Endpoint Prevention and Response (EPR)-Produkte werden in Unternehmen eingesetzt, um gezielte Angriffe wie Advanced Persistent Threats (ATPs) zu erkennen, zu verhindern, zu analysieren und zu bekämpfen. Während von Endpunktsicherheitsprodukten erwartet wird, dass sie Malware und Netzwerkangriffe auf einzelne Workstations erkennen und blockieren, müssen EPR-Produkte mit mehrstufigen Angriffen fertig werden, die darauf abzielen, das gesamte Netzwerk eines Unternehmens zu infiltrieren. Von Endpoint-Prevention- und Response-Systemen wird erwartet, dass sie nicht nur einzelne Geräte schützen, sondern auch eine detaillierte Analyse des Ursprungs, der Methoden und der Ziele eines Angriffs liefern. Dies ermöglicht es dem Sicherheitspersonal, die Art der Bedrohung zu verstehen, ihre Ausbreitung zu verhindern, den entstandenen Schaden zu beheben und Vorkehrungen zu treffen, um ähnliche Angriffe in Zukunft zu verhindern. Der Endpoint Prevention and Response Test von AV-Comparatives ist der umfassendste Test von EPR-Produkten, der jemals durchgeführt wurde. Die 9 getesteten Produkte wurden 49 verschiedenen gezielten Angriffen ausgesetzt, bei denen eine Vielzahl unterschiedlicher Techniken zum Einsatz kam. Ungeprüft durchliefen die Angriffe drei verschiedene Phasen: Kompromittierung des Endpunkts und Eindringen in das System, interne Ausbreitung und Eindringen in den Bestand. In jeder Phase wurde geprüft, ob das Produkt den Angriff erkannte, automatische Maßnahmen zur Abwehr der Bedrohung ergriff (aktive Reaktion) oder Informationen über den Angriff lieferte, die der Administrator nutzen konnte, um selbst Maßnahmen zu ergreifen (passive Reaktion). Wenn ein EPR-Produkt einen Angriff in einer Phase nicht blockiert, wird der Angriff in der nächsten Phase fortgesetzt, und die Reaktion des Produkts wird hier vermerkt. Dieser Bericht enthält die Ergebnisse der Tests, aus denen hervorgeht, in welcher Phase (wenn überhaupt) jedes Produkt aktiv oder passiv auf die jeweilige Bedrohung reagiert hat. Es werden jedoch auch eine Reihe anderer Faktoren berücksichtigt. Erstens wird die Zeit bis zur Reaktion festgehalten. Je früher ein Angriff gestoppt oder entdeckt wird, desto besser. Den getesteten Produkten wurde ein Zeitfenster von 24 Stunden nach Beginn eines jeden Angriffs eingeräumt, in dem sie Maßnahmen ergreifen konnten. Die Fähigkeit der einzelnen Produkte, Abhilfemaßnahmen zu ergreifen, wie z. B. die Isolierung eines Endpunkts vom Netzwerk, die Wiederherstellung von einem Systemabbild oder die Bearbeitung der Windows-Registrierung, wurde notiert. Ebenso wurde die Fähigkeit jedes Produkts untersucht, die Art eines Angriffs zu untersuchen, einschließlich eines Zeitplans und einer Aufschlüsselung der Phasen. Außerdem wurde die Fähigkeit der einzelnen Produkte untersucht, Informationen über Indikatoren für eine Gefährdung zu sammeln und in einer leicht zugänglichen Form zu präsentieren. Wir haben einen Enterprise EPR CyberRisk Quadrant entwickelt, der die Effektivität jedes Produkts bei der Verhinderung von Sicherheitsverletzungen, die berechneten Einsparungen, die sich daraus ergeben, die Anschaffungskosten des Produkts und die Kosten für die Genauigkeit des Produkts (aufgrund von Fehlalarmen) berücksichtigt. Für diese Berechnung haben wir ein Unternehmen mit 5.000 Client-PCs über einen Zeitraum von 5 Jahren angenommen. Auf dieser Grundlage haben wir die Produkte in drei Stufen zertifiziert. Diese sind, von der höchsten zur niedrigsten Stufe: Strategic Leaders, CyberRisk Visionaries und Strong Challengers.
Endpoint Prevention & Response (EPR) Test 2020
Datum der Veröffentlichung | 2020-12-17 |
Datum der Überarbeitung | 2020-12-17 |
Prüfzeitraum | September - November 2020 |
Anzahl der Testfälle | 49 |
Online mit Cloud-Konnektivität | |
Update erlaubt | |
False-Alarm Test inklusive | |
Plattform/OS | Microsoft Windows |
Einleitung
Geprüfte Produkte
Wir gratulieren den folgenden Anbietern zur Teilnahme an diesem EPR-Test und zur Veröffentlichung ihrer Ergebnisse. Alle getesteten Anbieter erhielten Informationen über ihre jeweiligen verfehlten Szenarien, so dass sie ihre Produkte weiter verbessern können. Bitte beachten Sie, dass einige der an diesem Test teilnehmenden Anbieter anonym bleiben wollten, weshalb wir sie als "Anbieter A", "Anbieter B" usw. bezeichnet haben. Wir haben ihre Ergebnisse in den Bericht aufgenommen, um einen Überblick über die derzeit auf dem Markt verfügbaren Leistungsstufen zu geben.
Die folgenden Produkte wurden von AV-Comparatives getestet
Die Einstellungen, die für das jeweilige Produkt vorgenommen wurden, finden Sie im Anhang dieses Berichts.
Dieser vergleichende Bericht gibt einen Überblick über die Ergebnisse für alle getesteten Produkte. Es gibt auch Einzelberichte für jedes Produkt, die unter www.av-comparatives.org über die unten angegebenen Links abgerufen werden können:
Bitdefender: https://www.av-comparatives.org/wp-content/uploads/2020/12/EPR_Bitdefender_2020.pdf
Cisco: https://www.av-comparatives.org/wp-content/uploads/2020/12/EPR_Cisco_2020.pdf
CrowdStrike: https://www.av-comparatives.org/wp-content/uploads/2020/12/EPR_CrowdStrike_2020.pdf
ESET: https://www.av-comparatives.org/wp-content/uploads/2020/12/EPR_ESET_2020.pdf
Palo Alto Networks: https://www.av-comparatives.org/wp-content/uploads/2020/12/EPR_PaloAlto_2020.pdf
EPR CyberRisk Quadrant™
Produkt | 5-Jahres-Produktkosten (Pro Agent) | Aktive Reaktion | Passive Reaktion | Kombinierte Präventions-/Reaktionskapazitäten Y-Achse | 5-Jahres-TCO (pro Agent) X-Achse |
---|---|---|---|---|---|
Bitdefender | $100 | 93.9% | 100% | 96.9% | $679 |
Cisco | $158 | 98.0% | 100% | 99.0% | $737 |
CrowdStrike | $357 | 98.0% | 100% | 99.0% | $550 |
ESET | $149 | 98.0% | 100% | 99.0% | $342 |
Palo Alto Networks | $210 | 98.0% | 100% | 99.0% | $403 |
Anbieter A | $146 | 93.9% | 100% | 96.9% | $725 |
Anbieter B | $158 | 93.9% | 98.0% | 95.9% | $1,702 |
Anbieter C | $125 | 93.9% | 98.0% | 95.9% | $1,283 |
Anbieter D | $300 | 98.0% | 98.0% | 98.0% | $1,072 |
CyberRisk Quadrant Key Metrics - basierend auf 5000 Clients
Strategic Leaders
Dabei handelt es sich um EPR-Produkte, die eine sehr hohe Investitionsrendite und sehr niedrige Gesamtbetriebskosten (TCO) aufweisen. Dies ist auf die außergewöhnlichen technischen Fähigkeiten in Verbindung mit angemessenen Kosten zurückzuführen. Diese Produkte zeichnen sich durch herausragende Präventions-, Erkennungs-, Reaktions- und Berichterstattungsfunktionen der Unternehmensklasse aus, kombiniert mit optimalen operativen und analytischen Workflow-Funktionen. Strategische Führungskräfte zeigen anderen den Weg, indem sie sich ehrgeizige Ziele setzen und diese auch erreichen. Sie entwickeln bahnbrechende Ideen und setzen diese eindrucksvoll in ihren Produkten um.
