Diese Website verwendet Cookies, um Ihnen die bestmögliche Nutzung unserer Website zu ermöglichen.
Bitte beachten Sie, dass Sie sich durch die weitere Nutzung dieser Website mit den Bedingungen unserer
Politik zum Schutz der Privatsphäre und des Datenschutzes
.
Einige unserer Partnerdienste befinden sich in den USA. Nach Rechtsprechung des Europäischen Gerichtshofs existiert derzeit in den USA kein angemessener Datenschutz. Es besteht das Risiko, dass Ihre Daten durch US-Behörden kontrolliert und überwacht werden. Dagegen können Sie keine wirksamen Rechtsmittel vorbringen.
Akzeptieren
Endpoint Prevention und Response (EPR)-Produkte werden in Unternehmen eingesetzt, um gezielte Angriffe wie Advanced Persistent Threats (APTs) zu erkennen, zu verhindern, zu analysieren und zu bekämpfen. Während von Endpunktsicherheitsprodukten erwartet wird, dass sie Malware und Netzwerkangriffe auf einzelnen Workstations erkennen und blockieren, müssen EPR-Produkte mit mehrstufigen Angriffen fertig werden, die darauf abzielen, das gesamte Netzwerk eines Unternehmens zu infiltrieren. Von Endpoint-Prevention- und Response-Systemen wird erwartet, dass sie nicht nur einzelne Geräte schützen, sondern auch eine detaillierte Analyse des Ursprungs, der Methoden und der Ziele eines Angriffs liefern. So kann das Sicherheitspersonal die Art der Bedrohung verstehen, ihre Ausbreitung verhindern, entstandene Schäden beheben und Vorkehrungen treffen, um ähnliche Angriffe in Zukunft zu verhindern.
Der Endpoint Prevention & Response Test von AV-Comparatives ist der umfassendste Test von EPR-Produkten, der jemals durchgeführt wurde. Die 12 getesteten Produkte wurden 50 verschiedenen gezielten Angriffsszenarien unterzogen, bei denen eine Vielzahl unterschiedlicher Techniken zum Einsatz kam. Ungeprüft durchliefen die Angriffe drei verschiedene Phasen: Endpoint Compromise and Foothold; Internal Propagation; Asset Breach. In jeder Phase wurde im Rahmen des Tests der gesamten Angriffskette ermittelt, ob das Produkt automatisch Maßnahmen ergriff, um die Bedrohung zu blockieren (aktive Reaktion), oder ob es Informationen über den Angriff lieferte, die der Administrator nutzen konnte, um selbst Maßnahmen zu ergreifen (passive Reaktion). Konnte ein EPR-Produkt einen Angriff in einer Phase nicht abwehren, wurde der Angriff in der nächsten Phase fortgesetzt, und die Reaktion des Produkts in dieser Phase wurde vermerkt.
Dieser Bericht enthält die Ergebnisse der Tests, aus denen hervorgeht, in welchem Stadium (wenn überhaupt) jedes Produkt eine aktive oder passive Reaktion auf jede Bedrohung bietet. Es werden jedoch auch eine Reihe anderer Faktoren berücksichtigt. Die Fähigkeit der einzelnen Produkte, Abhilfemaßnahmen zu ergreifen, wurde festgestellt. Ebenfalls berücksichtigt wurde die Fähigkeit jedes Produkts, Informationen über Indikatoren für eine Gefährdung zu sammeln und in einer leicht zugänglichen Form darzustellen.
Wir haben einen Enterprise EPR CyberRisk Quadrant entwickelt, der die Effektivität jedes Produkts bei der Verhinderung von Sicherheitsverletzungen, die berechneten Einsparungen, die sich daraus ergeben, die Anschaffungskosten des Produkts, die Kosten für die operative Genauigkeit des Produkts und die Kosten für die Verzögerung des Arbeitsablaufs berücksichtigt. Für diese Berechnung haben wir ein Unternehmen mit 5.000 Client-PCs über einen Zeitraum von 5 Jahren angenommen.
In unserem ständigen Bemühen, unseren Enterprise EPR CyberRisk Quadrant zu verbessern, haben wir in diesem Jahr einige Verfeinerungen vorgenommen. Zu unseren Bewertungsfaktoren gehören nach wie vor die Effektivität bei der Vermeidung von Sicherheitsverletzungen, die Kosteneffizienz, die operative Genauigkeit und die Effizienz der Arbeitsabläufe. Unsere Präsentation hat sich jedoch weiterentwickelt, um mehr Klarheit und Einfachheit zu schaffen. Die Produkte werden nun auf der Grundlage ihres Leistungsniveaus innerhalb des Quadranten kategorisiert, während unser Auszeichnungssymbol nun entweder "Zertifiziert" oder "Nicht zertifiziert" anzeigt. Diese Anpassung ermöglicht es uns, eine aufschlussreiche Kategorisierung zu liefern und bietet gleichzeitig ein unkompliziertes Erkennungssystem.
Geprüfte Produkte
Wir gratulieren den folgenden Anbietern zur Teilnahme an diesem EPR-Test und zur Veröffentlichung ihrer Ergebnisse. Alle getesteten Anbieter wurden mit detaillierten Informationen zu ihren jeweiligen verfehlten Szenarien versorgt, so dass sie ihre Produkte weiter verbessern können.
Bitte beachten Sie, dass einige der Anbieter in diesem Test anonym bleiben wollten und wir sie als "Anbieter A", "Anbieter B" usw. bezeichnet haben. Wir haben ihre Ergebnisse in den Bericht aufgenommen, um einen Überblick über die derzeit auf dem Markt verfügbaren Performanz Level zu geben.
Die folgenden Produkte wurden von AV-Comparatives getestet:
Unter Settings die auf jedes einzelne Produkt angewandt wurden, finden Sie weiter unten in diesem Bericht.
Dieser vergleichende Bericht gibt einen Überblick über die Ergebnisse für alle getesteten Produkte. Es gibt auch Einzelberichte für jedes Produkt, die unter www.av-comparatives.org unter den unten angegebenen Links verfügbar sind:
CyberRisk Quadrant Key Metrics - basierend auf 5000 Clients
Erläuterung des EPR CyberRisk Quadranten
Der Quadrant zeigt die Levels von hoch bis niedrig: Strategic Leader, CyberRisk Visionary, Strong Challenger, Not Certified. Diese Levels bieten einen umfassenden Überblick über die Gesamtleistung eines Produkts. Sie geben den Anbietern wertvolle Einblicke in bestimmte Aspekte ihres Angebots, die von einer Weiterentwicklung profitieren könnten. Während das Prädikat "Zertifiziert" für hervorragende Leistungen steht, dienen die Unterkategorien den Anbietern als Wegweiser für kontinuierliche Innovationen und Verbesserungen. Unser Ziel ist es, nicht nur herausragende Produkte anzuerkennen, sondern auch das kontinuierliche Streben nach Spitzenleistungen in der Cybersicherheitslandschaft zu fördern.
Strategic Leaders EPR-Produkte, die als Strategic Leaders eingestuft sind, bieten eine außergewöhnliche Investitionsrendite, die zu deutlich geringeren Gesamtbetriebskosten (TCO) führt. Ihre bemerkenswerten technischen Fähigkeiten, gepaart mit einer fehlerfreien Leistung, halten die Kosten im Zaum. Diese Produkte zeichnen sich durchgängig durch hervorragende Leistungen in den Bereichen Prävention, Erkennung, Reaktion und Berichterstattung aus und bieten gleichzeitig optimale Workflow-Funktionen für Systemadministratoren und den Betrieb.
In Zukunft könnten wir ein Produkt herabstufen, wenn es nicht richtig funktioniert.
CyberRisk Visionaries EPR-Produkte, die als CyberRisk Visionaries eingestuft werden, bieten eine hohe Investitionsrendite und niedrige Gesamtbetriebskosten, indem sie beeindruckende technische Fähigkeiten in Kombination mit hervorragenden betrieblichen und Workflow-Funktionen für Systemadministratoren bieten. Diese Produkte wiesen im Allgemeinen ausgezeichnete Präventions-, Erkennungs-, Reaktions- und Berichterstattungsfunktionen sowie überdurchschnittliche Betriebs- und Systemadministrator-Workflow-Funktionen auf.
Strong Challengers EPR-Produkte, die als starke Herausforderer eingestuft werden, bieten eine zufriedenstellende Investitionsrendite und damit akzeptable Gesamtbetriebskosten. Sie bieten im Allgemeinen wirksame Präventions-, Erkennungs-, Reaktions- und Berichterstattungsfunktionen sowie kompetente operative und systemadministrative Workflow-Funktionen.
Nicht zertifiziert Produkte mit einem kombinierten aktiven und passiven Ansprechverhalten von weniger als 90% und/oder anderen Kosten, die die TCO zu hoch werden lassen, werden nicht zertifiziert.
Welches Produkt ist das richtige für mein Unternehmen? Die Tatsache, dass ein Produkt hier im obersten Bereich des Quadranten angezeigt wird, bedeutet nicht unbedingt, dass es das beste Produkt für die Anforderungen Ihres Unternehmens ist. Produkte in niedrigeren Bereichen des Quadranten können Funktionen aufweisen, die sie für Ihre spezielle Umgebung gut geeignet machen.
Platzierung der Punkte Die Platzierung des "Punktes" des Anbieters auf der Y-Achse des Quadranten richtete sich danach, wie gut die aktiven oder passiven Antwortmöglichkeiten waren. Diese Punktzahl wirkt sich auch auf die X-Achse aus; ein Produkt mit einer hohen aktiven Reaktionsrate hat eine niedrigere TCO, da die Reaktionskosten geringer sind. Außerdem verursachen Produkte, die einen Angriff in einer früheren Phase stoppen, auch weniger Kosten. Weitere Faktoren bei der TCO-Berechnung sind der Anschaffungspreis, die betriebliche Genauigkeit und Verzögerungen im Arbeitsablauf, die z. B. durch Sandbox-Analysen verursacht werden. Nachstehend finden Sie eine ausführliche Erläuterung, wie aktive und passive Reaktionen den Anbietern gutgeschrieben wurden.
