Diese Website verwendet Cookies, um Ihnen die bestmögliche Nutzung unserer Website zu ermöglichen.
Bitte beachten Sie, dass Sie sich durch die weitere Nutzung dieser Website mit den Bedingungen unserer
Politik zum Schutz der Privatsphäre
.
Einige unserer Partnerdienste befinden sich in den USA. Nach Rechtsprechung des Europäischen Gerichtshofs existiert derzeit in den USA kein angemessener Datenschutz. Es besteht das Risiko, dass Ihre Daten durch US-Behörden kontrolliert und überwacht werden. Dagegen können Sie keine wirksamen Rechtsmittel vorbringen.
Akzeptieren
Endpoint Prevention und Response (EPR)-Produkte werden in Unternehmen eingesetzt, um gezielte Angriffe wie Advanced Persistent Threats (APTs) zu erkennen, zu verhindern, zu analysieren und zu bekämpfen. Während von Endpunktsicherheitsprodukten erwartet wird, dass sie Malware und Netzwerkangriffe auf einzelnen Workstations erkennen und blockieren, müssen EPR-Produkte mit mehrstufigen Angriffen fertig werden, die darauf abzielen, das gesamte Netzwerk eines Unternehmens zu infiltrieren. Von Endpoint-Prevention- und Response-Systemen wird erwartet, dass sie nicht nur einzelne Geräte schützen, sondern auch eine detaillierte Analyse des Ursprungs, der Methoden und der Ziele eines Angriffs liefern. So kann das Sicherheitspersonal die Art der Bedrohung verstehen, ihre Ausbreitung verhindern, entstandene Schäden beheben und Vorkehrungen treffen, um ähnliche Angriffe in Zukunft zu verhindern.
Der Endpoint Prevention & Response Test von AV-Comparatives ist der umfassendste Test von EPR-Produkten, der jemals durchgeführt wurde. Die 10 getesteten Produkte wurden 50 verschiedenen gezielten Angriffsszenarien unterzogen, bei denen eine Vielzahl unterschiedlicher Techniken zum Einsatz kam. Ungeprüft durchliefen die Angriffe drei verschiedene Phasen: Kompromittierung des Endpunkts und Eindringen in das System, interne Ausbreitung und Eindringen in den Bestand. In jeder Phase wurde im Rahmen des Tests der gesamten Angriffskette ermittelt, ob das Produkt automatische Maßnahmen zur Abwehr der Bedrohung ergriff (aktive Reaktion) oder Informationen über den Angriff lieferte, die der Administrator nutzen konnte, um selbst Maßnahmen zu ergreifen (passive Reaktion). Wenn ein EPR-Produkt einen Angriff in einer Phase nicht abwehrt, wird der Angriff in der nächsten Phase fortgesetzt, und die Reaktion des Produkts wird hier vermerkt.
Dieser Bericht enthält die Ergebnisse der Tests, aus denen hervorgeht, in welchem Stadium (wenn überhaupt) jedes Produkt eine aktive oder passive Reaktion auf jede Bedrohung bietet. Es werden jedoch auch eine Reihe anderer Faktoren berücksichtigt. Die Fähigkeit der einzelnen Produkte, Abhilfemaßnahmen zu ergreifen, wie z. B. die Isolierung eines Endpunkts vom Netzwerk, die Wiederherstellung von einem Systemabbild oder die Bearbeitung der Windows-Registrierung, wurde festgestellt. Ebenso wurde die Fähigkeit der einzelnen Produkte untersucht, die Art eines Angriffs zu untersuchen. Außerdem wurde die Fähigkeit der einzelnen Produkte untersucht, Informationen über Anzeichen für eine Gefährdung zu sammeln und in einer leicht zugänglichen Form zu präsentieren.
Wir haben einen Enterprise EPR CyberRisk Quadrant entwickelt, der die Effektivität jedes Produkts bei der Verhinderung von Sicherheitsverletzungen, die berechneten Einsparungen, die sich daraus ergeben, die Anschaffungskosten des Produkts, die Kosten für die operative Genauigkeit des Produkts und die Kosten für die Verzögerung des Arbeitsablaufs berücksichtigt. Für diese Berechnung haben wir ein Unternehmen mit 5.000 Client-PCs über einen Zeitraum von 5 Jahren angenommen. Auf dieser Grundlage haben wir die Produkte in drei Stufen zertifiziert. Diese sind, von der höchsten zur niedrigsten Stufe: Strategic Leaders, CyberRisk Visionaries und Strong Challengers.
Geprüfte Produkte
Wir gratulieren den folgenden Anbietern zur Teilnahme an diesem EPR-Test und zur Veröffentlichung ihrer Ergebnisse. Alle getesteten Anbieter erhielten Informationen über ihre jeweiligen verfehlten Szenarien, so dass sie ihre Produkte weiter verbessern können. Bitte beachten Sie, dass einige der an diesem Test teilnehmenden Anbieter anonym bleiben wollten, weshalb wir sie als "Anbieter A", "Anbieter B" usw. bezeichnet haben. Wir haben ihre Ergebnisse in den Bericht aufgenommen, um einen Überblick über die derzeit auf dem Markt verfügbaren Leistungsstufen zu geben.
Die folgenden Produkte wurden von AV-Comparatives getestet
Die Einstellungen, die für jedes einzelne Produkt vorgenommen wurden, finden Sie weiter unten in diesem Bericht.
Dieser vergleichende Bericht gibt einen Überblick über die Ergebnisse für alle getesteten Produkte. Es gibt auch Einzelberichte für jedes Produkt, die unter www.av-comparatives.org unter den unten angegebenen Links verfügbar sind:
CyberRisk Quadrant Key Metrics - basierend auf 5000 Clients
Erläuterung des EPR CyberRisk Quadranten
Strategic Leaders
Dabei handelt es sich um EPR-Produkte, die eine sehr hohe Kapitalrendite aufweisen und somit sehr niedrige Gesamtbetriebskosten (TCO) ermöglichen. Dies ist auf die außergewöhnlichen technischen Fähigkeiten in Verbindung mit angemessenen Kosten zurückzuführen. Diese Produkte zeichnen sich im Allgemeinen durch hervorragende Präventions-, Erkennungs-, Reaktions- und Berichterstattungsfunktionen aus, kombiniert mit optimalen Funktionen für den Betrieb und den Arbeitsablauf der Systemadministratoren.
CyberRisk Visionaries
Diese EPR-Produkte bieten eine hohe Investitionsrendite und niedrige Gesamtbetriebskosten, da sie hervorragende technische Fähigkeiten in Kombination mit sehr guten betrieblichen und systemadministrativen Workflow-Funktionen bieten. Diese Produkte wiesen im Allgemeinen sehr gute Präventions-, Erkennungs-, Reaktions- und Berichterstattungsfunktionen sowie überdurchschnittliche Betriebs- und Systemadministrator-Workflow-Funktionen auf.
Strong Challengers
EPR-Produkte, die eine zufriedenstellende Kapitalrendite und damit eine akzeptable TCO bieten. Sie bieten in der Regel wirksame Präventions-, Erkennungs-, Reaktions- und Berichterstattungsfunktionen sowie kompetente operative und systemadministrative Workflow-Funktionen.
Nicht zertifiziert
Produkte mit einem kombinierten aktiven und passiven Ansprechverhalten von weniger als 90% und/oder anderen Kosten, die die TCO zu hoch werden lassen, werden nicht zertifiziert.
Welches Produkt ist das richtige für mein Unternehmen?
Die Tatsache, dass ein Produkt hier im obersten Bereich des Quadranten angezeigt wird, bedeutet nicht unbedingt, dass es das beste Produkt für die Anforderungen Ihres Unternehmens ist. Produkte in niedrigeren Bereichen des Quadranten können Funktionen aufweisen, die sie für Ihre spezielle Umgebung gut geeignet machen.
Platzierung der Punkte
Die Platzierung des "Punktes" des Anbieters auf der Y-Achse des Quadranten richtete sich danach, wie gut die aktiven oder passiven Antwortmöglichkeiten waren. Diese Punktzahl wirkt sich auch auf die X-Achse aus; ein Produkt mit einer hohen aktiven Reaktionsrate hat eine niedrigere TCO, da die Reaktionskosten geringer sind. Außerdem verursachen Produkte, die einen Angriff in einer früheren Phase stoppen, auch weniger Kosten. Weitere Faktoren bei der TCO-Berechnung sind der Anschaffungspreis, die operative Genauigkeit und die Verzögerungen im Arbeitsablauf, die z. B. durch Sandbox-Analysen entstehen.
Bitte lesen Sie die vollständige Erklärung unten, wie aktive und passive Antworten den Anbietern gutgeschrieben wurden.
