Einleitung
Endpoint Protection Products (EPP), Endpoint Detection and Response (EDR) und Extended Detection and Response (XDR) sind wichtige Komponenten der Unternehmenssicherheit und bieten Schutz vor gezielten Bedrohungen wie Advanced Persistent Threats (APTs). Unser Endpoint Prevention and Response (EPR)-Test wurde entwickelt, um die Wirksamkeit dieser Lösungen bei der Abwehr komplexer, mehrstufiger Angriffe auf die gesamte Infrastruktur eines Unternehmens zu bewerten. Diese Systeme sollen nicht nur einzelne Endpunkte schützen, sondern auch die Ursprünge, Taktiken und Ziele von Angriffen analysieren, damit Sicherheitsteams Bedrohungen eindämmen, betroffene Systeme wiederherstellen und zukünftige Vorfälle verhindern können. Der Einfachheit halber bezeichnen wir alle EPP-, EDR-, XDR- und ähnliche Produkte gemeinsam als "EPR" Produkte in diesem Bericht.
Der Endpoint Prevention and Response Test von AV-Comparatives, der auch EDR- und XDR-Produkte umfasst, bleibt die branchenweit umfassendste Bewertung dieser Sicherheitslösungen. Die 12 getesteten Produkte wurden 50 verschiedenen gezielten Angriffsszenarien unterzogen, die unterschiedliche Techniken und Angriffsvektoren beinhalteten. Diese Szenarien wurden entwickelt, um reale Bedrohungen zu simulieren, die drei Schlüsselphasen durchlaufen: Kompromittierung des Endpunkts und Verankerung, interne Ausbreitung und Eindringen in den Bestand. Der Test bewertete, ob jede Lösung die Bedrohung automatisch blockierte (aktive Reaktion) oder verwertbare Informationen lieferte, die ein Administrator zum Eingreifen nutzen konnte (passive Reaktion). Wenn ein Produkt einen Angriff in einer Phase nicht stoppen konnte, wurde das Szenario mit der nächsten Phase fortgesetzt und die Reaktion des Produkts an jedem Punkt aufgezeichnet.
Dieser Bericht enthält die Ergebnisse der Tests, aus denen hervorgeht, in welchem Stadium (wenn überhaupt) jedes Produkt eine aktive oder passive Reaktion auf jede Bedrohung bietet. Es werden jedoch auch eine Reihe anderer Faktoren berücksichtigt. Die Fähigkeit der einzelnen Produkte, Abhilfemaßnahmen zu ergreifen, wurde festgestellt. Ebenfalls berücksichtigt wurde die Fähigkeit jedes Produkts, Informationen über Indikatoren für eine Gefährdung zu sammeln und in einer leicht zugänglichen Form darzustellen.
Wir haben einen Enterprise EPR CyberRisk Quadrant entwickelt, der die Effektivität jedes Produkts bei der Verhinderung von Sicherheitsverletzungen, die berechneten Einsparungen, die sich daraus ergeben, die Anschaffungskosten des Produkts, die Kosten für die operative Genauigkeit des Produkts und die Kosten für die Verzögerung des Arbeitsablaufs berücksichtigt. Für diese Berechnung haben wir ein Unternehmen mit 5.000 Client-PCs über einen Zeitraum von 5 Jahren angenommen.
In unserem ständigen Bemühen, unseren Enterprise EPR CyberRisk Quadrant zu verbessern, haben wir in diesem Jahr einige Verfeinerungen vorgenommen. Zu unseren Bewertungsfaktoren gehören nach wie vor die Effektivität bei der Vermeidung von Sicherheitsverletzungen, die Kosteneffizienz, die operative Genauigkeit und die Effizienz der Arbeitsabläufe. Die Analyse basiert auf einer hypothetischen Unternehmensumgebung mit 5.000 Endpunkten über einen Zeitraum von fünf Jahren.
Geprüfte Produkte
Wir gratulieren den folgenden Anbietern zur Teilnahme an diesem EPR-Test. Alle getesteten Anbieter erhielten ausführliche Informationen über ihre jeweiligen verpassten Szenarien, so dass sie ihre Produkte weiter verbessern können.
