Diese Website verwendet Cookies, um Ihnen die bestmögliche Nutzung unserer Website zu ermöglichen.
Bitte beachten Sie, dass Sie sich durch die weitere Nutzung dieser Website mit den Bedingungen unserer Politik zum Schutz der Privatsphäre und des Datenschutzes .
Einige unserer Partnerdienste befinden sich in den USA. Nach Rechtsprechung des Europäischen Gerichtshofs existiert derzeit in den USA kein angemessener Datenschutz. Es besteht das Risiko, dass Ihre Daten durch US-Behörden kontrolliert und überwacht werden. Dagegen können Sie keine wirksamen Rechtsmittel vorbringen.
Akzeptieren

Endpoint Prevention & Response (EPR) Test 2021

Datum Dezember 2021
Sprache English
Letzte Revision 10. Januar 2022

Datum der Veröffentlichung 2022-01-17
Datum der Überarbeitung 2022-01-10
Prüfzeitraum September - Dezember 2021
Anzahl der Testfälle 50
Online mit Cloud-Konnektivität checkbox-checked
Update erlaubt checkbox-checked
False-Alarm Test inklusive checkbox-checked
Plattform/OS Microsoft Windows

Einführung

Endpoint Prevention and Response (EPR)-Produkte werden in Unternehmen eingesetzt, um gezielte Angriffe wie Advanced Persistent Threats (ATPs) zu erkennen, zu verhindern, zu analysieren und zu bekämpfen. Während von Endpunktsicherheitsprodukten erwartet wird, dass sie Malware und Netzwerkangriffe auf einzelne Workstations erkennen und blockieren, müssen EPR-Produkte mit mehrstufigen Angriffen fertig werden, die darauf abzielen, das gesamte Netzwerk eines Unternehmens zu infiltrieren. Von Endpoint-Prevention- und Response-Systemen wird erwartet, dass sie nicht nur einzelne Geräte schützen, sondern auch eine detaillierte Analyse des Ursprungs, der Methoden und der Ziele eines Angriffs liefern. Dies ermöglicht es dem Sicherheitspersonal, die Art der Bedrohung zu verstehen, ihre Ausbreitung zu verhindern, den entstandenen Schaden zu beheben und Vorkehrungen zu treffen, um ähnliche Angriffe in Zukunft zu verhindern. Der Endpoint Prevention and Response Test von AV-Comparatives ist der umfassendste Test von EPR-Produkten, der jemals durchgeführt wurde. Die 9 getesteten Produkte wurden 49 verschiedenen gezielten Angriffen ausgesetzt, bei denen eine Vielzahl unterschiedlicher Techniken zum Einsatz kam. Ungeprüft durchliefen die Angriffe drei verschiedene Phasen: Kompromittierung des Endpunkts und Eindringen in das System, interne Ausbreitung und Eindringen in den Bestand. In jeder Phase wurde geprüft, ob das Produkt den Angriff erkannte, automatische Maßnahmen zur Abwehr der Bedrohung ergriff (aktive Reaktion) oder Informationen über den Angriff lieferte, die der Administrator nutzen konnte, um selbst Maßnahmen zu ergreifen (passive Reaktion). Wenn ein EPR-Produkt einen Angriff in einer Phase nicht blockiert, wird der Angriff in der nächsten Phase fortgesetzt, und die Reaktion des Produkts wird hier vermerkt. Dieser Bericht enthält die Ergebnisse der Tests, aus denen hervorgeht, in welcher Phase (wenn überhaupt) jedes Produkt aktiv oder passiv auf die jeweilige Bedrohung reagiert hat. Es werden jedoch auch eine Reihe anderer Faktoren berücksichtigt. Erstens wird die Zeit bis zur Reaktion festgehalten. Je früher ein Angriff gestoppt oder entdeckt wird, desto besser. Den getesteten Produkten wurde ein Zeitfenster von 24 Stunden nach Beginn eines jeden Angriffs eingeräumt, in dem sie Maßnahmen ergreifen konnten. Die Fähigkeit der einzelnen Produkte, Abhilfemaßnahmen zu ergreifen, wie z. B. die Isolierung eines Endpunkts vom Netzwerk, die Wiederherstellung von einem Systemabbild oder die Bearbeitung der Windows-Registrierung, wurde notiert. Ebenso wurde die Fähigkeit jedes Produkts untersucht, die Art eines Angriffs zu untersuchen, einschließlich eines Zeitplans und einer Aufschlüsselung der Phasen. Außerdem wurde die Fähigkeit der einzelnen Produkte untersucht, Informationen über Indikatoren für eine Gefährdung zu sammeln und in einer leicht zugänglichen Form zu präsentieren. Wir haben einen Enterprise EPR CyberRisk Quadrant entwickelt, der die Effektivität jedes Produkts bei der Verhinderung von Sicherheitsverletzungen, die berechneten Einsparungen, die sich daraus ergeben, die Anschaffungskosten des Produkts und die Kosten für die Genauigkeit des Produkts (aufgrund von Fehlalarmen) berücksichtigt. Für diese Berechnung haben wir ein Unternehmen mit 5.000 Client-PCs über einen Zeitraum von 5 Jahren angenommen. Auf dieser Grundlage haben wir die Produkte in drei Stufen zertifiziert. Diese sind, von der höchsten zur niedrigsten Stufe: Strategic Leaders, CyberRisk Visionaries und Strong Challengers.

Geprüfte Produkte

Wir gratulieren den folgenden Anbietern zur Teilnahme an diesem EPR-Test und zur Veröffentlichung ihrer Ergebnisse. Alle getesteten Anbieter erhielten Informationen über ihre jeweiligen verfehlten Szenarien, so dass sie ihre Produkte weiter verbessern können. Bitte beachten Sie, dass einige der an diesem Test teilnehmenden Anbieter anonym bleiben wollten, weshalb wir sie als "Anbieter A", "Anbieter B" usw. bezeichnet haben. Wir haben ihre Ergebnisse in den Bericht aufgenommen, um einen Überblick über die derzeit auf dem Markt verfügbaren Leistungsstufen zu geben.

Die folgenden Produkte wurden von AV-Comparatives getestet

Die Einstellungen, die für das jeweilige Produkt vorgenommen wurden, finden Sie im Anhang dieses Berichts.

Dieser vergleichende Bericht gibt einen Überblick über die Ergebnisse für alle getesteten Produkte. Es gibt auch Einzelberichte für jedes Produkt, die unter www.av-comparatives.org über die unten angegebenen Links abgerufen werden können:

Bitdefender: https://www.av-comparatives.org/wp-content/uploads/2022/01/EPR_Bitdefender_2021.pdf
Broadcom: https://www.av-comparatives.org/wp-content/uploads/2022/01/EPR_Broadcom_2021.pdf
Check Point: https://www.av-comparatives.org/wp-content/uploads/2022/01/EPR_CheckPoint_2021.pdf
CISCO: https://www.av-comparatives.org/wp-content/uploads/2022/01/EPR_Cisco_2021.pdf
CrowdStrike: https://www.av-comparatives.org/wp-content/uploads/2022/01/EPR_CrowdStrike_2021.pdf
ESET: https://www.av-comparatives.org/wp-content/uploads/2022/01/EPR_ESET_2021.pdf
F-Secure: https://www.av-comparatives.org/wp-content/uploads/2022/01/EPR_F-Secure_2021.pdf
Palo Alto Networks: https://www.av-comparatives.org/wp-content/uploads/2022/01/EPR_PaloAlto_2021.pdf

EPR CyberRisk Quadrant™

Produzieren 5-Jahres-Produktkosten (Pro Agent) Aktive Reaktion Passive Reaktion Kombinierte Präventions-/Reaktionskapazitäten Y-Achse 5-Jahres-TCO (pro Agent) X-Achse
Bitdefender $100 99.0% 100% 99.5% $100
Broadcom $113 98.0% 100% 99.0% $1,734
Check Point $180 98.0% 100% 99.0% $392
CISCO $158 96.0% 100% 98.0% $582
CrowdStrike $249 98.0% 100% 99.0% $461
ESET $170 96.0% 100% 98.0% $594
F-Secure $106 98.0% 100% 99.0% $318
Palo Alto Networks $210 99.0% 100% 99.5% $210
Anbieter A $153 88.0% 100% 94.0% $2,725
Anbieter B $231 90.0% 100% 95.0% $2,591

CyberRisk Quadrant Key Metrics - basierend auf 5000 Clients

Strategic Leaders

Dabei handelt es sich um EPR-Produkte, die eine sehr hohe Investitionsrendite und sehr niedrige Gesamtbetriebskosten (TCO) aufweisen. Dies ist auf die außergewöhnlichen technischen Fähigkeiten in Verbindung mit angemessenen Kosten zurückzuführen. Diese Produkte zeichnen sich durch herausragende Präventions-, Erkennungs-, Reaktions- und Berichterstattungsfunktionen der Unternehmensklasse aus, kombiniert mit optimalen operativen und analytischen Workflow-Funktionen.

Strategische Führungskräfte zeigen anderen den Weg, indem sie sich ehrgeizige Ziele setzen und diese auch erreichen. Sie entwickeln bahnbrechende Ideen und setzen diese eindrucksvoll in ihren Produkten um.

CyberRisk Visionaries

Diese EPR-Produkte bieten eine hohe Investitionsrendite und niedrige Gesamtbetriebskosten, da sie hervorragende technische Funktionen in Kombination mit sehr guten operativen und analytischen Workflow-Funktionen bieten. Diese Produkte weisen gute Präventions-, Erkennungs-, Reaktions- und Berichtsfunktionen der Unternehmensklasse sowie überdurchschnittliche operative und analytische Workflow-Funktionen auf.

CyberRisk-Visionäre sehen, was in der Zukunft benötigt wird, und bemühen sich, es schon heute zu verwirklichen. Sie entwickeln ihre Produkte ständig weiter und versuchen, sie zu verbessern.

Strong Challengers

EPR-Produkte, die eine akzeptable Kapitalrendite aufweisen, effektive technische Funktionen bieten und gleichzeitig angemessene Gesamtbetriebskosten für das Unternehmen ermöglichen.

Strong Challengers haben sich das Ziel gesetzt, die Besten zu sein, und arbeiten hart daran, dieses Ziel zu erreichen.

Welches Produkt ist das richtige für mein Unternehmen?

Die Tatsache, dass ein Produkt hier im obersten Bereich des Quadranten angezeigt wird, bedeutet nicht unbedingt, dass es das beste Produkt für die Anforderungen Ihres Unternehmens ist. Produkte in niedrigeren Bereichen des Quadranten können Funktionen aufweisen, die sie für Ihre spezielle Umgebung gut geeignet machen.

Platzierung der Punkte entsprechend der aktiven und passiven Antwortrate

Obwohl die Anbieter die gleichen Gesamtszenarien und die gleichen aktiven/passiven Reaktionsraten hatten, wurde die Platzierung des Anbieters im Quadranten davon bestimmt, wie gut die aktiven oder passiven Reaktionsmöglichkeiten waren. Anbieter, die in allen Phasen der Vorbeugung eine hohe aktive Reaktionsfähigkeit aufweisen, haben geringere TCO, da die Reaktionskosten niedriger sind.