EPR CyberRisk Quadrant Übersicht
Wir haben einen Enterprise EPR CyberRisk Quadrant entwickelt, der die Effektivität jedes Produkts bei der Verhinderung von Sicherheitsverstößen, die daraus resultierenden Einsparungen, die Anschaffungskosten des Produkts und die Kosten für die Genauigkeit des Produkts (aufgrund von Fehlalarmen) berücksichtigt.
Eines der größten Probleme, die durch eine Sicherheitsverletzung verursacht werden, sind die finanziellen Kosten, die der betroffenen Organisation entstehen. Nach Angaben von IBM belaufen sich die durchschnittlichen Kosten einer Sicherheitsverletzung auf 4,35 Millionen USD. Daher kann der Kauf eines wirksamen EPR-Produkts, das die negativen Auswirkungen eines Angriffs minimiert, eine gute Investition sein. Wenn ein Unternehmen im Falle eines erfolgreichen Angriffs einen Verlust von 2 Mio. USD zu beklagen hat, sind selbst 1,5 Mio. USD für Sicherheitsmaßnahmen eine sinnvolle Investition, ganz abgesehen von allen anderen Überlegungen.
In diesem Abschnitt betrachten wir die Gesamtkosten, die mit dem Einsatz der getesteten Sicherheitsprodukte verbunden sind, und ihre Wirksamkeit bei der Verhinderung von Sicherheitsverletzungen. Auf diese Weise können wir berechnen, inwieweit sich jedes der Produkte finanziell lohnt. Ausgehend von der IBM-Schätzung von 4,35 Mio. USD als Verlust für das Unternehmen im Falle eines erfolgreichen Angriffs berechnen wir, wie viel das Unternehmen durch den Kauf jedes der getesteten EPR-Produkte sparen könnte. Die Zahlen zeigen, dass alle getesteten Produkte wirksam sind und dass ihre kombinierten aktiven und passiven Reaktionswerte die große Mehrheit der Angriffe abdecken. Allerdings sind einige Produkte in dieser Hinsicht eindeutig besser als andere. Je effektiver ein Produkt bei der Verhinderung von Sicherheitsverletzungen ist, desto geringer sind die zu erwartenden Kosten für die Behebung von Sicherheitsverletzungen.
Die nachstehende Grafik zeigt die Formel, mit der die Gesamtbetriebskosten für ein Produkt ermittelt werden, wobei folgende Faktoren berücksichtigt werden. Zunächst ist da der Preis, den der Hersteller für das Produkt und die damit verbundenen Service- und Supportkosten zahlt. Als Nächstes kommen die Kosten in Verbindung mit durch das Produkt verursachten Over-Blocking/Over-Reporting hinzu, die im Folgenden als Kosten für die Betriebsgenauigkeit definiert werden. Diese Fälle müssen untersucht und behoben werden. Im Jahr 2015 schätzte das Ponemon’s Institute , dass Unternehmen jährlich etwa 1,3 Millionen USD aufgrund ungenauer oder fehlerhafter Informationen verschwenden. Berücksichtigt man die Inflation der letzten sieben Jahre, so ergibt sich für das Jahr 2022 eine vernünftige Schätzung von 1,43 Mio. USD. Dies sind die zusätzlichen jährlichen Kosten, die Sie für ein Produkt zu erwarten haben, das unsere Validierung der operationellen Genauigkeit in diesem Jahr nicht besteht. Die Kosten, die sich aus einer unzureichenden operationellen Genauigkeit ergeben, werden bestraft, und die Kosten aufgrund von Verzögerungen im Arbeitsablauf werden ebenfalls berücksichtigt. Wenn also ein Benutzer z. B. durch die Funktionen, Richtlinien oder das Verhalten eines Produkts in seinem Betrieb beeinträchtigt wird, schlägt sich dies auch in der Bewertung des EPR-CyberRisk-Quadranten nieder.
Als Nächstes folgen die Kosten im Zusammenhang mit Sicherheitsverletzungen, wobei ein Produkt, das theoretisch 100% Angriffe abwehren kann, hier keine Kosten verursacht, während ein Produkt, das keine Angriffe abwehrt, die vollen Kosten einer Sicherheitsverletzung verursacht.
Die Kosten für einen Verstoß wurden für jedes Produkt pro Szenario berechnet, basierend auf der Fähigkeit des EPR-Produkts, zum Zeitpunkt der Ausführung aktiv und passiv zu reagieren. Das Verfahren, das wir für die Berechnung der Kosten für einen Verstoß im Jahr 2022 verwendet haben, wird im Folgenden beschrieben:
Wenn es in Phase 1 eine aktive Reaktion gab, wurde für das Szenario 0% der Gesamtkosten für die Sicherheitsverletzung hinzugefügt.
Wenn es in Phase 1 KEINE aktive Reaktion gab, aber das Produkt in Phase 1 passive Reaktionsfähigkeiten zeigte, wurden für das Szenario nur 12,5% der Gesamtkosten der Sicherheitsverletzung addiert.
Wenn es in Phase 2 eine aktive Reaktion gab, wurden für das Szenario 25% der Gesamtkosten für die Sicherheitsverletzung hinzugefügt.
Wenn es in Phase 2 KEINE aktive Reaktion gab, aber das Produkt in Phase 2 passive Reaktionsmöglichkeiten aufzeigte, wurden 50% der Gesamtkosten für das Szenario hinzugefügt.
Wenn es in Phase 3 eine aktive Reaktion gab, wurden für das Szenario 75% der Gesamtkosten für die Sicherheitsverletzung hinzugefügt.
Wenn es in Phase 3 KEINE aktive Reaktion gab, aber das Produkt in Phase 3 passive Reaktionsfähigkeiten zeigte, dann wurden 95% der Gesamtkosten für das Szenario hinzugefügt.
Wenn es für das Szenario KEINE aktive oder passive Reaktion gab, wurden 100% der Gesamtkosten für die Sicherheitsverletzung für das Szenario addiert.
Zur Berechnung der X-Achse im EPR-CyberRisk-Quadranten haben wir den Listenpreis des Produkts, die Kosten für die operative Genauigkeit (z. B. false-positives/over-blocking/over-reporting), die Kosten für die Verzögerung des Arbeitsablaufs und die Kosteneinsparungen bei Sicherheitsverletzungen verwendet.
Die auf der X-Achse des Quadranten angezeigten Punktzahlen werden wie folgt berechnet. Für die aktive Reaktion nehmen wir die kumulativen Reaktionswerte für die Phasen 1, 2 und 3 und ermitteln den Durchschnitt dieser Werte. Das Gleiche gilt für die kumulative Bewertung der passiven Reaktion in den Phasen 1, 2 und 3. Schließlich wird der Durchschnitt dieser beiden Werte gebildet, um die Gesamtpunktzahl für die Reaktion zu erhalten.
Bei den EPR-Tests 2020 und 2021 sowie in diesem Jahr haben wir die "Time to Prevent" und "Time to Respond" über einen Zeitraum von 24 Stunden beobachtet. Bei keinem der Produkte änderten sich jedoch die Ausgangswerte über den Zeitraum von 24 Stunden. Wir stellen fest, dass Datenschutzverletzungen in großen Unternehmen in der Regel erst Wochen oder sogar Monate später entdeckt werden, so dass die Einbeziehung des zusätzlichen Tages in unsere Studie praktisch keine Auswirkungen hatte. Daher haben wir beschlossen, diese Kennzahl nicht mehr zu berücksichtigen.
Für den Test 2023 haben wir die Berechnungen so angepasst, dass Verzögerungen im Arbeitsablauf und Probleme mit der Betriebsgenauigkeit besser ausgeglichen werden [Wahrscheinlich werden die Multiplikationsfaktoren geändert].
Wir bemühen uns ständig, die in diesem Test verwendeten Metriken auf die aktuelle Situation abzustimmen. Wir haben auf die Rückmeldungen der Unternehmen gehört und diese gegebenenfalls berücksichtigt (z. B. Berücksichtigung der Kosten für die operative Genauigkeit und die Verzögerung des Arbeitsablaufs sowie Streichung nicht benötigter Kennzahlen).
EPR-Systeme zielen darauf ab, Bedrohungen zu verhindern, wo dies möglich ist, oder wirksame Erkennungs-/Reaktionsfunktionen bereitzustellen, wo dies nicht möglich ist. Endpunktprodukte, mit hoher Präventions Rate verursachen geringere Kosten, da kein operativer Aufwand für die Reaktion auf einen Angriff und die Behebung seiner Folgen erforderlich ist. Außerdem werden EPR-Produkte, mit einer hohen Erkennungs- Rate (Sichtbarkeit und forensische Details) Einsparungen erzielen, da das Produkt die für die Untersuchung des Angriffs erforderlichen Informationen liefert.