Bitte beachten Sie, dass einige der Anbieter in diesem Test anonym bleiben wollten, so dass wir sie als "Anbieter A", "Anbieter B" usw. bezeichnet haben. Wir haben ihre Ergebnisse in den Bericht aufgenommen, um einen Überblick über die derzeit auf dem Markt verfügbaren Leistungsstufen zu geben. In Zukunft werden nur noch nicht zertifizierte Anbieter die Möglichkeit haben, im EPR-Test anonym zu bleiben.
EPR CyberRisk Quadrant™
Produkt |
5-Jahres-Produktkosten (Pro Agent) |
Aktive Reaktion |
Passive Reaktion |
Kombinierte Präventions-/Reaktionskapazitäten Y-Achse |
Operative Genauigkeit Kosten
|
Kosten für Workflow-Verzögerungen
|
5-Jahres-TCO (pro Agent) X-Achse |
Bitdefender |
$ 100 |
99.3% |
99.3% |
99.3% |
Mittelmäßige |
Keine |
$ 2 044 |
Check Point |
$ 190 |
99.3% |
99.3% |
99.3% |
Low |
Keine |
$ 689 |
CrowdStrike |
$ 475 |
98.0% |
98.0% |
98.0% |
Low |
Keine |
$ 1 462 |
ESET |
$ 152 |
99.3% |
99.3% |
99.3% |
High |
Keine |
$ 2 946 |
Kaspersky |
$ 206 |
99.3% |
99.3% |
99.3% |
Low |
Keine |
$ 1 045 |
Palo Alto Networks |
$ 350 |
99.3% |
99.3% |
99.3% |
Low |
Keine |
$ 849 |
VIPRE |
$ 120 |
99.3% |
99.3% |
99.3% |
Low |
Keine |
$ 704 |
Anbieter A |
$ 545 |
96.7% |
96.7% |
96.7% |
Low |
Low |
$ 3 336 |
Anbieter B |
$ 195 |
94.0% |
94.0% |
94.0% |
Keine |
Mittelmäßige |
$ 6 298 |
Anbieter C |
$ 300 |
95.3% |
95.3% |
95.3% |
Keine |
Keine |
$ 4 654 |
Anbieter D |
$ 160 |
92.0% |
92.0% |
92.0% |
Mittelmäßige |
Keine |
$ 6 126 |
Anbieter E |
$ 330 |
90.7% |
90.7% |
90.7% |
Mittelmäßige |
Keine |
$ 3 014 |
CyberRisk Quadrant Key Metrics - basierend auf 5000 Clients
Erläuterung des EPR CyberRisk Quadranten
Der Quadrant zeigt diese Stufen von hoch bis niedrig: Strategic Leader, CyberRisk Visionary, Strong Challenger, Not Certified. Diese Stufen bieten einen umfassenden Überblick über die Gesamtleistung eines Produkts. Sie geben den Anbietern wertvolle Einblicke in bestimmte Aspekte ihres Angebots, die von einer Weiterentwicklung profitieren könnten. Während "Certified" für hervorragende Leistungen steht, dienen die Unterkategorien den Anbietern als Wegweiser für kontinuierliche Innovationen und Verbesserungen.
Strategic Leaders
Produkte, die als Strategic Leaders eingestuft werden, bieten eine außergewöhnliche Investitionsrendite, die zu deutlich geringeren Gesamtbetriebskosten (TCO) führt. Ihre bemerkenswerten technischen Fähigkeiten, gepaart mit einer fehlerfreien Leistung, halten die Kosten unter Kontrolle. Diese Produkte zeichnen sich durchgängig durch herausragende Leistungen in den Bereichen Prävention, Erkennung, Reaktion und Berichterstattung aus und bieten gleichzeitig optimale Workflow-Funktionen für Systemadministratoren und Betriebsabläufe.
CyberRisk Visionaries
Produkte, die als CyberRisk Visionaries eingestuft werden, bieten eine hohe Investitionsrendite und niedrige Gesamtbetriebskosten, indem sie beeindruckende technische Fähigkeiten in Kombination mit sehr guten betrieblichen und systemadministrativen Workflow-Funktionen bieten. Diese Produkte wiesen im Allgemeinen sehr gute Präventions-, Erkennungs-, Reaktions- und Berichterstattungsfunktionen sowie überdurchschnittliche betriebliche und systemadministrative Workflow-Funktionen auf.