EPR CyberRisk Quadrant Übersicht
Wir haben einen Enterprise EPR CyberRisk Quadrant entwickelt, der die Effektivität jedes Produkts bei der Verhinderung von Sicherheitsverstößen, die daraus resultierenden Einsparungen, die Anschaffungskosten des Produkts und die Kosten für die Genauigkeit des Produkts (aufgrund von Fehlalarmen) berücksichtigt.
Eines der größten Probleme, die durch eine Sicherheitsverletzung verursacht werden, sind die finanziellen Kosten, die der betroffenen Organisation entstehen. Nach Angaben von IBM belaufen sich die durchschnittlichen Kosten einer Sicherheitsverletzung auf 4,45 Millionen USD. Daher kann der Kauf eines wirksamen EPR-Produkts, das die negativen Auswirkungen eines Angriffs minimiert, eine gute Investition sein. Wenn ein Unternehmen im Falle eines erfolgreichen Angriffs einen Verlust von 2 Mio. USD zu beklagen hat, sind selbst 1,5 Mio. USD für Sicherheitsmaßnahmen eine sinnvolle Investition, ganz abgesehen von allen anderen Überlegungen.
In diesem Abschnitt betrachten wir die Gesamtkosten, die mit dem Einsatz der getesteten Sicherheitsprodukte verbunden sind, und ihre Wirksamkeit bei der Verhinderung von Sicherheitsverletzungen. Auf diese Weise können wir berechnen, inwieweit sich jedes der Produkte finanziell lohnt. Ausgehend von der IBM-Schätzung von 4,45 Mio. USD als Verlust für das Unternehmen im Falle eines erfolgreichen Angriffs berechnen wir, wie viel das Unternehmen durch den Kauf jedes der getesteten EPR-Produkte sparen könnte. Die Zahlen zeigen, dass alle getesteten Produkte wirksam sind und dass ihre kombinierten aktiven und passiven Reaktionswerte die große Mehrheit der Angriffe abdecken. Allerdings sind einige Produkte in dieser Hinsicht eindeutig besser als andere. Je effektiver ein Produkt bei der Verhinderung von Sicherheitsverletzungen ist, desto geringer sind die zu erwartenden Kosten für die Behebung von Sicherheitsverletzungen.
Die nachstehende Grafik zeigt die Formel, mit der die Gesamtbetriebskosten für ein Produkt ermittelt werden, wobei folgende Faktoren berücksichtigt werden. Zunächst ist da der Preis, den der Hersteller für das Produkt und die damit verbundenen Service- und Supportkosten zahlt. Als Nächstes kommen die Kosten in Verbindung mit durch das Produkt verursachten Over-Blocking/Over-Reporting hinzu, die im Folgenden als Kosten für die Betriebsgenauigkeit definiert werden. Diese Fälle müssen untersucht und behoben werden. Im Jahr 2015 schätzte das Ponemon’s Institute , dass Unternehmen jährlich etwa 1,3 Millionen USD aufgrund ungenauer oder fehlerhafter Informationen verschwenden. Berücksichtigt man die Inflation der letzten acht Jahre, so ergibt sich für das Jahr 2023 eine vernünftige Schätzung von 1,72 Mio. USD. Dies sind die zusätzlichen jährlichen Kosten, die Sie für ein Produkt zu erwarten haben, das in diesem Jahr unsere Validierung der operationellen Genauigkeit nicht besteht. Die Kosten, die durch eine unzureichende operationelle Genauigkeit entstehen, werden bestraft, und die Kosten, die durch Verzögerungen im Arbeitsablauf entstehen, werden ebenfalls berücksichtigt. Wenn also ein Benutzer z. B. durch die Funktionen, Richtlinien oder das Verhalten eines Produkts in seinem Betrieb beeinträchtigt wird, schlägt sich dies auch in der Bewertung des EPR-CyberRisk-Quadranten nieder.
Als Nächstes folgen die Kosten im Zusammenhang mit Sicherheitsverletzungen, wobei ein Produkt, das theoretisch 100% Angriffe abwehren kann, hier keine Kosten verursacht, während ein Produkt, das keine Angriffe abwehrt, die vollen Kosten einer Sicherheitsverletzung verursacht.
Die Kosten für einen Angriff wurden für jedes Produkt pro Szenario berechnet, basierend auf der Fähigkeit des EPR-Produkts, zum Zeitpunkt der Ausführung aktiv und passiv zu reagieren. Das Verfahren, das wir für die Berechnung der Kosten für einen Breach im Jahr 2023 verwendet haben, wird im Folgenden dargestellt:
Wenn es eine aktive Reaktion in Phase 1 gab (d. h. der Angriff wurde automatisch erfolgreich gestoppt und berichtet), dann wurde 0% der Gesamtkosten für die Verletzung für das Szenario hinzugefügt.
Wenn es in Phase 1 KEINE aktive Reaktion gab, aber das Produkt in Phase 1 passive Reaktionsfähigkeiten zeigte, wurden für das Szenario nur 12,5% der Gesamtkosten der Sicherheitsverletzung addiert.
Wenn es in Phase 2 eine aktive Reaktion gab, wurden für das Szenario 25% der Gesamtkosten für die Sicherheitsverletzung hinzugefügt.
Wenn es in Phase 2 KEINE aktive Reaktion gab, aber das Produkt in Phase 2 passive Reaktionsmöglichkeiten aufzeigte, wurden 50% der Gesamtkosten für das Szenario hinzugefügt.
Wenn es in Phase 3 eine aktive Reaktion gab, wurden für das Szenario 75% der Gesamtkosten für die Sicherheitsverletzung hinzugefügt.
Wenn es in Phase 3 KEINE aktive Reaktion gab, aber das Produkt in Phase 3 passive Reaktionsfähigkeiten zeigte, dann wurden 95% der Gesamtkosten für das Szenario hinzugefügt.
Wenn es für das Szenario KEINE aktive oder passive Reaktion gab, wurden 100% der Gesamtkosten für die Sicherheitsverletzung für das Szenario addiert.
Zur Berechnung der X-Achse im EPR-CyberRisk-Quadranten haben wir den Listenpreis des Produkts, die Kosten für die operative Genauigkeit (z. B. false-positives/over-blocking/over-reporting), die Kosten für die Verzögerung des Arbeitsablaufs und die Kosteneinsparungen bei Sicherheitsverletzungen verwendet.
Die auf der X-Achse des Quadranten angezeigten Punktzahlen werden wie folgt berechnet. Für die aktive Reaktion nehmen wir die kumulativen Reaktionswerte für die Phasen 1, 2 und 3 und ermitteln den Durchschnitt dieser Werte. Das Gleiche gilt für die kumulative Bewertung der passiven Reaktion in den Phasen 1, 2 und 3. Schließlich wird der Durchschnitt dieser beiden Werte gebildet, um die Gesamtpunktzahl für die Reaktion zu erhalten.
Wir haben unsere Quadrantenberechnungen leicht verbessert. Diese Änderungen sind in erster Linie auf inflationsbedingte Kostensteigerungen und steigende Produktkosten zurückzuführen. Außerdem haben wir die TCO-Berechnung nur geringfügig verfeinert.
Wir sind fest entschlossen, die größtmögliche Relevanz der in dieser Bewertung verwendeten Metriken zu gewährleisten. Dafür haben wir die Rückmeldungen der Unternehmen geprüft und gegebenenfalls berücksichtigt. Dieser iterative Ansatz gewährleistet, dass sich unser Bewertungsprozess kontinuierlich an die sich ständig verändernde Unternehmenslandschaft anpasst.
EPR-Systeme zielen darauf ab, Bedrohungen zu verhindern, wo dies möglich ist, oder wirksame Erkennungs-/Reaktionsfunktionen bereitzustellen, wo dies nicht möglich ist. Endpunktprodukte, mit hoher Präventions Rate verursachen geringere Kosten, da kein operativer Aufwand für die Reaktion auf einen Angriff und die Behebung seiner Folgen erforderlich ist. Außerdem werden EPR-Produkte, mit einer hohen Erkennungs- Rate (Sichtbarkeit und forensische Details) Einsparungen erzielen, da das Produkt die für die Untersuchung des Angriffs erforderlichen Informationen liefert.
Aktive Reaktion (Prävention): Eine aktive Reaktion stoppt den Angriff automatisch und meldet ihn.
Passive Reaktion (Erkennung): Bei einer passiven Reaktion wird der Angriff nicht gestoppt, sondern verdächtige Aktivitäten gemeldet.
Test-Ergebnisse
EPR-Zertifizierung von AV-Comparatives
Für diesen Test vergeben wir drei verschiedene Zertifizierungsstufen für qualifizierte Produkte, basierend auf ihrer jeweiligen Position im Enterprise CyberRisk Quadrant™. Um zertifiziert zu werden, muss ein Produkt einen Durchschnitt von mindestens 90% für die kombinierte aktive und passive Reaktion erreichen und darf keine hohen Kosten verursachen. Die Zertifizierungsstufen sind (von hoch bis niedrig): Strategic Leader, CyberRisk Visionary, Strong Challenger.
Detaillierte Testergebnisse
Damit eine aktive Reaktion (Präventivmaßnahme) gutgeschrieben werden kann, haben wir überprüft, ob das Produkt in der jeweiligen Phase aktiv reagiert hat. Bei einer passiven Reaktion (Erkennungsereignis) wurde überprüft, ob das Produkt während der jeweiligen Phase eine aktive Warnung im Zusammenhang mit dem Angriff ausgegeben hat, so dass der Systemadministrator entsprechende Maßnahmen ergreifen konnte.
Phase-1 Metriken: Endpoint Compromise and Foothold
Der Inhalt von Phase 1 der durchgeführten Angriffe kann mit Hilfe von MITRE ATT&CK und anderen Frameworks beschrieben werden. Die folgenden Taktiken sind Teil dieser Phase.