Aktive Reaktion (Prävention): Eine aktive Reaktion stoppt den Angriff automatisch und meldet ihn.
Passive Reaktion (Erkennung): Bei einer passiven Reaktion wird der Angriff nicht gestoppt, sondern verdächtige Aktivitäten gemeldet.
Test-Ergebnisse
EPR-Zertifizierung von AV-Comparatives
Für diesen Test vergeben wir drei verschiedene Zertifizierungsstufen für qualifizierte Produkte, basierend auf ihrer jeweiligen Position im Enterprise CyberRisk Quadrant™. Um zertifiziert zu werden, muss ein Produkt einen Durchschnitt von mindestens 90% für die kombinierte aktive und passive Reaktion erreichen und darf keine hohen Kosten verursachen. Die Zertifizierungsstufen sind (von hoch bis niedrig): Strategic Leader, CyberRisk Visionary, Strong Challenger.
Die folgende Tabelle zeigt die von den getesteten Produkten im EPR-Test 2022 von AV-Comparatives erreichten Werte:
Strategic Leader
Bitdefender, CISCO, Kaspersky, Palo Alto Networks
CyberRisk Visionary
ESET, Anbieter A, Anbieter C, Anbieter E
Strong Challenger
Anbieter B
Nicht zertifiziert
Anbieter D
Detaillierte Testergebnisse
Damit eine aktive Reaktion (Präventivmaßnahme) gutgeschrieben werden kann, haben wir überprüft, ob das Produkt in der jeweiligen Phase aktiv reagiert hat. Bei einer passiven Reaktion (Erkennungsereignis) wurde überprüft, ob das Produkt während der jeweiligen Phase eine aktive Warnung im Zusammenhang mit dem Angriff ausgegeben hat, so dass der Systemadministrator entsprechende Maßnahmen ergreifen konnte.
Phase-1 Metriken: Endpoint Compromise and Foothold
Der Inhalt von Phase 1 der durchgeführten Angriffe kann mit Hilfe von MITRE ATT&CK und anderen Frameworks beschrieben werden. Die folgenden Taktiken sind Teil dieser Phase.
Initial Access: Der Erstzugang ist die Methode, die der Angreifer verwendet, um in der Umgebung, die er angreifen will, Fuß zu fassen. Angreifer können eine einzige Methode oder eine Kombination verschiedener Techniken verwenden. Die Bedrohungen können von kompromittierten Websites, E-Mail-Anhängen oder Wechseldatenträgern ausgehen. Zu den Infektionsmethoden gehören Exploits, Drive-by-Downloads, Spear-Phishing, Makros, vertrauenswürdige Beziehungen, gültige Konten und Kompromittierungen der Lieferkette.
Execution: Das nächste Ziel des Angreifers besteht darin, seinen eigenen Code in der Zielumgebung auszuführen. Je nach den Umständen kann dies lokal oder über Remotecodeausführung erfolgen. Zu den verwendeten Methoden gehören die clientseitige Ausführung, Software von Drittanbietern, Betriebssystemfunktionen wie PowerShell, MSHTA und die Befehlszeile.
Persistence: Sobald der Angreifer in die Zielumgebung eingedrungen ist, wird er versuchen, dort dauerhaft präsent zu sein. Je nach Zielbetriebssystem kann ein Angreifer Tools und Funktionen des Betriebssystems verwenden. Dazu gehören die Manipulation der Registrierung, die Angabe von Dynamic-Link-Library-Werten in der Registrierung, Shell-Skripte, die Shell-Befehle enthalten können, Application Shimming und Kontomanipulation.
Phase-2 Metriken: Internal Propagation
In dieser Phase sollte das EPR-Produkt in der Lage sein, die interne Ausbreitung zu verhindern. Diese Phase wird ausgelöst, wenn der Angriff in Phase 1 nicht gestoppt wurde. Das EPR-Produkt in dieser Phase sollte den Systemadministrator in die Lage versetzen, die interne Ausbreitung der Bedrohung sofort und in Echtzeit zu erkennen und zu verfolgen. Im Folgenden werden die relevanten Taktiken aus dem MITRE ATT&CK Framework erläutert.
Privilege Escalation: In Unternehmensnetzwerken ist es üblich, dass Benutzer (einschließlich Systemadministratoren auf ihren eigenen Computern) Standardbenutzerkonten ohne Administratorrechte verwenden. Wenn ein Unternehmensendpunkt angegriffen wird, verfügt das angemeldete Konto nicht über die Berechtigungen, die der Angreifer benötigt, um die nächste Phase des Angriffs zu starten. In diesen Fällen müssen die Privilegien erweitert werden, indem Techniken wie die Manipulation von User-Access Tokens, Application Shimming, Hooking, oder Permission Weakness. Sobald der Angreifer in der Umgebung Fuß gefasst hat, wird er versuchen, die Privilegien zu erweitern. Damit eine aktive Reaktion angerechnet werden kann, haben wir verschiedene Phasen innerhalb jeder Methode untersucht, um festzustellen, ob das Produkt vorbeugende Maßnahmen ergriffen hat.
Defense Evasion: Das Ziel des Angreifers ist es, seine Ziele zu erreichen, ohne entdeckt oder blockiert zu werden. Defense Evasion besteht aus Maßnahmen, die sicherstellen, dass der Angriff unentdeckt bleibt. Dazu gehören die Manipulation von Sicherheitssoftware, die Verschleierung von Prozessen und der Missbrauch von z. B. Systemtools, um den Angriff zu verbergen.
Credential Access: Dies ist eine Methode, mit der der Angreifer sicherstellt, dass seine weiteren Aktivitäten über ein legitimes Netzwerk-Benutzerkonto ausgeführt werden. Dies bedeutet, dass er auf die gewünschten Ressourcen zugreifen kann und von den Schutzmaßnahmen des Systems nicht als Eindringling erkannt wird. Je nach Art des angegriffenen Netzes können verschiedene Methoden für den Zugriff auf Zugangsdaten verwendet werden. Die Zugangsdaten können vor Ort mit einer Methode wie der Eingabeerfassung (z. B. Keylogger) beschafft werden. Alternativ kann die Offline-Methode angewandt werden, bei der der Angreifer die gesamte Kennwortdatenbank außerhalb des Unternehmens kopiert und sie dann mit beliebigen Methoden knacken kann, ohne Angst vor Entdeckung zu haben.
Discovery: Sobald sich der Angreifer Zugang zum Zielnetz verschafft hat, erkundet er die Umgebung mit dem Ziel, die Anlagen zu finden, die das eigentliche Ziel des Angriffs sind. Dies geschieht in der Regel durch Scannen des Netzwerks.
Lateral Movement: Der Angreifer bewegt sich seitlich innerhalb der Umgebung, um auf die für ihn interessanten Objekte zuzugreifen. Zu den verwendeten Techniken gehören "Pass the Hash", "Pass the Ticket" und die Ausnutzung von Remote-Diensten und Protokollen wie RDP.
In der nachstehenden Tabelle sind die Ergebnisse für jedes der in Phase 2 getesteten Produkte aufgeführt.
Phase-3 Metriken: Asset Breach
Die letzte Phase des Arbeitsablaufs ist der Asset Breach. Dies ist die Phase, in der ein Angreifer beginnt, sein ultimatives Ziel auszuführen. Im Folgenden werden die relevanten Taktiken aus dem MITRE ATT&CK Framework erläutert.
Collection: Dabei geht es darum, die Zielinformationen zu sammeln - natürlich unter der Annahme, dass nicht Sabotage, sondern Informationsdiebstahl das Ziel ist. Die betreffenden Daten können in Form von Dokumenten, E-Mails oder Datenbanken vorliegen.
Command and Control: Ein Command-and-Control-Mechanismus ermöglicht die Kommunikation zwischen dem System des Angreifers und dem Zielnetz. Dies bedeutet, dass der Angreifer Befehle an das kompromittierte System senden oder Daten von ihm empfangen kann. In der Regel versucht der Angreifer, diese Kommunikation zu verschleiern, indem er sie als normalen Netzwerkverkehr tarnt.
Exfiltration: Sobald der Angreifer das Ziel erreicht hat, die Zielinformationen zu sammeln, wird er sie heimlich aus dem Zielnetz auf seinen eigenen Server kopieren wollen. In fast allen Fällen beinhaltet die Exfiltration die Verwendung einer Befehls- und Kontrollinfrastruktur.
Impact: Dies kann definiert werden als der direkte Schaden, der dem Netzwerk der angegriffenen Organisation zugefügt wird. Er umfasst die Manipulation, Störung oder Zerstörung von Betriebssystemen und/oder Daten. Dies kann ein Selbstzweck sein (Sabotage) oder ein Mittel, um den Datendiebstahl zu vertuschen, indem die Untersuchung des Verstoßes erschwert wird.