Anbieter, die über angemessene aktive Reaktionsmöglichkeiten verfügten, aber früher passive Reaktionsmöglichkeiten hatten, haben höhere TCO, da die Reaktionskosten höher sind. In dem Bericht wird erläutert, wie aktive und passive Antwortmöglichkeiten den Anbietern angerechnet wurden. Im Grunde genommen verschiebt sich also selbst bei einer gleichen Gesamtnote von % die Platzierung von Dot nach links oder rechts, je nachdem, wie gut jeder Anbieter in den einzelnen Phasen bei der aktiven Reaktion abgeschnitten hat.

EPR CyberRisk Quadrant Übersicht

Wir haben einen Enterprise EPR CyberRisk Quadrant entwickelt, der die Effektivität jedes Produkts bei der Verhinderung von Sicherheitsverstößen, die daraus resultierenden Einsparungen, die Anschaffungskosten des Produkts und die Kosten für die Genauigkeit des Produkts (aufgrund von Fehlalarmen) berücksichtigt.

Eines der größten Probleme, die durch eine Sicherheitsverletzung verursacht werden, sind die finanziellen Kosten, die der betroffenen Organisation entstehen. Nach Angaben von IBM belaufen sich die durchschnittlichen Kosten einer Sicherheitsverletzung auf 4,24 Millionen USD. Daher kann der Kauf eines wirksamen EPR-Produkts, das die negativen Auswirkungen eines Angriffs minimiert, eine gute Investition sein. Wenn ein Unternehmen im Falle eines erfolgreichen Angriffs einen Verlust von 2 Mio. USD zu beklagen hat, sind selbst 1,5 Mio. USD für Sicherheitsmaßnahmen eine sinnvolle Investition, ganz abgesehen von allen anderen Überlegungen.

In diesem Abschnitt betrachten wir die Gesamtkosten, die mit dem Einsatz der getesteten Sicherheitsprodukte verbunden sind, und ihre Wirksamkeit bei der Verhinderung von Sicherheitsverletzungen. Auf diese Weise können wir berechnen, wie gut sich jedes der Produkte finanziell rechnet. Ausgehend von der IBM-Schätzung von 4,24 Mio. USD als Verlust für das Unternehmen im Falle eines erfolgreichen Angriffs berechnen wir, wie viel das Unternehmen durch den Kauf jedes der getesteten EPR-Produkte sparen könnte. Die Zahlen zeigen, dass alle getesteten Produkte wirksam sind und dass ihre kombinierten aktiven und passiven Reaktionswerte die große Mehrheit der Angriffe abdecken. Allerdings sind einige Produkte in dieser Hinsicht eindeutig besser als andere. Je wirksamer ein Produkt bei der Verhinderung von Sicherheitsverletzungen ist, desto geringer sind die zu erwartenden Kosten für die Behebung von Sicherheitsverletzungen.

In der nachstehenden Abbildung ist die Formel für die Ermittlung der Gesamtbetriebskosten eines Produkts dargestellt, die die folgenden Faktoren umfasst. Zunächst ist da der Preis, der an den Verkäufer des Produkts für das Produkt und die damit verbundenen Service- und Supportkosten gezahlt wird. Dann folgen die Kosten für die durch das Produkt verursachten Fehlalarme, die im Folgenden als Kosten für die operative Genauigkeit definiert werden und die untersucht und behoben werden müssen. Nach Angaben des Ponemon’s Instituteverschwenden Unternehmen in den USA jedes Jahr rund 1,3 Millionen USD durch ungenaue oder fehlerhafte Informationen. Dies sind die zusätzlichen jährlichen Kosten, die Sie für ein Produkt zu erwarten haben, das unsere auf operativer Genauigkeit basierende Validierung in diesem Jahr nicht bestanden hat. Bei künftigen EPR-Tests werden die Kosten, die durch eine unzureichende operationelle Genauigkeit entstehen, noch stärker bestraft, und auch die Kosten, die durch Verzögerungen im Arbeitsablauf entstehen, werden berücksichtigt werden. Wenn also ein Benutzer z. B. durch die Funktionen, Richtlinien oder das Verhalten eines Produkts in seinem Betrieb beeinträchtigt wird, wird sich dies auch in der Bewertung des EPR-CyberRisk-Quadranten niederschlagen.

Als Nächstes folgen die Kosten im Zusammenhang mit Sicherheitsverletzungen, wobei ein Produkt, das theoretisch 100% Angriffe abwehren kann, hier keine Kosten verursacht, während ein Produkt, das keine Angriffe abwehrt, die vollen Kosten einer Sicherheitsverletzung verursacht.

Die Kosten für einen Verstoß wurden für jedes Produkt pro Szenario auf der Grundlage der Fähigkeit des EPR-Produkts zur aktiven und passiven Reaktion zum Zeitpunkt der Ausführung (T0) und zwischen dem Zeitpunkt der Ausführung und dem Ende des Testfensters (T0-T24 Std.) berechnet.

Auf der Grundlage des obigen Ansatzes entstanden für jedes EPR-Produkt zusätzliche Kosten für die Sicherheitsverletzung, je nachdem, wie es mit den einzelnen getesteten Szenarien umging.

  1. Wenn es innerhalb des getesteten Zeitfensters von 24 Stunden KEINE aktive oder passive Reaktion für das Szenario gab, wurden 100% der Gesamtkosten für die Sicherheitsverletzung für das Szenario addiert.
  2. Wenn es zwischen T0-T24 KEINE aktive Reaktion gab, das Produkt aber zwischen T0-T24 passive Reaktionsmöglichkeiten aufwies, wurden für das Szenario 75% der Gesamtkosten der Sicherheitsverletzung addiert.
  3. Wenn es zum Zeitpunkt T0 KEINE aktive Reaktion gab, aber eine vor dem Zeitpunkt T24, wurden 50% der Gesamtkosten für den Verstoß für das Szenario hinzugefügt.
  4. Wenn es zum Zeitpunkt T0 KEINE aktive Reaktion gab, das Produkt aber zum Zeitpunkt T0 passive Reaktionsmöglichkeiten aufwies, wurden 25% der Gesamtkosten für die Sicherheitsverletzung für das Szenario hinzugefügt.
  5. Wenn es zum Zeitpunkt T0 eine aktive Reaktion gab, wurde 0% der Gesamtkosten für die Sicherheitsverletzung für das Szenario hinzugefügt.

Zur Berechnung der X-Achse im EPR-CyberRisk-Quadranten wurden der Listenpreis des Produkts, die Einsparungen bei der operativen Genauigkeit (False Positive) und die Kosteneinsparungen bei Sicherheitsverletzungen herangezogen. Wie bereits erwähnt, führt eine aktive Reaktion auf eine Bedrohung zu einer höheren Kostenersparnis als die spätere Entdeckung einer Bedrohung oder - noch schlimmer - die Tatsache, dass man nicht in der Lage ist, innerhalb des 24-Stunden-Testfensters darauf zu reagieren. Die folgenden beiden Abbildungen zeigen, wie die Berechnungen durchgeführt wurden.

Produkt Scenaroios Aktive Gesamtprävention Passive Reaktion insgesamt Keine Prävention/Reaktion
Operative Genauigkeit Einsparungen
Bitdefender 50 50 50 0
Broadcom
50 49 50 0
Check Point
50 49 50 0
CISCO 50 48 50 0
CrowdStrike 50 49 50 0
ESET 50 48 50 0
F-Secure
50 40 50 0
Palo Alto Networks 50 50 50 0
Anbieter A 50 44 50 0
Anbieter B 50 45 50 0

Produktkosten und Einsparungen bei Verstößen

Wie aus der obigen Tabelle hervorgeht, konnten alle Anbieter Einsparungen bei der operativen Genauigkeit (Fehlalarme) erzielen. Die meisten Anbieter konnten auch erhebliche Einsparungen bei Sicherheitsverletzungen erzielen. Anbieter B, Anbieter C und Anbieter D waren nicht in der Lage, eine Bedrohung zu verhindern oder darauf zu reagieren.

Aktive Reaktion / Prävention: Eine aktive Reaktion ist eine wirksame Reaktionsstrategie, die eine Aufdeckung mit wirksamen Präventions- und Meldefunktionen verbindet.

Passive Reaktion: Bei der passiven Reaktion handelt es sich um eine Reihe von Reaktionsmechanismen, die das Produkt mit kohärenten Erkennungs-, Korrelations-, Berichterstattungs- und Handlungsfähigkeiten bietet. EPR-Comparative Report 2020 www.av-comparatives.org

EPR-Test-Metriken und -Bewertungen

Das Ziel eines jeden EPR-Systems ist es, Bedrohungen zu verhindern oder zumindest so schnell wie möglich wirksame Reaktionsmöglichkeiten zu bieten. Endpunktprodukte, die eine hohe aktive Prävention bieten, verursachen weniger Kosten, da kein betrieblicher Aufwand für die Reaktion auf einen Angriff und die Behebung seiner Folgen erforderlich ist. Darüber hinaus können EPR-Produkte, die auch eine hohe Erkennungsrate (Sichtbarkeit und forensische Details) bieten, Einsparungen erzielen, da die Kompromittierungen nicht manuell untersucht werden müssen.

EPR-Produktbewertung Unternehmen Einsparungen
Verhindert die meisten Angriffe und bietet eine wirksame passive Reaktion High
Verhindert die meisten Angriffe, bietet aber eine schwächere passive Reaktion Medium
Schwache Prävention und schwache passive Reaktion Low

Hohe Einsparungen für Unternehmen: Wenn die meisten Bedrohungen durch das EPR-Produkt bei oder kurz nach der Ausführung erkannt und abgewehrt werden und wenn das Produkt die notwendigen Erkennungsinformationen für eine wirksame passive Reaktion (teilweise/vollständig automatisiert) bereitstellt, führt dies zu hohen Unternehmenseinsparungen. Der Durchschnitt der aktiven und passiven Reaktion muss gleich oder größer als 95% sein.

Mittlere Einsparungen für Unternehmen: Wenn die meisten Bedrohungen durch das EPR-Produkt bei oder kurz nach der Ausführung erkannt und abgewehrt werden, aber nur wenige Details zur Erkennung vorliegen, führt dies zu einer schwächeren passiven Reaktionsstrategie. Der Grund dafür ist der betriebliche Aufwand, der erforderlich ist, um auf die Auswirkungen eines kompromittierten Systems zu reagieren und sie zu beheben, was zu einem Anstieg der Unternehmenskosten führt. Der Durchschnittswert der aktiven und passiven Reaktion, der für Einsparungen bei mittleren Unternehmen erforderlich ist, muss mindestens 90% betragen.

Niedrige Einsparungen für Unternehmen: Wenn schließlich die meisten Bedrohungen durch das EPR-Produkt nicht verhindert werden und das Produkt keine Details zur Erkennung liefert, führt dies zu einer schwächeren aktiven und passiven Reaktionsstrategie mit nur geringen Einsparungen für das Unternehmen. Der Durchschnitt der aktiven und passiven Reaktion ist in diesem Fall geringer als 90%.