Initial Access: Der Erstzugang ist die Methode, die der Angreifer verwendet, um in der Umgebung, die er angreifen will, Fuß zu fassen. Angreifer können eine einzige Methode oder eine Kombination verschiedener Techniken verwenden. Die Bedrohungen können von kompromittierten Websites, E-Mail-Anhängen oder Wechseldatenträgern ausgehen. Zu den Infektionsmethoden gehören Exploits, Drive-by-Downloads, Spear-Phishing, Makros, vertrauenswürdige Beziehungen, gültige Konten und Kompromittierungen der Lieferkette.
Execution: Das nächste Ziel des Angreifers besteht darin, seinen eigenen Code in der Zielumgebung auszuführen. Je nach den Umständen kann dies lokal oder über Remotecodeausführung erfolgen. Zu den verwendeten Methoden gehören die clientseitige Ausführung, Software von Drittanbietern, Betriebssystemfunktionen wie PowerShell, MSHTA und die Befehlszeile.
Persistence: Sobald der Angreifer in die Zielumgebung eingedrungen ist, wird er versuchen, dort dauerhaft präsent zu sein. Je nach Zielbetriebssystem kann ein Angreifer Tools und Funktionen des Betriebssystems verwenden. Dazu gehören die Manipulation der Registrierung, die Angabe von Dynamic-Link-Library-Werten in der Registrierung, Shell-Skripte, die Shell-Befehle enthalten können, Application Shimming und Kontomanipulation.
Aktive und passive Reaktion für Phase 1
Phase-2 Metriken: Internal Propagation
In dieser Phase sollte das EPR-Produkt in der Lage sein, die interne Ausbreitung zu verhindern. Diese Phase wird ausgelöst, wenn der Angriff in Phase 1 nicht gestoppt wurde. Das EPR-Produkt in dieser Phase sollte den Systemadministrator in die Lage versetzen, die interne Ausbreitung der Bedrohung sofort und in Echtzeit zu erkennen und zu verfolgen. Im Folgenden werden die relevanten Taktiken aus dem MITRE ATT&CK Framework erläutert.
Privilege Escalation: In Unternehmensnetzwerken ist es üblich, dass Benutzer (einschließlich Systemadministratoren auf ihren eigenen Computern) Standardbenutzerkonten ohne Administratorrechte verwenden. Wenn ein Unternehmensendpunkt angegriffen wird, verfügt das angemeldete Konto nicht über die Berechtigungen, die der Angreifer benötigt, um die nächste Phase des Angriffs zu starten. In diesen Fällen müssen die Privilegien erweitert werden, indem Techniken wie die Manipulation von User-Access Tokens, Application Shimming, Hooking, oder Permission Weakness. Sobald der Angreifer in der Umgebung Fuß gefasst hat, wird er versuchen, die Privilegien zu erweitern. Damit eine aktive Reaktion angerechnet werden kann, haben wir verschiedene Phasen innerhalb jeder Methode untersucht, um festzustellen, ob das Produkt vorbeugende Maßnahmen ergriffen hat.
Defense Evasion: Das Ziel des Angreifers ist es, seine Ziele zu erreichen, ohne entdeckt oder blockiert zu werden. Defense Evasion besteht aus Maßnahmen, die sicherstellen, dass der Angriff unentdeckt bleibt. Dazu gehören die Manipulation von Sicherheitssoftware, die Verschleierung von Prozessen und der Missbrauch von z. B. Systemtools, um den Angriff zu verbergen.
Credential Access: Dies ist eine Methode, mit der der Angreifer sicherstellt, dass seine weiteren Aktivitäten über ein legitimes Netzwerk-Benutzerkonto ausgeführt werden. Dies bedeutet, dass er auf die gewünschten Ressourcen zugreifen kann und von den Schutzmaßnahmen des Systems nicht als Eindringling erkannt wird. Je nach Art des angegriffenen Netzes können verschiedene Methoden für den Zugriff auf Zugangsdaten verwendet werden. Die Zugangsdaten können vor Ort mit einer Methode wie der Eingabeerfassung (z. B. Keylogger) beschafft werden. Alternativ kann die Offline-Methode angewandt werden, bei der der Angreifer die gesamte Kennwortdatenbank außerhalb des Unternehmens kopiert und sie dann mit beliebigen Methoden knacken kann, ohne Angst vor Entdeckung zu haben.
Discovery: Sobald sich der Angreifer Zugang zum Zielnetz verschafft hat, erkundet er die Umgebung mit dem Ziel, die Anlagen zu finden, die das eigentliche Ziel des Angriffs sind. Dies geschieht in der Regel durch Scannen des Netzwerks.
Lateral Movement: Der Angreifer bewegt sich seitlich innerhalb der Umgebung, um auf die für ihn interessanten Objekte zuzugreifen. Zu den verwendeten Techniken gehören "Pass the Hash", "Pass the Ticket" und die Ausnutzung von Remote-Diensten und Protokollen wie RDP.
In der nachstehenden Tabelle sind die Ergebnisse für jedes der in Phase 2 getesteten Produkte aufgeführt.
Aktive und passive Reaktion für Phase 2, wobei nur Szenarien angezeigt werden, die Phase 1 bestanden haben
Phase-3 Metriken: Asset Breach
Die letzte Phase des Arbeitsablaufs ist der Asset Breach. Dies ist die Phase, in der ein Angreifer beginnt, sein ultimatives Ziel auszuführen. Im Folgenden werden die relevanten Taktiken aus dem MITRE ATT&CK Framework erläutert.
Collection: Dabei geht es darum, die Zielinformationen zu sammeln - natürlich unter der Annahme, dass nicht Sabotage, sondern Informationsdiebstahl das Ziel ist. Die betreffenden Daten können in Form von Dokumenten, E-Mails oder Datenbanken vorliegen.
Command and Control: Ein Command-and-Control-Mechanismus ermöglicht die Kommunikation zwischen dem System des Angreifers und dem Zielnetz. Dies bedeutet, dass der Angreifer Befehle an das kompromittierte System senden oder Daten von ihm empfangen kann. In der Regel versucht der Angreifer, diese Kommunikation zu verschleiern, indem er sie als normalen Netzwerkverkehr tarnt.
Exfiltration: Sobald der Angreifer das Ziel erreicht hat, die Zielinformationen zu sammeln, wird er sie heimlich aus dem Zielnetz auf seinen eigenen Server kopieren wollen. In fast allen Fällen beinhaltet die Exfiltration die Verwendung einer Befehls- und Kontrollinfrastruktur.
Impact: Dies kann definiert werden als der direkte Schaden, der dem Netzwerk der angegriffenen Organisation zugefügt wird. Er umfasst die Manipulation, Störung oder Zerstörung von Betriebssystemen und/oder Daten. Dies kann ein Selbstzweck sein (Sabotage) oder ein Mittel, um den Datendiebstahl zu vertuschen, indem die Untersuchung des Verstoßes erschwert wird.
In der nachstehenden Tabelle sind die Ergebnisse für jedes der in Phase 3 getesteten Produkte dargestellt.
Aktive und passive Reaktion für Phase 3, wobei nur Szenarien angezeigt werden, die Phase 2 bestanden haben
Die folgende Tabelle zeigt die kumulative aktive Reaktion nach Phase(n) für jedes Produkt.
Aktive Reaktion
Nur Phase 1
Phase 1 & 2
Insgesamt (Phase 1, 2 & 3)
Check Point
88%
100%
100%
ESET
96%
100%
100%
Kaspersky
92%
100%
100%
Palo Alto Networks
96%
100%
100%
Anbieter A
90%
98%
98%
Anbieter B
82%
98%
98%
Anbieter C
80%
92%
96%
Anbieter D
86%
96%
98%
Anbieter E
94%
100%
100%
Anbieter F
82%
92%
96%
Anbieter G
66%
86%
86%
Anbieter H
88%
92%
94%
Kumulative aktive Reaktion nach Phasen
Die folgende Tabelle zeigt die kumulative passive Reaktion nach Phase(n) für jedes Produkt.
Passive Reaktion
Nur Phase 1
Phase 1 & 2
Insgesamt (Phase 1, 2 & 3)
Check Point
88%
100%
100%
ESET
98%
100%
100%
Kaspersky
92%
100%
100%
Palo Alto Networks
96%
100%
100%
Anbieter A
92%
98%
98%
Anbieter B
82%
98%
98%
Anbieter C
80%
92%
96%
Anbieter D
86%
96%
98%
Anbieter E
96%
100%
100%
Anbieter F
84%
92%
96%
Anbieter G
74%
86%
86%
Anbieter H
88%
92%
94%
Kumulative passive Reaktion nach Phasen geordnet
Die folgende Tabelle zeigt die Rohdaten, d. h. die Anzahl der verhinderten/gemeldeten Szenarien.
Szenarien
Insgesamt
Aktive Prävention
Insgesamt
Passive Reaktion
Keine Prävention/Reaktion
Check Point
50
50
50
0
ESET
50
50
50
0
Kaspersky
50
50
50
0
Palo Alto Networks
50
50
50
0
Anbieter A
50
49
49
1
Anbieter B
50
49
49
1
Anbieter C
50
48
48
2
Anbieter D
50
49
49
1
Anbieter E
50
50
50
0
Anbieter F
50
48
48
2
Anbieter G
50
43
43
7
Anbieter H
50
47
47
3
Reaktionen pro Szenario
MITRE ATT&CK Matrix for Enterprise
Das nachstehende Diagramm zeigt die gesamte MITRE ATT&CK Matrix for Enterprise. Die Spaltenüberschriften stellen die ATT&CK Tactics (Ziele) dar, während die Kästchen darunter die ATT&CK Techniques , die zur Erreichung dieser Ziele eingesetzt werden, darstellen. Unser EPR-Test deckt die gesamte hier gezeigte Angriffskette ab, wobei möglichst realistische Szenarien verwendet wurden. Bei den 50 Angriffsszenarien, die in diesem EPR-Test verwendet wurden, haben wir versucht, alle in den grünen Kästen aufgeführten Techniken anzuwenden.