In der nachstehenden Tabelle sind die Ergebnisse für jedes der in Phase 3 getesteten Produkte dargestellt.
Die folgende Tabelle zeigt die kumulative aktive Reaktion nach Phase(n) für jedes Produkt.
Aktive Reaktion
Nur Phase 1
Phase 1 & 2
Insgesamt (Phase 1, 2 & 3)
Bitdefender
94%
100%
100%
CISCO
100%
100%
100%
ESET
90%
100%
100%
Kaspersky
92%
100%
100%
Palo Alto Networks
90%
100%
100%
Anbieter A
90%
96%
96%
Anbieter B
82%
96%
96%
Anbieter C
86%
96%
96%
Anbieter D
66%
94%
94%
Anbieter E
84%
100%
100%
Kumulative aktive Reaktion nach Phasen
Die folgende Tabelle zeigt die kumulative passive Reaktion nach Phase(n) für jedes Produkt.
Passive Reaktion
Nur Phase 1
Phase 1 & 2
Insgesamt (Phase 1, 2 & 3)
Bitdefender
94%
100%
100%
CISCO
100%
100%
100%
ESET
98%
100%
100%
Kaspersky
92%
100%
100%
Palo Alto Networks
94%
100%
100%
Anbieter A
92%
98%
98%
Anbieter B
82%
96%
96%
Anbieter C
92%
98%
98%
Anbieter D
72%
100%
100%
Anbieter E
86%
100%
100%
Kumulative passive Reaktion nach Phasen geordnet
Die folgende Tabelle zeigt die Rohdaten, d. h. die Anzahl der verhinderten/gemeldeten Szenarien.
Szenarien
Insgesamt
Aktive Prävention
Insgesamt
Passive Reaktion
Keine Prävention/Reaktion
Bitdefender
50
50
50
0
CISCO
50
50
50
0
ESET
50
50
50
0
Kaspersky
50
50
50
0
Palo Alto Networks
50
50
50
0
Anbieter A
50
48
49
1
Anbieter B
50
48
48
2
Anbieter C
50
48
49
1
Anbieter D
50
47
50
0
Anbieter E
50
50
50
0
Reaktionen pro Szenario
MITRE ATT&CK Matrix for Enterprise
Das nachstehende Diagramm zeigt die gesamte MITRE ATT&CK Matrix for Enterprise. Die Spaltenüberschriften stellen die ATT&CK Tactics (Ziele) dar, während die Kästchen darunter die ATT&CK Techniques , die zur Erreichung dieser Ziele eingesetzt werden, darstellen. Unser EPR-Test deckt die gesamte hier gezeigte Angriffskette ab, wobei möglichst realistische Szenarien verwendet wurden. Bei den 50 Angriffsszenarien, die in diesem EPR-Test verwendet wurden, haben wir versucht, alle in den grünen Kästen aufgeführten Techniken anzuwenden.
Die Taktiken beziehen sich wie folgt auf unsere 3 Angriffsphasen: Phase 1 = Initial Access, Execution, Persistence Phase 2 = Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement Phase 3 = Collection, Command and Control, Exfiltration, Impact
Ein Beispielszenario könnte wie folgt aussehen: Phishing-Mail mit Skript-Payload wird an einen Benutzer auf Arbeitsstation A gesendet - interne Erkennung wird durchgeführt - Zugriff auf C$-Freigabe auf Arbeitsstation B wird gefunden - laterale Bewegung zu Arbeitsstation B - Netzwerk-Admin-Sitzung auf Arbeitsstation B wird gefunden - LSASS-Dump, um Admin-Anmeldeinformationen zu erhalten - laterale Bewegung zu Server 1 - Verteidigungsumgehung wird verwendet, um Sicherheitsprodukt auf Server 1 zu umgehen - Kreditkartendaten werden gefunden - Daten werden über einen offenen C2-Kanal extrahiert.
In diesem Endpoint Prevention & Response Test erreichte Awards
Die Produktkosten basieren auf den Listenpreisen in USD, die von den Anbietern zum Zeitpunkt des Tests (Sommer 2022) angegeben wurden. Die tatsächlichen Kosten für die Endnutzer können niedriger sein, z. B. aufgrund von ausgehandelten Rabatten. Im Allgemeinen kann die Preisgestaltung variieren, z. B. aufgrund von Mengenrabatten, ausgehandelten Rabatten, geografischem Standort, Vertriebskanal und Partnermargen.
Die EPR-Kosten umfassen die Produktkosten für 5.000 Kunden, basierend auf einem 5-Jahres-Vertrag:
Produkt
EPR-Kosten (5000 Kunden) 5 Jahre
Bitdefender GravityZone Business Security Enterprise
$500,777
CISCO Secure Endpoint Essentials
$792,000
ESET PROTECT Enterprise Cloud
$742,500
Kaspersky Endpoint Detection and Response Expert (vor Ort)
$1,032,000
Palo Alto Networks Cortex XDR Pro
$1,050,000
Produkt A
$450,000
Produkt B
$650,850
Produkt C
$1,247,190
Produkt D
$669,300
Produkt E
$950,000
Gesamtkostenstruktur des EPR
Bitte beachten Sie, dass jedes Produkt seine eigenen besonderen Merkmale und Vorteile hat. Wir empfehlen den Lesern, jedes Produkt im Detail zu betrachten, anstatt nur auf die Listenpreise zu schauen. Einige Produkte verfügen möglicherweise über zusätzliche/andere Merkmale und Dienstleistungen, die sie für einige Organisationen besonders geeignet machen.
Kosten für operative Genauigkeit und Workflow-Verzögerung
Die Kosten, die durch unvollkommene operative Genauigkeit und Verzögerungen im Arbeitsablauf entstehen, werden wie folgt berechnet.
Kosten, die durch unvollkommene operative Genauigkeit entstehen
Die Prüfung der operationellen Genauigkeit erfolgte durch die Simulation einer typischen Benutzeraktivität in der Unternehmensumgebung. Dazu gehörte das Öffnen von sauberen Dateien verschiedener Typen (z. B. ausführbare Dateien, Skripte, Dokumente mit Makros) und das Surfen auf verschiedenen sauberen Websites. Darüber hinaus wurden in der Testumgebung auch verschiedene verwalterfreundliche Tools und Skripte ausgeführt, um sicherzustellen, dass die Produktivität nicht durch die für den Test verwendete Produktkonfiguration beeinträchtigt wurde.
Um die operative Genauigkeit zu bewerten, wird jedes Produkt mit etwa einem Dutzend sauberer Szenarien getestet. Eine Überblockierung oder Übermeldung solcher Szenarien bedeutet, dass ein Produkt hohe Präventions- und Erkennungsraten erreicht, verursacht aber auch höhere Kosten. Wenn legitime Programme/Aktionen blockiert werden, muss der Systemadministrator dies untersuchen, blockierte Programme wiederherstellen/reaktivieren usw. und Maßnahmen ergreifen, um eine Wiederholung zu verhindern. Das Prinzip des "The boy who cried wolf" (Der Junge, der Wolf rief) kann ebenfalls zutreffen; je größer die Zahl der Fehlalarme ist, desto schwieriger wird es, einen echten Alarm zu erkennen.
Die Produkte werden dann je nach Anzahl der betroffenen Szenarien einer von fünf Gruppen (Keine, Geringe, Mittelmäßige, Hohe und Sehr hohe, wobei niedriger besser ist) zugeordnet. Diese sind in der nachstehenden Tabelle aufgeführt.
Gruppen
Anzahl der betroffenen Szenarien
Operative Genauigkeit
Aktive Reaktion Multiplikationsfaktor
Passive Antwort Multiplikationsfaktor
Keine
0
x0
x0
Low
1
x1
x0.75
Mittelmäßige
2-3
x5
x3.75
High
4-5
x10
x7.5
Sehr hohe
6+
x20
x15
Multiplikationsfaktoren für die Kosten der operationellen Genauigkeit
Die Kosten, die durch unzureichende operative Genauigkeit entstehen, werden mit Kosteneinheiten von 1,43 Millionen USD berechnet. Die Anzahl der Kosteneinheiten, die ein Produkt verursacht haben soll, wird mit Hilfe eines Multiplikationsfaktors berechnet. Dieser variiert je nach Gruppe und auch danach, ob das Szenario von einer aktiven Reaktion (Aktion blockiert) oder einer passiven Reaktion (Aktion nicht blockiert, aber Erkennungsalarm in der Konsole angezeigt) betroffen war. Der Multiplikationsfaktor für eine fehlerhafte Passive Response beträgt immer drei Viertel des Multiplikationsfaktors für eine fehlerhafte Active Response, da weniger Zeit und Aufwand für die Lösung des Problems erforderlich ist.