Test-Ergebnisse

  Kombinierte Präventions-/Reaktionskapazitäten Operative Genauigkeit
Unternehmen Einsparungen
EPR CyberRisk Unternehmens-Quadrant
Bitdefender 99.5% PASS High Strategic Leader
Palo Alto Networks 99.5% PASS High Strategic Leader
Check Point 99.0% PASS High Strategic Leader
CrowdStrike 99.0% PASS High Strategic Leader
F-Secure 99.0% PASS High Strategic Leader
CISCO 98.0% PASS High Strategic Leader
ESET 98.0% PASS High Strategic Leader
Broadcom 99.0% FAIL High CyberRisk Visionary
Anbieter B 95.0% FAIL High Strong Challenger
Anbieter A 94.0% FAIL Medium Strong Challenger

 

EPR-Zertifizierung von AV-Comparatives

Für diesen Test vergeben wir drei verschiedene Zertifizierungsstufen für qualifizierte Produkte, basierend auf ihrer jeweiligen Position im Enterprise CyberRisk Quadrant™. Um zertifiziert zu werden, muss ein Produkt einen Durchschnittswert von mindestens 90% für die kombinierte aktive und passive Reaktion erreichen und damit die oben definierten mittleren Einsparungen für Unternehmen erzielen. Die Zertifizierungsstufen sind: Strategic Leader, CyberRisk Visionary, Strong Challenger.

Wir gratulieren den unten aufgeführten Anbietern, deren Produkte die Zertifizierungskriterien erfüllt haben und somit die EPR-Produktzertifizierung von AV-Comparatives für 2021 erhalten haben:

Strategic Leader Bitdefender, Check Point, CISCO, CrowdStrike, ESET, F-Secure, Palo Alto Networks
CyberRisk Visionary Broadcom
Strong Challenger Anbieter A, Anbieter B

Bei künftigen EPR-Tests werden Kosten, die durch mangelnde operationelle Genauigkeit entstehen, stärker bestraft, und Kosten, die durch Verzögerungen im Arbeitsablauf entstehen, werden ebenfalls berücksichtigt werden.

Detaillierte Testergebnisse

Phase-1 Metriken: Endpoint Compromise and Foothold

Phase-1 kann durch einen Angriff auf der Grundlage von MITRE ATT&CK und anderen Methoden ausgelöst werden und lässt sich effektiv auf die Cyber Kill Chain von Lockheed abbilden. Dieser Arbeitsablauf kann operationalisiert werden, indem die verschiedenen, unten beschriebenen Angriffsphasen durchlaufen werden.

Initial Access: Der Erstzugang ist die Methode, die der Angreifer verwendet, um in der Umgebung, die er angreifen will, Fuß zu fassen. Angreifer können eine einzige Methode oder eine Kombination verschiedener Techniken verwenden. Die Bedrohungen können von kompromittierten Websites, E-Mail-Anhängen oder Wechseldatenträgern ausgehen. Zu den Infektionsmethoden gehören Exploits, Drive-by-Downloads, Spear-Phishing, Makros, vertrauenswürdige Beziehungen, gültige Konten und Kompromittierungen der Lieferkette.

Execution: Das nächste Ziel des Angreifers besteht darin, seinen eigenen Code in der Zielumgebung auszuführen. Je nach den Umständen kann dies lokal oder über Remotecodeausführung erfolgen. Zu den verwendeten Methoden gehören die clientseitige Ausführung, Software von Drittanbietern, Betriebssystemfunktionen wie PowerShell, MSHTA und die Befehlszeile.

Persistence: Sobald der Angreifer in die Zielumgebung eingedrungen ist, wird er versuchen, dort dauerhaft Fuß zu fassen. Je nach Zielbetriebssystem kann ein Angreifer Tools und Funktionen des Betriebssystems verwenden, um in der Umgebung Fuß zu fassen. Dazu gehören die Manipulation der Registrierung, die Angabe von Dynamic-Link-Library-Werten in der Registrierung, Shell-Skripte, die Shell-Befehle enthalten können, Application Shimming und Kontomanipulation.

Damit eine aktive Reaktion (Präventivmaßnahme) angerechnet werden kann, haben wir überprüft, ob das Produkt während einer der drei Phasen eine aktive Reaktion durchgeführt hat. Damit ein Erkennungsereignis gutgeschrieben werden kann, haben wir überprüft, ob das Produkt verschiedene Indikatoren erkannt hat, die die Aktionen mit dem Angriff in Verbindung bringen.

Und schließlich haben wir für die Anrechnung der passiven Reaktion überprüft, ob es dem SOC-Analysten möglich war, mit dem Produkt auf die Bedrohung zu reagieren oder nicht.

In der folgenden Abbildung sind die Ergebnisse für jedes der in Phase 1 getesteten Produkte dargestellt.

Phase-2 Metriken: Internal Propagation

In dieser Phase sollte das EPR-Produkt in der Lage sein, die interne Ausbreitung zu verhindern. Diese Phase wird ausgelöst, wenn die Abwehr der Bedrohung fehlschlägt. Das EPR-Produkt sollte den Analysten in die Lage versetzen, die interne Ausbreitung der Bedrohung sofort zu erkennen und in Echtzeit zu verfolgen.

Privilege Escalation: In Unternehmensnetzwerken ist es üblich, dass Benutzer (einschließlich Systemadministratoren auf ihren eigenen Computern) Standardbenutzerkonten ohne Administratorrechte verwenden. Wenn ein Unternehmensendpunkt angegriffen wird, verfügt das angemeldete Konto nicht über die Berechtigungen, die der Angreifer benötigt, um die nächste Phase des Angriffs zu starten. In diesen Fällen müssen die Privilegien erweitert werden, indem Techniken wie die Manipulation von User-Access Tokens, Application Shimming, Hooking, oder Permission Weakness. Sobald der Angreifer in der Umgebung Fuß gefasst hat, wird er versuchen, die Privilegien zu erweitern. Damit eine aktive Reaktion angerechnet werden kann, haben wir verschiedene Phasen innerhalb jeder Methode untersucht, um festzustellen, ob das Produkt vorbeugende Maßnahmen ergriffen hat.

Damit ein Erkennungsereignis angerechnet werden kann, haben wir verschiedene Indikatoren untersucht, die die Aktion mit dem Angriff in Verbindung bringen. Und schließlich haben wir für die Anrechnung einer passiven Reaktion untersucht, ob es dem SOC-Analysten möglich war, mit dem getesteten Produkt auf die Bedrohung zu reagieren oder nicht.

Discovery for Lateral Movement: Sobald sich der Angreifer Zugang zum Zielnetz verschafft hat, erkundet er die Umgebung mit dem Ziel, die Anlagen zu finden, die das eigentliche Ziel des Angriffs sind. Dies geschieht in der Regel durch Scannen des Netzwerks.

Credential Access: Dies ist eine Methode, mit der der Angreifer sicherstellt, dass seine weiteren Aktivitäten über ein legitimes Netzwerk-Benutzerkonto ausgeführt werden. Dies bedeutet, dass er auf die gewünschten Ressourcen zugreifen kann und von den Schutzmaßnahmen des Systems nicht als Eindringling erkannt wird. Je nach Art des angegriffenen Netzes können verschiedene Methoden für den Zugriff auf Zugangsdaten verwendet werden. Die Zugangsdaten können vor Ort mit einer Methode wie der Eingabeerfassung (z. B. Keylogger) beschafft werden. Alternativ kann die Offline-Methode angewandt werden, bei der der Angreifer die gesamte Kennwortdatenbank außerhalb des Unternehmens kopiert und sie dann mit beliebigen Methoden knacken kann, ohne Angst vor Entdeckung zu haben.

Lateral Movement: Der Angreifer bewegt sich seitlich innerhalb der Umgebung, um auf die für ihn interessanten Objekte zuzugreifen. Zu den verwendeten Techniken gehören "Pass the Hash", "Pass the Ticket" und die Ausnutzung von Remote-Diensten und Protokollen wie RDP.

In der folgenden Abbildung sind die Ergebnisse für jedes der in Phase 2 getesteten Produkte dargestellt.

Phase-3 Metriken: Asset Breach

Die letzte Phase des Arbeitsablaufs ist der Einbruch in Vermögenswerte. Dies ist die Phase, in der ein Angreifer beginnt, sein eigentliches Ziel auszuführen.

Collection: Dabei geht es darum, die Zielinformationen zu sammeln - natürlich unter der Annahme, dass nicht Sabotage, sondern Informationsdiebstahl das Ziel ist. Die betreffenden Daten können in Form von Dokumenten, E-Mails oder Datenbanken vorliegen.

Exfiltration: Sobald der Angreifer das Ziel erreicht hat, die Zielinformationen zu sammeln, wird er sie heimlich aus dem Zielnetz auf seinen eigenen Server kopieren wollen. In fast allen Fällen beinhaltet die Exfiltration die Verwendung einer Befehls- und Kontrollinfrastruktur.

Impact: Nachdem der Angreifer die Zielinformationen gefunden und extrahiert hat, wird er versuchen, alle im Zielnetz verbliebenen Beweise für den Angriff zu löschen oder zu vernichten. Ein ideales Szenario für den Angreifer wäre, wenn das Opfer nicht einmal merkt, dass der Angriff stattgefunden hat. Unabhängig davon, ob dies möglich ist oder nicht, wird der Angreifer versuchen, Daten innerhalb der Zielumgebung zu manipulieren, um seine Spuren so weit wie möglich zu verwischen. So wird sichergestellt, dass das Opfer nicht über die forensischen Informationen verfügt, die es braucht, um den Angriff zu verstehen oder den Angreifer aufzuspüren. Datenmanipulation, Löschung und Verschlüsselung (wie bei Ransomware) sind die typischen Techniken, die zu diesem Zweck eingesetzt werden.

Die Szenarien der Phase 3 waren für alle Produkte nicht anwendbar, da die Bedrohungen bereits in den vorangegangenen Phasen entweder aktiv verhindert oder passiv bekämpft worden waren.

Verkürzung der TTP (Zeit bis zur Verhinderung)

Wie aus den Berechnungen des CyberRisk Quadranten hervorgeht, ist die Zeit zur Abwehr von Bedrohungen von großer Bedeutung. Daher ist die Geschwindigkeit, mit der ein Produkt die Bedrohung abwenden kann, ein wichtiges Merkmal, das berücksichtigt werden muss. Man könnte dies auch als die effektive Verkürzung der aktiven Reaktionszeit bezeichnen. Wir haben aufgezeichnet, wann die Bedrohung in den Testzyklus eingeführt wurde und wie lange das Produkt brauchte, um sie abzuwehren. Innerhalb des 24-Stunden-Fensters werden die kumulativen Schutz- und Erkennungsraten jede Stunde berechnet, bis das Produkt Angriffe verhindert und darauf reagiert hat.