CyberRisk Visionaries
Diese EPR-Produkte bieten eine hohe Investitionsrendite und niedrige Gesamtbetriebskosten, da sie hervorragende technische Funktionen in Kombination mit sehr guten operativen und analytischen Workflow-Funktionen bieten. Diese Produkte weisen gute Präventions-, Erkennungs-, Reaktions- und Berichterstattungsfunktionen der Unternehmensklasse auf und verfügen über überdurchschnittliche operative und analytische Workflow-Funktionen. CyberRisk Visionäre sehen, was in der Zukunft benötigt wird, und bemühen sich, dies schon heute zu realisieren. Sie entwickeln ihre Produkte ständig weiter und versuchen, sie zu verbessern.
Strong Challengers
EPR-Produkte, die eine akzeptable Kapitalrendite aufweisen, effektive technische Funktionen bieten und gleichzeitig angemessene Gesamtbetriebskosten für das Unternehmen ermöglichen.
Strong Challengers haben sich das Ziel gesetzt, die Besten zu sein, und arbeiten hart daran, dieses Ziel zu erreichen.
Welches Produkt ist das richtige für mein Unternehmen?
Die Tatsache, dass ein Produkt hier im obersten Bereich des Quadranten angezeigt wird, bedeutet nicht unbedingt, dass es das beste Produkt für die Anforderungen Ihres Unternehmens ist. Produkte in niedrigeren Bereichen des Quadranten können Funktionen aufweisen, die sie für Ihre spezielle Umgebung gut geeignet machen.
Platzierung der Punkte entsprechend der aktiven und passiven Antwortrate
Obwohl die Anbieter die gleichen Gesamtszenarien und die gleichen aktiven/passiven Reaktionsraten hatten, wurde die Platzierung des Anbieters im Quadranten davon bestimmt, wie gut die aktiven oder passiven Reaktionsmöglichkeiten waren. Anbieter, die in allen Phasen der Vorbeugung eine hohe aktive Reaktionsfähigkeit aufweisen, haben geringere TCO, da die Reaktionskosten niedriger sind.
Anbieter, die über angemessene aktive Reaktionsmöglichkeiten verfügten, aber früher passive Reaktionsmöglichkeiten hatten, haben höhere TCO, da die Reaktionskosten höher sind. In dem Bericht wird erläutert, wie aktive und passive Antwortmöglichkeiten den Anbietern angerechnet wurden. Im Grunde genommen verschiebt sich also selbst bei einer gleichen Gesamtnote von % die Platzierung von Dot nach links oder rechts, je nachdem, wie gut jeder Anbieter in den einzelnen Phasen bei der aktiven Reaktion abgeschnitten hat.
EPR CyberRisk Quadrant Übersicht
Wir haben einen Enterprise EPR CyberRisk Quadrant entwickelt, der die Effektivität jedes Produkts bei der Verhinderung von Sicherheitsverstößen, die daraus resultierenden Einsparungen, die Anschaffungskosten des Produkts und die Kosten für die Genauigkeit des Produkts (aufgrund von Fehlalarmen) berücksichtigt.
Eines der größten Probleme, die durch eine Sicherheitsverletzung verursacht werden, sind die finanziellen Kosten, die der betroffenen Organisation entstehen. Nach Angaben von IBM belaufen sich die durchschnittlichen Kosten einer Sicherheitsverletzung auf 3,86 Millionen USD. Daher kann der Kauf eines wirksamen EPR-Produkts, das die negativen Auswirkungen eines Angriffs minimiert, eine gute Investition sein. Wenn ein Unternehmen im Falle eines erfolgreichen Angriffs einen Verlust von 2 Mio. USD zu beklagen hat, sind selbst 1,5 Mio. USD für Sicherheitsmaßnahmen eine sinnvolle Investition, ganz abgesehen von allen anderen Überlegungen.
In diesem Abschnitt betrachten wir die Gesamtkosten, die mit dem Einsatz der getesteten Sicherheitsprodukte verbunden sind, und ihre Wirksamkeit bei der Verhinderung von Sicherheitsverletzungen. So können wir berechnen, wie gut sich die einzelnen Produkte finanziell rechnen. Ausgehend von der IBM-Schätzung von 3,86 Mio. USD als Verlust für das Unternehmen im Falle eines erfolgreichen Angriffs berechnen wir, wie viel das Unternehmen durch den Kauf jedes der getesteten EPR-Produkte sparen könnte.
Die Zahlen zeigen, dass alle getesteten Produkte wirksam sind und dass ihre kombinierten aktiven und passiven Reaktionswerte die große Mehrheit der Angriffe abdecken. Allerdings sind einige Produkte in dieser Hinsicht eindeutig besser als andere. Je effektiver ein Produkt bei der Verhinderung von Sicherheitsverletzungen ist, desto geringer sind die zu erwartenden Kosten für die Behandlung von Sicherheitsverletzungen.
In der nachstehenden Abbildung ist die Formel für die Ermittlung der Gesamtbetriebskosten eines Produkts dargestellt, die folgende Faktoren umfasst. Zunächst ist da der Preis, der an den Verkäufer des Produkts für das Produkt und die damit verbundenen Service- und Supportkosten gezahlt wird. Als Nächstes kommen die Kosten in Verbindung mit Fehlalarmen, die durch das Produkt verursacht werden (im Folgenden als Kosten für die operative Genauigkeit definiert) und die untersucht und behoben werden müssen. Als Nächstes folgen die Kosten im Zusammenhang mit Sicherheitsverletzungen, wobei ein Produkt, das theoretisch 100% Angriffe abwehren kann, hier keine Kosten verursacht, während ein Produkt, das keine Angriffe abwehrt, die vollen Kosten einer Sicherheitsverletzung verursacht.
Die Kosten für einen Verstoß wurden für jedes Produkt pro Szenario auf der Grundlage der Fähigkeit des EPR-Produkts zur aktiven und passiven Reaktion zum Zeitpunkt der Ausführung (T0) und zwischen dem Zeitpunkt der Ausführung und dem Ende des Testfensters (T0-T24 Std.) berechnet.
Auf der Grundlage des obigen Ansatzes entstanden für jedes EPR-Produkt zusätzliche Kosten für die Sicherheitsverletzung, je nachdem, wie es mit den einzelnen getesteten Szenarien umging.
- Wenn es innerhalb des getesteten Zeitfensters von 24 Stunden KEINE aktive oder passive Reaktion für das Szenario gab, wurden 100% der Gesamtkosten für die Sicherheitsverletzung für das Szenario addiert.
- Wenn es zwischen T0-T24 KEINE aktive Reaktion gab, das Produkt aber zwischen T0-T24 passive Reaktionsmöglichkeiten aufwies, wurden für das Szenario 75% der Gesamtkosten der Sicherheitsverletzung addiert.