Wie dies in der Praxis funktioniert, lässt sich am besten anhand der obigen Tabelle erklären. Produkte in der Gruppe "Keine" haben einen Multiplikationsfaktor von 0 sowohl für aktive als auch für passive Antworten, daher sind die Kosten für die operationelle Genauigkeit gleich Null. Produkte in der Gruppe "Geringe" (1 betroffenes Szenario) haben einen Multiplikationsfaktor von 1 für fehlerhafte Aktive Antworten, aber nur 0,75 für eine fehlerhafte Passive Antwort. Folglich verursacht ein Produkt mit einer fehlerhaften aktiven Antwort eine Kosteneinheit, während ein Produkt mit einer fehlerhaften passiven Antwort nur 0,75 Kosteneinheiten verursacht. Wenn ein Produkt 2 betroffene Szenarien hat, von denen eines eine aktive und das andere eine passive Reaktion ist, würde es 8,75 Kosteneinheiten verursachen (5 für die aktive Reaktion und 3,75 für die passive Reaktion).
Kosten, die durch Verzögerungen im Arbeitsablauf entstehen Einige EPR-Produkte führen zu Verzögerungen im Arbeitsablauf des Benutzers, weil sie z. B. die Ausführung einer zuvor unbekannten Datei anhalten und sie zur weiteren Analyse an die Online-Sandbox des Anbieters senden. Dadurch wird die Ausführung gestoppt, und der Benutzer kann nicht fortfahren, bis die Analyse aus der Sandbox zurückkommt. Wir haben die durch eine solche Analyse verursachte Verzögerung sowohl für Szenarien, von denen wir wussten, dass sie sauber sind, als auch für Szenarien, von denen wir wussten, dass sie bösartig sind, festgestellt.
Wenn ein Produkt bei der Analyse eines Szenarios erhebliche Verzögerungen verursachte, wurde dies bestraft. Die Analysezeit für jedes Produkt wurde wie folgt berechnet. Für saubere Szenarien haben wir die längste beobachtete Verspätung für jedes Szenario genommen. Ein Produkt mit zwei Verspätungen - von 2 Minuten bzw. 10 Minuten - für saubere Szenarien hätten eine Aufnahmezeit von 10 Minuten. Für bösartig Szenarien haben wir den Durchschnitt aller Verspätungen ermittelt. Ein Produkt mit zwei Verspätungen - von 2 Minuten bzw. 10 Minuten - für bösartig Szenarien, hätte eine aufgezeichnete Zeit von 6 Minuten. Die Produkte werden dann einer von fünf Workflow-Verzögerungsgruppen (Keine, Niedrig, Mittelmäßige, Hohe und Sehr hohe) zugeordnet, je nachdem wie lang die jeweilige Verzögerung ist. Diese sind in der nachstehenden Tabelle aufgeführt.
Gruppen
Verursachte Verzögerung
(in Minuten)
Verzögerung des Arbeitsflusses
Multiplikationsfaktor
Keine
unter 2
x0
Low
2-5
x0.5
Mittelmäßige
6-10
x2.5
High
11-20
x5
Sehr hohe
über 20
x10
Multiplikationsfaktoren für Workflow-Verzögerungskosten
Die Kosten für diese Verzögerungen werden mit den gleichen Kostenträgern wie für die operative Genauigkeit berechnet. Auch hier gibt es einen Multiplikationsfaktor, der je nach Workflow-Verzögerungsgruppe variiert. Produkte in der Gruppe "Geringe Verzögerung des Arbeitsablaufs" haben einen Multiplikationsfaktor von 0,5 und verursachen somit Kosten von 1 Kosteneinheit; Produkte in der Gruppe "Sehr hohe Verzögerung des Arbeitsablaufs" haben einen Multiplikationsfaktor von 10 und verursachen somit Kosten von 10 Kosteneinheiten. Produkte in der letztgenannten Kategorie würden aufgrund der zu hohen Kosten von der Zertifizierung ausgeschlossen werden.
Ergebnisse Die Kosten, die sich aus unzureichender operativer Genauigkeit und Verzögerungen im Arbeitsablauf ergeben, sind nachstehend aufgeführt:
Operative Genauigkeit
Arbeitsablauf
Verzögerungen
Aktive Reaktion
Passive Reaktion
Bitdefender
Keine
Keine
Low
CISCO
Keine
Low
Keine
ESET
Keine
Mittelmäßige
Keine
Kaspersky
Keine
Low
Keine
Palo Alto Networks
Keine
Low
Keine
Anbieter A
Low
Keine
Keine
Anbieter B
Low
Low
Keine
Anbieter C
Low
Keine
Keine
Anbieter D
Low
Keine
Keine
Anbieter E
Low
Keine
Low
Kombinierte Ergebnistabelle für operationelle Genauigkeit und Workflow-Verzögerungen
Produktmerkmale
In diesem Abschnitt geben wir einen Überblick über die Funktionen der Produkte und die damit verbundenen Dienstleistungen der jeweiligen Anbieter. Bitte beachten Sie, dass sich diese Angaben in jedem Fall nur auf das spezifische Produkt, die Stufe und die Konfiguration beziehen, die in unserem Test verwendet wurden. Ein anderes Produkt/Tier desselben Anbieters kann einen anderen Funktionsumfang aufweisen. Im Folgenden zeigen wir für jedes Produkt die Supportfunktionen, die allgemeinen Funktionen, die Produktreaktion, das Management und die Berichterstattung sowie die IOC-Integrationsfunktionen.
Unterstützungsfunktionen
Erforderliche Installationszeit: diese Informationen wurden vom jeweiligen Anbieter zur Verfügung gestellt. Sie gehen von einem Netzwerk mit 5.000 Endpunkten aus und davon, dass bereits optimale Bedingungen (Netzwerkkonnektivität, Hardware, Active Directory usw.) bestehen. Wir weisen darauf hin, dass die hier angegebenen Zeiten als theoretisches Minimum zu betrachten sind und in der Praxis durchaus mehr Zeit benötigt werden kann.
Kostenlose, grundlegende menschliche Unterstützung für den Einsatz: Das bedeutet, dass Sie in Echtzeit mit einem Mitarbeiter des Supports kommunizieren können, der Sie durch den Einrichtungsprozess führt und alle grundlegenden Fragen sofort beantworten kann, die Sie haben. Natürlich bieten viele Anbieter stattdessen/zusätzlich Benutzerhandbücher, Videos und (kostenpflichtige) Premium-Supportdienste für die Bereitstellung an.
Anzahl der benötigten Sicherheitskräfte: Diese Informationen wurden vom jeweiligen Anbieter zur Verfügung gestellt und gehen von einem Netzwerk mit 5.000 Endpunkten aus. Wir gehen davon aus, dass die von den Anbietern angegebenen Mitarbeiterzahlen (mindestens) verdoppelt werden müssen, um einen 24/7-Betrieb und Urlaube zu ermöglichen.
Professionell unterstützte Ausbildung: Dazu gehört jede Form der interaktiven Schulung mit einem Ausbilder. Bei einigen Anbietern ist die professionelle Schulung in der Lizenzgebühr für 5.000 Kunden enthalten, während andere dafür zusätzliche Gebühren verlangen. Einige andere Anbieter bieten möglicherweise nur Videos und andere Online-Materialien für die Selbstschulung an.
Allgemeine Merkmale
Dieser Abschnitt befasst sich mit allgemeinen Funktionen wie Phishing-Schutz, Web-Zugriffskontrolle, Gerätekontrolle und Schnittstellensprachen.
Mechanismus der Produktreaktion
EPR-Produkte setzen ihre Reaktionsmechanismen ein, um Eindringlinge, die in die geschützte Umgebung eingedrungen sind, zu bekämpfen. Von einem EPR-Produkt wird zumindest erwartet, dass es die Korrelation von Endpunkten, Prozessen und Netzwerkkommunikation sowie die Korrelation von externen IOCs mit der internen Umgebung ermöglicht. Die EDR-Fähigkeiten wurden anhand der Erkennungs- und Reaktionsfähigkeiten des Produkts getestet und untersucht. Wir waren in der Lage, die Ereignisse zu untersuchen, die mit den verschiedenen Schritten korrelierten, die der Angreifer bei seinem Versuch, in die Umgebung einzudringen, unternahm.