  Zeit bis zur Verhinderung (in Stunden)
  0 (T0) <1 <2 <5
<10
<15
<20
<24 24 (T1)
Bitdefender Alle in der nachstehenden Tabelle aufgeführten Active-Response-Werte wurden bei T0 erreicht, und änderte sich während des 24-Stunden-Zeitraums nicht (T1)

Broadcom
Check Point
CISCO
CrowdStrike
ESET
F-Secure
Palo Alto Networks
Anbieter A
Anbieter B

Die folgende Tabelle zeigt die kumulative aktive Reaktion nach Phase(n) für jedes Produkt.

Aktive Reaktion Nur Phase 1 Phase 1 & 2 Insgesamt (Phase 1, 2 & 3)
Bitdefender 98.0% 100% 100%
Broadcom 98.0% 98.0% 98.0%
Check Point 96.0% 98.0% 98.0%
CISCO 96.0% 96.0% 96.0%
CrowdStrike 98.0% 98.0% 98.0%
ESET 96.0% 96.0% 96.0%
F-Secure 98.0% 98.0% 98.0%
Palo Alto Networks 98.0% 100% 100%
Anbieter A 88.0% 88.0% 88.0%
Anbieter B 90.0% 90.0% 90.0%

Kumulative aktive Reaktion (Prävention) nach Phasen

Verkürzung der TTP (Zeit bis zum Ansprechen)

Zeit ist ein kritischer Faktor, wenn ein nicht verhinderter Vorfall zu einer Sicherheitsverletzung führen kann.

  Zeit bis zur Verhinderung (in Stunden)
  0 (T0) <1 <2 <5
<10
<15
<20
<24 24 (T1)
Bitdefender Alle in der nachstehenden Tabelle aufgeführten Werte für das passive Ansprechverhalten wurden bei T0 erreicht, und änderte sich während des 24-Stunden-Zeitraums nicht (T1)

Broadcom
Check Point
CISCO
CrowdStrike
ESET
F-Secure
Palo Alto Networks
Anbieter A
Anbieter B

Die folgende Tabelle zeigt die kumulative passive Reaktion nach Phase(n) für jedes Produkt.

Passive Reaktion Nur Phase 1 Phase 1 & 2 Insgesamt (Phase 1, 2 & 3)
Bitdefender 100% 100% 100%
Broadcom 100% 100% 100%
Check Point 100% 100% 100%
CISCO 100% 100% 100%
CrowdStrike 100% 100% 100%
ESET 100% 100% 100%
F-Secure 100% 100% 100%
Palo Alto Networks 100% 100% 100%
Anbieter A 100% 100% 100%
Anbieter B 100% 100% 100%

Kumulative Passive Reaktion (Prävention) nach Phasen

Mechanismus der Produktreaktion

EPR-Produkte setzen ihre Reaktionsmechanismen ein, um Eindringlinge, die in die geschützte Umgebung eingedrungen sind, zu bekämpfen. Von einem EPR-Produkt wird zumindest erwartet, dass es die Korrelation von Endpunkten, Prozessen und Netzkommunikation sowie die Korrelation von externen IOCs mit der internen Umgebung ermöglicht.

Die EDR-Funktionen wurden anhand der Erkennungs- und Reaktionsfunktionen des Produkts getestet und untersucht. Wir waren in der Lage, die Ereignisse zu untersuchen, die mit den verschiedenen Schritten korrelierten, die der Angreifer beim Versuch, in die Umgebung einzudringen, unternahm.

Das EPR-Produkt sollte eine vollständige Sichtbarkeit der bösartigen Artefakte/Operationen ermöglichen, die die Angriffskette bilden, so dass alle reaktionsbasierten Aktivitäten leicht durchgeführt werden können. Das bedeutet, dass der SOC-Analyst (Response Enablement) jede Form der unten genannten beabsichtigten Abhilfemaßnahmen durchführen kann - basierend auf den vom Produkt unterstützten Funktionen - und dies von AV-Comparatives bewertet und überprüft wurde. Die Ergebnisse sind in der folgenden Tabelle dargestellt.

EPR-Reaktionsmaßnahmen für SOC-Analysten verfügbar

Zentrale Verwaltung und Berichterstattung

Der Management-Workflow ist ein wichtiges Unterscheidungsmerkmal für Sicherheitsprodukte in Unternehmen. Wenn ein Produkt schwierig zu verwalten ist, wird es nicht effizient genutzt werden. Die Intuitivität der Verwaltungsoberfläche eines Produkts ist ein guter Indikator dafür, wie nützlich das Produkt sein wird. Die pro Aktivität eingesparten Minuten können sich im Laufe eines Jahres in Tage und sogar Wochen umwandeln.

Verwaltung: Sichtbarkeit von Bedrohungen, Systemsichtbarkeit und gemeinsame Nutzung von Daten

Die Fähigkeit, Bedrohungskontext bereitzustellen, ist eine Schlüsselkomponente eines EPR-Produkts. Diese Transparenz kann entscheidend sein, wenn Unternehmen entscheiden, ob sie eine bestehende Technologie ergänzen oder ersetzen wollen. Die Verwaltungskonsole kann als physische Appliance, virtuelle Appliance oder als in der Cloud bereitgestellte Appliance eingesetzt werden. In der Verwaltungskonsole ist eine vollständige Aufzeichnung der Audit-Protokolle verfügbar. Die Kommunikation zwischen dem Agenten und der Verwaltungskonsole erfolgt über SSL. Die folgenden Abbildungen geben Aufschluss über die anwendbaren Fähigkeiten der einzelnen getesteten Produkte.

Sichtbarkeit der Bedrohung

Sichtbarkeit des Systems

Gemeinsame Nutzung von Daten

Verschlüsselung, Aufdeckung und Berichterstattung

Workflow, Berichterstattung und Notfallwiederherstellung

Integration von Drittanbietern und Berichterstattung

EPR-Produktberichtsfunktionen

Eine EPR-Plattform sollte in der Lage sein, Daten zu vereinheitlichen, d. h. Informationen aus unterschiedlichen Quellen zusammenzuführen und sie innerhalb ihrer eigenen Benutzeroberfläche als kohärentes Bild der Situation zu präsentieren. Die technische Integration mit dem Betriebssystem und Anwendungen von Drittanbietern (Syslog, Splunk, SIEM oder über API) ist dabei ein wichtiger Bestandteil. Ein EPR-System sollte in der Lage sein, dem Unternehmen angemessene Reaktionsmöglichkeiten zu bieten. Während es leitenden Analysten ein Höchstmaß an Flexibilität bietet, sollte das EPR vordefinierte (aber konfigurierbare) Arbeitsabläufe für weniger erfahrenes Personal unterstützen, das während einer Untersuchung mit spezifischen Aufgaben betraut wird.

IOC-Integration

Damit soll der digitale Fußabdruck identifiziert werden, mit dessen Hilfe die böswilligen Aktivitäten in einem Endpunkt/Netzwerk erkannt werden können. Wir werden diesen Anwendungsfall untersuchen, indem wir uns die Fähigkeit des EPR-Produkts ansehen, externe IOCs wie Yara-Signaturen, Snort-Signaturen oder Threat Intelligence Feeds usw. zu verwenden, wie in der folgenden Abbildung dargestellt.

Korrelation externer Daten

6Diese Fähigkeit wird auch durch das Endpunktprodukt von Palo Alto Networks bereitgestellt.

In diesem Endpoint Prevention & Response Test erreichte Awards

CERTIFIED
BitdefenderZERTIFIZIERT
Symantec durch BroadcomZERTIFIZIERT
Check PointZERTIFIZIERT
CISCOZERTIFIZIERT
CrowdStrikeZERTIFIZIERT
ESETZERTIFIZIERT
F-SecureZERTIFIZIERT
Palo AltoZERTIFIZIERT
Anbieter AZERTIFIZIERT
Anbieter BZERTIFIZIERT

Die Produktkosten basieren auf den Listenpreisen in USD, die von den Anbietern zum Zeitpunkt des Tests (Oktober 2020) angegeben wurden. Die tatsächlichen Kosten für die Endnutzer können niedriger sein, z. B. abhängig von den ausgehandelten
Rabatte. Im Allgemeinen kann die Preisgestaltung z. B. auf der Grundlage von Mengenrabatten, ausgehandelten Rabatten, geografischen Standorten, Vertriebskanälen und Partnermargen variieren.
Die EPR-Kosten umfassen die Produktkosten für 5000 Kunden, basierend auf einem 5-Jahres-Vertrag:

Produkt EPR-Kosten (5000 Kunden) 5 Jahre
Bitdefender GravityZone Ultra $500,777
Broadcom Symantec Endpoint Security Complete $565,459
Check Point Harmony Endpoint Advanced $900,000
CISCO Secure Endpoint Essentials $792,000
CrowdStrike Falcon Enterprise $1,247,190
ESET PROTECT Enterprise mit EEI und EDTD $848,333
F-Secure Elements EDR und EPP für Computer $528,100
Palo Alto Networks Cortex XDR Pro $1,050,000
Produkt A $795,980
Produkt B $1,156,040

Bitte beachten Sie, dass jedes Produkt seine eigenen besonderen Merkmale und Vorteile hat. Wir empfehlen den Lesern, jedes Produkt im Detail zu betrachten, anstatt nur auf die Listenpreise zu schauen. Einige Produkte verfügen möglicherweise über zusätzliche/andere Merkmale und Dienstleistungen, die sie für einige Organisationen besonders geeignet machen.

Operative Genauigkeit (False Positives)

Der Test der operationellen Genauigkeit wurde durch die Simulation einer typischen Benutzeraktivität in der Unternehmensumgebung durchgeführt. Dazu gehörten das Öffnen verschiedener Dateitypen und das Surfen auf verschiedenen Websites. Außerdem wurden in der Testumgebung verschiedene verwalterfreundliche PowerShell-Skripte ausgeführt, um sicherzustellen, dass die Produktivität nach der Produktinstallation und -konfiguration nicht beeinträchtigt wurde.

  Ergebnisse
Bitdefender Pass
Broadcom Fail
Check Point Pass
CISCO Pass
CrowdStrike Pass
ESET Pass
F-Secure Pass
Palo Alto Networks Pass
Anbieter A Fail
Anbieter B Fail

Sieben von zehn Produkten bestanden die Tests zur Betriebsgenauigkeit.