Die Taktiken beziehen sich wie folgt auf unsere 3 Angriffsphasen: Phase 1 = Initial Access, Execution, Persistence Phase 2 = Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement Phase 3 = Collection, Command and Control, Exfiltration, Impact
Ein Beispielszenario könnte wie folgt aussehen: Phishing-Mail mit Skript-Payload wird an einen Benutzer auf Arbeitsstation A gesendet - interne Erkennung wird durchgeführt - Zugriff auf C$-Freigabe auf Arbeitsstation B wird gefunden - laterale Bewegung zu Arbeitsstation B - Netzwerk-Admin-Sitzung auf Arbeitsstation B wird gefunden - LSASS-Dump, um Admin-Anmeldeinformationen zu erhalten - laterale Bewegung zu Server 1 - Verteidigungsumgehung wird verwendet, um Sicherheitsprodukt auf Server 1 zu umgehen - Kreditkartendaten werden gefunden - Daten werden über einen offenen C2-Kanal extrahiert.
In diesem Endpoint Prevention & Response Test erreichte Awards
Der Unterschied zwischen MITRE ATT&CK Engenuity und dem AV-Comparatives EPR Test
Beide Tests haben ihre Vorzüge, aber während MITRE Engenuity Techniken aus einer einzigen Angriffskette bewertet, die von einer vorab ausgewählten und angekündigten APT durchgeführt wird, umfasst der EPR-Test von AV-Comparatives 50 separate Angriffsszenarien von nicht bekannt gegebenen APTs. AV-Comparatives verzichtet darauf, die Angriffsmethoden und -techniken im Voraus bekannt zu geben, um reale Szenarien widerzuspiegeln. Dieser Ansatz zielt darauf ab, die Fähigkeit einer Lösung zur Verhinderung, Erkennung und Behebung von Angriffen zu demonstrieren, während den Benutzern eine passive Reaktion geboten wird.
In der Vergangenheit bewertete MITRE Sicherheitslösungen im Modus "Detect-Only", d. h. es wurden Produktreaktionen auf einzelne Techniken innerhalb von Angriffsketten untersucht. MITRE begann jedoch erst in Runde 3 (2020-2021) mit dem Testen von Schutzszenarien, d. h. der Angriff wurde blockiert oder gestört. AV-Comparatives hingegen widmet sich seit Beginn des Tests im Jahr 2020 der Validierung von Schutzfunktionen.
MITRE Engenuity erlaubt die Verwendung benutzerdefinierter Produkteinstellungen und ermöglicht es den Anbietern, diese Konfigurationen auf speziellen Produktseiten aufzuführen. Während die Hersteller sehr spezifische Einstellungen verwenden können, um die Testergebnisse zu verbessern, sind diese Einstellungen für den realen Einsatz aufgrund möglicher Fehlalarme, Leistungsprobleme und Ermüdungserscheinungen bei EDR/XDR-Bedienern möglicherweise nicht praktikabel. AV-Comparatives behält die Kontrolle über die Einstellungsänderungen und weist sie in den Testergebnissen aus, um Nutzer besser zu informieren.
Traditionell erfahren die Teilnehmer von MITRE Engenuity durch die Teilnahmeaufrufe, welche Gruppen für die anstehenden Evaluierungen ausgewählt werden. Der Aufruf zur Teilnahme an der Managed Services-Runde 2023-2024 stellt jedoch eine Abweichung von dieser Praxis dar. Diese jüngste Aufforderung zur Teilnahme ermöglicht es den Teilnehmern auch, die Komplexität der Tests zu beeinflussen, indem sie Daten über APT-Taktiken, -Techniken und -Verfahren einreichen, die nur ihnen bekannt sind.
MITRE Engenuity fehlt ein einfaches Bewertungssystem, um die Effektivität von Produkten gegen Bedrohungen zu vergleichen, und es gibt keine umfassende Telemetrie von Vorfällen. AV-Comparatives schließt diese Lücke durch die Einführung eines einfachen Bewertungssystems, das den Kunden bei der Bewertung der Produkteffizienz hilft. Darüber hinaus hat AV-Comparatives eine Kennzahl für die Gesamtbetriebskosten für den Produktvergleich eingeführt, die einen besseren Einblick in die Zahlen ermöglicht. Die Teilnehmer von MITRE Engenuity behaupten alle, dass sie am Ende der Gewinner sind. Im Gegensatz dazu stellen die Tests von AV-Comparatives eine größere Herausforderung dar, da die Teilnehmer anonym bleiben können. Das Erreichen der Zertifizierung ist ein Zeichen für außergewöhnliche Fähigkeiten, selbst für starke Herausforderer.
Im Gegensatz zum EPR-Test von AV-Comparatives berücksichtigt die MITRE Engenuity-Bewertung keine False-Positive-Szenarien (operative Genauigkeit). Dieser Ansatz in Verbindung mit der Flexibilität, Produktkonfigurationen zu ändern, birgt das Risiko einer Fehlinterpretation der Endergebnisse. Im Gegensatz dazu bewertet der EPR-Test von AV-Comparatives die operationelle Genauigkeit und betont, wie wichtig es ist, ein Gleichgewicht zwischen falsch-negativen Ergebnissen und operationeller Genauigkeit herzustellen.
Die MITRE Engenuity-Tests finden in unterschiedlichen Zeiträumen statt, wobei zwischen den einzelnen Evaluierungen mehrere Monate liegen können. Wer früh einsteigt, hat die Möglichkeit, später getestet zu werden.
Bei der Entwicklung seiner Engenuity-Tests setzt MITRE die Telemetrie ein und verlässt sich dabei stark auf die Fähigkeit zur Dateninterpretation, um Erkenntnisse zu gewinnen. Hersteller, die wissen, wonach sie suchen müssen, sind besser in der Lage, wertvolle Erkenntnisse aus den Daten zu ziehen. AV-Comparatives hingegen entwickelt seine EPR-Tests auf der Grundlage der Untersuchung von Angriffsszenarien, die seinen Spezialisten bekannt sind und die sie selbst eingehend analysiert haben.
Die Produktkosten basieren auf den Listenpreisen in USD, die zum Zeitpunkt der Prüfung (Sommer 2023) von den Anbietern angegeben wurden. Die tatsächlichen Kosten für die Endnutzer können je nach den verschiedenen Faktoren niedriger sein. Im Allgemeinen können die Preise aufgrund von Faktoren wie Mengenrabatten, ausgehandelten Rabatten, geografischem Standort, Vertriebskanal und Partnermargen variieren. Im Vergleich zu den Vorjahren sind die Listenpreise für einige Produkte deutlich gestiegen, und zwar um bis zu 25%, während die Preise für andere Produkte seit Jahren unverändert geblieben sind.
Die EPR-Kosten umfassen die Produktkosten für 5.000 Kunden, basierend auf einem 5-Jahres-Vertrag:
Produkt
EPR-Kosten (5000 Kunden) 5 Jahre
Check Point
$ 950,000
ESET
$ 760,833
Kaspersky
$ 1,032,000
Palo Alto
$ 1,750,000
Produkt A
$ 950,500
Produkt B
$ 500,777
Produkt C
$ 1,250,000
Produkt D
$ 800,000
Produkt E
$ 1,590,00
Produkt F
$ 675,00
Produkt G
$ 425,000
Produkt H
$ 2,100,000
Gesamtkostenstruktur des EPR
Bitte beachten Sie, dass jedes Produkt seine eigenen besonderen Merkmale und Vorteile hat. Wir empfehlen den Lesern, jedes Produkt im Detail zu betrachten, anstatt nur auf die Listenpreise zu schauen. Einige Produkte verfügen möglicherweise über zusätzliche/andere Merkmale und Dienstleistungen, die sie für einige Organisationen besonders geeignet machen.
Kosten für operative Genauigkeit und Workflow-Verzögerung
Die Kosten, die durch unvollkommene operative Genauigkeit und Verzögerungen im Arbeitsablauf entstehen, werden wie folgt berechnet.
Kosten, die durch unvollkommene operative Genauigkeit entstehen
Die Prüfung der operationellen Genauigkeit erfolgte durch die Simulation einer typischen Benutzeraktivität in der Unternehmensumgebung. Dazu gehörte das Öffnen von sauberen Dateien verschiedener Typen (z. B. ausführbare Dateien, Skripte, Dokumente mit Makros) und das Surfen auf verschiedenen sauberen Websites. Darüber hinaus wurden in der Testumgebung auch verschiedene verwalterfreundliche Tools und Skripte ausgeführt, um sicherzustellen, dass die Produktivität nicht durch die für den Test verwendete Produktkonfiguration beeinträchtigt wurde.
Um die operative Genauigkeit zu bewerten, wird jedes Produkt mit einer Reihe von sauberen Szenarien getestet. Eine Überblockierung oder Übermeldung solcher Szenarien bedeutet, dass ein Produkt hohe Präventions- und Erkennungsraten erreicht, verursacht aber auch höhere Kosten. Wenn legitime Programme/Aktionen blockiert werden, muss der Systemadministrator dies untersuchen, blockierte Programme wiederherstellen/reaktivieren und Maßnahmen ergreifen, um eine Wiederholung zu verhindern. Das Prinzip des "The boy who cried wolf" kann ebenfalls zutreffen; je größer die Zahl der Fehlalarme ist, desto schwieriger wird es, einen echten Alarm zu erkennen.
Die Produkte werden dann je nach Anzahl der betroffenen Szenarien einer von fünf Gruppen (Keine, Geringe, Mittelmäßige, Hohe und Sehr hohe, wobei niedriger besser ist) zugeordnet. Diese sind in der nachstehenden Tabelle aufgeführt.