Strong Challengers
Produkte, die als starke Herausforderer eingestuft werden, bieten eine zufriedenstellende Kapitalrendite und damit eine akzeptable TCO. Sie bieten in der Regel wirksame Präventions-, Erkennungs-, Reaktions- und Berichterstattungsfunktionen sowie kompetente operative und systemadministrative Workflow-Funktionen.
Nicht zertifiziert
Produkte mit einer kombinierten aktiven und passiven Reaktion von weniger als 90% und/oder anderen Kosten, die die TCO zu hoch machen, werden nicht zertifiziert. Wenn ein Produkt fünf vollständige Verstöße erreicht, wird es automatisch disqualifiziert (nicht zertifiziert) und wir stellen die weitere Prüfung ein, da es dann außerhalb des Quadranten liegen würde.
Welches Produkt ist das richtige für mein Unternehmen?
Die Tatsache, dass ein Produkt hier im obersten Bereich des Quadranten angezeigt wird, bedeutet nicht unbedingt, dass es das beste Produkt für die Anforderungen Ihres Unternehmens ist. Produkte in den unteren Bereichen des Quadranten können Merkmale aufweisen, die sie für Ihre spezielle Umgebung gut geeignet machen. Wir sind jedoch nicht in der Lage, die Verwendung von Produkten zu empfehlen, die nicht zertifiziert wurden.
Platzierung der Punkte
Die Platzierung des "Punktes" des Anbieters auf der Y-Achse des Quadranten richtete sich danach, wie gut die aktiven oder passiven Antwortmöglichkeiten waren. Diese Punktzahl wirkt sich auch auf die X-Achse aus; ein Produkt mit einer hohen aktiven Reaktionsrate hat eine niedrigere TCO, da die Reaktionskosten geringer sind. Außerdem verursachen Produkte, die einen Angriff in einer früheren Phase stoppen, auch weniger Kosten. Weitere Faktoren bei der TCO-Berechnung sind der Anschaffungspreis, die operative Genauigkeit und die Verzögerungen im Arbeitsablauf, die z. B. durch Sandbox-Analysen entstehen.
EPR CyberRisk Quadrant Übersicht
Der CyberRisk Quadrant berücksichtigt die Effektivität jedes Produkts bei der Verhinderung von Sicherheitsverletzungen, die berechneten Einsparungen, die sich daraus ergeben, die Anschaffungskosten des Produkts und die Kosten für die (Un-)Genauigkeit des Produkts.
Eines der größten Probleme, die durch eine Sicherheitsverletzung verursacht werden, sind die finanziellen Kosten, die der betroffenen Organisation entstehen. Nach Angaben von IBM belaufen sich die durchschnittlichen Kosten einer Sicherheitsverletzung auf 4,88 Millionen USD. Daher kann der Kauf eines wirksamen EPR-Produkts, das die negativen Auswirkungen eines Angriffs minimiert, eine gute Investition sein. Wenn ein Unternehmen im Falle eines erfolgreichen Angriffs einen Verlust von 2 Mio. USD zu beklagen hat, sind selbst 1,5 Mio. USD für Sicherheitsmaßnahmen eine sinnvolle Investition, ganz abgesehen von allen anderen Überlegungen.
In diesem Abschnitt betrachten wir die Gesamtkosten, die mit dem Einsatz der getesteten Sicherheitsprodukte verbunden sind, und ihre Wirksamkeit bei der Verhinderung von Sicherheitsverletzungen. Auf diese Weise können wir berechnen, inwieweit sich jedes der Produkte finanziell lohnt. Ausgehend von der IBM-Schätzung von 4,88 Mio. USD als Verlust für das Unternehmen im Falle eines erfolgreichen Angriffs berechnen wir, wie viel das Unternehmen durch den Kauf jedes der getesteten EPR-Produkte sparen könnte. Die Zahlen zeigen, dass alle getesteten Produkte wirksam sind und dass ihre kombinierten aktiven und passiven Reaktionswerte die große Mehrheit der Angriffe abdecken. Allerdings sind einige Produkte in dieser Hinsicht eindeutig besser als andere. Je effektiver ein Produkt bei der Verhinderung von Sicherheitsverletzungen ist, desto geringer sind die zu erwartenden Kosten für die Behebung von Sicherheitsverletzungen.