Diese Binärdateien sind für die Angreifer ein lohnendes Ziel, da sie Teil des Betriebssystems sind, in den meisten Fällen vom Betriebssystemanbieter mit einem gültigen digitalen Zertifikat signiert werden und die Benutzer ihnen vertrauen. Broadcom die Produktkonfigurationsrichtlinie angewandt, um den Blockierungsmodus für diese Binärdateien zu aktivieren, um potenzielle Angriffsvektoren zu entschärfen. Es sollte jedoch auch beachtet werden, dass einige dieser Binärdateien wie MS Build eine legitime Verwendung in der Entwicklerumgebung haben, wo sie zum Kompilieren von Programmen verwendet werden können, und dass die Verwendung solcher Binärdateien je nach Art des extern gepackten Programms für den Betrieb des Programms erforderlich ist. Eine Blockierungsrichtlinie für solche Programme könnte die Betriebsumgebung für Benutzer beeinträchtigen. Außerdem wurden Systemverwaltungstools wie PsExec, die von Systemadministratoren für administrative Aufgaben verwendet werden können, standardmäßig blockiert.
Es ist zu beachten, dass die Produkte von Bitdefender und ESET stoppt die Ausführung einer Datei, die zuvor noch nicht gesehen wurde, und sendet sie zur weiteren Analyse in die Online-Sandbox. Aufgrund dieses Verhaltens wird die Ausführung angehalten und der Benutzer kann nicht fortfahren, bis die Analyse aus der Sandbox zurückkommt. Dieses Verhalten wird sowohl bei bösartigen als auch bei sauberen Dateien beobachtet. Bei den False-Positive-Tests mit legitimen Anwendungen wurden die Sandbox-Entscheidungen innerhalb kurzer Zeit als sauber zurückgegeben, so dass die Operation Accuracy-Tests bestanden wurden.
Die Produkte von Anbieter A und Anbieter B blockiert verschiedene unschuldige Dateitypen und verwaltungsfreundliche Skripte/Tools und beeinträchtigt so die Bedienbarkeit für den Benutzer.

Endpoint Prevention Response im Vergleich zum MITRE ATT&CK Framework

Dieser EPR-Produktbericht ist eine umfassende Validierung der Funktionen, der Produktwirksamkeit und anderer relevanter Metriken, die Ihnen bei Ihrer Risikobewertung helfen. Die eingehenden Tests liefen über einen Zeitraum von vier Wochen. Insgesamt wurden 49 Szenarien mit realen Anwendungsfällen in Unternehmen durchgeführt. Diese Szenarien umfassten mehrere Präventions- und Erkennungs-Workflows, die unter normalen Betriebsbedingungen von verschiedenen Benutzer-Personas ausgeführt wurden. Die Ergebnisse der Validierung lassen sich effizient und effektiv auf die MITRE ATT&CK® Platform abbilden (© 2015-2020, The MITRE Corporation. MITRE ATT&CK und ATT&CK sind eingetragene Marken von The MITRE

Gesellschaft) und der NIST-Plattform, so dass es einfacher wird, das Risiko in Bezug auf einen bestimmten Endpunkt zu operationalisieren.

MITRE ATT&CK for Enterprise im Vergleich zum siebenstufigen Lebenszyklus von Cyberangriffen

AV-Comparatives hat einen Paradigmenwechsel in der Branche herbeigeführt, indem es eine EPR-Methode definiert hat, die die alltägliche Realität der Anwendungsfälle und Arbeitsabläufe in Unternehmen widerspiegelt und die Sichtbarkeit der Kill-Chain mit dem MITRE ATT&CK-Framework abbildet.
Wie in Abbildung 22 auf der nächsten Seite dargestellt, haben wir uns von "atomaren" Tests entfernt, d. h. Tests, die nur eine bestimmte Komponente des ATT&CK-Frameworks untersuchen, und stattdessen die EPR-Produkte im Kontext der gesamten Angriffskette bewertet, wobei die Arbeitsabläufe in jeder Phase von der anfänglichen Ausführung bis zur endgültigen Datenexfiltration/Sabotage miteinander verbunden sind.

Aktive Reaktion vs. Passive Reaktion Workflow

Dieser EPR-Bericht enthält Metriken zur Sicherheitseffizienz für verschiedene Testszenarien und produktspezifische Faktoren. So können Unternehmen fundierte Entscheidungen über die Eignung der einzelnen getesteten Produkte für ihre Anforderungen treffen.

Überblick über den Enterprise EPR Workflow

Unabhängig davon, ob Angriffe als böswillige Operationen, Kampagnen, Entdeckungen, Kill Chains oder etwas anderes definiert werden, sollten diese menschlichen Pfade hervorgehoben werden, die wir in diesem Bericht als vier verschiedene Arbeitsabläufe bezeichnen.

Prävention (aktive Reaktion)

Die beste Art und Weise, auf eine Bedrohung zu reagieren, besteht darin, sie so schnell wie möglich zu verhindern und effektiv darüber zu berichten. AV-Comparatives definiert Prävention als eine automatisierte, aktive Reaktion, die 24 Stunden am Tag, 7 Tage die Woche, 365 Tage im Jahr, ohne menschliches Eingreifen, aber mit quantifizierbaren Metriken und Berichtsdatenpunkten, die für eine effektive Analyse genutzt werden können, einsetzt. Ein EPR-Produkt sollte in der Lage sein, eine Bedrohung auf einem kompromittierten Computer zunächst zu identifizieren und zu verhindern. Der Vorfall sollte von einem zentralen Managementsystem aus erkannt, identifiziert, korreliert und behoben werden, und zwar durch eine effektive passive Reaktionsstrategie (teilweise oder vollständig automatisiert), idealerweise in Echtzeit. Darüber hinaus sollte der Sicherheitsanalyst in der Lage sein, eine Bedrohung auf der Grundlage der gesammelten und analysierten Daten zu klassifizieren und einzuteilen, und er sollte in der Lage sein, eine Reaktion unter Verwendung des EPR-Produkts mit einem spezifischen Workflow abzuschließen. Eine aktive Reaktion, wie sie in diesem Test definiert wird, ist eine wirksame Reaktionsstrategie, die eine Erkennung mit wirksamen Präventions- und Berichtsfunktionen verbindet. Dies alles sollte auf automatisierte Weise ohne manuelle Eingriffe erfolgen. Dies kann durch eine Vielzahl von Technologien und Mechanismen geschehen, z. B. durch signaturbasierte Modelle, verhaltensbasierte Modelle, ML-basierte Modelle, Transaktions-Rollbacks, isolationsbasierte Mechanismen und so weiter. Diese Definition ist technologieunabhängig, da sie sich auf die Ergebnisse der verschiedenen Arbeitsabläufe und Szenarien von Analysten konzentriert und nicht auf die Technologie, die zur Vorbeugung, Erkennung oder Reaktion darauf eingesetzt wird.

Passive Reaktion

Passive Reaktion, wie sie in diesem Test definiert wird, ist eine Reihe von Reaktionsmechanismen, die das Produkt mit kohärenten Erkennungs-, Korrelations-, Berichts- und Aktionsfähigkeiten bietet. Sobald sich ein Angreifer bereits in der Unternehmensumgebung befindet, kommen herkömmliche Reaktionsmechanismen zum Einsatz, z. B. IOC- und IOA-Korrelation, externe Bedrohungsinformationen und Jagd. AV-Comparatives definiert diese Reaktionsmechanismen als Passive Response. Die Voraussetzung für eine passive Reaktion ist die Erkennung einer potenziellen Bedrohung durch EPR-Produkte.
Von EPR-Produkten wird in der Regel erwartet, dass sie anfängliche und laufende Angriffe verhindern, ohne eine Triage vornehmen zu müssen, und gleichzeitig aktive Reaktions- und Berichtsfunktionen bieten. Wird der Angriff verpasst oder nicht verhindert, sollten EPR-Produkte in der Lage sein, Angriffe zu bewerten und darauf zu reagieren, wodurch die Ressourcen (Personal/Automatisierung) weniger belastet werden und langfristig eine bessere Rendite erzielt wird.
Eine passive Reaktion, wie sie in diesem Test definiert wird, ist eine wirksame Reaktionsstrategie, die eine Erkennung mit wirksamen Reaktions- und Berichtsmöglichkeiten bietet, die alle auf manuelle/halbautomatische Weise erfolgen und somit wertvolle Zeit und Ressourcen in Anspruch nehmen, was weitere Untersuchungen rechtfertigt.
Die Bandbreite der verfügbaren Reaktionsmöglichkeiten eines EPR-Produkts ist äußerst wichtig für Unternehmen, die Bedrohungen/Kompromittierungen auf mehreren Rechnern und an mehreren Standorten überprüfen müssen. Ein EPR-Produkt sollte in der Lage sein, anhand der dem Analysten zur Verfügung gestellten Intelligence-Daten nach bestimmten Bedrohungen zu suchen. Sobald sie identifiziert sind, sollte der Analyst in der Lage sein, das EPR-Produkt zu nutzen, um Reaktionen auf der Grundlage der Art der Infektion einzuleiten. AV-Comparatives erwartet, dass EPR-Produkte über nicht- oder halbautomatische passive Reaktionsmechanismen verfügen.

Korrelation von Prozess, Endpunkt und Netzwerk

Das EPR-Produkt sollte in der Lage sein, Bedrohungen auf eine oder mehrere der folgenden Arten zu erkennen und darauf zu reagieren.

  • Die Antwort basiert auf der erfolgreichen Identifizierung des Angriffs über die Benutzeroberfläche (UI) des Produkts, die die Angriffsquelle (http[s]/IP-basierter Link) auflistet, die die kompromittierte Website/IP hostet.)
  • Exploit-Identifizierung (basierend auf CVE oder generischer Erkennung der Bedrohung)
  • Heruntergeladene Malware-Datei
  • Spawnen von Malware-Prozessen
  • Befehls- und Kontrolltätigkeit als Teil der einheitlichen Angriffskette

Überblick über die EPR-Validierung

AV-Comparatives hat die folgende Topologie und Metrik entwickelt, um die Fähigkeiten von Endpoint Prevention and Response (EPR)-Produkten genau zu bewerten.

Übersicht über die EPR-Testtopologie

Die EPR-Produkte aller getesteten Anbieter wurden im Standalone-Modus implementiert und bewertet, wobei jeder Anbieter aktiv an der anfänglichen Einrichtung, Konfiguration und den Baselining-Aspekten beteiligt war. AV-Comparatives bewertete eine Liste von 49 Szenarien, wie sie häufig von Analysten und Unternehmen gefordert werden, und hob mehrere unternehmensbezogene Anwendungsfälle hervor. Jeder Anbieter durfte sein eigenes Produkt in dem Maße konfigurieren, wie es Unternehmen beim Einsatz in ihrer Infrastruktur tun können. Die Details der Konfigurationen sind am Anfang dieses Berichts enthalten.
Da diese Methodik auf die Präventions-, Erkennungs- und Reaktionsfähigkeiten zugeschnitten ist, haben alle Anbieter ihre Präventions- und Schutzfähigkeiten (Fähigkeit zum Blockieren) sowie die Erkennungs- und Reaktionsfähigkeiten aktiviert, so dass sie die realen Fähigkeiten dieser Produkte auf Unternehmensebene nachahmen.
Die Tests unterstützten EPR-Produktaktualisierungen und Konfigurationsänderungen, die über die Cloud-Management-Konsole oder den lokalen Netzwerkserver vorgenommen wurden. Wir haben so weit wie möglich alle Testszenarien von Anfang bis Ende durchlaufen und ausgeführt.