Gruppen
Anzahl der betroffenen Szenarien
Operative Genauigkeit
Aktive Reaktion Multiplikationsfaktor
Passive Antwort Multiplikationsfaktor
Keine
0
x0
x0
Low
1
x1
x0.75
Mittelmäßige
2-3
x5
x3.75
High
4-5
x10
x7.5
Sehr hohe
6+
x20
x15
Multiplikationsfaktoren für die Kosten der operationellen Genauigkeit
Die Kosten, die durch unzureichende operative Genauigkeit entstehen, werden mit Kostenelementen von 1,72 Mio. USD berechnet. Die Anzahl der Kosteneinheiten, die ein Produkt verursacht haben soll, wird mit Hilfe eines Multiplikationsfaktors berechnet. Dieser variiert je nach Gruppe und auch danach, ob das Szenario von einer aktiven Reaktion (Aktion blockiert) oder einer passiven Reaktion (Aktion nicht blockiert, aber Erkennungsalarm in der Konsole angezeigt) betroffen war. Der Multiplikationsfaktor für eine fehlerhafte Passive Response beträgt immer drei Viertel des Multiplikationsfaktors für eine fehlerhafte Active Response, da weniger Zeit und Aufwand für die Lösung des Problems erforderlich ist.
Wie dies in der Praxis funktioniert, lässt sich am besten anhand der obigen Tabelle erklären. Produkte in der Gruppe "Keine" haben einen Multiplikationsfaktor von 0 sowohl für aktive als auch für passive Antworten, daher sind die Kosten für die operationelle Genauigkeit gleich Null. Produkte in der Gruppe "Geringe" (1 betroffenes Szenario) haben einen Multiplikationsfaktor von 1 für fehlerhafte Aktive Antworten, aber nur 0,75 für eine fehlerhafte Passive Antwort. Folglich verursacht ein Produkt mit einer fehlerhaften aktiven Antwort eine Kosteneinheit, während ein Produkt mit einer fehlerhaften passiven Antwort nur 0,75 Kosteneinheiten verursacht. Wenn ein Produkt 2 betroffene Szenarien hat, von denen eines eine aktive und das andere eine passive Reaktion ist, würde es 8,75 Kosteneinheiten verursachen (5 für die aktive Reaktion und 3,75 für die passive Reaktion).
Kosten, die durch Verzögerungen im Arbeitsablauf entstehen
Einige EPR-Produkte führen zu Verzögerungen im Arbeitsablauf des Benutzers, weil sie z. B. die Ausführung einer zuvor unbekannten Datei anhalten und sie zur weiteren Analyse an die Online-Sandbox des Anbieters senden. Dadurch wird die Ausführung gestoppt, und der Nutzer kann nicht fortfahren, bis die Analyse aus der Sandbox zurückkommt. Wir haben die durch eine solche Analyse verursachte Verzögerung für beide Szenarien (sauber und bösartig) festgestellt. Wenn ein Produkt bei der Analyse eines Szenarios erhebliche Verzögerungen verursachte, wurde dies bestraft. Die Analysezeit für jedes Produkt wurde wie folgt berechnet. Für saubere Szenarien haben wir die längste beobachtete Verspätung für jedes Szenario genommen. Ein Produkt mit zwei Verspätungen - von 2 Minuten bzw. 10 Minuten - für saubere Szenarien hätten eine Aufnahmezeit von 10 Minuten. Für bösartig Szenarien haben wir den Durchschnitt aller Verspätungen ermittelt. Ein Produkt mit zwei Verspätungen - von 2 Minuten bzw. 10 Minuten - für bösartig Szenarien, hätte eine aufgezeichnete Zeit von 6 Minuten. Die Produkte werden dann einer von fünf Workflow-Verzögerungsgruppen (Keine, Niedrig, Mittelmäßige, Hohe und Sehr hohe) zugeordnet, je nachdem wie lang die jeweilige Verzögerung ist. Diese sind in der nachstehenden Tabelle aufgeführt.
Gruppen
Verursachte Verzögerung
(in Minuten)
Verzögerung des Arbeitsflusses
Multiplikationsfaktor
Keine
unter 2
x0
Low
2-5
x0.5
Mittelmäßige
6-10
x2.5
High
11-20
x5
Sehr hohe
über 20
x10
Multiplikationsfaktoren für Workflow-Verzögerungskosten
Die Kosten für diese Verzögerungen werden mit den gleichen Kostenträgern wie für die operative Genauigkeit berechnet. Auch hier gibt es einen Multiplikationsfaktor, der je nach Workflow-Verzögerungsgruppe variiert. Produkte in der Gruppe "Geringe Verzögerung des Arbeitsablaufs" haben einen Multiplikationsfaktor von 0,5 und verursachen somit Kosten von 1 Kosteneinheit; Produkte in der Gruppe "Sehr hohe Verzögerung des Arbeitsablaufs" haben einen Multiplikationsfaktor von 10 und verursachen somit Kosten von 10 Kosteneinheiten. Produkte in der letztgenannten Kategorie würden aufgrund der zu hohen Kosten von der Zertifizierung ausgeschlossen werden.
Ergebnisse Die Kosten, die sich aus unzureichender operativer Genauigkeit und Verzögerungen im Arbeitsablauf ergeben, sind nachstehend aufgeführt:
Operative Genauigkeit
Arbeitsablauf
Verzögerungen
Aktive Reaktion
Passive Reaktion
Check Point
Keine
Keine
Keine
ESET
Keine
Mittelmäßige
Keine
Kaspersky
Keine
Low
Keine
Palo Alto Networks
Low
Keine
Keine
Anbieter A
Keine
Keine
Keine
Anbieter B
Keine
Keine
Keine
Anbieter C
Keine
Keine
Keine
Anbieter D
Mittelmäßige
Keine
Keine
Anbieter E
High
Mittelmäßige
Mittelmäßige
Anbieter F
Low
Keine
Mittelmäßige
Anbieter G
Low
Mittelmäßige
Keine
Anbieter H
Keine
Keine
Keine
Kombinierte Ergebnistabelle für operationelle Genauigkeit und Workflow-Verzögerungen
In diesem Abschnitt geben wir einen Überblick über die Funktionen der Produkte und die damit verbundenen Dienstleistungen der jeweiligen Anbieter. Bitte beachten Sie, dass sich diese Angaben in jedem Fall nur auf das spezifische Produkt, die Stufe und die Konfiguration beziehen, die in unserem Test verwendet wurden. Ein anderes Produkt/Tier desselben Anbieters kann einen anderen Funktionsumfang aufweisen. Auf den folgenden Seiten beschreiben wir die Funktionen "Allgemein", "Produktreaktion", "Management und Berichtswesen", "IOC-Integrationsfunktionen", "Support-Funktionen" und stellen dann eine Funktionsliste zur Verfügung, die zeigt, welche Produkte diese Funktionen unterstützen.
Allgemeine Merkmale
Dieser Abschnitt befasst sich mit allgemeinen Funktionen wie Phishing-Schutz, Web-Zugriffskontrolle, Gerätekontrolle, Schnittstellensprachen und unterstützten Betriebssystemen.
Mechanismus der Produktreaktion
EPR-Produkte setzen ihre Reaktionsmechanismen ein, um Eindringlinge, die in die geschützte Umgebung eingedrungen sind, zu bekämpfen. Von einem EPR-Produkt wird zumindest erwartet, dass es die Korrelation von Endpunkten, Prozessen und Netzwerkkommunikation sowie die Korrelation von externen IOCs mit der internen Umgebung ermöglicht. Die EDR-Fähigkeiten wurden anhand der Erkennungs- und Reaktionsfähigkeiten des Produkts getestet und untersucht. Wir waren in der Lage, die Ereignisse zu untersuchen, die mit den verschiedenen Schritten korrelierten, die der Angreifer bei seinem Versuch, in die Umgebung einzudringen, unternahm.
Das EPR-Produkt sollte eine vollständige Sichtbarkeit der bösartigen Artefakte/Vorgänge ermöglichen, aus denen die Angriffskette besteht, so dass alle reaktionsbasierten Aktivitäten leicht durchgeführt werden können. Das bedeutet, dass jede Form von vorgesehenem Abhilfemechanismus im Produkt verfügbar ist (Response Enablement) und dieser Mechanismus unten angezeigt wird. Bitte beachten Sie, dass die unten gezeigten Funktionen nur für das spezifische Produkt/die Version gelten, die in diesem Test verwendet wurde. Möglicherweise bietet ein Anbieter zusätzliche Funktionen als Add-on oder in einem anderen Produkt an.
Zentrale Verwaltung und Berichterstattung
Der Management-Workflow ist ein wichtiges Unterscheidungsmerkmal für Sicherheitsprodukte in Unternehmen. Wenn ein Produkt schwierig zu verwalten ist, wird es nicht effizient genutzt werden. Die Intuitivität der Verwaltungsoberfläche eines Produkts ist ein guter Indikator dafür, wie nützlich das Produkt sein wird. Die pro Aktivität eingesparten Minuten können sich im Laufe eines Jahres in Tage und sogar Wochen umwandeln.
Verwaltung: Sichtbarkeit von Bedrohungen, Systemsichtbarkeit und gemeinsame Nutzung von Daten
Die Fähigkeit, Bedrohungskontext bereitzustellen, ist eine Schlüsselkomponente eines EPR-Produkts. Diese Transparenz kann entscheidend sein, wenn Unternehmen entscheiden, ob sie eine bestehende Technologie ergänzen oder ersetzen wollen. Die Verwaltungskonsole kann als physische Appliance, virtuelle Appliance oder Cloud-basierte Appliance implementiert werden. In der Verwaltungskonsole ist eine vollständige Aufzeichnung der Audit-Protokolle verfügbar. Die Kommunikation zwischen dem Agenten und der Verwaltungskonsole erfolgt über SSL. Die folgenden Tabellen enthalten Informationen zu den jeweiligen Funktionen der getesteten Produkte.