Die nachstehende Grafik zeigt die Formel, mit der die Gesamtbetriebskosten für ein Produkt ermittelt werden, wobei folgende Faktoren berücksichtigt werden. Zunächst ist da der Preis, den der Hersteller für das Produkt und die damit verbundenen Service- und Supportkosten zahlt. Als Nächstes kommen die Kosten in Verbindung mit durch das Produkt verursachten Over-Blocking/Over-Reporting hinzu, die im Folgenden als Kosten für die Betriebsgenauigkeit definiert werden. Diese Fälle müssen untersucht und behoben werden. Im Jahr 2015 schätzte das Ponemon’s Institute schätzte, dass Unternehmen jährlich etwa 1,3 Millionen USD aufgrund ungenauer oder fehlerhafter Informationen verschwenden. Berücksichtigt man die Inflation der letzten acht Jahre, so ergibt sich für das Jahr 2024 eine vernünftige Schätzung von 1,7 Mio. USD. Dies sind die zusätzlichen jährlichen Kosten, die Sie für ein Produkt zu erwarten haben, das in diesem Jahr unsere Validierung der operationellen Genauigkeit nicht besteht. Die Kosten, die sich aus einer unzureichenden operationellen Genauigkeit ergeben, werden bestraft, und die Kosten aufgrund von Verzögerungen im Arbeitsablauf werden ebenfalls berücksichtigt. Wenn also ein Benutzer z. B. durch die Funktionen, Richtlinien oder das Verhalten eines Produkts in seinem Betrieb beeinträchtigt wird, schlägt sich dies auch in der Bewertung des EPR-CyberRisk-Quadranten nieder.
Als Nächstes folgen die Kosten im Zusammenhang mit Sicherheitsverletzungen, wobei ein Produkt, das theoretisch 100% Angriffe abwehren kann, hier keine Kosten verursacht, während ein Produkt, das keine Angriffe abwehrt, die vollen Kosten einer Sicherheitsverletzung verursacht.
Die Kosten für einen Einbruch wurden für jedes Produkt pro Szenario berechnet, basierend auf der Fähigkeit des EPR-Produkts, zum Zeitpunkt der Ausführung aktiv und passiv zu reagieren. Das Verfahren, das wir für die Berechnung der Kosten für einen Einbruch im Jahr 2024 verwendet haben, ist unten aufgeführt:
- Wenn es in Phase 1 eine aktive Reaktion gab (d. h. der Angriff wurde automatisch erfolgreich gestoppt und gemeldet), wurden für das Szenario 0% der Gesamtkosten der Sicherheitsverletzung hinzugefügt.
- Wenn es in Phase 1 KEINE aktive Reaktion gab, aber das Produkt in Phase 1 passive Reaktionsfähigkeiten zeigte, wurden für das Szenario nur 12,5% der Gesamtkosten der Sicherheitsverletzung addiert.
- Wenn es in Phase 2 eine aktive Reaktion gab, wurden für das Szenario 25% der Gesamtkosten für die Sicherheitsverletzung hinzugefügt.
- Wenn es in Phase 2 KEINE aktive Reaktion gab, aber das Produkt in Phase 2 passive Reaktionsmöglichkeiten aufzeigte, wurden 50% der Gesamtkosten für das Szenario hinzugefügt.
- Wenn es in Phase 3 eine aktive Reaktion gab, wurden für das Szenario 75% der Gesamtkosten für die Sicherheitsverletzung hinzugefügt.
- Wenn es in Phase 3 KEINE aktive Reaktion gab, aber das Produkt in Phase 3 passive Reaktionsfähigkeiten zeigte, dann wurden 95% der Gesamtkosten für das Szenario hinzugefügt.
