection" installiert und aktiviert; "CloudExtendedTimeOut" auf 55 gesetzt; "PuaMode" aktiviert.

VMware: Policy auf "Advanced" eingestellt.

Bitte beachten Sie, dass die erzielten Ergebnisse nur für die getesteten Produkte mit den jeweiligen Einstellungen gültig sind. Mit anderen Einstellungen (oder Produkten) können die Ergebnisse schlechter oder besser ausfallen.

Testverfahren

Skripte wie VBS, JS oder MS Office-Makros können ausgeführt werden und eine dateilose Hintertür auf den Systemen der Opfer installieren und einen Kontrollkanal (C2) zum Angreifer schaffen, der sich in der Regel an einem anderen physischen Ort und vielleicht sogar in einem anderen Land befindet. Abgesehen von diesen bekannten Szenarien ist es möglich, Malware über Exploits, Remote-Aufrufe (PSexec, wmic), Taskplaner, Registrierungseinträge, Arduino-Hardware (USB RubberDucky) und WMI-Aufrufe zu verbreiten. Dies kann mit integrierten Windowstools wie PowerShell erfolgen. Diese Methoden laden die eigentliche Malware direkt aus dem Internet in den Speicher des Zielsystems und breiten sich mit systemeigenen Tools weiter im lokalen Netzwerk aus. Auf diese Weise können sie sich sogar auf den Rechnern festsetzen.

Dateilose Angriffe

Im Bereich der Malware gibt es viele (sich möglicherweise überschneidende) Klassifizierungskategorien, und es kann unter anderem zwischen dateibasierter und dateiloser Malware unterschieden werden. Seit 2017 ist eine deutliche Zunahme von dateilosen Bedrohungen zu verzeichnen. Ein Grund dafür ist die Tatsache, dass sich solche Angriffe aus Sicht der Angreifer als sehr erfolgreich erwiesen haben. Ein Faktor für ihre Effektivität ist die Tatsache, dass dateilose Bedrohungen nur im Speicher des kompromittierten Systems operieren, was es für Sicherheitslösungen schwieriger macht, sie zu erkennen.

Angriffsvektoren und -ziele

Bei Penetrationstests stellen wir fest, dass bestimmte Angriffsvektoren von Security-Programmen noch nicht ausreichend abgedeckt werden und viele gängige AV-Produkte immer noch keinen ausreichenden Schutz bieten. Einige Security-Produkte für Unternehmen haben sich in diesem Bereich verbessert und bieten in einigen Szenarien einen besseren Schutz. Wie bereits erwähnt, sind wir der Meinung, dass auch Consumer-Produkte ihren Schutz vor solchen böswilligen Angriffen verbessern müssen; auch Heimanwender können auf die gleiche Weise angegriffen werden. Jeder kann aus den unterschiedlichsten Gründen angegriffen werden, z.B. durch "Doxing" (Veröffentlichung vertraulicher persönlicher Informationen) als Racheakt. Ein Angriff auf Privatgeräte von Geschäftsleuten ist dabei ebenfalls ein naheliegender Weg, um an die Daten ihres Unternehmens zu gelangen.

Angriffsmethoden

Der Advanced Threat Protection Test umfasst auch verschiedene Befehlszeilen-Stacks, CMD/PS-Befehle, mit denen Malware aus dem Netz direkt in den Arbeitsspeicher heruntergeladen (staged) oder base64-kodiert aufgerufen werden kann. Mit diesen Methoden wird der Zugriff auf die Festplatte, die (normalerweise) von Security-Produkten gut geschützt ist, vollständig vermieden. Manchmal verwenden wir einfache Verschleierungsmaßnahmen oder ändern auch die Methode des Stager-Aufrufs. Sobald die Malware ihre zweite Stufe geladen hat, wird eine http/https-Verbindung zum Angreifer hergestellt. Dieser Inside-Out-Mechanismus hat den Vorteil, dass ein C2-Kanal zum Angreifer aufgebaut wird, der den Schutzmaßnahmen der meisten NAT- und Firewall-Produkte entgeht. Sobald der C2-Tunnel aufgebaut ist, kann der Angreifer alle bekannten Kontrollmechanismen der gängigen C2-Produkte (Meterpreter, PowerShell Empire, etc.) nutzen. Dazu gehören z.B. Datei-Uploads/Downloads, Screenshots, Keylogging, Windows Shell (GUI) und Webcam-Snapshots. Wir erwarten, dass Angriffe unabhängig davon blockiert werden, wo/wie sie gehostet werden und woher/wie sie ausgeführt werden. Wenn ein Angriff nur unter ganz bestimmten Umständen erkannt wird, würden wir sagen, dass das Produkt keinen wirksamen Schutz bietet.