- Wenn es zum Zeitpunkt T0 KEINE aktive Reaktion gab, aber eine vor dem Zeitpunkt T24, wurden 50% der Gesamtkosten für den Verstoß für das Szenario hinzugefügt.
- Wenn es zum Zeitpunkt T0 KEINE aktive Reaktion gab, das Produkt aber zum Zeitpunkt T0 passive Reaktionsmöglichkeiten aufwies, wurden 25% der Gesamtkosten für die Sicherheitsverletzung für das Szenario hinzugefügt.
- Wenn es zum Zeitpunkt T0 eine aktive Reaktion gab, wurde 0% der Gesamtkosten für die Sicherheitsverletzung für das Szenario hinzugefügt.
Zur Berechnung der X-Achse im EPR-CyberRisk-Quadranten wurden der Listenpreis des Produkts, die Einsparungen bei der operativen Genauigkeit (False Positive) und die Kosteneinsparungen bei Sicherheitsverletzungen herangezogen. Wie bereits erwähnt, führt eine aktive Reaktion auf eine Bedrohung zu einer höheren Kostenersparnis als die spätere Entdeckung einer Bedrohung oder - noch schlimmer - die Tatsache, dass man nicht in der Lage ist, innerhalb des 24-Stunden-Testfensters darauf zu reagieren. Die folgenden beiden Abbildungen zeigen, wie die Berechnungen durchgeführt wurden.
Produkt | Scenaroios | Aktive Gesamtprävention | Passive Reaktion insgesamt | Keine Prävention/Reaktion |
Operative Genauigkeit Einsparungen |
---|---|---|---|---|---|
Bitdefender | 49 | 46 | 49 | 0 | |
Cisco | 49 | 48 | 49 | 0 | |
CrowdStrike | 49 | 48 | 49 | 0 | |
ESET | 49 | 48 | 49 | 0 | |
Palo Alto Networks | 49 | 48 | 49 | 0 | |
Anbieter A | 49 | 46 | 49 | 0 | |
Anbieter B | 49 | 46 | 48 | 1 | |
Anbieter C | 49 | 46 | 48 | 1 | |
Anbieter D | 48 | 48 | 48 | 1 |
Produktkosten und Einsparungen bei Verstößen
Wie aus der obigen Tabelle hervorgeht, konnten alle Anbieter Einsparungen bei der operativen Genauigkeit (Fehlalarme) erzielen. Die meisten Anbieter konnten auch erhebliche Einsparungen bei Sicherheitsverletzungen erzielen. Anbieter B, Anbieter C und Anbieter D waren nicht in der Lage, eine Bedrohung zu verhindern oder darauf zu reagieren.
Aktive Reaktion / Prävention: Eine aktive Reaktion ist eine wirksame Reaktionsstrategie, die eine Aufdeckung mit wirksamen Präventions- und Meldefunktionen verbindet.
Passive Reaktion: Bei der passiven Reaktion handelt es sich um eine Reihe von Reaktionsmechanismen, die das Produkt mit kohärenten Erkennungs-, Korrelations-, Berichterstattungs- und Handlungsfähigkeiten bietet. EPR-Comparative Report 2020 www.av-comparatives.org
EPR-Test-Metriken und -Bewertungen
Das Ziel eines jeden EPR-Systems ist es, Bedrohungen zu verhindern oder zumindest so schnell wie möglich wirksame Reaktionsmöglichkeiten zu bieten. Endpunktprodukte, die eine hohe aktive Prävention bieten, verursachen weniger Kosten, da kein betrieblicher Aufwand für die Reaktion auf einen Angriff und die Behebung seiner Folgen erforderlich ist. Darüber hinaus können EPR-Produkte, die auch eine hohe Erkennungsrate (Sichtbarkeit und forensische Details) bieten, Einsparungen erzielen, da die Kompromittierungen nicht manuell untersucht werden müssen.
EPR-Produktbewertung | Unternehmen Einsparungen |
---|---|
Verhindert die meisten Angriffe und bietet eine wirksame passive Reaktion | High |
Verhindert die meisten Angriffe, bietet aber eine schwächere passive Reaktion | Medium |
Schwache Prävention und schwache passive Reaktion | Low |
Hohe Einsparungen für Unternehmen: Wenn die meisten Bedrohungen durch das EPR-Produkt bei oder kurz nach der Ausführung erkannt und abgewehrt werden und wenn das Produkt die notwendigen Erkennungsinformationen für eine wirksame passive Reaktion (teilweise/vollständig automatisiert) bereitstellt, führt dies zu hohen Unternehmenseinsparungen. Der Durchschnitt der aktiven und passiven Reaktion muss gleich oder größer als 95% sein.
Mittlere Einsparungen für Unternehmen: Wenn die meisten Bedrohungen durch das EPR-Produkt bei oder kurz nach der Ausführung erkannt und abgewehrt werden, aber nur wenige Details zur Erkennung vorliegen, führt dies zu einer schwächeren passiven Reaktionsstrategie. Der Grund dafür ist der betriebliche Aufwand, der erforderlich ist, um auf die Auswirkungen eines kompromittierten Systems zu reagieren und sie zu beheben, was zu einem Anstieg der Unternehmenskosten führt. Der Durchschnittswert der aktiven und passiven Reaktion, der für Einsparungen bei mittleren Unternehmen erforderlich ist, muss mindestens 90% betragen.
Niedrige Einsparungen für Unternehmen: Wenn schließlich die meisten Bedrohungen durch das EPR-Produkt nicht verhindert werden und das Produkt keine Details zur Erkennung liefert, führt dies zu einer schwächeren aktiven und passiven Reaktionsstrategie mit nur geringen Einsparungen für das Unternehmen. Der Durchschnitt der aktiven und passiven Reaktion ist in diesem Fall geringer als 90%.
Test-Ergebnisse
Kombinierte Präventions-/Reaktionskapazitäten | Unternehmen Einsparungen |
EPR CyberRisk Unternehmens-Quadrant | |
---|---|---|---|
Cisco | 99.0% | High | Strategic Leader |
CrowdStrike | 99.0% | High | Strategic Leader |
ESET | 99.0% | High | Strategic Leader |
Palo Alto Networks | 99.0% | High | Strategic Leader |
Bitdefender | 96.9% | High | CyberRisk Visionary |
Anbieter D | 98.0% | High | CyberRisk Visionary |
Anbieter A | 96.9% | High | CyberRisk Visionary |
Anbieter C | 95.9% | High | CyberRisk Visionary |
Anbieter B | 95.9% | High | Strong Challenger |
EPR-Zertifizierung von AV-Comparatives
Für diesen Test vergeben wir drei verschiedene Zertifizierungsstufen für qualifizierte Produkte, basierend auf ihrer jeweiligen Position im Enterprise CyberRisk Quadrant™. Um zertifiziert zu werden, muss ein Produkt einen Durchschnittswert von mindestens 90% für die kombinierte aktive und passive Reaktion erreichen und damit die oben definierten mittleren Einsparungen für Unternehmen erzielen. Die Zertifizierungsstufen sind: Strategic Leader, CyberRisk Visionary, Strong Challenger.