-
Wenn es für das Szenario KEINE aktive oder passive Reaktion gab, wurden 100% der Gesamtkosten für den Verstoß für das Szenario addiert. Wenn ein Produkt fünf vollständige Verstöße erreicht, wird es automatisch disqualifiziert (nicht zertifiziert) und wir stellen die weiteren Tests ein.
Zur Berechnung der X-Achse im EPR-CyberRisk-Quadranten haben wir den Listenpreis des Produkts, die Kosten für die operative Genauigkeit (z. B. Falschmeldungen/Over-Blocking/Over-Reporting), die Kosten für die Verzögerung des Arbeitsablaufs und die Kosteneinsparungen durch Sicherheitsverletzungen herangezogen. Die auf der X-Achse des Quadranten angezeigten Punktzahlen werden wie folgt berechnet. Für die aktive Reaktion nehmen wir die kumulativen Reaktionswerte für die Phasen 1, 2 und 3 und ermitteln den Durchschnitt dieser Werte. Das Gleiche gilt für die kumulativen Werte der passiven Reaktion für die Phasen 1, 2 und 3. Schließlich wird der Durchschnitt dieser beiden Werte gebildet, um die Gesamtpunktzahl für die Reaktion zu erhalten.
Wir sind fest entschlossen, die größtmögliche Relevanz der in dieser Bewertung verwendeten Metriken zu gewährleisten. Wir haben die Rückmeldungen der Unternehmen geprüft und gegebenenfalls berücksichtigt. Dieser iterative Ansatz stellt sicher, dass sich unser Bewertungsprozess kontinuierlich an die sich ständig verändernde Unternehmenslandschaft anpasst. EPR-Systeme zielen darauf ab, Bedrohungen zu verhindern, wo dies möglich ist, oder effektive Erkennungs-/Reaktionsfunktionen bereitzustellen, wo dies nicht möglich ist. Endpunktprodukte, die eine hohe Präventionsrate bieten, verursachen weniger Kosten, da kein operativer Aufwand erforderlich ist, um auf die Auswirkungen eines Angriffs zu reagieren und sie zu beheben. Darüber hinaus können EPR-Produkte, die eine hohe Erkennungsrate (Sichtbarkeit und forensische Details) bieten, Einsparungen erzielen, da das Produkt die für die Untersuchung des Angriffs erforderlichen Informationen liefert.
Aktive Reaktion (Prävention): Eine aktive Reaktion stoppt den Angriff automatisch und meldet ihn.
Passive Reaktion (Erkennung): Bei einer passiven Reaktion wird der Angriff nicht gestoppt, sondern verdächtige Aktivitäten gemeldet.
Check Point Harmony Endpoint Advanced 88.30
Die Settings die auf jedes einzelne Produkt angewandt wurden, finden Sie weiter unten in diesem Bericht.
Dieser vergleichende Bericht gibt einen Überblick über die Ergebnisse für alle getesteten Produkte. Es gibt auch Einzelberichte für jedes Produkt, die unter www.av-comparatives.org unter den unten angegebenen Links verfügbar sind:
Bitdefender: https://www.av-comparatives.org/wp-content/uploads/2024/09/EPR_Bitdefender_2024.pdf
Check Point: https://www.av-comparatives.org/wp-content/uploads/2024/09/EPR_CheckPoint_2024.pdf
CrowdStrike: https://www.av-comparatives.org/wp-content/uploads/2024/09/EPR_CrowdStrike_2024.pdf
ESET: https://www.av-comparatives.org/wp-content/uploads/2024/09/EPR_ESET_2024.pdf
Kaspersky: https://www.av-comparatives.org/wp-content/uploads/2024/09/EPR_Kaspersky_2024.pdf
Palo Alto Networks: https://www.av-comparatives.org/wp-content/uploads/2024/09/EPR_PaloAlto_2024.pdf
VIPRE: https://www.av-comparatives.org/wp-content/uploads/2024/09/EPR_Vipre_2024.pdf
Test-Ergebnisse
EPR-Zertifizierung von AV-Comparatives
Bei dieser Bewertung wird die Zertifizierung auf der Grundlage der Leistung eines Produkts im CyberRisk Quadrant™ erteilt, wo es eine durchschnittliche Punktzahl von mindestens 90% für die kombinierte aktive und passive Reaktion erreichen muss, ohne dass übermäßige Kosten anfallen. Das Erreichen der Zertifizierung bedeutet, dass ein Produkt unabhängig von der erreichten Quadrantenstufe innerhalb des EPR-Quadranten hervorragend ist.