EPR-Produktberichtsfunktionen
Eine EPR-Plattform sollte in der Lage sein, Daten zu vereinheitlichen, d. h. Informationen aus unterschiedlichen Quellen zusammenzuführen und sie in ihrer eigenen Benutzeroberfläche als kohärentes Bild der Situation zu präsentieren. Die technische Integration mit dem Betriebssystem und Anwendungen von Drittanbietern (Syslog, Splunk, SIEM oder über API) ist dabei ein wichtiger Bestandteil. Ein EPR-System sollte in der Lage sein, dem Unternehmen angemessene Reaktionsmöglichkeiten zu bieten.
IOC-Integration
Damit soll der digitale Fußabdruck identifiziert werden, anhand dessen die böswillige Aktivität auf einem Endpunkt/Netzwerk erkannt werden kann. Wir werden diesen Anwendungsfall untersuchen, indem wir uns die Fähigkeit des EPR-Produkts ansehen, externe IOCs einschließlich Yara-Signaturen oder Threat Intelligence Feeds usw. zu verwenden, wie in der folgenden Tabelle dargestellt.
Unterstützungsfunktionen
Kostenlose, grundlegende menschliche Unterstützung für den Einsatz: Das bedeutet, dass Sie in Echtzeit mit einem Mitarbeiter des Supports kommunizieren können, der Sie durch den Einrichtungsprozess führt und alle grundlegenden Fragen sofort beantworten kann, die Sie haben. Natürlich bieten viele Anbieter stattdessen/zusätzlich Benutzerhandbücher, Videos und (kostenpflichtige) Premium-Supportdienste für die Bereitstellung an.
Professionell unterstützte Ausbildung: Dazu gehört jede Form der interaktiven Schulung mit einem Ausbilder. Bei einigen Anbietern ist die professionelle Schulung in der Lizenzgebühr für 5.000 Kunden enthalten, während andere dafür zusätzliche Gebühren verlangen. Einige andere Anbieter bieten möglicherweise nur Videos und andere Online-Materialien für die Selbstschulung an.
Für IT-Sicherheitsexperten, insbesondere für die Mitglieder des blauen Teams, ist das Verständnis der Telemetrie Fähigkeiten von Antivirus (AV) und Endpunkt-Erkennung und -Reaktion (EDR) Produkten ist von entscheidender Bedeutung. Die Telemetrie bietet einen umfassenden Überblick über die Endpunktaktivität und ermöglicht ein tieferes Verständnis von Sicherheitswarnungen. Dieses Wissen ist entscheidend für eine schnelle Reaktion auf Bedrohungen und von unschätzbarem Wert für forensische Untersuchungen, die es Teams ermöglichen, die Entwicklung von Angriffen zu verfolgen und zu analysieren. Die Telemetrie hat auch eine proaktive Funktion, indem sie hilft, neue Angriffsvektoren und die von den Angreifern verwendeten Taktiken, Techniken und Verfahren zu identifizieren.
Es geht jedoch über die Verteidigung hinaus. Das Verständnis der Telemetrie ermöglicht es Teams, Konfigurationen zu verfeinern, Fehlalarme zu reduzieren und den Betrieb zu optimieren. In einer Zeit, in der der Datenschutz im Vordergrund steht, muss sichergestellt werden, dass die Telemetrie mit den strengen Vorschriften konform ist. Das Aufspüren potenzieller Sicherheitslücken wird durch die Erkenntnisse der Telemetrie einfacher und hilft dabei, Bereiche zu identifizieren, die zusätzlichen Schutz oder zusätzliche Tools benötigen. Darüber hinaus wird durch die Bewertung der Auswirkungen der Datenerfassung auf die Systemleistung eine nahtlose Benutzererfahrung gewährleistet.
Mit diesen Daten wird die Integration von AV- und EDR-Erkenntnissen in SIEM-Lösungen (Security Information and Event Management) nahtloser. Darüber hinaus fördert dieses grundlegende Wissen die Zusammenarbeit und ermöglicht es den blauen Teams, mit anderen Abteilungen, wie den roten Teams oder dem IT-Betrieb, zusammenzuarbeiten, um die Sicherheitslage des Unternehmens zu verbessern.
Diese Daten sollten für die Kunden bei der Verwendung der jeweiligen Produkte leicht zugänglich und recherchierbar sein. Einige Anbieter stellen diese Informationen transparent in ihren Dokumentationenzur Verfügung, die es den Nutzern ermöglichen, die Daten/das Produkt für ihre Verteidigungsstrategien optimal zu nutzen. Bitte beachten Sie, dass sich diese Daten ausschließlich auf das in diesem Bericht bewertete Produkt/die bewertete Schicht beziehen; der Anbieter kann andere Produkte/Schichten mit zusätzlichen Telemetriefunktionen und -unterstützung anbieten. Die aufgeführten Daten wurden von den Anbietern überprüft und bereitgestellt.
Im dynamischen Bereich der Cybersicherheit benötigen IT-Sicherheitsexperten ein tiefes Verständnis von Antiviren- (AV/EPP) und Endpunkt-Erkennungs- und Reaktionssystemen (EDR), die für umfassende Verteidigungsstrategien entscheidend sind. Ein wichtiger Aspekt ist das Verständnis dafür, wie verschiedene AV- und EDR-Systeme wesentliche Technologienimplementieren. Die folgenden Informationen bieten einen umfassenden Überblick über diese Technologien und verdeutlichen ihre Bedeutung in der sich ständig verändernden Cybersicherheitslandschaft. Diese Technologien umfassen die Antimalware Scan Interface (AMSI), User-Mode Hooking, Callbacks und Kernel-Treiber.
Antimalware Scan Interface (AMSI): AMSI in Windows ist ein API-Set, das für eine verbesserte Malware-Erkennung entwickelt wurde. Es ist in Komponenten wie PowerShell, Windows Script Host und .NET integriert und fängt Skripte nach der Entschleierung zur Laufzeit ab. AMSI kommuniziert direkt mit der Antimalware-Lösung des Systems und leitet Inhalte zur Analyse weiter. Als Schnittstelle ist es unabhängig vom jeweiligen Antimalware-Anbieter. Die Integration gewährleistet die Erkennung von Bedrohungen in Echtzeit, selbst bei dynamisch ausgeführten Inhalten.
User-Mode Hooking: User-Mode-Hooking fängt Funktionsaufrufe in Prozessen auf Anwendungsebene in Windows ab. Durch Überschreiben des Starts einer Funktion werden die Aufrufe an eine benutzerdefinierte Funktion umgeleitet. So könnte ein EDR beispielsweise CreateFileW in kernel32.dll abfangen und an seine eigene DLL umleiten. Wenn eine Anwendung CreateFileW verwendet, wird sie zunächst von der EDR-Funktion verarbeitet, was eine Echtzeitüberwachung oder Einschränkungen ermöglicht, bevor der ursprüngliche Aufruf fortgesetzt wird.
Callbacks: EPP/EDR-Lösungen nutzen Kernel-Callback-Routinen für eine umfassende Systemüberwachung. Diese Routinen benachrichtigen registrierte Callbacks, wenn bestimmte Betriebssystemereignisse auftreten. Durch das Abgreifen dieser Ereignisse beobachten EPPs/EDRs das Systemverhalten in Echtzeit. So kann ein EPP/EDR beispielsweise Ereignisse bei der Prozesserstellung überwachen. Wenn ein neuer Prozess startet, prüft der Callback dessen Details und Herkunft. Auf diese Weise kann die EPP/EDR potenzielle Bedrohungen schnell erkennen, bewerten und auf sie reagieren.
Kernel-Treiber: EPP/EDR-Lösungen nutzen Kernel-Treiber, um sich tief in das Betriebssystem zu integrieren und fortschrittliche Bedrohungen abzuwehren. Minifilter-Treiber, die Teil des Windows Filter Managers sind, ermöglichen es EPP/EDR-Tools, Vorgänge in Dateien und Datenströmen zu überwachen, zu ändern oder zu blockieren. Dies ist entscheidend für Echtzeit-Scans und Zugriffsbeschränkungen. ELAM-Treiber (Early Launch Anti-Malware) hingegen starten bereits während des Bootvorgangs und stellen sicher, dass nur legitime, signierte Treiber geladen werden, wodurch verhindert wird, dass Rootkits oder Bootkits das System kompromittieren. Insgesamt gewährleisten diese Treiber einen umfassenden Schutz vom Hochfahren bis zum Betrieb des Systems.
Diese Informationen liefern IT-Sicherheitsexperten wertvolle Erkenntnisse, um fundierte Entscheidungen über Cybersicherheitslösungen zu treffen. Ganz gleich, ob Sie ein umfassendes Verständnis oder ein schnelles Nachschlagewerk benötigen, diese Erkenntnisse helfen Ihnen, sich in der komplexen Welt der IT-Sicherheit zurechtzufinden.
Es ist wichtig, darauf hinzuweisen, dass dies nur einige der Technologien sind, die in der modernen Cybersicherheit eingesetzt werden, und dass andere ebenfalls zum Arsenal von IT-Sicherheitsexperten gehören können. Das Fehlen oder Vorhandensein einer bestimmten Technologie bedeutet nicht unbedingt, dass ein Produkt schlechter oder besser ist. Die Wirksamkeit einer Cybersicherheitsstrategie hängt von ihrem ganzheitlichen Ansatz und ihrer Anpassungsfähigkeit an sich entwickelnde Bedrohungen ab. Die aufgeführten Daten wurden von den Anbietern überprüft und zur Verfügung gestellt.
In Unternehmensumgebungen und bei Unternehmensprodukten im Allgemeinen ist es üblich, dass die Produkte vom Systemadministrator gemäß den Richtlinien des Herstellers konfiguriert werden. Daher haben wir die Hersteller gebeten, uns zu bitten, alle gewünschten Änderungen an der Standardkonfiguration ihrer jeweiligen Produkte vorzunehmen. Die in diesem Test vorgestellten Ergebnisse wurden nur durch die Anwendung der jeweiligen Produktkonfigurationen wie hier beschrieben erzielt.