Das EPR-Produkt sollte eine vollständige Sichtbarkeit der bösartigen Artefakte/Vorgänge ermöglichen, aus denen die Angriffskette besteht, so dass alle reaktionsbasierten Aktivitäten leicht durchgeführt werden können. Das bedeutet, dass jede Form von vorgesehenem Abhilfemechanismus im Produkt verfügbar ist (Response Enablement) und dieser Mechanismus unten angezeigt wird. Bitte beachten Sie, dass die unten gezeigten Funktionen nur für das spezifische Produkt/die Version gelten, die in diesem Test verwendet wurde. Möglicherweise bietet ein Anbieter zusätzliche Funktionen als Add-on oder in einem anderen Produkt an.
Zentrale Verwaltung und Berichterstattung
Der Management-Workflow ist ein wichtiges Unterscheidungsmerkmal für Sicherheitsprodukte in Unternehmen. Wenn ein Produkt schwierig zu verwalten ist, wird es nicht effizient genutzt werden. Die Intuitivität der Verwaltungsoberfläche eines Produkts ist ein guter Indikator dafür, wie nützlich das Produkt sein wird. Die pro Aktivität eingesparten Minuten können sich im Laufe eines Jahres in Tage und sogar Wochen umwandeln.
Verwaltung: Sichtbarkeit von Bedrohungen, Systemsichtbarkeit und gemeinsame Nutzung von Daten
Die Fähigkeit, Bedrohungskontext bereitzustellen, ist eine Schlüsselkomponente eines EPR-Produkts. Diese Transparenz kann entscheidend sein, wenn Unternehmen entscheiden, ob sie eine bestehende Technologie ergänzen oder ersetzen wollen. Die Verwaltungskonsole kann als physische Appliance, virtuelle Appliance oder Cloud-basierte Appliance implementiert werden. In der Verwaltungskonsole ist eine vollständige Aufzeichnung der Audit-Protokolle verfügbar. Die Kommunikation zwischen dem Agenten und der Verwaltungskonsole erfolgt über SSL. Die folgenden Tabellen enthalten Informationen zu den jeweiligen Funktionen der getesteten Produkte.
EPR-Produktberichtsfunktionen
Eine EPR-Plattform sollte in der Lage sein, Daten zu vereinheitlichen, d. h. Informationen aus unterschiedlichen Quellen zusammenzuführen und sie in ihrer eigenen Benutzeroberfläche als kohärentes Bild der Situation zu präsentieren. Die technische Integration mit dem Betriebssystem und Anwendungen von Drittanbietern (Syslog, Splunk, SIEM oder über API) ist dabei ein wichtiger Bestandteil. Ein EPR-System sollte in der Lage sein, dem Unternehmen angemessene Reaktionsmöglichkeiten zu bieten.
IOC-Integration
Damit soll der digitale Fußabdruck identifiziert werden, anhand dessen die böswillige Aktivität auf einem Endpunkt/Netzwerk erkannt werden kann. Wir werden diesen Anwendungsfall untersuchen, indem wir uns die Fähigkeit des EPR-Produkts ansehen, externe IOCs einschließlich Yara-Signaturen oder Threat Intelligence Feeds usw. zu verwenden, wie in der folgenden Tabelle dargestellt.
Produktkonfigurationen und Einstellungen
In Unternehmensumgebungen und bei Unternehmensprodukten im Allgemeinen ist es üblich, dass die Produkte vom Systemadministrator gemäß den Richtlinien des Herstellers konfiguriert werden. Daher haben wir die Hersteller gebeten, uns zu bitten, alle gewünschten Änderungen an der Standardkonfiguration ihrer jeweiligen Produkte vorzunehmen. Die in diesem Test vorgestellten Ergebnisse wurden nur durch die Anwendung der jeweiligen Produktkonfigurationen wie hier beschrieben erzielt.
Die Konfigurationen wurden zusammen mit den Technikern der jeweiligen Anbieter während der Einrichtung vorgenommen. Diese Konfiguration ist typisch für Unternehmen, die über eigene Sicherheitsteams verfügen, die sich um ihre Verteidigungsmaßnahmen kümmern. Bei Produkten dieser Art ist es üblich, dass die Experten der Hersteller die Unternehmen bei der Einrichtung und Konfiguration unterstützen, die für die jeweilige Art von Unternehmen am besten geeignet ist.
Nachfolgend sind die relevanten nicht standardmäßigen Einstellungen aufgeführt (d. h. die Einstellungen, die vom Hersteller für diesen Test verwendet werden).
Bitdefender: "Advanced Threat Control", "Advanced Anti-Exploit", "Firewall", "Network Content Control", "Network Attack Defense" und "EDR Sensor" wurden aktiviert. Der "Scan-Modus" wurde auf "Lokaler Scan" eingestellt. "Relay Server" und "Standard Update Server" wurden gelöscht. "Update Ring" wurde auf "Fast Ring" eingestellt. "On-access Scanning" für Archive größer als 100MB wurde mit Tiefe 16 aktiviert. Die Einstellung "AMSI" und "Report analysis results to AMS" wurden aktiviert. "Ransomware Mitigation" und "Email Traffic Scan" wurden aktiviert. "HyperDetect" wurde aktiviert und auf "Block" (für das Netzwerk) und auf "Disinfect" (für Dateien) eingestellt. Der "Protection Level" wurde für alle Einstellungen von "HyperDetect" auf "Aggressive" gesetzt. "Scan SSL" und "Sandbox Analyzer" wurden aktiviert und auf "Block" gesetzt.
CISCO: "Malicious Activity Prevention" und "Exploit Prevention - Script Control" wurden auf "Block" gesetzt. "Event Tracing for Windows" wurde aktiviert. "Custom Detections" für "Outbreak Control" wurden auf "Standard" gesetzt. Der "Connector Protection" und die "Command Line logging" wurden aktiviert. Die "Connector Log Level" und "Tray Log Level" wurden auf "Debug" gesetzt. Für "File and Process Scan" wurde die "Verbose History" aktiviert, "On Execute" wurde auf "Active" gesetzt und die "Max Archive Scan File Size" wurde auf 100 MB erhöht. Die "Endpoint Isolation" wurde aktiviert. Der "Deep Scan Files" für "TETRA" wurde aktiviert und das "Content Update Interval" wurde auf 30 Minuten gesetzt. Die "Detection Action" für "Netzwerk" wurde auf "Block" und "Terminate and Quarantine" gesetzt.
ESET: Alle Einstellungen für "Real-Time & Machine Learning Protection", “Potentially Unsafe Applications” und “Suspicious Applications” wurden auf "Aggressive" gesetzt. Unter "Cloud-based Protection" wurden "LiveGuard", "LiveGrid Feedback System" und "LiveGrid Reputation System" auf "On" gesetzt. Der "Detection threshold" für "LiveGuard" wurde auf "Suspicious" gesetzt, der "Proactive protection" auf "Block execution until receiving the analysis result" und die "Maximum wait time for the analysis result" auf "5 min". In "ESET Inspect" waren alle Erkennungsregeln und Ausschlüsse aktiviert. Die Option "Also evaluate rules from Windows Firewall" wurde aktiviert.
Kaspersky: Das "Kaspersky Security Network (KSN)" wurde aktiviert. Die "Adaptive Anomaly Control" war deaktiviert. Die Sandbox-Funktion war nicht aktiviert.
Palo Alto Networks: Unter "Agent settings", in "XDR Pro Endpoints", wurden "XDR Pro Endpoint Capabilities" aktiviert. Unter "Malware Profile" wurden "Portable Executable and DLL examination", "Behavioral Threat Protection” und “Ransomware Protection” auf "Quarantine" gesetzt. Die Option "Treat Grayware as Malware" wurde aktiviert.
Anbieter A: Es wurden andere Einstellungen als die Standardwerte verwendet.
Anbieter B: Es wurden andere Einstellungen als die Standardeinstellungen verwendet.
Anbieter C: Es wurden andere Einstellungen als die Standardeinstellungen verwendet.
Anbieter D: Es wurden andere Einstellungen als die Standardwerte verwendet.
Anbieter E: Es wurden andere Einstellungen als die Standardeinstellungen verwendet.
EPR-Testmethodik
Endpoint Prevention Response im Vergleich zum MITRE ATT&CK Framework
Gesellschaft) und der NIST-Plattform, so dass es einfacher wird, das Risiko in Bezug auf einen bestimmten Endpunkt zu operationalisieren.
AV-Comparatives hat einen Paradigmenwechsel in der Branche herbeigeführt, indem es eine EPR-Methode definiert hat, die die alltägliche Realität der Anwendungsfälle und Arbeitsabläufe in Unternehmen widerspiegelt und die Sichtbarkeit der Kill-Chain mit dem MITRE ATT&CK-Framework abbildet.
Wie in der folgenden Abbildung dargestellt, haben wir uns von "atomaren" Tests entfernt, d. h. Tests, die nur eine bestimmte Komponente des ATT&CK-Frameworks untersuchen, und stattdessen die EPR-Produkte im Kontext der gesamten Angriffskette bewertet, wobei die Arbeitsabläufe in jeder Phase von der anfänglichen Ausführung bis zur endgültigen Datenexfiltration/Sabotage miteinander verbunden sind.