Die Auszeichnung "Certified" in unserem Enterprise EPR CyberRisk Quadrant bedeutet, dass ein Produkt ein hohes Maß an Leistung und Effektivität bewiesen hat. Es spiegelt unsere Zustimmung zu seiner Qualität und Eignung für den Einsatz in Unternehmen wider.
AV-Comparatives' Zertifizierte EPR-Produkte
Die folgende Tabelle zeigt, welche der getesteten Anbieter im AV-Comparatives' 2024 EPR Test zertifiziert wurden[1]:
Die Anbieter A-D blieben (aufgrund unterdurchschnittlicher Ergebnisse) anonym und können daher keine Zertifizierung erhalten
Nicht zertifizierte Produkte
Die folgende Tabelle zeigt, welche der getesteten Anbieter im AV-Comparatives' 2024 EPR Test nicht zertifiziert wurden:
Detaillierte Testergebnisse
Damit eine aktive Reaktion (Präventivmaßnahme) gutgeschrieben werden kann, haben wir überprüft, ob das Produkt in der jeweiligen Phase aktiv reagiert hat. Bei einer passiven Reaktion (Erkennungsereignis) wurde überprüft, ob das Produkt während der jeweiligen Phase eine aktive Warnung im Zusammenhang mit dem Angriff ausgegeben hat, so dass der Systemadministrator entsprechende Maßnahmen ergreifen konnte.
Phase-1 Metriken: Endpoint Compromise and Foothold
Der Inhalt von Phase 1 der durchgeführten Angriffe kann mit Hilfe von MITRE ATT&CK und anderen Frameworks beschrieben werden. Die folgenden Taktiken sind Teil dieser Phase.
Initial Access: Der Erstzugang ist die Methode, die der Angreifer verwendet, um in der Umgebung, die er angreifen will, Fuß zu fassen. Angreifer können eine einzige Methode oder eine Kombination verschiedener Techniken verwenden. Die Bedrohungen können von kompromittierten Websites, E-Mail-Anhängen oder Wechseldatenträgern ausgehen. Zu den Infektionsmethoden gehören Exploits, Drive-by-Downloads, Spear-Phishing, Makros, vertrauenswürdige Beziehungen, gültige Konten und Kompromittierungen der Lieferkette.
Execution: Das nächste Ziel des Angreifers besteht darin, seinen eigenen Code in der Zielumgebung auszuführen. Je nach den Umständen kann dies lokal oder über Remotecodeausführung erfolgen. Zu den verwendeten Methoden gehören die clientseitige Ausführung, Software von Drittanbietern, Betriebssystemfunktionen wie PowerShell, MSHTA und die Befehlszeile.
Persistence: Sobald der Angreifer in die Zielumgebung eingedrungen ist, wird er versuchen, dort dauerhaft präsent zu sein. Je nach Zielbetriebssystem kann ein Angreifer Tools und Funktionen des Betriebssystems verwenden. Dazu gehören die Manipulation der Registrierung, die Angabe von Dynamic-Link-Library-Werten in der Registrierung, Shell-Skripte, die Shell-Befehle enthalten können, Application Shimming und Kontomanipulation.
Aktive und passive Reaktion für Phase 1
Phase-2 Metriken: Internal Propagation
n dieser Phase sollte das EPR-Produkt in der Lage sein, die interne Ausbreitung zu verhindern. Diese Phase wird ausgelöst, wenn der Angriff in Phase 1 nicht gestoppt wurde. Das EPR-Produkt in dieser Phase sollte den Systemadministrator in die Lage versetzen, die interne Ausbreitung der Bedrohung sofort und in Echtzeit zu erkennen und zu verfolgen. Im Folgenden werden die relevanten Taktiken aus dem MITRE ATT&CK Framework erläutert.