Test Iteration Zielsetzung

Ziel des Tests war es, den präventionsorientierten Workflow mit spezifischen Anwendungsfällen zu bewerten, die auf den EPR-Präventionsworkflow-1 (auf den in der Methodik verwiesen wird) mit Bedrohungen abzielen, die typischerweise auf Unternehmensbenutzer in einer normalen Betriebsumgebung abzielen. Diese Iteration half uns, die standardmäßige Präventionsfähigkeit des Produkts zusammen mit dem Erkennungsmechanismus zu bewerten. Wenn eine Bedrohung nicht abgewehrt werden konnte, haben wir geprüft, ob das EPR-Produkt in der Lage war, rechtzeitig geeignete Erkennungs- und Reaktionsmaßnahmen zu ergreifen.

  • Die folgende Bewertung wurde durchgeführt, um zu überprüfen, ob das EPR-Endpunktsicherheitsprodukt in der Lage ist, alle Angriffe auf den EPR Prevention Workflow-1 und Detection Workflow zu verhindern und zu erkennen.
  • Fand die Prävention während Phase 1 (Endpoint Compromise und Foothold) des Präventionsworkflows statt?
  • Lieferte uns das EPR-Produkt eine angemessene Bedrohungsklassifizierung, eine Bedrohungseinstufung und einen genauen Bedrohungszeitplan der Angriffe mit relevanten Endpunkt- und Benutzerdaten?
  • Hat das EPR-Produkt beim Test der operativen Genauigkeit, der in Verbindung mit den Angriffsszenarien durchgeführt wurde, irgendwelche negativen Probleme gezeigt?

Gezielte Use-Cases

Die Anwendungsfälle, die wir während der Testiterationen verfolgten, waren "IT-Administrator", "normaler Unternehmensbenutzer", "SOC-Team Professional" und "Analyst". Die emulierte Ereignisabfolge war ein unternehmensbasiertes Szenario, bei dem ein Benutzer auf Systemebene eine Datei in einem E-Mail-Anhang erhielt und diese ausführte. In einigen Fällen waren die E-Mails harmlos, in anderen nicht. Die bösartigen E-Mail-Anhänge ermöglichten es einem Angreifer, in der Umgebung Fuß zu fassen und weitere Schritte zu unternehmen, um seine Ziele zu erreichen.
Während der Testdauer agierte unser Analyst als SOC-Analyst, Administrator und SOC-Fachmann, indem er sich in das EPR-Produktmanagement und die einzelnen Testsystemkonsolen einloggte, um zu beobachten, zu analysieren und zu dokumentieren, welche Art von Aktivitäten vom Produkt aufgezeichnet werden. Gibt es zum Beispiel bei einem Angriff irgendwelche Warnungen oder Ereignisse, und handelt es sich dabei um echte positive oder negative Ergebnisse?
Bei echten positiven Alarmen haben wir außerdem untersucht, ob die anschließende Reaktion in Form von Ereigniskorrelation, Triagen, Bedrohungsklassifizierung und Bedrohungszeitplan dem Analysten rechtzeitig und klar zur Verfügung gestellt wurde. Wir testeten die Antworten, die von den getesteten Produkten bereitgestellt wurden.

EPR Test Iteration Zeitrahmen

Die Bewertung wurde in vier Phasen durchgeführt, wobei jede Phase eine Woche dauerte. Im Laufe der Wochen konnte sich AV-Comparatives ein detailliertes Bild von dem zu testenden Produkt machen, und die Angriffe wurden so gestaltet, dass sie die wahren Fähigkeiten des Produkts hervorhoben. Außerdem wurde Workflow-1 mit einer vom Angreifer gesteuerten Denkweise durchgeführt, während der Angriff durch die Angriffsknoten fortschritt, um schließlich sein Ziel zu erreichen. Die Evaluierung wurde zwischen September und Oktober 2020 durchgeführt. Während des gesamten Tests wurden Benutzer-Personen und Benutzer-Aktivitäten simuliert, so dass sie der realen Umgebung so nahe wie möglich kamen.
Alle Angriffe wurden mit Open-Source-Tools durchgeführt, und die Beispiele wurden mit Hilfe von internem Fachwissen entwickelt. Sobald sich der Angreifer Zugang zur Umgebung verschafft hat, versucht er, sich so unauffällig wie möglich zu verhalten, damit Verteidiger und Verteidigungsmaßnahmen nicht ausgelöst werden.

Produktkonfigurationen und Einstellungen

In Unternehmensumgebungen und bei Unternehmensprodukten im Allgemeinen ist es üblich, dass die Produkte vom Systemadministrator gemäß den Richtlinien des Herstellers konfiguriert werden. Daher haben wir die Hersteller gebeten, beliebige Änderungen an der Standardkonfiguration ihrer jeweiligen Produkte vorzunehmen. Die in diesem Test vorgestellten Ergebnisse wurden nur durch die Anwendung der jeweiligen Produktkonfigurationen wie hier beschrieben erzielt.
Die Konfigurationen wurden von den Technikern der jeweiligen Anbieter während der Einrichtung vorgenommen. Diese Konfiguration ist typisch für Unternehmen, die ihre eigenen Teams von SOC-Analysten haben, die sich um ihre Abwehr kümmern. Die Personas und die Bedrohungsemulation, die in dieser Evaluierung durchgeführt wurden, stellen solche Szenarien dar. Bei Produkten dieser Art ist es üblich, dass die Experten der Hersteller die Unternehmen bei der Bereitstellung und Konfiguration unterstützen, die für die jeweilige Art von Unternehmen am besten geeignet ist.

Nachfolgend sind die relevanten Einstellungen aufgeführt (d. h. die Einstellungen, die der Hersteller für diesen Test verwendet).

Bitdefender: "Risikomanagement", "Sandbox Analyzer" und "Scan SSL" wurden aktiviert. "HyperDetect" wurde aktiviert und auf "Block" (für das Netzwerk) und auf "Disinfect" (für Dateien) eingestellt. "Die Schutzstufe wurde für alle Einstellungen von "HyperDetect" auf "Aggressive" gesetzt. Der "On-Access-Scan" für Archive, die größer als 100 MB sind, wurde mit Tiefe 16 aktiviert.

Check Point: "Download (Web) Protection", "Anti-Bot", "Anti-Ransomware" und "Anti-Exploit" wurden auf "Prevent" gesetzt. "Forensic (Attack Analysis)" wurde auf "On" gesetzt. Alle Einstellungen waren auf "Connected Mode" eingestellt.

CISCO: Die "Empfohlenen Einstellungen des Ersteinrichtungsassistenten für die Workstation" wurden angewendet, d. h.: “Files", "Malicious Activity Protection" und "Script Protection" wurden auf "Quarantine" gesetzt. "Network" und "Exploit Prevention" wurden auf "Block" gesetzt. "System Process Protection" und Behavioral Protection" wurden auf "Protect" gesetzt. Die "Zwei-Faktor-Authentifizierung" wurde für "Automatic Analysis" und "Command Line Capture" aktiviert. Die Funktionen "Connector Protection" und "Orbital Advanced Search" wurden aktiviert. "Malicious Activity Protection – Monitor Network Drives wurde aktiviert. Die "Detection Action" wurde auf "Block, Terminate and Quarantine" eingestellt.

CrowdStrike: Die "Sensor Visibility" wurde für die folgenden Punkte auf "Enabled" gesetzt: “HTTP Detections, Engine, Redact HTTP Detection Details, Interpreter-Only, Additional User Mode Data” und “Script Based Execution Monitoring”. "Cloud Machine Learning" und "Sensor Machine Learning" wurden für "Detection" und "Prevention" auf "Extra Aggressive" gesetzt. Die "Quarantine" wurde auf "Enabled" gesetzt. Unter "Malware Protection" wurde "Execution Blocking" auf "Enable ALL" gesetzt. Die Optionen "Exploit Mitigation", "Ransomware", "Lateral Movement and Credential Access" und "Remediation" waren "Enabled"; die Option "Exploitation Behaviour" war auf "Disabled" eingestellt.

ESET: Alle Einstellungen für "Real-Time & Machine Learning Protection”, “Potentially Unwanted Applications”, “Potentially Unsafe Applications” und “Suspicious Applications” wurden auf "Aggressive" (nicht standardmäßig) gesetzt. "HIPS", "Self-Defense", "Protected Service", "Advanced Memory Scanner", "Exploit Blocker", "Deep Behavioral Inspection", "Ransomware Shield" und "HTTPS Filtering Mode" wurden auf "On" gesetzt. "Dynamische Bedrohungsabwehr", "LiveGrid Feedback System" und "LiveGrid Reputation System" wurden auf "Ein" gesetzt. In der "Dynamic Threat Defense" von ESET wurde der "Detection Threshold" auf "Suspicious" (nicht standardmäßig), der "Proactive Protection" auf "Block Execution until Receiving Analysis Result" (nicht standardmäßig) und die "Max Wait Time for the Analysis Result" auf "5 Minuten" gesetzt.

F-Secure: "Real-time Scanning" und "File Scanning" wurden auf "On” gesetzt. Die Option "Files to scan" wurde auf "Only files with specific extensions" gesetzt; die Option "Decide action on infection automatically" wurde auf "Off" gesetzt; die Option "Action on infection" wurde auf "Quarantine" gesetzt; die Option "Action on riskware" wurde auf "Block" gesetzt; die Option "Action on spyware" wurde auf "Quarantine" gesetzt. Die Optionen "Protect Hosts File", "Scan network drives", "Scan network drives mode" und "Use F-Secure Security Cloud" wurden auf "On" gesetzt. "DeepGuard" und "Block rare and suspicious files" wurden auf "On" gesetzt. "AMSI", "Web Traffic Scanning" und "Firewall" wurden auf "On" gesetzt. "DataGuard" wurde auf "Off" gesetzt. Auf dem Client war die "PowerShell ScriptBlock logging" aktiviert (nicht standardmäßig).

Palo Alto Networks: "Agent Settings", "Agent Security", "XDR Pro Endpoints", "Content Auto Update" und "Direct Server Access" wurden aktiviert. Die "Alert Data Dump File Size" wurde auf "Full" gesetzt. Die Optionen "Automatically Upload Alert Data Dump File", "Agent Upgrade" und "Network Location Configuration" wurden deaktiviert. Die Optionen "Browser Exploits Protection", "Logical Exploits Protection”, “Known Vulnerable Processes Protection” und “Operating System Exploit Protection” wurden auf "Block" gesetzt. Der "Exploit Protection for Additional Processes" wurde deaktiviert. Der "Unpatched Vulnerabilities Protection" wurde auf "Modify Settings until the Endpoint is Patched" gesetzt. Die Optionen “Portable Executable and DLL Examination”, “Office Files with Macros Examination”, “Behavioral Threat Protection”, “Ransomware Protection”, “Malicious Child Process Protection” und “Network Packet Inspection Engine” wurden auf "Block" gesetzt. Die Funktionen “Respond to Malicious Causality Chains”, “End-User Initiated Local Scan”, “Password Theft Protection” and “Monitor und Collect Forensic Data” wurden aktiviert. Das "Endpoint Scanning" wurde deaktiviert.