EPR-Prüfungsablauf
Die nachstehende Grafik gibt einen vereinfachten Überblick über das verwendete Prüfverfahren:
Überblick über den Enterprise EPR Workflow
Prävention (aktive Reaktion)
Die beste Art und Weise, auf eine Bedrohung zu reagieren, besteht darin, sie so schnell wie möglich zu verhindern und effektiv darüber zu berichten. AV-Comparatives definiert Prävention als eine automatisierte, aktive Reaktion, die rund um die Uhr, 365 Tage im Jahr, ohne menschliches Eingreifen, aber mit quantifizierbaren Metriken und Berichtsdatenpunkten, die für eine effektive Analyse genutzt werden können, einsetzt.
Ein EPR-Produkt sollte in der Lage sein, eine Bedrohung auf einem kompromittierten Computer zunächst zu erkennen und zu verhindern. Der Vorfall sollte von einem zentralen Verwaltungssystem aus erkannt, identifiziert, korreliert und durch eine wirksame passive Reaktionsstrategie (teilweise/vollständig automatisiert) behoben werden, idealerweise in Echtzeit. Darüber hinaus sollte der Systemadministrator in der Lage sein, eine Bedrohung auf der Grundlage der gesammelten und analysierten Daten zu klassifizieren und einzuteilen, und er sollte in der Lage sein, eine Reaktion mit Hilfe des EPR-Produkts mit einem spezifischen Workflow abzuschließen.
Eine aktive Reaktion, wie sie in diesem Test definiert wird, ist eine wirksame Reaktionsstrategie, die eine Erkennung mit wirksamen Präventions- und Berichtsfunktionen verbindet. Dies alles sollte auf automatisierte Weise und ohne manuelles Eingreifen geschehen. Dies kann durch eine Vielzahl von Technologien und Mechanismen geschehen, z. B.: signaturbasierte Modelle, verhaltensbasierte Modelle, ML-basierte Modelle, Transaktions-Rollbacks, isolationsbasierte Mechanismen usw. Diese Definition ist technologieunabhängig, da sie sich auf die Ergebnisse der verschiedenen Arbeitsabläufe und Szenarien der Systemadministratoren konzentriert und nicht auf die Technologie, die zur Vorbeugung, Erkennung oder Reaktion darauf eingesetzt wird.
Erkennung (Passive Reaktion)
Passive Reaktion, wie sie in diesem Test definiert wird, ist eine Reihe von Reaktionsmechanismen, die das Produkt mit kohärenten Erkennungs-, Korrelations-, Berichts- und Aktionsfähigkeiten bietet. Sobald sich ein Angreifer bereits in der Unternehmensumgebung befindet, kommen herkömmliche Reaktionsmechanismen zum Einsatz, z. B. IOC- und IOA-Korrelation, externe Bedrohungsinformationen und Jagd. AV-Comparatives definiert diese Reaktionsmechanismen als Passive Response. Die Voraussetzung für eine passive Reaktion ist die Erkennung einer potenziellen Bedrohung durch EPR-Produkte.
Von EPR-Produkten wird in der Regel erwartet, dass sie anfängliche und laufende Angriffe verhindern, ohne eine Triage vornehmen zu müssen, und gleichzeitig aktive Reaktions- und Berichtsfunktionen bieten. Wird der Angriff verpasst oder nicht verhindert, sollten EPR-Produkte in der Lage sein, Angriffe zu bewerten und darauf zu reagieren, wodurch die Ressourcen (Personal/Automatisierung) weniger belastet werden und langfristig eine bessere Rendite erzielt wird.
Die Bandbreite der verfügbaren Reaktionsmöglichkeiten eines EPR-Produkts ist äußerst wichtig für Unternehmen, die Bedrohungen/Kompromittierungen auf mehreren Rechnern an mehreren Standorten überprüfen müssen. Ein EPR-Produkt sollte in der Lage sein, anhand der dem Systemadministrator zur Verfügung gestellten Informationsdaten nach bestimmten Bedrohungen zu suchen. Sobald die Bedrohungen identifiziert sind, sollte der Systemadministrator in der Lage sein, mit dem EPR-Produkt Reaktionen auf der Grundlage der Art der Infektion einzuleiten. AV-Comparatives erwartet, dass EPR-Produkte nicht-automatische oder halbautomatische passive Reaktionsmechanismen haben.
Korrelation von Prozess, Endpunkt und Netzwerk
Das EPR-Produkt sollte in der Lage sein, Bedrohungen auf eine oder mehrere der folgenden Arten zu erkennen und darauf zu reagieren:
Die Antwort basiert auf der erfolgreichen Identifizierung des Angriffs über die Benutzeroberfläche (UI) des Produkts, die die Angriffsquelle (http[s]/IP-basierter Link) auflistet, die die kompromittierte Website/IP hostet.)
Exploit-Identifizierung (basierend auf CVE oder generischer Erkennung der Bedrohung)
Heruntergeladene Malware-Datei
Spawnen von Malware-Prozessen
Befehls- und Kontrolltätigkeit als Teil der einheitlichen Angriffskette
Überblick über die EPR-Validierung
AV-Comparatives hat die folgende Topologie und Metrik entwickelt, um die Fähigkeiten von Endpoint Prevention and Response (EPR)-Produkten genau zu bewerten.
Die EPR-Produkte aller getesteten Anbieter wurden im Standalone-Modus implementiert und bewertet, wobei jeder Anbieter aktiv an der anfänglichen Einrichtung, Konfiguration und den Baselining-Aspekten beteiligt war. AV-Comparatives bewertete eine Liste von 50 Szenarien, wie sie häufig von Analysten und Unternehmen gefordert werden, und hob mehrere unternehmensbezogene Anwendungsfälle hervor. Jeder Anbieter durfte sein eigenes Produkt in dem Maße konfigurieren, wie es Unternehmen beim Einsatz in ihrer Infrastruktur tun können. Die Details der Konfigurationen sind am Anfang dieses Berichts enthalten.
Da diese Methodik auf die Präventions-, Erkennungs- und Reaktionsfähigkeiten zugeschnitten ist, haben alle Anbieter ihre Präventions- und Schutzfähigkeiten (Fähigkeit zum Blockieren) sowie die Erkennungs- und Reaktionsfähigkeiten aktiviert, so dass sie die realen Fähigkeiten dieser Produkte auf Unternehmensebene nachahmen.
Die Tests unterstützten EPR-Produktaktualisierungen und Konfigurationsänderungen, die über die Cloud-Management-Konsole oder den lokalen Netzwerkserver vorgenommen wurden. Wir haben so weit wie möglich alle Testszenarien von Anfang bis Ende durchlaufen und ausgeführt.
Ziel des Tests
Ziel des Tests war es, den präventionsorientierten Workflow mit spezifischen Anwendungsfällen zu bewerten, die auf den EPR-Präventionsworkflow-1 (auf den in der Methodik verwiesen wird) mit Bedrohungen abzielen, die typischerweise auf Unternehmensbenutzer in einer normalen Betriebsumgebung abzielen. Diese Iteration half uns, die standardmäßige Präventionsfähigkeit des Produkts zusammen mit dem Erkennungsmechanismus zu bewerten. Wenn eine Bedrohung nicht abgewehrt werden konnte, haben wir geprüft, ob das EPR-Produkt in der Lage war, rechtzeitig geeignete Erkennungs- und Reaktionsmaßnahmen zu ergreifen.
Die folgende Bewertung wurde durchgeführt, um zu überprüfen, ob das EPR-Endpunktsicherheitsprodukt in der Lage ist, alle Angriffe auf den EPR Prevention Workflow-1 und Detection Workflow zu verhindern und zu erkennen.
Fand die Prävention während Phase 1 (Endpoint Compromise und Foothold) des Präventionsworkflows statt?
Lieferte uns das EPR-Produkt eine angemessene Bedrohungsklassifizierung, eine Bedrohungseinstufung und einen genauen Bedrohungszeitplan der Angriffe mit relevanten Endpunkt- und Benutzerdaten?
Hat das EPR-Produkt beim Test der operativen Genauigkeit, der in Verbindung mit den Angriffsszenarien durchgeführt wurde, irgendwelche negativen Probleme gezeigt?
Gezielte Use-Cases
Bei der emulierten Ereignisfolge handelte es sich um ein unternehmensbasiertes Szenario, bei dem der Benutzer auf Systemebene eine Datei in einem E-Mail-Anhang erhielt und sie ausführte. In einigen Fällen waren die E-Mails harmlos, in anderen wiederum nicht. Wenn die bösartigen E-Mail-Anhänge erfolgreich ausgeführt wurden, konnte ein Angreifer in der Umgebung Fuß fassen und weitere Schritte unternehmen, um seine Ziele zu erreichen.