Wir gratulieren den unten aufgeführten Anbietern, deren Produkte die Zertifizierungskriterien erfüllt haben und somit die EPR-Produktzertifizierung von AV-Comparatives für 2020 erhalten haben:
Strategic Leader | ESET, Palo Alto Networks, Cisco, CrowdStrike |
CyberRisk Visionary | Bitdefender, Anbieter A, Anbieter C, Anbieter D |
Strong Challenger | Anbieter B |
Detaillierte Testergebnisse
Phase-1 Metriken: Endpoint Compromise and Foothold
Phase-1 kann durch einen Angriff auf der Grundlage von MITRE ATT&CK und anderen Methoden ausgelöst werden und lässt sich effektiv auf die Cyber Kill Chain von Lockheed abbilden. Dieser Arbeitsablauf kann operationalisiert werden, indem die verschiedenen, unten beschriebenen Angriffsphasen durchlaufen werden.
Initial Access: Der Erstzugang ist die Methode, die der Angreifer verwendet, um in der Umgebung, die er angreifen will, Fuß zu fassen. Angreifer können eine einzige Methode oder eine Kombination verschiedener Techniken verwenden. Die Bedrohungen können von kompromittierten Websites, E-Mail-Anhängen oder Wechseldatenträgern ausgehen. Zu den Infektionsmethoden gehören Exploits, Drive-by-Downloads, Spear-Phishing, Makros, vertrauenswürdige Beziehungen, gültige Konten und Kompromittierungen der Lieferkette.
Execution: Das nächste Ziel des Angreifers besteht darin, seinen eigenen Code in der Zielumgebung auszuführen. Je nach den Umständen kann dies lokal oder über Remotecodeausführung erfolgen. Zu den verwendeten Methoden gehören die clientseitige Ausführung, Software von Drittanbietern, Betriebssystemfunktionen wie PowerShell, MSHTA und die Befehlszeile.
Persistence: Sobald der Angreifer in die Zielumgebung eingedrungen ist, wird er versuchen, dort dauerhaft Fuß zu fassen. Je nach Zielbetriebssystem kann ein Angreifer Tools und Funktionen des Betriebssystems verwenden, um in der Umgebung Fuß zu fassen. Dazu gehören die Manipulation der Registrierung, die Angabe von Dynamic-Link-Library-Werten in der Registrierung, Shell-Skripte, die Shell-Befehle enthalten können, Application Shimming und Kontomanipulation.
Damit eine aktive Reaktion (Präventivmaßnahme) angerechnet werden kann, haben wir überprüft, ob das Produkt während einer der drei Phasen eine aktive Reaktion durchgeführt hat. Damit ein Erkennungsereignis gutgeschrieben werden kann, haben wir überprüft, ob das Produkt verschiedene Indikatoren erkannt hat, die die Aktionen mit dem Angriff in Verbindung bringen.
Und schließlich haben wir für die Anrechnung der passiven Reaktion überprüft, ob es dem SOC-Analysten möglich war, mit dem Produkt auf die Bedrohung zu reagieren oder nicht.
In der folgenden Abbildung sind die Ergebnisse für jedes der in Phase 1 getesteten Produkte dargestellt.
Phase-2 Metriken: Internal Propagation
In dieser Phase sollte das EPR-Produkt in der Lage sein, die interne Ausbreitung zu verhindern. Diese Phase wird ausgelöst, wenn die Abwehr der Bedrohung fehlschlägt. Das EPR-Produkt sollte den Analysten in die Lage versetzen, die interne Ausbreitung der Bedrohung sofort zu erkennen und in Echtzeit zu verfolgen.
Privilege Escalation: In Unternehmensnetzwerken ist es üblich, dass Benutzer (einschließlich Systemadministratoren auf ihren eigenen Computern) Standardbenutzerkonten ohne Administratorrechte verwenden. Wenn ein Unternehmensendpunkt angegriffen wird, verfügt das angemeldete Konto nicht über die Berechtigungen, die der Angreifer benötigt, um die nächste Phase des Angriffs zu starten. In diesen Fällen müssen die Privilegien erweitert werden, indem Techniken wie die Manipulation von User-Access Tokens, Application Shimming, Hooking, oder Permission Weakness. Sobald der Angreifer in der Umgebung Fuß gefasst hat, wird er versuchen, die Privilegien zu erweitern. Damit eine aktive Reaktion angerechnet werden kann, haben wir verschiedene Phasen innerhalb jeder Methode untersucht, um festzustellen, ob das Produkt vorbeugende Maßnahmen ergriffen hat.
Damit ein Erkennungsereignis angerechnet werden kann, haben wir verschiedene Indikatoren untersucht, die die Aktion mit dem Angriff in Verbindung bringen. Und schließlich haben wir für die Anrechnung einer passiven Reaktion untersucht, ob es dem SOC-Analysten möglich war, mit dem getesteten Produkt auf die Bedrohung zu reagieren oder nicht.
Discovery for Lateral Movement: Sobald sich der Angreifer Zugang zum Zielnetz verschafft hat, erkundet er die Umgebung mit dem Ziel, die Anlagen zu finden, die das eigentliche Ziel des Angriffs sind. Dies geschieht in der Regel durch Scannen des Netzwerks.
Credential Access: Dies ist eine Methode, mit der der Angreifer sicherstellt, dass seine weiteren Aktivitäten über ein legitimes Netzwerk-Benutzerkonto ausgeführt werden. Dies bedeutet, dass er auf die gewünschten Ressourcen zugreifen kann und von den Schutzmaßnahmen des Systems nicht als Eindringling erkannt wird. Je nach Art des angegriffenen Netzes können verschiedene Methoden für den Zugriff auf Zugangsdaten verwendet werden. Die Zugangsdaten können vor Ort mit einer Methode wie der Eingabeerfassung (z. B. Keylogger) beschafft werden. Alternativ kann die Offline-Methode angewandt werden, bei der der Angreifer die gesamte Kennwortdatenbank außerhalb des Unternehmens kopiert und sie dann mit beliebigen Methoden knacken kann, ohne Angst vor Entdeckung zu haben.
Lateral Movement: Der Angreifer bewegt sich seitlich innerhalb der Umgebung, um auf die für ihn interessanten Objekte zuzugreifen. Zu den verwendeten Techniken gehören "Pass the Hash", "Pass the Ticket" und die Ausnutzung von Remote-Diensten und Protokollen wie RDP.
In der folgenden Abbildung sind die Ergebnisse für jedes der in Phase 2 getesteten Produkte dargestellt.
Phase-3 Metriken: Asset Breach
Die letzte Phase des Arbeitsablaufs ist der Einbruch in Vermögenswerte. Dies ist die Phase, in der ein Angreifer beginnt, sein eigentliches Ziel auszuführen.
Collection: Dabei geht es darum, die Zielinformationen zu sammeln - natürlich unter der Annahme, dass nicht Sabotage, sondern Informationsdiebstahl das Ziel ist. Die betreffenden Daten können in Form von Dokumenten, E-Mails oder Datenbanken vorliegen.
Exfiltration: Sobald der Angreifer das Ziel erreicht hat, die Zielinformationen zu sammeln, wird er
wollen sie heimlich vom Zielnetz auf ihren eigenen Server kopieren. In fast allen Fällen,
Die Exfiltration beinhaltet die Nutzung einer Befehls- und Kontrollinfrastruktur.