Die Konfigurationen wurden zusammen mit den Technikern der jeweiligen Anbieter während der Einrichtung vorgenommen. Diese Konfiguration ist typisch für Unternehmen, die über eigene Sicherheitsteams verfügen, die sich um ihre Verteidigungsmaßnahmen kümmern. Bei Produkten dieser Art ist es üblich, dass die Experten der Hersteller die Unternehmen bei der Einrichtung und Konfiguration unterstützen, die für die jeweilige Art von Unternehmen am besten geeignet ist.
Nachfolgend sind die relevanten nicht standardmäßigen Einstellungen aufgeführt (d. h. die Einstellungen, die vom Hersteller für diesen Test verwendet werden).
Check Point: Bei "Web & Files Protection" und “Behavioral Protection” war alles auf "Prevent" eingestellt. Der "Anti-Exploit Mode" war auf "Prevent" eingestellt. Unter "Analysis & Remediation" wurde der "Protection mode" auf "Always", "Enable Threat Hunting" auf "On" und "Attack Remediation" auf "Medium & High" gesetzt. In den "Advanced Settings" wurde die "File remediation" auf "Quarantine" und "Terminate" gesetzt. Alle Einstellungen wurden auf "Connected Mode" gesetzt.
ESET: Alle Einstellungen für "Real-Time & Machine Learning Protection”, “Potentially Unwanted Applications”, “Potentially Unsafe Applications” und “Suspicious Applications” wurden auf "Aggressive" gesetzt. "Runtime packers" und "Advanced heuristics" wurden für "ThreatSense" aktiviert. Unter "Cloud-based Protection" wurden "LiveGuard", "LiveGrid Feedback System" und "LiveGrid Reputation System" auf "On" gesetzt. Die "Detection threshold" für "LiveGuard" wurde auf "Suspicious", der "Proactive protection" auf "Block execution until receiving the analysis result" und die "Maximum wait time for the analysis result" auf "5 min" gesetzt. Automatic submission of suspicious samples" für alle Dateitypen aktiviert. "Password protect settings" aktiviert. In "ESET Inspect" wurden alle Erkennungsregeln und Ausschlüsse aktiviert, mit Ausnahme der Regeln "optional" und "[Y*".
Kaspersky: Das "Kaspersky Security Network (KSN)" wurde aktiviert. Die "Adaptive Anomaly Control" war deaktiviert. Die Sandbox-Funktion war nicht aktiviert.
Palo Alto Networks: Unter "Agent settings", in "XDR Pro Endpoints", wurden "XDR Pro Endpoint Capabilities" aktiviert. Unter "Malware Profile" wurden "Portable Executable and DLL examination", "Behavioral Threat Protection” und “Ransomware Protection” auf "Quarantine" gesetzt. Die Option "Treat Grayware as Malware" wurde aktiviert.
Anbieter A - H: Es wurden andere Einstellungen als die Standardwerte verwendet.
AV-Comparatives hat einen Paradigmenwechsel in der Branche herbeigeführt, indem es eine EPR-Methode definiert hat, die die alltägliche Realität der Anwendungsfälle und Arbeitsabläufe in Unternehmen widerspiegelt und die Sichtbarkeit der Kill-Chain mit dem MITRE ATT&CK-Framework abbildet.
Wie in der folgenden Abbildung dargestellt, haben wir uns von "atomaren" Tests entfernt, d. h. Tests, die nur eine bestimmte Komponente des ATT&CK-Frameworks untersuchen, und stattdessen die EPR-Produkte im Kontext der gesamten Angriffskette bewertet, wobei die Arbeitsabläufe in jeder Phase von der anfänglichen Ausführung bis zur endgültigen Datenexfiltration/Sabotage miteinander verbunden sind.
EPR-Prüfungsablauf
Die nachstehende Grafik gibt einen vereinfachten Überblick über das verwendete Prüfverfahren:
Unternehmen EPR Arbeitsablauf Überblick
Prävention (aktive Reaktion)
Die beste Art und Weise, auf eine Bedrohung zu reagieren, besteht darin, sie so schnell wie möglich zu verhindern und effektiv darüber zu berichten. AV-Comparatives definiert Prävention als eine automatisierte, aktive Reaktion, die rund um die Uhr, 365 Tage im Jahr, ohne menschliches Eingreifen, aber mit quantifizierbaren Metriken und Berichtsdatenpunkten, die für eine effektive Analyse genutzt werden können, einsetzt.
Ein EPR-Produkt sollte in der Lage sein, eine Bedrohung auf einem kompromittierten Computer zunächst zu erkennen und zu verhindern. Der Vorfall sollte von einem zentralen Verwaltungssystem aus erkannt, identifiziert, korreliert und durch eine wirksame passive Reaktionsstrategie (teilweise/vollständig automatisiert) behoben werden, idealerweise in Echtzeit. Darüber hinaus sollte der Systemadministrator in der Lage sein, eine Bedrohung auf der Grundlage der gesammelten und analysierten Daten zu klassifizieren und einzuteilen, und er sollte in der Lage sein, eine Reaktion mit Hilfe des EPR-Produkts mit einem spezifischen Workflow abzuschließen.
Eine aktive Reaktion, wie sie in diesem Test definiert wird, ist eine wirksame Reaktionsstrategie, die eine Erkennung mit wirksamen Präventions- und Berichtsfunktionen verbindet. Dies alles sollte auf automatisierte Weise und ohne manuelles Eingreifen geschehen. Dies kann durch eine Vielzahl von Technologien und Mechanismen geschehen, z. B.: signaturbasierte Modelle, verhaltensbasierte Modelle, ML-basierte Modelle, Transaktions-Rollbacks, isolationsbasierte Mechanismen usw. Diese Definition ist technologieunabhängig, da sie sich auf die Ergebnisse der verschiedenen Arbeitsabläufe und Szenarien der Systemadministratoren konzentriert und nicht auf die Technologie, die zur Vorbeugung, Erkennung oder Reaktion darauf eingesetzt wird.
Erkennung (Passive Reaktion)
Passive Reaktion, wie sie in diesem Test definiert wird, ist eine Reihe von Reaktionsmechanismen, die das Produkt mit kohärenten Erkennungs-, Korrelations-, Berichts- und Aktionsfähigkeiten bietet. Sobald sich ein Angreifer bereits in der Unternehmensumgebung befindet, kommen herkömmliche Reaktionsmechanismen zum Einsatz, z. B. IOC- und IOA-Korrelation, externe Bedrohungsinformationen und Jagd. AV-Comparatives definiert diese Reaktionsmechanismen als Passive Response. Die Voraussetzung für eine passive Reaktion ist die Erkennung einer potenziellen Bedrohung durch EPR-Produkte.
Von EPR-Produkten wird in der Regel erwartet, dass sie anfängliche und laufende Angriffe verhindern, ohne eine Triage vornehmen zu müssen, und gleichzeitig aktive Reaktions- und Berichtsfunktionen bieten. Wird der Angriff verpasst oder nicht verhindert, sollten EPR-Produkte in der Lage sein, Angriffe zu bewerten und darauf zu reagieren, wodurch die Ressourcen (Personal/Automatisierung) weniger belastet werden und langfristig eine bessere Rendite erzielt wird.
Die Bandbreite der verfügbaren Reaktionsmöglichkeiten eines EPR-Produkts ist äußerst wichtig für Unternehmen, die Bedrohungen/Kompromittierungen auf mehreren Rechnern an mehreren Standorten überprüfen müssen. Ein EPR-Produkt sollte in der Lage sein, anhand der dem Systemadministrator zur Verfügung gestellten Informationsdaten nach bestimmten Bedrohungen zu suchen. Sobald die Bedrohungen identifiziert sind, sollte der Systemadministrator in der Lage sein, mit dem EPR-Produkt Reaktionen auf der Grundlage der Art der Infektion einzuleiten. AV-Comparatives erwartet, dass EPR-Produkte nicht-automatische oder halbautomatische passive Reaktionsmechanismen haben.
Korrelation von Prozess, Endpunkt und Netzwerk
Das EPR-Produkt sollte in der Lage sein, Bedrohungen auf eine oder mehrere der folgenden Arten zu erkennen und darauf zu reagieren:
Die Antwort basiert auf der erfolgreichen Identifizierung des Angriffs über die Benutzeroberfläche (UI) des Produkts, die die Angriffsquelle (http[s]/IP-basierter Link) auflistet, die die kompromittierte Website/IP hostet.)
Exploit-Identifizierung (basierend auf CVE oder generischer Erkennung der Bedrohung)
Heruntergeladene Malware-Datei
Spawnen von Malware-Prozessen
Befehls- und Kontrolltätigkeit als Teil der einheitlichen Angriffskette
Überblick über die EPR-Validierung
AV-Comparatives hat die folgende Topologie und Metrik entwickelt, um die Fähigkeiten von Endpoint Prevention and Response (EPR)-Produkten genau zu bewerten.
Übersicht über die EPR-Testtopologie
Die EPR-Produkte aller getesteten Anbieter wurden im Standalone-Modus implementiert und bewertet, wobei jeder Anbieter aktiv an der anfänglichen Einrichtung, Konfiguration und den Baselining-Aspekten beteiligt war. AV-Comparatives bewertete eine Liste von 50 Szenarien, wie sie häufig von Analysten und Unternehmen gefordert werden, und hob mehrere unternehmensbezogene Anwendungsfälle hervor. Jeder Anbieter durfte sein eigenes Produkt in dem Maße konfigurieren, wie es Unternehmen beim Einsatz in ihrer Infrastruktur tun können. Die Details der Konfigurationen sind am Anfang dieses Berichts enthalten.
Da diese Methodik auf die Präventions-, Erkennungs- und Reaktionsfähigkeiten zugeschnitten ist, haben alle Anbieter ihre Präventions- und Schutzfähigkeiten (Fähigkeit zum Blockieren) sowie die Erkennungs- und Reaktionsfähigkeiten aktiviert, so dass sie die realen Fähigkeiten dieser Produkte auf Unternehmensebene nachahmen.