Broadcom: Der "Download Sensitivity" Level wurde auf "5" gesetzt, d.h. Dateien mit "5" oder weniger Benutzern werden unabhängig von ihrer Art erkannt. "SONAR", "Browser Intrusion Prevention", "Network Intrusion Prevention" und "Memory Exploit Mitigation" wurden auf "Enable" gesetzt. "Tamper Protection" wurde auf "Block and Log" gesetzt. Im Abschnitt "Incidents" waren alle Regeln aktiviert. In der "Intrusion Prevention Policy" wurden alle "Audit Signatures" aktiviert und auf "Log" gesetzt. "Intrusion Prevention", "Browser Protection" und "URL reputation" wurden aktiviert. Die "Server Performance Tuning" war deaktiviert. Alle Einstellungen für "Protection for Symantec Recommended Application Coverage" und "Java Protection" waren aktiviert. Alle "Mitigation Techniques" waren auf "Default (On)" eingestellt. Der "Endpoint Activity Recorder Status" war auf "On" gesetzt; die folgenden Ereignisse wurden weitergeleitet: “Load point Changes”, “Suspicious System activity”, “Heuristic detections”, “AMSI activity”, “ETW activity”, “Process launch activity”. “Live Shell Configuration” waren "On". In der "Antimalware Policy" wurde die "ntensity Level (Blocking Level)" auf "3" gesetzt. Die "Monitoring Level" wurde auf "5" gesetzt. "DNS & Host File Changes" wurden auf "Ignore/Log-only" gesetzt. Für "Adaptive Protection" wurden die folgenden Richtlinien an die Endpunkte übertragen:

Adobe Acrobat erstellt ausführbare PE-Dateien Monitor
Adobe Acrobat startet das Assembly Registration Tool Verweigern
Adobe Acrobat startet schtasks.exe Verweigern
Adobe Acrobat startet Microsoft HTML Host Verweigern
Adobe Acrobat zum Starten von Java-Anwendungen Verweigern
Adobe Acrobat startet InstallUtil.exe Verweigern
Adobe Acrobat startet C-Sharp Compiler Verweigern
Adobe Acrobat startet den Windows Scripting Host (WScript) Verweigern
Adobe Acrobat erstellt Dateien an gemeinsamen Speicherorten Verweigern
Adobe Acrobat startet rundll32.exe Monitor
Adobe Acrobat startet den Windows Scripting Host (CScript) Verweigern
Adobe Acrobat startet wmic.exe Verweigern
Adobe Acrobat startet Msiexec Verweigern
Adobe Acrobat startet die PowerShell Verweigern
Adobe Acrobat startet cmd.exe Verweigern
Adobe Acrobat startet iKernel Monitor
Adobe Acrobat startet Reg.exe Verweigern
Adobe Acrobat startet RegSvr32.exe Verweigern
Acrobat Reader startet cmd.exe Verweigern
at.exe wird gestartet Monitor
Starten von Bitsadmin Monitor
Browser erstellt Bildschirmschoner-Datei Monitor
Certutil erzeugt eine ausführbare PE-Datei Verweigern
Certutil erstellt nicht-PE-ausführbare Dateien (Skripte oder Batch-Jobs) Verweigern
Certutil greift über HTTP(s) auf das Netzwerk zu Verweigern
CMSTP-Einführung Verweigern
Windows Scripting Host (CScript) zur Erstellung von Dateien in gemeinsamen Persistenzspeichern Monitor
Windows Scripting Host (CScript), der laufende Prozesse injiziert Monitor
Windows Scripting Host (CScript) ändert Einträge in der Registrierung der Dienste Verweigern
Windows Scripting Host (CScript), der die Einstellungen des Windows Task Scheduler ändert, um Aufgaben zu planen Verweigern
Windows Scripting Host (CScript) Start von Windows Scripting Host (CScript) Verweigern
Windows Scripting Host (CScript) zum Erstellen oder Ändern eines PowerShell-Profilskripts Monitor
Windows Scripting Host (CScript) injiziert in svchost.exe Verweigern
Windows Scripting Host (CScript) startet Schtasks Monitor
Windows Scripting Host (CScript), der cmd.exe startet Verweigern
Windows Scripting Host (CScript), der Regsvr32 startet Verweigern
Windows Scripting Host (CScript), der pubprn.vbs startet Monitor
Windows Scripting Host (CScript), der iKernel startet Monitor
Windows Scripting Host (CScript) zur Erstellung von nicht-PE-ausführbaren Dateien (Skripts oder Batch-Jobs) Monitor
Windows Scripting Host (CScript), der Msiexec startet Verweigern
Windows Scripting Host (CScript), der PowerShell startet Monitor
Windows Scripting Host (CScript) erstellt eine ausführbare PE-Datei Monitor
Windows Scripting Host (CScript) startet Microsoft HTML Host Monitor
Windows Scripting Host (CScript) wird unter einem anderen Prozessnamen gestartet Verweigern
Windows Scripting Host (CScript) startet den Windows Scripting Host (WScript) Monitor
Windows Scripting Host (CScript), der sc.exe startet Monitor
Windows Scripting Host (CScript), der winrm.vbs startet Verweigern
Esentutl beim Herunterladen einer Datei Verweigern
Microsoft Excel-Makros, die Msiexec starten Monitor
Microsoft Excel-Makros, die iKernel starten Monitor
Microsoft Excel-Makros, die Microsoft HTML Host starten Verweigern
Microsoft Excel startet schtasks.exe Verweigern
Microsoft Excel startet Reg.exe Verweigern
Microsoft Excel-Makros, die Windows Scripting Host (WScript) starten Verweigern
Microsoft Excel-Makros, die nicht-PE-ausführbare Dateien erstellen Monitor
Microsoft Excel-Makros, die InstallUtil.exe starten Verweigern
Microsoft Excel-Makros, die Windows Scripting Host (CScript) starten Monitor
Microsoft Excel-Makros, die cmd.exe starten Monitor
Microsoft Excel startet wmic.exe Verweigern
Microsoft Excel-Makros, die PowerShell starten Verweigern
Excel startet die Msbuild-Tools Verweigern
Microsoft Excel startet RegSvr32.exe Verweigern
Microsoft Excel startet Odbcconf.exe Verweigern
Microsoft-Excel startet Assembly Registration Tool Verweigern
Microsoft Excel führt C-Sharp Compiler ein Monitor
Microsoft Excel startet Bitsadmin.exe Verweigern
Microsoft Excel-Makros, die Dateien in gemeinsamen Persistenzspeichern erstellen Monitor
Microsoft Excel-Makros, die ausführbare PE-Dateien erstellen Monitor
Microsoft Excel-Makros, die Java-Anwendungen starten Monitor
Erweitern Sie das Herunterladen einer Datei Verweigern
Extrac32 beim Herunterladen einer Datei Verweigern
Findstr beim Herunterladen einer Datei Verweigern
Java-Anwendungen, die den Windows Scripting Host (CScript) starten Monitor
Lsass lädt eine nicht vertrauenswürdige DLL Verweigern
Makecab beim Herunterladen einer Datei Verweigern
Mavinject injiziert laufende Prozesse Verweigern
Start des Microsoft Workflow Compilers Verweigern
Msbuild erzeugt eine ausführbare PE-Datei Verweigern
Microsoft HTML Host zur Erstellung von nicht-PE-ausführbaren Dateien (Skripts oder Batch-Jobs) Monitor
Microsoft HTML Host erstellt PE-Datei Verweigern
Microsoft HTML Host startet Schtasks Verweigern
Microsoft HTML Host, der PowerShell startet Monitor
Microsoft HTML Host, der über HTTP(s) auf das Netzwerk zugreift Verweigern
Microsoft HTML Host startet Windows Scripting Host (WScript) Verweigern
Microsoft HTML Host ändert die Einträge in der Registrierung für Dienste Verweigern
Microsoft HTML Host startet Windows Scripting Host (WScript) Verweigern
Microsoft HTML Host, der Msiexec startet Monitor
Microsoft HTML Host, der cmd.exe startet Monitor
Microsoft HTML Host zum Erstellen oder Ändern des PowerShell-Profilskripts Verweigern
Microsoft HTML Host führt iKernel ein Monitor
Microsoft HTML Host startet Microsoft HTML Host Monitor
Microsoft HTML Host wird unter einem anderen Prozessnamen gestartet Verweigern
Microsoft HTML Host startet die Msbuild-Werkzeuge Verweigern
Microsoft HTML Host, der sc.exe startet Verweigern
Microsoft HTML Host injiziert laufende Prozesse Verweigern
Microsoft HTML Host startet Windows Scripting Host (CScript) Monitor
Microsoft HTML Host, der das Dienstprogramm Windows Net startet (net.exe) Monitor
Microsoft HTML Host, der die Einstellungen des Windows Task-Planers ändert, um Aufgaben zu planen Verweigern
Microsoft HTML Host erstellt Dateien in gemeinsamen Persistenzspeichern Verweigern
Msiexec greift über HTTP(s) auf das Netzwerk zu Verweigern
Msxsl-Einführung Verweigern
Odbcconf beim Ausführen einer DLL-Datei Verweigern
Outlook erstellt eine Bildschirmschonerdatei Verweigern
Microsoft Outlook führt cmd.exe aus Verweigern
Microsoft PowerPoint startet die PowerShell Verweigern
Microsoft PowerPoint startet Bitsadmin.exe Verweigern
Microsoft PowerPoint erstellt ausführbare PE-Dateien Verweigern
Microsoft PowerPoint erstellt ausführbare PE-Dateien Verweigern
Microsoft PowerPoint startet wmic.exe Verweigern
Microsoft PowerPoint erstellt Dateien in gemeinsamen Persistenzspeichern Verweigern
Microsoft PowerPoint Start der Baugruppenregistrierung Verweigern
Microsoft PowerPoint startet den Microsoft HTML Host Verweigern
Microsoft PowerPoint beim Start von Msiexec Verweigern
Microsoft PowerPoint beim Start von Windows Scripting Host (WScript) Verweigern
Microsoft PowerPoint führt C-Sharp Compiler ein Verweigern
Microsoft PowerPoint erstellt nicht-PE-ausführbare Dateien Monitor
Microsoft PowerPoint startet die Msbuild-Tools Verweigern
Microsoft PowerPoint startet RegSvr32.exe Verweigern
Microsoft PowerPoint beim Starten von Java-Anwendungen Verweigern
Microsoft PowerPoint startet schtasks.exe Verweigern
Microsoft PowerPoint startet den Windows Scripting Host (CScript) Monitor
Microsoft PowerPoint startet Reg.exe Verweigern
Microsoft PowerPoint startet cmd.exe Verweigern
Microsoft Powerpoint startet InstallUtil.exe Verweigern
Microsoft PowerPoint startet rundll32.exe Monitor
PowerShell-Injektion in svchost.exe Verweigern
PowerShell-Start von Java-Anwendungen Monitor
PowerShell zum Starten von iKernel Monitor
PowerShell greift über HTTP(s) auf das Netzwerk zu Monitor
PowerShell-Skript zum Erstellen oder Ändern von PowerShell-Profilen Monitor
PowerShell erstellt PE-Executable Monitor
Starten von PowerShell mit verschlüsseltem Befehl Monitor
PowerShell startet den Windows Scripting Host (WScript) Monitor
PowerShell startet das Windows Net-Dienstprogramm (net.exe) Monitor
PowerShell startet den Microsoft HTML-Host Monitor
PowerShell injiziert laufende Prozesse Monitor
PowerShell wird unter einem anderen Prozessnamen gestartet Verweigern
PowerShell zum Ändern von Registrierungseinträgen für Dienste Monitor
PowerShell-Erstellung von nicht-PE-ausführbaren Dateien (Skripts oder Batch-Aufträge) Monitor
PowerShell startet den Windows Scripting Host (CScript) Verweigern
PowerShell erstellt Dateien an gemeinsamen Persistenzspeichern Verweigern
Ändern der Einstellungen des Windows-Aufgabenplaners durch PowerShell, um Aufgaben zu planen Verweigern
PowerShell zum Starten von Msbuild-Tools Monitor
PowerShell führt das Dienstprogramm Windows Service Control (sc.exe) aus Monitor
PowerShell greift auf den Speicher von Local Security Authentication Server (Lsass) zu Monitor
PowerShell führt base64-codierten Befehl aus Monitor
PowerShell-Start von Schtasks Monitor
Einführung von Regasmen Monitor
Regedit speichert Anmeldeinformationen im SAM-Registrierungsschlüssel Verweigern
Änderung des Ausführungsschlüssels in der Registrierung mit Ausführung von Windows Scripting Host (CScript) beim Systemstart Verweigern
Ändern des Ausführungsschlüssels der Registrierung mit PowerShell-Ausführung beim Systemstart Monitor
Ändern des Ausführungsschlüssels in der Registrierung mit Wmic-Ausführung beim Systemstart Verweigern
Änderung des Ausführungsschlüssels in der Registrierung mit Ausführung von Windows Scripting Host (WScript) beim Systemstart Monitor
Ändern des Ausführungsschlüssels in der Registrierung mit Ausführung von Regsvr32 beim Systemstart Monitor
Änderung des Ausführungsschlüssels in der Registrierung mit Ausführung von Microsoft HTML Host beim Systemstart Monitor
Start von Regsvc Monitor
Regsvr32 injiziert in svchost.exe Verweigern
Regsvr32 erzeugt eine ausführbare PE-Datei Verweigern
Regsvr32 startet den Windows Scripting Host (CScript) Verweigern
Regsvr32 erstellt Dateien an gemeinsamen Speicherorten Monitor
Regsvr32 ändert die Einstellungen des Windows Task-Planers, um Aufgaben zu planen Verweigern
Regsvr32 startet Schtasks Verweigern
Regsvr32 greift über HTTP(s) auf das Netzwerk zu Verweigern
Regsvr32 erstellt oder ändert das PowerShell-Profilskript Verweigern
Regsvr32 startet die PowerShell Verweigern
Regsvr32 erstellt nicht-PE-ausführbare Dateien (Skripte oder Batch-Jobs) Verweigern
Regsvr32 ändert Einträge in der Registrierung von Diensten Monitor
Ersetzen des Herunterladens einer Datei Verweigern
Rundll32 führt Schtasks ein Verweigern
Rundll32 injiziert in svchost.exe Verweigern
Rundll32 erstellt Dateien in gemeinsamen Persistenzspeichern Monitor
Rundll32 greift über HTTP(s) auf das Netzwerk zu Verweigern
Rundll32 zum Erstellen oder Ändern eines PowerShell-Profilskripts Verweigern
Rundll32 erstellt nicht-PE-ausführbare Dateien (Skripte oder Batch-Jobs) Monitor
Rundll32 ändert die Einstellungen des Windows Task-Planers, um Aufgaben zu planen Verweigern
Rundll32 ändert Einträge in der Registrierung von Diensten Monitor
Rundll32 startet den Windows Scripting Host (CScript) Monitor
Rundll32 erzeugt eine ausführbare PE-Datei Monitor
Schtasks erstellen einen Auftrag bei der PowerShell-Ausführung Monitor
Schtasks, die einen Auftrag zur Ausführung einer LNK-Datei erstellen Verweigern
Schtasks, die einen Auftrag zur Ausführung der HTA-Anwendung erstellen Verweigern
Schtasks erstellen einen Auftrag bei der Ausführung eines Batch-Skripts Monitor
Schtasks erstellt einen Auftrag zur Ausführung von JavaScript Verweigern
Schtasks erstellen einen Job bei der Ausführung von VBScript Monitor
Nicht vertrauenswürdiger Prozess, der die Einstellungen des Windows Task-Planers ändert, um Aufgaben zu planen Monitor
Nicht vertrauenswürdiger Prozess, der iKernel startet Monitor
Nicht vertrauenswürdiger Prozess, der Dateien in gemeinsamen Persistenzspeichern erstellt Monitor
Wmic erzeugt eine ausführbare PE-Datei Verweigern
Wmic greift über HTTP(s) auf das Netzwerk zu Verweigern
Wmic erstellt nicht-PE-ausführbare Dateien (Skripte oder Batch-Jobs) Verweigern
Wmic injiziert laufende Prozesse Verweigern
WMI Provider Host (Wmiprvse) startet Regsvr32 Monitor
WMI-Provider-Host (Wmiprvse) erstellt Dateien in gemeinsamen Persistenzspeichern Verweigern
WMI Provider Host (Wmiprvse) startet Windows Scripting Host (WScript) Monitor
WMI Provider Host (Wmiprvse) startet Rundll32 Monitor
WMI Provider Host (Wmiprvse) startet Microsoft HTML Host Verweigern
Windows Management Instrumentation (WMI) startet Schtasks Monitor
WMI Provider Host (Wmiprvse) startet Windows Scripting Host (CScript) Monitor
WMI Provider Host (Wmiprvse), der das Windows Net-Dienstprogramm (net.exe) startet Monitor
WMI Provider Host (Wmiprvse), der sc.exe startet Monitor
WMI-Provider-Host (Wmiprvse), der PowerShell startet Monitor
Microsoft Word-Makros, die Msiexec starten Verweigern
Microsoft Word-Makros, die Windows Scripting Host (WScript) starten Verweigern
Microsoft Word-Makros, die cmd.exe starten Monitor
Microsoft Word-Makros, die PowerShell starten Verweigern
Microsoft Word-Makros, die Windows Scripting Host (CScript) starten Verweigern
Microsoft Word startet Bitsadmin.exe Verweigern
Microsoft Word startet wmic.exe Verweigern
Microsoft Word-Makros zur Erstellung von PE-Dateien Monitor
Microsoft Word startet die Datei Reg.exe Verweigern
Microsoft Word-Makros, die Microsoft HTML Host starten Verweigern
Microsoft Word-Makros, die nicht-PE-ausführbare Dateien erstellen Monitor
Microsoft Word-Makros, die Java-Anwendungen starten Verweigern
Microsoft Word führt C-Sharp Compiler ein Monitor
Microsoft Word startet Odbcconf.exe Verweigern
Microsoft Word-Makros, die InstallUtil.exe starten Verweigern
Word-Start von Msbuild-Tools Verweigern
Microsoft Word startet RegSvr32.exe Verweigern
Microsoft Word-Makros, die Dateien an gemeinsamen Speicherorten erstellen Verweigern
Microsoft Word startet schtasks.exe Verweigern
Microsoft-Word-Registrierungswerkzeug für die Einführung von Baugruppen Verweigern
Windows Scripting Host (WScript) zur Erstellung von nicht-PE-ausführbaren Dateien (Skripte oder Batch-Jobs) Monitor
Windows Scripting Host (WScript), der PowerShell startet Monitor
Windows Scripting Host (WScript) injiziert in svchost.exe Verweigern
Windows Scripting Host (WScript), der die Einstellungen des Windows Task Scheduler ändert, um Aufgaben zu planen Verweigern
Windows Scripting Host (WScript), der iKernel startet Monitor
Windows Scripting Host (WScript) zum Erstellen oder Ändern eines PowerShell-Profilskripts Verweigern
Windows Scripting Host (WScript) ändert Einträge in der Registrierung von Diensten Monitor
Windows Scripting Host (WScript) startet den Windows Scripting Host (CScript) Monitor
Windows Scripting Host (WScript), der das Windows Net-Dienstprogramm (net.exe) startet Monitor
Windows Scripting Host (WScript), der Regsvr32 startet Monitor
Windows Scripting Host (WScript) wird unter einem anderen Prozessnamen gestartet Verweigern
Windows Scripting Host (WScript), der Dateien in gemeinsamen Persistenzspeichern erstellt Verweigern
Windows Scripting Host (WScript), der laufende Prozesse injiziert Verweigern
Windows Scripting Host (WScript), der Msiexec startet Monitor
Windows Scripting Host (WScript), der cmd.exe startet Monitor
Windows Scripting Host (WScript), der winrm.vbs startet Verweigern
Windows Scripting Host (WScript), der Rundll32 startet Monitor
Windows Scripting Host (WScript), der pubprn.vbs startet Verweigern
Windows Scripting Host (WScript) Start von Windows Scripting Host (WScript) Monitor
Windows Scripting Host (WScript) startet Schtasks Monitor
Windows Scripting Host (WScript), der sc.exe startet Monitor
Windows Scripting Host (WScript) erstellt eine ausführbare PE-Datei Monitor
Windows Scripting Host (WScript) zum Starten von Msbuild-Tools Verweigern
Windows Scripting Host (WScript) startet den Microsoft HTML Host Monitor