Impact: Nachdem der Angreifer die Zielinformationen gefunden und extrahiert hat, wird er versuchen, alle im Zielnetz verbliebenen Beweise für den Angriff zu löschen oder zu vernichten. Ein ideales Szenario für den Angreifer wäre, wenn das Opfer nicht einmal merkt, dass der Angriff stattgefunden hat. Unabhängig davon, ob dies möglich ist oder nicht, wird der Angreifer versuchen, Daten innerhalb der Zielumgebung zu manipulieren, um sicherzustellen, dass seine Spuren so weit wie möglich verwischt werden. Dadurch wird sichergestellt, dass das Opfer nicht über die forensischen Informationen verfügt, die es braucht, um den Angriff zu verstehen oder den Angreifer aufzuspüren. Datenmanipulation, Löschung und Verschlüsselung (wie bei Ransomware) sind die typischen Techniken, die zu diesem Zweck eingesetzt werden.
In der folgenden Abbildung sind die Ergebnisse für jedes der in Phase 3 getesteten Produkte dargestellt.
Verkürzung der TTP (Zeit bis zur Verhinderung)
Wie aus den Berechnungen des CyberRisk Quadranten hervorgeht, ist die Zeit zur Abwehr von Bedrohungen von großer Bedeutung. Daher ist die Geschwindigkeit, mit der ein Produkt die Bedrohung abwenden kann, ein wichtiges Merkmal, das berücksichtigt werden muss. Man könnte dies auch als die effektive Verkürzung der aktiven Reaktionszeit bezeichnen. Wir haben aufgezeichnet, wann die Bedrohung in den Testzyklus eingeführt wurde und wie lange das Produkt brauchte, um sie abzuwehren. Innerhalb des 24-Stunden-Fensters werden die kumulativen Schutz- und Erkennungsraten jede Stunde berechnet, bis das Produkt Angriffe verhindert und darauf reagiert hat.
Zeit bis zur Verhinderung (in Stunden) | |||||||||
---|---|---|---|---|---|---|---|---|---|
0 (T0) | <1 | <2 | <5 |
<10 |
<15 |
<20 |
<24 | 24 (T1) | |
Bitdefender | Alle in der nachstehenden Tabelle aufgeführten Active-Response-Werte wurden bei T0 erreicht, und änderte sich während des 24-Stunden-Zeitraums nicht (T1) | ||||||||
Cisco | |||||||||
CrowdStrike | |||||||||
ESET | |||||||||
Palo Alto Networks | |||||||||
Anbieter A | |||||||||
Anbieter B | |||||||||
Anbieter C | |||||||||
Anbieter D |
Die folgende Tabelle zeigt die kumulative aktive Reaktion nach Phase(n) für jedes Produkt.
Aktive Reaktion | Nur Phase 1 | Phase 1 & 2 | Insgesamt (Phase 1, 2 & 3) |
---|---|---|---|
Bitdefender | 91.8% | 93.9% | 93.9% |
Cisco | 93.9% | 98.0% | 98.0% |
CrowdStrike | 95.9% | 98.0% | 98.0% |
ESET | 98.0% | 98.0% | 98.0% |
Palo Alto Networks | 95.9% | 98.0% | 98.0% |
Anbieter A | 91.8% | 93.9% | 93.9% |
Anbieter B | 89.8% | 93.9% | 93.9% |
Anbieter C | 91.8% | 93.9% | 93.9% |
Anbieter D | 98.0% | 98.0% | 98.0% |
Kumulative aktive Reaktion (Prävention) nach Phasen
Verkürzung der TTP (Zeit bis zum Ansprechen)
Zeit ist ein kritischer Faktor, wenn ein nicht verhinderter Vorfall zu einer Sicherheitsverletzung führen kann.
Zeit bis zur Verhinderung (in Stunden) | |||||||||
---|---|---|---|---|---|---|---|---|---|
0 (T0) | <1 | <2 | <5 |
<10 |
<15 |
<20 |
<24 | 24 (T1) | |
Bitdefender | Alle in der nachstehenden Tabelle aufgeführten Werte für das passive Ansprechverhalten wurden bei T0 erreicht, und änderte sich während des 24-Stunden-Zeitraums nicht (T1) | ||||||||
Cisco | |||||||||
CrowdStrike | |||||||||
ESET | |||||||||
Palo Alto Networks | |||||||||
Anbieter A | |||||||||
Anbieter B | |||||||||
Anbieter C | |||||||||
Anbieter D |
Die folgende Tabelle zeigt die kumulative passive Reaktion nach Phase(n) für jedes Produkt.
Passive Reaktion | Nur Phase 1 | Phase 1 & 2 | Insgesamt (Phase 1, 2 & 3) |
---|---|---|---|
Bitdefender | 100% | 100% | 100% |
Cisco | 93.9% | 100% | 100% |
CrowdStrike | 95.9% | 98.0% | 98.0% |
ESET | 100% | 100% | 100% |
Palo Alto Networks | 100% | 100% | 100% |
Anbieter A | 98.0% | 100% | 100% |
Anbieter B | 95.9% | 98.0% | 98.0% |
Anbieter C | 95.9% | 98.0% | 98.0% |
Anbieter D | 98.0% | 98.0% | 98.0% |
Kumulative Passive Reaktion (Prävention) nach Phasen
Mechanismus der Produktreaktion
EPR-Produkte setzen ihre Reaktionsmechanismen ein, um Eindringlinge, die in die geschützte Umgebung eingedrungen sind, zu bekämpfen. Von einem EPR-Produkt wird zumindest erwartet, dass es die Korrelation von Endpunkten, Prozessen und Netzkommunikation sowie die Korrelation von externen IOCs mit der internen Umgebung ermöglicht.
Die EDR-Funktionen wurden anhand der Erkennungs- und Reaktionsfunktionen des Produkts getestet und untersucht. Wir waren in der Lage, die Ereignisse zu untersuchen, die mit den verschiedenen Schritten korrelierten, die der Angreifer beim Versuch, in die Umgebung einzudringen, unternahm.
Das EPR-Produkt sollte eine vollständige Sichtbarkeit der bösartigen Artefakte/Operationen ermöglichen, die die Angriffskette bilden, so dass alle reaktionsbasierten Aktivitäten leicht durchgeführt werden können. Das bedeutet, dass der SOC-Analyst (Response Enablement) jede Form der unten genannten beabsichtigten Abhilfemaßnahmen durchführen kann - basierend auf den vom Produkt unterstützten Funktionen - und dies von AV-Comparatives bewertet und überprüft wurde. Die Ergebnisse sind in der folgenden Tabelle dargestellt.
EPR-Reaktionsmaßnahmen für SOC-Analysten verfügbar
Zentrale Verwaltung und Berichterstattung
Der Management-Workflow ist ein wichtiges Unterscheidungsmerkmal für Sicherheitsprodukte in Unternehmen. Wenn ein Produkt schwierig zu verwalten ist, wird es nicht effizient genutzt werden. Die Intuitivität der Verwaltungsoberfläche eines Produkts ist ein guter Indikator dafür, wie nützlich das Produkt sein wird. Die pro Aktivität eingesparten Minuten können sich im Laufe eines Jahres in Tage und sogar Wochen umwandeln.
Verwaltung: Sichtbarkeit von Bedrohungen, Systemsichtbarkeit und gemeinsame Nutzung von Daten
Die Fähigkeit, Bedrohungskontext bereitzustellen, ist eine Schlüsselkomponente eines EPR-Produkts. Diese Transparenz kann entscheidend sein, wenn Unternehmen entscheiden, ob sie eine bestehende Technologie ergänzen oder ersetzen wollen. Die Verwaltungskonsole kann als physische Appliance, virtuelle Appliance oder als in der Cloud bereitgestellte Appliance eingesetzt werden. In der Verwaltungskonsole ist eine vollständige Aufzeichnung der Audit-Protokolle verfügbar. Die Kommunikation zwischen dem Agenten und der Verwaltungskonsole erfolgt über SSL. Abbildung 12 bis Abbildung 17 geben Aufschluss über die jeweiligen Fähigkeiten der getesteten Produkte.