False Positives (False Alarm) Test

Ein Security-Produkt, das 100% böswillige Angriffe blockiert, aber auch legitime (nicht böswillige) Aktionen blockiert, kann eine enorme Störung darstellen. Daher führen wir im Rahmen des Tests zum Schutz vor fortgeschrittenen Bedrohungen einen False-AlarmTest durch, um zu prüfen, ob die getesteten Produkte in der Lage sind, bösartige von nicht-bösartigen Aktionen zu unterscheiden. Andernfalls könnte ein Security-Produkt leicht 100% der bösartigen Angriffe blockieren, die z.B. E-Mail-Anhänge, Skripte und Makros verwenden, indem es solche Funktionen einfach blockiert. Für viele Nutzer könnte dies die Erledigung ihrer normalen täglichen Aufgaben unmöglich machen. Daher werden False-Positives Ergebnisse in der Testnote des Produkts berücksichtigt. Wir weisen auch darauf hin, dass die Warnung des Benutzers, z.B. vor dem Öffnen harmloser E-Mail-Anhänge, zu einem "boy who cried wolf"-Szenario führen kann. Benutzer, die mit einer Reihe unnötiger Warnungen konfrontiert werden, gehen früher oder später davon aus, dass alle Warnungen Fehlalarme sind, und ignorieren daher eine echte Warnung, wenn sie auftaucht.

Testfälle

Wir haben fünf verschiedene Initial Access Phasesauf die 15 Testfälle verteilt (z.B. kamen 3 Testfälle per Anhang über E-Mail/Spear-Phishing).

1. Trusted Relationship: "Angreifende können in Organisationen eindringen oder diese anderweitig ausnutzen, die Zugang zu den beabsichtigten Opfern haben. Der Zugang über die Beziehung zu vertrauenswürdigen Dritten nutzt eine bestehende Verbindung aus, die möglicherweise nicht geschützt ist oder weniger sorgfältig geprüft wird als die Standardmechanismen, mit denen man sich Zugang zu einem Netzwerk verschafft."
2. Valid accounts: "Angreifende können die Anmeldedaten eines bestimmten Privatnutzer- oder Dienstkontos mithilfe von Credential-Access-Techniken stehlen oder Anmeldedaten zu einem früheren Zeitpunkt in ihrem Erkundungsprozess durch Social Engineering abfangen [...]."
3. Replication Through Removable Media: "Angreifende können in Systeme eindringen [...], indem sie Malware auf Wechseldatenträger kopieren [...] und sie so umbenennen, dass sie wie eine legitime Datei aussieht, um Benutzer dazu zu bringen, sie auf einem anderen System auszuführen. [...]"
4. Phishing: Spearphishing Attachment: "Spearphishing Attachment ist [...] die Verwendung von Malware im Anhang einer E-Mail. [...]"
5. Phishing: Spearphishing Link: "Beim Spearphishing mit einem Link [...] werden Links verwendet, um in E-Mails enthaltene Malware herunterzuladen [...]."

Die 15 Testszenarien, die in diesem Test verwendet wurden, werden im Folgenden kurz beschrieben:

1. Diese Bedrohung wird über einen Spearphishing-Link eingeführt. Eine bösartige Binärdatei führt x86-Shellcode aus, um einen Meterpreter-C2-Kanal über http zu öffnen.
2. Diese Bedrohung wird über einen Spearphishing-Link eingeführt. Eine bösartige JavaScript-Datei führt x64-Shellcode aus, um einen Meterpreter-C2-Kanal über http zu öffnen.
3. Diese Bedrohung wird über einen Spearphishing-Link eingeführt. Ein bösartiges verschleiertes JavaScript injiziert x64-Shellcode in einen Office-Prozess, um einen Meterpreter-C2-Kanal über http zu öffnen.
4. Diese Bedrohung wird über gültige Konten eingeführt. Eine bösartige HTA-Datei öffnet einen Meterpreter-C2-Kanal über http.
5. Diese Bedrohung wird über gültige Konten eingeführt. Ein bösartiger PowerShell-Befehl mit einigen Fähigkeiten zur Umgehung der Verteidigung öffnet einen Meterpreter-C2-Kanal über http.
6. Diese Bedrohung wird über gültige Konten eingeführt. Eine bösartige Batch-Datei öffnet einen Empire C2-Kanal über http unter Verwendung eines nicht standardisierten Ports.
7. Diese Bedrohung wird über eine vertrauenswürdige Beziehung eingeführt. Eine bösartige, verschleierte Binärdatei mit einigen Fähigkeiten zur Umgehung der Verteidigung und zum Spoofing von Dateierweiterungen öffnet einen PowerShell Empire C2-Kanal über http unter Verwendung eines nicht standardmäßigen Ports.
8. Diese Bedrohung wird über Trusted Relationship eingeführt. Eine bösartige CPL-Datei führt eine PowerShell-Nutzlast aus, die einen Empire C2-Kanal über http unter Verwendung eines nicht standardmäßigen Ports öffnet.
9. Diese Bedrohung wird über Trusted Relationship eingeführt. Eine bösartige XSL-Datei wird über WMI ausgeführt, die einen verschleierten Empire C2-Kanal über http unter Verwendung eines nicht standardmäßigen Ports öffnet.
10. Diese Bedrohung wird über einen Spearphishing-Anhang eingeführt. Eine bösartige Binärdatei mit einer gefälschten Dateierweiterung führt eine Empire-Nutzlast aus, um einen Empire-C2-Kanal über http unter Verwendung eines nicht standardmäßigen Ports zu öffnen.
11. Diese Bedrohung wird über einen Spearphishing-Anhang eingeschleust. Eine bösartige JavaScript-Datei mit einigen Fähigkeiten zur Umgehung der Verteidigung ermöglicht die Ausführung von Schadcode über die Kontrollanwendung und öffnet einen C2-Kanal zu einem kommerziellen C2-Framework über https.
12. Diese Bedrohung wird über einen Spearphishing-Anhang eingeführt. Eine bösartige Binärdatei mit einigen Fähigkeiten zur Umgehung der Verteidigung öffnet über https einen C2-Kanal zu einem kommerziellen C2-Framework.
13. Diese Bedrohung wird über Wechseldatenträger eingeschleust. Eine bösartige DLL öffnet einen C2-Kanal über https zu einem kommerziellen C2-Framework.
14. Diese Bedrohung wird über Wechseldatenträger eingeführt. Eine bösartige Binärdatei mit fortgeschrittenen Fähigkeiten zur Umgehung der Verteidigung öffnet einen C2-Kanal über https zu einem kommerziellen C2-Framework.
15. Diese Bedrohung wird über Wechseldatenträger eingeschleust. Ein bösartiges Office-Dokument wird in einen anderen Prozess im Benutzerbereich injiziert und öffnet über https einen C2-Kanal zu einem kommerziellen C2-Framework.

False-Alarm Test: Es wurden verschiedene Fehlalarmszenarien verwendet, um festzustellen, ob ein Produkt bestimmte Aktionen übermäßig blockiert (z.B. durch Blockieren von E-Mail-Anhängen, Kommunikation, Skripten usw.). Keines der getesteten Produkte zeigte in den verwendeten Fehlalarm-Testszenarien ein Over-Blocking-Verhalten. Sollten wir im Laufe des Tests feststellen, dass die Produkte ihren Schutz an unsere Testumgebung anpassen, würden wir Gegenmaßnahmen einsetzen, um diese Anpassungen zu umgehen, um sicherzustellen, dass jedes Produkt den Angriff auch wirklich erkennen kann, im Gegensatz zur Testsituation.