Die Tests unterstützten EPR-Produktaktualisierungen und Konfigurationsänderungen, die über die Cloud-Management-Konsole oder den lokalen Netzwerkserver vorgenommen wurden. Wir haben so weit wie möglich alle Testszenarien von Anfang bis Ende durchlaufen und ausgeführt.
Ziel des Tests
Die folgende Bewertung wurde durchgeführt, um zu überprüfen, ob das EPR-Endpunktsicherheitsprodukt in der Lage ist, auf jedes Szenario angemessen zu reagieren.
In welcher Angriffsphase fand die Verhinderung/Erkennung statt? Phase 1 (Endpoint Compromise and Foothold), Phase 2 (Internal Propagation) oder Phase 3 (Asset Breach)?
Hat uns das EPR-Produkt eine angemessene Bedrohungsklassifizierung und Bedrohungseinstufung geliefert und einen genauen Bedrohungszeitplan der Angriffe mit relevanten Endpunkt- und Benutzerdaten aufgezeigt?
Entstanden durch das EPR-Produkt zusätzliche Kosten aufgrund von unzureichender operativer Genauigkeit oder Verzögerungen im Arbeitsablauf?
Gezielte Use-Cases
Bei der emulierten Ereignisfolge handelte es sich um ein unternehmensbasiertes Szenario, bei dem der Benutzer auf Systemebene eine Datei in einem E-Mail-Anhang erhielt und sie ausführte. In einigen Fällen waren die E-Mails harmlos, in anderen wiederum nicht. Wenn die bösartigen E-Mail-Anhänge erfolgreich ausgeführt wurden, konnte ein Angreifer in der Umgebung Fuß fassen und weitere Schritte unternehmen, um seine Ziele zu erreichen.
Während der Tests haben wir uns in das EPR-Produktmanagement und die einzelnen Konsolen der Testsysteme eingeloggt, um zu beobachten, zu analysieren und zu dokumentieren, welche Art von Aktivität vom Produkt aufgezeichnet wird. Gibt es zum Beispiel bei einem Angriff irgendwelche Warnungen oder Ereignisse, und handelt es sich dabei um echte Positiv- oder Negativmeldungen?
Bei echten positiven Alarmen haben wir außerdem untersucht, ob die anschließende Reaktion in Form von Ereigniskorrelation, Triagen, Bedrohungsklassifizierung und Bedrohungszeitplan dem Systemadministrator zeitnah und klar zur Verfügung gestellt wurde. Wir testeten die von den getesteten Produkten zur Verfügung gestellten Antworten.
Der Test wurde im Sommer 2023 durchgeführt, wobei der Angreifer sich durch die Angriffsknoten bewegte, um schließlich sein Ziel zu erreichen. Die Benutzeraktivitäten wurden während des gesamten Tests simuliert, so dass sie einer realen Umgebung so nahe wie möglich kamen.
Alle Angriffe wurden mit Open-Source- und kommerziellen Tools/Frameworks erstellt und wurden mit internem Fachwissen entwickelt. Der Grund, warum wir commercial C2 frameworks aufgenommen haben, ist, dass diese häufig von Angreifern in realen APTs missbraucht werden; sie nicht zu verwenden, würde einen "blinden Fleck" verursachen und zu einem falschen Sicherheitsgefühl führen. Aufgrund von Lizenzvereinbarungen haben wir Maßnahmen ergriffen, um zu verhindern, dass von kommerziellen C2-Frameworks erstellte Beispiele an die EPR-Anbieter weitergegeben werden. Diese Beschränkungen sollen verhindern, dass sich die Anbieter auf die Tools und nicht auf die Techniken konzentrieren.
Zur Veranschaulichung des Testverfahrens geben wir im Folgenden ein Beispiel dafür, wie ein typischer gezielter Angriff ablaufen könnte. Der Angreifer sendet eine Skript-Nutzlast (die einige Verteidigungsumgehungstechniken wie DLL-Sideloading enthält) über eine Phishing-Mail an Netzwerkbenutzer A auf Arbeitsstation A. Nachdem er mit dem Benutzerkonto A im Zielnetz Fuß gefasst hat, wird eine interne Erkundung durchgeführt. Dies beinhaltet die Auflistung von Benutzerrechten, Benutzergruppen, installierten Sicherheitsprodukten usw. Dabei zeigt sich, dass das kompromittierte Benutzerkonto A Zugriff auf die C$-Freigabe auf Arbeitsstation B hat, was bedeutet, dass das Konto über lokale Administratorrechte auf dieser Arbeitsstation verfügt. Mit dem aus der internen Erkennung gewonnenen Wissen bewegt sich der Angreifer seitlich von Arbeitsstation A zu Arbeitsstation B. Anschließend setzt er die interne Erkennung auf Arbeitsstation B fort. Dadurch findet er die offene Benutzersitzung eines Netzwerkadministrators auf Arbeitsstation B. Um dies auszunutzen, führt der Angreifer den LSASS-Prozess aus und kann so die Anmeldeinformationen des Administrators stehlen. Auf diese Weise findet er heraus, dass das kompromittierte Administratorkonto Zugriff auf Server 1 hat. Der Angreifer verwendet dann dieses kompromittierte Administratorkonto, um sich seitlich von Arbeitsstation B zu Server 1 zu bewegen und diesen Server dann zu kompromittieren. Hier führt er weitere interne Erkundungen durch und nutzt auch einige Techniken zur Umgehung der Verteidigung, um das installierte Sicherheitsprodukt zu umgehen (z. B. durch Patchen von AMSI und ETW). Am Ende dieser Prozedur sind sie in der Lage, Kreditkartendaten auf Server 1 zu identifizieren, die sie über einen offenen C2-Kanal extrahieren.
Über diesen Test
AV-Comparatives' Endpoint Prevention and Response (EPR)-Test stellt den Gipfel der Komplexität und Herausforderung im Bereich der Bewertung von Sicherheitsprodukten für Unternehmen dar. Die Nennung des Produkts im vergleichenden EPR-Hauptbericht liegt im Ermessen des Anbieters. Einige Unternehmen, vor allem solche, die stark vom Marketing abhängig sind, können sich dafür entscheiden, anonym zu bleiben, wenn ihre Produkte die Erwartungen, die sie in diesem strengen und realistischen Test vermarktet haben, nicht erfüllen. Wir haben die Produkte mit den von den Anbietern vorgeschlagenen Konfigurationen getestet und diese gemeinsam mit den Anbietern vor Testbeginn überprüft.
Unser Fachwissen: Wir haben unser Fachwissen in zwei Jahrzehnten verfeinert, um präzise Bewertungen von Sicherheitslösungen zu liefern. Im Gegensatz zu einigen Nachahmungen, die von anderen Testlabors versucht werden, ist unser Test dank unserer Erfahrung in der Lage, ein genaues Bild der Fähigkeiten zu liefern.
Komplexität und Realismus: Dieser anspruchsvolle Test spiegelt realistische Szenarien wider, ist jedoch aufgrund seiner Komplexität manuell durchzuführen, was die Kosten in die Höhe treibt. Die Methodik konzentriert sich auf Präventions- und Reaktionsfähigkeiten. Den Anbietern wird empfohlen, Präventions- und Schutzfunktionen zu aktivieren und die Erkennung effektiv zu konfigurieren, während gleichzeitig hohe Kosten aufgrund von unzureichender operativer Genauigkeit oder Verzögerungen im Arbeitsablauf vermieden werden. Die Kosten, die durch unzureichende operative Genauigkeit und Verzögerungen im Arbeitsablauf entstehen, werden berücksichtigt. Außerdem ist die telemetriebasierte Bedrohungsjagd nicht Gegenstand dieses Tests.
Umfassende Bewertung: Die Testphasen bestehen aus Angriffstaktiken, denen Unternehmen üblicherweise begegnen. Unser EPR-Test deckt die gesamte Angriffskette ab und umfasst reale Angriffstaktiken und -techniken, vom anfänglichen Eindringen und der internen Ausbreitung bis hin zur Datenexfiltration und dem tatsächlichen Schaden für das Zielsystem oder -netzwerk.
Bedingungen in der realen Welt: Um die Integrität der Bewertung zu wahren, wurden die Anbieter nicht im Voraus über den genauen Testzeitpunkt oder die Angriffsspezifikationen informiert, um reale Bedingungen zu simulieren, unter denen Angreifer ohne Vorwarnung zuschlagen. Folglich müssen die Produkte einen kontinuierlichen Schutz gewährleisten und dürfen nicht nur für Bewertungszwecke optimiert werden.
Test-Szenarien: Wir erstellen Testszenarien unter Verwendung öffentlich zugänglicher Cyber Threat Intelligence um die aktuelle Bedrohungslandschaft widerzuspiegeln. Diese Szenarien werden dann einem Spektrum von ATT&CK-Techniken zugeordnet, um verschiedene Aktionen zu simulieren und wertvolle Erkenntnisse über die Wirksamkeit des Produkts gegen komplexe Angriffe zu gewinnen. Wir haben 50 Testszenarien verwendet, die sich an den Taktiken und Techniken von verschiedenen APT-Gruppen(z. B. APT3, APT41, Ke3chang, Threat-Group-3390), Russland (z. B. APT28, APT29, Sandworm, Turla, WizardSpider), Iran (z. B. APT33, APT39, OilRig), Nordkorea (z. B. APT37, APT38, Kimsuky) und anderen (z. B. Carbanak, FIN6, FIN7) zugeschrieben werden. Bitte beachten Sie, dass unsere Testszenarien von diesen APT-Gruppen inspiriert sind, ohne ihre Aktionen zu replizieren (und auch nicht auf sie beschränkt sind), obwohl es Überschneidungen bei den verwendeten Techniken, Untertechniken und Tools geben kann.
Umfassende Einsichten: Um ein Gesamtbild der Schutz- und Reaktionsfähigkeiten eines der getesteten EPR-Produkte zu erhalten, können die Leser hier zusätzlich die Ergebnisse weiterer Tests einsehen: AV-Comparatives' Enterprise Main-Test Series.
Check Point Harmony Endpoint Advanced 87.30