Sichtbarkeit der Bedrohung
Sichtbarkeit des Systems
Gemeinsame Nutzung von Daten
Verschlüsselung, Aufdeckung und Berichterstattung
Workflow, Berichterstattung und Notfallwiederherstellung
Integration von Drittanbietern und Berichterstattung
EPR-Produktberichtsfunktionen
Eine EPR-Plattform sollte in der Lage sein, Daten zu vereinheitlichen, d. h. Informationen aus unterschiedlichen Quellen zusammenzuführen und sie innerhalb ihrer eigenen Benutzeroberfläche als kohärentes Bild der Situation zu präsentieren. Die technische Integration mit dem Betriebssystem und Anwendungen von Drittanbietern (Syslog, Splunk, SIEM oder über API) ist dabei ein wichtiger Bestandteil. Ein EPR-System sollte in der Lage sein, dem Unternehmen angemessene Reaktionsmöglichkeiten zu bieten. Während es leitenden Analysten ein Höchstmaß an Flexibilität bietet, sollte das EPR vordefinierte (aber konfigurierbare) Arbeitsabläufe für weniger erfahrenes Personal unterstützen, das während einer Untersuchung mit spezifischen Aufgaben betraut wird.
IOC-Integration
Damit soll der digitale Fußabdruck identifiziert werden, mit dessen Hilfe die böswilligen Aktivitäten in einem Endpunkt/Netzwerk erkannt werden können. Wir werden diesen Anwendungsfall untersuchen, indem wir uns die Fähigkeit des EPR-Produkts ansehen, externe IOCs wie Yara-Signaturen, Snort-Signaturen oder Threat Intelligence Feeds usw. zu verwenden, wie in der folgenden Abbildung dargestellt.
Korrelation externer Daten
Diese Fähigkeit wird auch vom Endpunktprodukt von Palo Alto Networks bereitgestellt.
In diesem Endpoint Prevention & Response Test erreichte Awards
Bitdefender | ZERTIFIZIERT |
CISCO | ZERTIFIZIERT |
CrowdStrike | ZERTIFIZIERT |
ESET | ZERTIFIZIERT |
Palo Alto | ZERTIFIZIERT |
Anbieter A | ZERTIFIZIERT |
Anbieter B | ZERTIFIZIERT |
Anbieter C | ZERTIFIZIERT |
Anbieter D | ZERTIFIZIERT |
Die Produktkosten basieren auf den Listenpreisen in USD, die von den Anbietern zum Zeitpunkt des Tests (Oktober 2020) angegeben wurden. Die tatsächlichen Kosten für die Endnutzer können niedriger sein, z. B. abhängig von den ausgehandelten
Rabatte. Im Allgemeinen kann die Preisgestaltung z. B. auf der Grundlage von Mengenrabatten, ausgehandelten Rabatten, geografischen Standorten, Vertriebskanälen und Partnermargen variieren.
Die EPR-Kosten umfassen die Produktkosten für 5000 Kunden, basierend auf einem 5-Jahres-Vertrag:
Produkt | EPR-Kosten (5000 Kunden) 5 Jahre |
---|---|
Bitdefender GravityZone Ultra | $500,777 |
Cisco Secure Endpoint Cloud | $792,000 |
CrowdStrike Falcon Enterprise | $1,784,450 |
ESET PROTECT Enterprise | $742,500 |
Palo Alto Networks Cortex XDR Pro | $1,050,000 |
Produkt A | $732,375 |
Produkt B | $787,500 |
Produkt C | $625,000 |
Produkt D | $1,500,000 |
Bitte beachten Sie, dass jedes Produkt seine eigenen besonderen Merkmale und Vorteile hat. Wir empfehlen den Lesern, jedes Produkt im Detail zu betrachten, anstatt nur auf die Listenpreise zu schauen. Einige Produkte verfügen möglicherweise über zusätzliche/andere Merkmale und Dienstleistungen, die sie für einige Organisationen besonders geeignet machen.
Endpoint Prevention Response im Vergleich zum MITRE ATT&CK Framework
Dieser EPR-Produktbericht ist eine umfassende Validierung der Funktionen, der Produktwirksamkeit und anderer relevanter Metriken, die Ihnen bei Ihrer Risikobewertung helfen. Die eingehenden Tests liefen über einen Zeitraum von vier Wochen. Insgesamt wurden 49 Szenarien mit realen Anwendungsfällen in Unternehmen durchgeführt. Diese Szenarien umfassten mehrere Präventions- und Erkennungs-Workflows, die unter normalen Betriebsbedingungen von verschiedenen Benutzer-Personas ausgeführt wurden. Die Ergebnisse der Validierung lassen sich effizient und effektiv auf die MITRE ATT&CK® Platform abbilden (© 2015-2020, The MITRE Corporation. MITRE ATT&CK und ATT&CK sind eingetragene Marken von The MITRE
Gesellschaft) und der NIST-Plattform, so dass es einfacher wird, das Risiko in Bezug auf einen bestimmten Endpunkt zu operationalisieren.
AV-Comparatives hat einen Paradigmenwechsel in der Branche herbeigeführt, indem es eine EPR-Methode definiert hat, die die alltägliche Realität der Anwendungsfälle und Arbeitsabläufe in Unternehmen widerspiegelt und die Sichtbarkeit der Kill-Chain mit dem MITRE ATT&CK-Framework abbildet.
Wie in Abbildung 22 auf der nächsten Seite dargestellt, haben wir uns von "atomaren" Tests entfernt, d. h. Tests, die nur eine bestimmte Komponente des ATT&CK-Frameworks untersuchen, und stattdessen die EPR-Produkte im Kontext der gesamten Angriffskette bewertet, wobei die Arbeitsabläufe in jeder Phase von der anfänglichen Ausführung bis zur endgültigen Datenexfiltration/Sabotage miteinander verbunden sind.
Aktive Reaktion vs. Passive Reaktion Workflow
Dieser EPR-Bericht enthält Metriken zur Sicherheitseffizienz für verschiedene Testszenarien und produktspezifische Faktoren. So können Unternehmen fundierte Entscheidungen über die Eignung der einzelnen getesteten Produkte für ihre Anforderungen treffen.
Unabhängig davon, ob Angriffe als böswillige Operationen, Kampagnen, Entdeckungen, Kill Chains oder etwas anderes definiert werden, sollten diese menschlichen Pfade hervorgehoben werden, die wir in diesem Bericht als vier verschiedene Arbeitsabläufe bezeichnen.