Während der Tests haben wir uns in das EPR-Produktmanagement und die einzelnen Konsolen der Testsysteme eingeloggt, um zu beobachten, zu analysieren und zu dokumentieren, welche Art von Aktivität vom Produkt aufgezeichnet wird. Gibt es zum Beispiel bei einem Angriff irgendwelche Warnungen oder Ereignisse, und handelt es sich dabei um echte Positiv- oder Negativmeldungen?
Bei echten positiven Alarmen haben wir außerdem untersucht, ob die anschließende Reaktion in Form von Ereigniskorrelation, Triagen, Bedrohungsklassifizierung und Bedrohungszeitplan dem Systemadministrator zeitnah und klar zur Verfügung gestellt wurde. Wir testeten die von den getesteten Produkten zur Verfügung gestellten Antworten.
Der Test wurde im Sommer 2022 durchgeführt und basierte auf einer angreifergesteuerten Denkweise, während der Angriff durch die Angriffsknoten fortschritt, um schließlich sein Ziel zu erreichen. Die Benutzeraktivitäten wurden während des gesamten Tests so simuliert, dass sie einer realen Umgebung so nahe wie möglich kamen. Sobald sich der Angreifer Zugang zur Umgebung verschafft hatte, versuchte er, sich so unauffällig wie möglich zu verhalten, damit die Abwehrmechanismen nicht ausgelöst werden.
Alle Angriffe wurden mit Hilfe von Open-Source- und commercial tools/Frameworks und wurden mit internem Fachwissen entwickelt. Der Grund, warum wir kommerzielle C2-Frameworks einbezogen haben, ist, dass diese bei real-life APTs häufig von Angreifern missbraucht werden; Sie nicht zu verwenden, würde einen "blinden Fleck" verursachen und zu einem falschen Gefühl der Sicherheit führen. Aufgrund von Lizenzvereinbarungen haben wir Maßnahmen ergriffen, um zu verhindern, dass von kommerziellen C2-Frameworks erstellte Beispiele an die EPR-Anbieter weitergegeben werden. Diese Beschränkungen sollen verhindern, dass sich die Anbieter auf die Tools und nicht auf die Techniken konzentrieren.
Zur Veranschaulichung des Testverfahrens geben wir im Folgenden ein Beispiel dafür, wie ein typischer gezielter Angriff ablaufen könnte. Der Angreifer sendet eine Skript-Nutzlast (die einige Verteidigungsumgehungstechniken wie DLL-Sideloading enthält) über eine Phishing-Mail an Netzwerkbenutzer A auf Arbeitsstation A. Nachdem er mit dem Benutzerkonto A im Zielnetz Fuß gefasst hat, wird eine interne Erkundung durchgeführt. Dies beinhaltet die Auflistung von Benutzerrechten, Benutzergruppen, installierten Sicherheitsprodukten usw. Dabei zeigt sich, dass das kompromittierte Benutzerkonto A Zugriff auf die C$-Freigabe auf Arbeitsstation B hat, was bedeutet, dass das Konto über lokale Administratorrechte auf dieser Arbeitsstation verfügt. Mit dem aus der internen Erkennung gewonnenen Wissen bewegt sich der Angreifer seitlich von Arbeitsstation A zu Arbeitsstation B. Anschließend setzt er die interne Erkennung auf Arbeitsstation B fort. Dadurch findet er die offene Benutzersitzung eines Netzwerkadministrators auf Arbeitsstation B. Um dies auszunutzen, führt der Angreifer den LSASS-Prozess aus und kann so die Anmeldeinformationen des Administrators stehlen. Auf diese Weise findet er heraus, dass das kompromittierte Administratorkonto Zugriff auf Server 1 hat. Der Angreifer verwendet dann dieses kompromittierte Administratorkonto, um sich seitlich von Arbeitsstation B zu Server 1 zu bewegen und diesen Server dann zu kompromittieren. Hier führt er weitere interne Erkundungen durch und nutzt auch einige Techniken zur Umgehung der Verteidigung, um das installierte Sicherheitsprodukt zu umgehen (z. B. durch Patchen von AMSI und ETW). Am Ende dieser Prozedur sind sie in der Lage, Kreditkartendaten auf Server 1 zu identifizieren, die sie über einen offenen C2-Kanal extrahieren.
Über diesen Test
Der Endpoint Prevention and Response (EPR)-Test 2022 von AV-Comparatives für Unternehmensprodukte wird in diesem Jahr zum dritten Mal durchgeführt. Die Nennung des Produkts im vergleichenden EPR-Hauptbericht liegt im Ermessen des Herstellers. Wir haben die Produkte mit den von den Anbietern vorgeschlagenen Konfigurationen getestet und diese vor dem Test gemeinsam mit den Anbietern überprüft.
Der Test ist sehr anspruchsvoll, spiegelt aber realistische Szenarien wider. Das Feedback vieler technischer Abteilungen von Anbietern, Analysten und Unternehmen war überwältigend positiv. Wir haben jedoch auch einige Vorschläge zur Perfektionierung der Testmethodik erhalten, von denen wir einige umgesetzt haben, wenn wir der Meinung waren, dass sie im echten Interesse der Nutzer waren und dazu beitrugen, eine möglichst realistische Prüfung der EPR-Produkte zu fördern.
Aufgrund der Komplexität des Tests ist eine Automatisierung nicht möglich, so dass er vollständig manuell durchgeführt werden muss, was seine Durchführung kostenintensiv macht. Diese Methodik ist auf die Präventions- und Reaktionsfähigkeiten zugeschnitten. Daher wurde den Anbietern geraten, die Präventions- und Schutzfunktionen (Fähigkeit zum Blockieren) zu aktivieren und die Erkennungsfunktionen so zu konfigurieren, dass sie effektiv arbeiten, aber keine hohen Kosten aufgrund mangelnder operativer Genauigkeit oder Verzögerungen im Arbeitsablauf verursachen.
Die Testphasen bestehen aus den Angriffstaktiken, denen die meisten Unternehmen heute ausgesetzt sind, und denen das Sicherheitsteam begegnen muss. Einige Anbieter behaupten, dass bestimmte Taktiken (z. B. Discovery) schwer zu erkennen sind, aber ein gutes EPR-Produkt muss mit ihnen umgehen können, da sie häufig bei gezielten Angriffen eingesetzt werden. Die verschiedenen Phasen des EPR-Tests decken die gesamte Angriffskette ab, einschließlich aller in der Praxis üblichen Angriffstaktiken und -techniken, von der ersten Etablierung und internen Ausbreitung bis zur Exfiltration von Zieldaten und dem tatsächlichen Schaden am Zielsystem oder -netz.
Da das Ziel des Tests darin besteht, die Präventions- und Reaktionsfähigkeiten zu messen, haben wir den Anbietern weder mitgeteilt, wann genau der Test durchgeführt wird, noch haben wir im Vorfeld Einzelheiten zu den Angriffen bekannt gegeben. Auf diese Weise wird vermieden, dass die Anbieter die Möglichkeit haben, die Angriffe in Echtzeit zu überwachen und mit ihren Produkten zu interagieren, wenn sie es für sinnvoll halten. Im wirklichen Leben teilen die Angreifer ihren Opfern nicht mit, wann oder wie sie angreifen werden, so dass die Produkte darauf abzielen müssen, jederzeit einen vollständigen Schutz zu bieten, anstatt für die Bewertung optimiert zu werden.
Es kann kontraproduktiv sein, dem Kunden so viele Telemetrie- und Sensordaten wie möglich zur Verfügung zu stellen und eine übermäßige Anzahl von Warnmeldungen zu produzieren. Nicht alle Unternehmen haben die Ressourcen, um jeden einzelnen Alarm zu untersuchen. Anstatt die Sicherheitsexperten mit einer Flut von Rohdaten zu überfordern, die das IT-Personal manuell filtern, analysieren und korrelieren muss, sollten die Produkte den Untersuchungsprozess auf eine vernünftige und effiziente Weise unterstützen. Die Kosten, die durch unvollkommene operative Genauigkeit entstehen, sowie die Kosten, die durch Verzögerungen im Arbeitsablauf entstehen, werden berücksichtigt. Außerdem ist die telemetriebasierte Bedrohungsjagd nicht Gegenstand des Tests.
Um sich einen Überblick über die Schutz- und Reaktionsfähigkeiten der getesteten EPR-Produkte zu verschaffen, sollten sich die Leser die Ergebnisse der anderen Tests in AV-Comparatives' Enterprise Main-Test Series berücksichtigen.