 

Anbieter A: Es wurden andere Einstellungen als die Standardeinstellungen verwendet.

Anbieter B: Es wurden andere Einstellungen als die Standardeinstellungen verwendet.

Copyright und Haftungsausschluss

Diese Veröffentlichung ist Copyright © 2022 von AV-Comparatives ®. Jegliche Verwendung der Ergebnisse, etc. im Ganzen oder in Teilen, ist NUR nach ausdrücklicher schriftlicher Zustimmung der Geschäftsführung von AV-Comparatives vor einer Veröffentlichung erlaubt. AV-Comparatives und seine Tester können nicht für Schäden oder Verluste haftbar gemacht werden, die sich aus der Verwendung der in diesem Dokument enthaltenen Informationen ergeben könnten. Wir bemühen uns mit aller Sorgfalt um die Richtigkeit der Basisdaten, eine Haftung für die Richtigkeit der Testergebnisse kann jedoch von keinem Vertreter von AV-Comparatives übernommen werden. Wir übernehmen keine Gewähr für die Richtigkeit, Vollständigkeit oder Eignung für einen bestimmten Zweck der zu einem bestimmten Zeitpunkt bereitgestellten Informationen/Inhalte. Niemand, der an der Erstellung, Produktion oder Lieferung von Testergebnissen beteiligt ist, haftet für indirekte, besondere oder Folgeschäden oder entgangenen Gewinn, die sich aus der Nutzung oder der Unmöglichkeit der Nutzung der auf der Website angebotenen Dienste, Testdokumente oder damit zusammenhängenden Daten ergeben oder damit zusammenhängen.

Für weitere Informationen über AV-Comparatives und die Testmethoden besuchen Sie bitte unsere Website.

AV-Comparatives
(Januar 2022)