Prävention (aktive Reaktion)
Die beste Art und Weise, auf eine Bedrohung zu reagieren, besteht darin, sie so schnell wie möglich zu verhindern und effektiv darüber zu berichten. AV-Comparatives definiert Prävention als eine automatisierte, aktive Reaktion, die 24 Stunden am Tag, 7 Tage die Woche, 365 Tage im Jahr, ohne menschliches Eingreifen, aber mit quantifizierbaren Metriken und Berichtsdatenpunkten, die für eine effektive Analyse genutzt werden können, einsetzt. Ein EPR-Produkt sollte in der Lage sein, eine Bedrohung auf einem kompromittierten Computer zunächst zu identifizieren und zu verhindern. Der Vorfall sollte von einem zentralen Managementsystem aus erkannt, identifiziert, korreliert und behoben werden, und zwar durch eine effektive passive Reaktionsstrategie (teilweise oder vollständig automatisiert), idealerweise in Echtzeit. Darüber hinaus sollte der Sicherheitsanalyst in der Lage sein, eine Bedrohung auf der Grundlage der gesammelten und analysierten Daten zu klassifizieren und einzuteilen, und er sollte in der Lage sein, eine Reaktion unter Verwendung des EPR-Produkts mit einem spezifischen Workflow abzuschließen. Eine aktive Reaktion, wie sie in diesem Test definiert wird, ist eine wirksame Reaktionsstrategie, die eine Erkennung mit wirksamen Präventions- und Berichtsfunktionen verbindet. Dies alles sollte auf automatisierte Weise ohne manuelle Eingriffe erfolgen. Dies kann durch eine Vielzahl von Technologien und Mechanismen geschehen, z. B. durch signaturbasierte Modelle, verhaltensbasierte Modelle, ML-basierte Modelle, Transaktions-Rollbacks, isolationsbasierte Mechanismen und so weiter. Diese Definition ist technologieunabhängig, da sie sich auf die Ergebnisse der verschiedenen Arbeitsabläufe und Szenarien von Analysten konzentriert und nicht auf die Technologie, die zur Vorbeugung, Erkennung oder Reaktion darauf eingesetzt wird.
Passive Reaktion
Passive Reaktion, wie sie in diesem Test definiert wird, ist eine Reihe von Reaktionsmechanismen, die das Produkt mit kohärenten Erkennungs-, Korrelations-, Berichts- und Aktionsfähigkeiten bietet. Sobald sich ein Angreifer bereits in der Unternehmensumgebung befindet, kommen herkömmliche Reaktionsmechanismen zum Einsatz, z. B. IOC- und IOA-Korrelation, externe Bedrohungsinformationen und Jagd. AV-Comparatives definiert diese Reaktionsmechanismen als Passive Response. Die Voraussetzung für eine passive Reaktion ist die Erkennung einer potenziellen Bedrohung durch EPR-Produkte.
Von EPR-Produkten wird in der Regel erwartet, dass sie anfängliche und laufende Angriffe verhindern, ohne eine Triage vornehmen zu müssen, und gleichzeitig aktive Reaktions- und Berichtsfunktionen bieten. Wird der Angriff verpasst oder nicht verhindert, sollten EPR-Produkte in der Lage sein, Angriffe zu bewerten und darauf zu reagieren, wodurch die Ressourcen (Personal/Automatisierung) weniger belastet werden und langfristig eine bessere Rendite erzielt wird.
Eine passive Reaktion, wie sie in diesem Test definiert wird, ist eine wirksame Reaktionsstrategie, die eine Erkennung mit wirksamen Reaktions- und Berichtsmöglichkeiten bietet, die alle auf manuelle/halbautomatische Weise erfolgen und somit wertvolle Zeit und Ressourcen in Anspruch nehmen, was weitere Untersuchungen rechtfertigt.
Die Bandbreite der verfügbaren Reaktionsmöglichkeiten eines EPR-Produkts ist äußerst wichtig für Unternehmen, die Bedrohungen/Kompromittierungen auf mehreren Rechnern und an mehreren Standorten überprüfen müssen. Ein EPR-Produkt sollte in der Lage sein, anhand der dem Analysten zur Verfügung gestellten Intelligence-Daten nach bestimmten Bedrohungen zu suchen. Sobald sie identifiziert sind, sollte der Analyst in der Lage sein, das EPR-Produkt zu nutzen, um Reaktionen auf der Grundlage der Art der Infektion einzuleiten. AV-Comparatives erwartet, dass EPR-Produkte über nicht- oder halbautomatische passive Reaktionsmechanismen verfügen.
Korrelation von Prozess, Endpunkt und Netzwerk
Das EPR-Produkt sollte in der Lage sein, Bedrohungen auf eine oder mehrere der folgenden Arten zu erkennen und darauf zu reagieren.
- Die Antwort basiert auf der erfolgreichen Identifizierung des Angriffs über die Benutzeroberfläche (UI) des Produkts, die die Angriffsquelle (http[s]/IP-basierter Link) auflistet, die die kompromittierte Website/IP hostet.)
- Exploit-Identifizierung (basierend auf CVE oder generischer Erkennung der Bedrohung)
- Heruntergeladene Malware-Datei
- Spawnen von Malware-Prozessen
- Befehls- und Kontrolltätigkeit als Teil der einheitlichen Angriffskette
Überblick über die EPR-Validierung
AV-Comparatives hat die folgende Topologie und Metrik entwickelt, um die Fähigkeiten von Endpoint Prevention and Response (EPR)-Produkten genau zu bewerten.
Die EPR-Produkte aller getesteten Anbieter wurden im Standalone-Modus implementiert und bewertet, wobei jeder Anbieter aktiv an der anfänglichen Einrichtung, Konfiguration und den Baselining-Aspekten beteiligt war. AV-Comparatives bewertete eine Liste von 49 Szenarien, wie sie häufig von Analysten und Unternehmen gefordert werden, und hob mehrere unternehmensbezogene Anwendungsfälle hervor. Jeder Anbieter durfte sein eigenes Produkt in dem Maße konfigurieren, wie es Unternehmen beim Einsatz in ihrer Infrastruktur tun können. Die Details der Konfigurationen sind am Anfang dieses Berichts enthalten.
Da diese Methodik auf die Präventions-, Erkennungs- und Reaktionsfähigkeiten zugeschnitten ist, haben alle Anbieter ihre Präventions- und Schutzfähigkeiten (Fähigkeit zum Blockieren) sowie die Erkennungs- und Reaktionsfähigkeiten aktiviert, so dass sie die realen Fähigkeiten dieser Produkte auf Unternehmensebene nachahmen.
Die Tests unterstützten EPR-Produktaktualisierungen und Konfigurationsänderungen, die über die Cloud-Management-Konsole oder den lokalen Netzwerkserver vorgenommen wurden. Wir haben so weit wie möglich alle Testszenarien von Anfang bis Ende durchlaufen und ausgeführt.
Test Iteration Zielsetzung
Ziel des Tests war es, den präventionsorientierten Workflow mit spezifischen Anwendungsfällen zu bewerten, die auf den EPR-Präventionsworkflow-1 (auf den in der Methodik verwiesen wird) mit Bedrohungen abzielen, die typischerweise auf Unternehmensbenutzer in einer normalen Betriebsumgebung abzielen. Diese Iteration half uns, die standardmäßige Präventionsfähigkeit des Produkts zusammen mit dem Erkennungsmechanismus zu bewerten. Wenn eine Bedrohung nicht abgewehrt werden konnte, haben wir geprüft, ob das EPR-Produkt in der Lage war, rechtzeitig geeignete Erkennungs- und Reaktionsmaßnahmen zu ergreifen.
- Die folgende Bewertung wurde durchgeführt, um zu überprüfen, ob das EPR-Endpunktsicherheitsprodukt in der Lage ist, alle Angriffe auf den EPR Prevention Workflow-1 und Detection Workflow zu verhindern und zu erkennen.
- Fand die Prävention während Phase 1 (Endpoint Compromise und Foothold) des Präventionsworkflows statt?
- Lieferte uns das EPR-Produkt eine angemessene Bedrohungsklassifizierung, eine Bedrohungseinstufung und einen genauen Bedrohungszeitplan der Angriffe mit relevanten Endpunkt- und Benutzerdaten?
- Hat das EPR-Produkt beim Test der operativen Genauigkeit, der in Verbindung mit den Angriffsszenarien durchgeführt wurde, irgendwelche negativen Probleme gezeigt?