Test-Ergebnisse

Nachfolgend finden Sie die Ergebnisse für die 15 Angriffe, die in diesem Test verwendet wurden (Bitte beachten Sie, dass die erreichten Ergebnisse nur für die getesteten Produkte mit ihren jeweiligen Einstellungen gelten. Mit anderen Einstellungen (oder Produkten) können die Ergebnisse schlechter oder besser ausfallen):

Test-Szenarien

	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15	FPs	Ergebnis
Acronis																N	8
Avast																N	10
Bitdefender																N	14
CrowdStrike																N	11
ESET																N	14
G Data																N	12
Kaspersky																N	12
Microsoft																N	11
VMware																N	8

 

Key
	Bedrohung blockiert, keine C2-Session, System geschützt	1 Punkt
	Kein Alert angezeigt, aber keine C2-Session aufgebaut, System geschützt	1 Punkt
	Bedrohung nicht blockiert, C2-Session aufgebaut	0 Punkte
	Schutzergebnis ungültig, da auch nicht-schädliche Skripte/Funktionen blockiert wurden	N/A

 

Unserer Meinung nach sollte das Ziel eines jeden AV/EPP/EDR-Systems darin bestehen, Angriffe oder andere Malware so schnell wie möglich zu erkennen und zu verhindern. Mit anderen Worten: Wenn der Angriff vor, bei oder kurz nach der Ausführung erkannt wird und damit z. B. die Öffnung eines Befehls- und Kontrollkanals verhindert wird, besteht keine Notwendigkeit, Aktivitäten nach der Ausnutzung zu verhindern. Eine gute Alarmanlage sollte losgehen, wenn jemand in Ihr Haus einbricht, und nicht warten, bis er anfängt, Dinge zu stehlen.

Ein Produkt, das in unserem FP-Test bestimmte legitime Funktionen (z.B. E-Mail-Anhänge oder Skripte) blockiert, würde nicht zertifiziert werden.

Beobachtungen zu Unternehmensprodukten

In diesem Abschnitt geben wir einige zusätzliche Informationen, die für die Leser von Interesse sein könnten.

Erkennungs-/Blockierungsphasen
Pre-Execution (PRE): wenn die Bedrohung noch nicht ausgeführt wurde und auf dem System inaktiv ist (statisch).
On-Execution (ON): unmittelbar nachdem die Bedrohung ausgeführt wurde (dynamisch).
Post-Execution (POST): nachdem die Bedrohung ausgeführt wurde und ihre Aktionen erkannt wurden (im Speicher).

Test-Szenarien

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

Acronis

PRE

PRE

–

PRE

–

ON

–

ON

PRE

PRE

–

ON

–

–

–

Avast

POST

PRE

–

PRE

ON

ON

ON

ON

ON

ON

–

–

–

–

ON

Bitdefender

PRE

PRE

ON

PRE

ON

ON

ON

PRE

PRE

PRE

ON

PRE

PRE

–

POST

CrowdStrike

ON

ON

ON

ON

ON

ON

ON

ON

ON

POST

ON

–

–

–

–

ESET

POST

ON

PRE

PRE

ON

PRE

ON

POST

PRE

ON

PRE

–

ON

ON

ON

G Data

PRE

PRE

ON

PRE

POST

ON

–

PRE

PRE

ON

ON

PRE

ON

–

–

Kaspersky

PRE

ON

ON

ON

–

ON

–

POST

PRE

PRE

PRE

ON

–

ON

ON

Microsoft

PRE

PRE

PRE

PRE

ON

ON

PRE

–

ON

POST

PRE

–

PRE

–

–

VMware

PRE

ON

–

ON

–

ON

–

–

ON

PRE

–

ON

PRE

–

–

 

Acronis: Die Erkennungen erfolgten entweder vor oder während der Ausführung. In einem Fall meldete die Web-Konsole, dass die Bedrohung erfolgreich blockiert wurde, was in Wirklichkeit aber nicht der Fall war und der C2-Kanal stabil war.

Avast: Die meisten Erkennungen erfolgten bei der Ausführung.

Bitdefender: Die meisten Entdeckungen erfolgten vor oder während der Ausführung, eine nach der Ausführung. In einem Fall gab es keinen Alarm, aber auch keine stabile C2-Sitzung.