Gezielte Use-Cases
Die Anwendungsfälle, die wir während der Testiterationen verfolgten, waren "IT-Administrator", "normaler Unternehmensbenutzer", "SOC-Team Professional" und "Analyst". Die emulierte Ereignisabfolge war ein unternehmensbasiertes Szenario, bei dem ein Benutzer auf Systemebene eine Datei in einem E-Mail-Anhang erhielt und diese ausführte. In einigen Fällen waren die E-Mails harmlos, in anderen nicht. Die bösartigen E-Mail-Anhänge ermöglichten es einem Angreifer, in der Umgebung Fuß zu fassen und weitere Schritte zu unternehmen, um seine Ziele zu erreichen.
Während der Testdauer agierte unser Analyst als SOC-Analyst, Administrator und SOC-Fachmann, indem er sich in das EPR-Produktmanagement und die einzelnen Testsystemkonsolen einloggte, um zu beobachten, zu analysieren und zu dokumentieren, welche Art von Aktivitäten vom Produkt aufgezeichnet werden. Gibt es zum Beispiel bei einem Angriff irgendwelche Warnungen oder Ereignisse, und handelt es sich dabei um echte positive oder negative Ergebnisse?
Bei echten positiven Alarmen haben wir außerdem untersucht, ob die anschließende Reaktion in Form von Ereigniskorrelation, Triagen, Bedrohungsklassifizierung und Bedrohungszeitplan dem Analysten rechtzeitig und klar zur Verfügung gestellt wurde. Wir testeten die Antworten, die von den getesteten Produkten bereitgestellt wurden.
EPR Test Iteration Zeitrahmen
Die Bewertung wurde in vier Phasen durchgeführt, wobei jede Phase eine Woche dauerte. Im Laufe der Wochen konnte sich AV-Comparatives ein detailliertes Bild von dem zu testenden Produkt machen, und die Angriffe wurden so gestaltet, dass sie die wahren Fähigkeiten des Produkts hervorhoben. Außerdem wurde Workflow-1 mit einer vom Angreifer gesteuerten Denkweise durchgeführt, während der Angriff durch die Angriffsknoten fortschritt, um schließlich sein Ziel zu erreichen. Die Evaluierung wurde zwischen September und Oktober 2020 durchgeführt. Während des gesamten Tests wurden Benutzer-Personen und Benutzer-Aktivitäten simuliert, so dass sie der realen Umgebung so nahe wie möglich kamen.
Alle Angriffe wurden mit Open-Source-Tools durchgeführt, und die Beispiele wurden mit Hilfe von internem Fachwissen entwickelt. Sobald sich der Angreifer Zugang zur Umgebung verschafft hat, versucht er, sich so unauffällig wie möglich zu verhalten, damit Verteidiger und Verteidigungsmaßnahmen nicht ausgelöst werden.
Produktkonfigurationen und Einstellungen
In Unternehmensumgebungen und bei Unternehmensprodukten im Allgemeinen ist es üblich, dass die Produkte vom Systemadministrator gemäß den Richtlinien des Herstellers konfiguriert werden, daher haben wir die Hersteller gebeten, ihre Produkte so zu konfigurieren, dass sie den bestmöglichen Schutz bieten. Die in diesem Test präsentierten Ergebnisse wurden nur durch die Anwendung der jeweiligen Produktkonfigurationen wie hier beschrieben erzielt.
Die Konfigurationen wurden von den Technikern der jeweiligen Anbieter während der Einrichtung vorgenommen. Diese Konfiguration ist typisch für Unternehmen, die ihre eigenen Teams von SOC-Analysten haben, die sich um ihre Abwehr kümmern. Die Personas und die Bedrohungsemulation, die in dieser Evaluierung durchgeführt wurden, stellen solche Szenarien dar. Bei Produkten dieser Art ist es üblich, dass die Experten des Herstellers die Unternehmen bei der Bereitstellung und Konfiguration unterstützen, die für den jeweiligen Unternehmenstyp am besten geeignet ist. Im Folgenden haben wir relevante Abweichungen von den Standardeinstellungen aufgeführt.
Bitdefender: "Risikomanagement", "Sandbox Analyzer" und "Scan SSL" wurden aktiviert. "HyperDetect" wurde aktiviert und auf "Blockieren" (für das Netzwerk) und auf "Desinfizieren" (für Dateien) eingestellt. Der "On-Access-Scan" für Archive, die größer als 100 MB sind, wurde mit Tiefe 16 aktiviert.
Cisco: Beim ersten Mal wurden die empfohlenen Einstellungen des Einrichtungsassistenten Workstation angewendet, d. h.:
"Dateien", "Schutz vor bösartigen Aktivitäten" und "Skriptschutz" wurden auf "Quarantäne" gesetzt.
"Netzwerk" und "Exploit Prevention" wurden auf "Blockieren" gesetzt.
"System Process Protection" und "Behavioral Protection" wurden auf "Protect" gesetzt
Die "Zwei-Faktor-Authentifizierung" für "Automatische Analyse" und "Befehlszeilenerfassung" wurde aktiviert.
"Verbindungsschutz" und "Erweiterte Orbital-Suche" wurden aktiviert.
"Schutz vor bösartigen Aktivitäten - Netzwerklaufwerke überwachen" wurde aktiviert.
Die "Erkennungsaktion" wurde auf "Blockieren, Beenden und Quarantäne" gesetzt.
CrowdStrike: alles aktiviert und auf Maximum eingestellt, d. h. "extra aggressiv".
ESET: Alle Einstellungen für den Echtzeitschutz und den Schutz vor maschinellem Lernen sind auf "Aggressiv" eingestellt.
Palo Alto Networks: Standardeinstellungen.
Anbieter A: Standardeinstellungen.
Anbieter B: Nicht-Standardeinstellungen.
Anbieter C: Nicht-Standardeinstellungen.
Anbieter D: Nicht-Standardeinstellungen.
Copyright und Haftungsausschluss
Diese Veröffentlichung ist Copyright © 2020 von AV-Comparatives ®. Jegliche Verwendung der Ergebnisse, etc. im Ganzen oder in Teilen, ist NUR nach ausdrücklicher schriftlicher Zustimmung der Geschäftsführung von AV-Comparatives vor einer Veröffentlichung erlaubt. AV-Comparatives und seine Tester können nicht für Schäden oder Verluste haftbar gemacht werden, die sich aus der Verwendung der in diesem Dokument enthaltenen Informationen ergeben könnten. Wir bemühen uns mit aller Sorgfalt um die Richtigkeit der Basisdaten, eine Haftung für die Richtigkeit der Testergebnisse kann jedoch von keinem Vertreter von AV-Comparatives übernommen werden. Wir übernehmen keine Gewähr für die Richtigkeit, Vollständigkeit oder Eignung für einen bestimmten Zweck der zu einem bestimmten Zeitpunkt bereitgestellten Informationen/Inhalte. Niemand, der an der Erstellung, Produktion oder Lieferung von Testergebnissen beteiligt ist, haftet für indirekte, besondere oder Folgeschäden oder entgangenen Gewinn, die sich aus der Nutzung oder der Unmöglichkeit der Nutzung der auf der Website angebotenen Dienste, Testdokumente oder damit zusammenhängenden Daten ergeben oder damit zusammenhängen.
Für weitere Informationen über AV-Comparatives und die Testmethoden besuchen Sie bitte unsere Website.
AV-Comparatives
(Dezember 2020)