CrowdStrike: Die meisten Erkennungen erfolgten bei der Ausführung.

ESET: Die meisten Entdeckungen erfolgten vor oder während der Ausführung, zwei nach der Ausführung.

G Data: Die meisten Entdeckungen erfolgten vor oder während der Ausführung, eine nach der Ausführung.

Kaspersky: Die meisten Entdeckungen erfolgten vor oder während der Ausführung, eine nach der Ausführung.

Microsoft: Die meisten Entdeckungen erfolgten vor oder während der Ausführung, eine nach der Ausführung.

VMware: Die Entdeckungen erfolgten entweder vor oder während der Ausführung.

Alle getesteten Anbieter führen laufend Produktverbesserungen durch, so dass zu erwarten ist, dass viele der im Test verwendeten Attacken inzwischen abgedeckt sind.

Über diesen Test

Der Advanced Threat Protection Test für Unternehmensprodukte ist ein optionaler Zusatztest zur Public Enterprise Main-Test Series, d.h. nur Unternehmensprodukte, die in der Main-Test Series enthalten sind, können an diesem Zusatztest teilnehmen. Um sich einen Überblick über die Schutzfunktionen der getesteten Produkte zu verschaffen, sollten die Leser zusätzlich die Ergebnisse der anderen Tests in der Main-Test Series berücksichtigen.

Da einige der im Test verwendeten Angriffsmethoden legitime Systemprogramme und -techniken nutzen, wäre es für einen Anbieter relativ einfach, solche Angriffe zu stoppen, indem er z.B. einfach die Verwendung dieser legitimen Prozesse blockiert. Dies würde jedoch dazu führen, dass das betreffende Produkt wegen False Positives herabgestuft wird, so wie ein Security-Programm herabgestuft wird, das z.B. alle unbekannten ausführbaren Programmdateien blockiert. Ebenso wäre in diesem Test die Verhinderung eines Angriffs, z.B. durch einfaches Sperren von verwendeten Servern, Dateien oder E-Mails, die von einem bestimmten Domainnamen stammen, als Mittel zur Verhinderung eines gezielten Angriffs nicht zulässig. Ebenso wenig akzeptieren wir einen Ansatz, der nicht zwischen bösartigen und nicht bösartigen Prozessen unterscheidet, sondern z.B. von einem Administrator verlangt, diejenigen auf eine Whitelist zu setzen, die erlaubt sein sollten. Wir weisen darauf hin, dass es in Unternehmensumgebungen möglich ist, die Systeme der Benutzer zu sperren, um z.B. die Ausführung von PowerShell-Skripten oder Makros zu verhindern. Die Idee eines guten Security-Produkts ist, dass es z.B. zwischen bösartigen und nicht bösartigen Skripten und Makros unterscheiden kann, so dass autorisierte Nutzer effizient arbeiten können, ohne dass die Sicherheit beeinträchtigt wird.

Bei der Enterprise Main-Test Series dürfen die Anbieter die Produkte nach eigenem Ermessen konfigurieren - wie es bei Security-Produkten für Unternehmen in der Praxis üblich ist. Allerdings wird für alle Tests der Series genau das gleiche Produkt und die gleiche Konfiguration verwendet. Würden wir nicht darauf bestehen, könnte ein Anbieter die Schutzeinstellungen erhöhen oder Funktionen aktivieren, um in den Real-World- und Malware-Protection Tests gut abzuschneiden, sie aber für die Performance- und False-Positive Tests herunterfahren/deaktivieren, um schneller und weniger fehleranfällig zu erscheinen. Im wirklichen Leben können die Benutzer nur eine Einstellung gleichzeitig haben, so dass sie in der Lage sein sollten, zu erkennen, ob hohe Schutzwerte eine langsamere Systemleistung oder niedrigere False-Positive Werte einen geringeren Schutz bedeuten.

Wir hatten Anfragen von Anbietern bezüglich der Angriffsmethoden, die in dem Test verwendet werden sollten. Wir gaben keine spezifischen Details zu den Angriffsmethoden bekannt, aber nach dem Test stellten wir jedem teilnehmenden Anbieter genügend Daten zur Verfügung, um die fehlenden Testfälle zu demonstrieren.

Der Test ist sehr anspruchsvoll, spiegelt aber gleichzeitig auch realistische Szenarien wider. Penetrationstester sehen die realen Fähigkeiten von Produkten in ihren Tests jeden Tag. Mit unserem Vergleichstest versuchen wir, gleiche Bedingungen zu schaffen, die es uns ermöglichen, die Schutzmöglichkeiten der verschiedenen Produkte gegen solche Angriffe fair zu vergleichen. So können die Nutzer sehen, wie gut sie geschützt sind, und die Hersteller können ihre Produkte gegebenenfalls in Zukunft verbessern.

Was die im Test verwendeten Windows-Benutzerkonten anbelangt, so erforderte keines der Testszenarien Administratorrechte auf dem Zielsystem. Daher machte es aus Sicht des Angreifers keinen Unterschied, ob der Benutzer mit einem Administratorkonto (wie beim Consumer Test) oder einem Standardbenutzerkonto (wie beim Enterprise Test) angemeldet war.

Bei einigen der Angriffe wurden, wie in den Beschreibungen der Testfälle erwähnt, Erstzugriffsvektoren wie vertrauenswürdige Beziehungen und gültige Konten verwendet. Das heißt, der Angreifer verfügte bereits über die erforderlichen Benutzeranmeldeinformationen, um mit dem fortgeschrittenen Angriff fortzufahren. Verschiedene Studien zeigen, dass solche Szenarien (z.B. die Verwendung gestohlener Anmeldeinformationen für den Erstzugang) heutzutage sehr häufig vorkommen.

In einigen Fällen wurden bei dem Test umgeleitete Laufwerke verwendet. Da der ATT&CK-Framework keine spezielle Kategorie für solche Fälle vorsieht, sind wir der Meinung, dass sie am besten in die Kategorie "Wechseldatenträger" fallen, was wir in den Beschreibungen vermerkt haben. Dennoch machte die Art und Weise, wie die Malware in das System eingeschleust wurde, in der Praxis keinen technischen Unterschied.

Im Allgemeinen haben wir von den Security-Anbietern positive Rückmeldungen über die gründliche und realistische Methodik dieses Tests erhalten. Wir freuen uns, dass eine Reihe von Anbietern, die in diesem Jahr nicht am Test teilgenommen haben, den Schutz ihrer Produkte gegen gezielte Angriffe aus dem wirklichen Leben verbessern und im nächsten Jahr am Test teilnehmen wollen. Wir haben auch einige Verbesserungsvorschläge einiger Anbieter berücksichtigt und werden uns bemühen, diese gegebenenfalls in den Test des nächsten Jahres aufzunehmen.

Copyright und Haftungsausschluss

Diese Veröffentlichung ist Copyright © 2022 von AV-Comparatives ®. Jegliche Verwendung der Ergebnisse, etc. im Ganzen oder in Teilen, ist NUR nach ausdrücklicher schriftlicher Zustimmung der Geschäftsführung von AV-Comparatives vor einer Veröffentlichung erlaubt. AV-Comparatives und seine Tester können nicht für Schäden oder Verluste haftbar gemacht werden, die sich aus der Verwendung der in diesem Dokument enthaltenen Informationen ergeben könnten. Wir bemühen uns mit aller Sorgfalt um die Richtigkeit der Basisdaten, eine Haftung für die Richtigkeit der Testergebnisse kann jedoch von keinem Vertreter von AV-Comparatives übernommen werden. Wir übernehmen keine Gewähr für die Richtigkeit, Vollständigkeit oder Eignung für einen bestimmten Zweck der zu einem bestimmten Zeitpunkt bereitgestellten Informationen/Inhalte. Niemand, der an der Erstellung, Produktion oder Lieferung von Testergebnissen beteiligt ist, haftet für indirekte, besondere oder Folgeschäden oder entgangenen Gewinn, die sich aus der Nutzung oder der Unmöglichkeit der Nutzung der auf der Website angebotenen Dienste, Testdokumente oder damit zusammenhängenden Daten ergeben oder damit zusammenhängen.

Für weitere Informationen über AV-Comparatives und die Testmethoden besuchen Sie bitte unsere Website.

AV-Comparatives
(November 2022)