Privilege Escalation: In Unternehmensnetzwerken ist es üblich, dass Benutzer (einschließlich Systemadministratoren auf ihren eigenen Computern) Standardbenutzerkonten ohne Administratorrechte verwenden. Wenn ein Unternehmensendpunkt angegriffen wird, verfügt das angemeldete Konto nicht über die Berechtigungen, die der Angreifer benötigt, um die nächste Phase des Angriffs zu starten. In diesen Fällen müssen die Privilegien erweitert werden, indem Techniken wie die Manipulation von User-Access Tokens, Application Shimming, Hooking, oder Permission Weakness. Sobald der Angreifer in der Umgebung Fuß gefasst hat, wird er versuchen, die Privilegien zu erweitern. Damit eine aktive Reaktion angerechnet werden kann, haben wir verschiedene Phasen innerhalb jeder Methode untersucht, um festzustellen, ob das Produkt vorbeugende Maßnahmen ergriffen hat.
Defense Evasion: Das Ziel des Angreifers ist es, seine Ziele zu erreichen, ohne entdeckt oder blockiert zu werden. Defense Evasion besteht aus Maßnahmen, die sicherstellen, dass der Angriff unentdeckt bleibt. Dazu gehören die Manipulation von Sicherheitssoftware, die Verschleierung von Prozessen und der Missbrauch von z. B. Systemtools, um den Angriff zu verbergen.
Credential Access: Dies ist eine Methode, mit der der Angreifer sicherstellt, dass seine weiteren Aktivitäten über ein legitimes Netzwerk-Benutzerkonto ausgeführt werden. Dies bedeutet, dass er auf die gewünschten Ressourcen zugreifen kann und von den Schutzmaßnahmen des Systems nicht als Eindringling erkannt wird. Je nach Art des angegriffenen Netzes können verschiedene Methoden für den Zugriff auf Zugangsdaten verwendet werden. Die Zugangsdaten können vor Ort mit einer Methode wie der Eingabeerfassung (z. B. Keylogger) beschafft werden. Alternativ kann die Offline-Methode angewandt werden, bei der der Angreifer die gesamte Kennwortdatenbank außerhalb des Unternehmens kopiert und sie dann mit beliebigen Methoden knacken kann, ohne Angst vor Entdeckung zu haben.
Discovery: Sobald sich der Angreifer Zugang zum Zielnetz verschafft hat, erkundet er die Umgebung mit dem Ziel, die Anlagen zu finden, die das eigentliche Ziel des Angriffs sind. Dies geschieht in der Regel durch Scannen des Netzwerks.
Lateral Movement: Der Angreifer bewegt sich seitlich innerhalb der Umgebung, um auf die für ihn interessanten Objekte zuzugreifen. Zu den verwendeten Techniken gehören "Pass the Hash", "Pass the Ticket" und die Ausnutzung von Remote-Diensten und Protokollen wie RDP.
In der nachstehenden Tabelle sind die Ergebnisse für jedes der in Phase 2 getesteten Produkte aufgeführt.
Aktive und passive Reaktion für Phase 2, wobei nur Szenarien angezeigt werden, die Phase 1 bestanden haben
Phase-3 Metriken: Asset Breach
In der letzten Phase des Arbeitsablaufs, dem Einbruch in Vermögenswerte, verfolgen die Angreifer ihr eigentliches Ziel. Im Folgenden werden relevante Taktiken aus dem MITRE ATT&CK Framework erläutert:
Collection: Sammeln von Informationen über die Zielperson, oft durch Diebstahl von Dokumenten, E-Mails oder Datenbanken.
Command and Control: Ermöglicht die Kommunikation zwischen dem System des Angreifers und dem angegriffenen Netzwerk, was die Ausführung von Befehlen und den Datenaustausch ermöglicht, oft getarnt als regulärer Netzwerkverkehr.
Exfiltration: Verdecktes Kopieren der gesammelten Daten aus dem Zielnetz auf den Server des Angreifers, in der Regel unter Verwendung einer Befehls- und Kontrollinfrastruktur.
Impact: Bezieht sich auf den direkten Schaden, der dem Netzwerk des Zielunternehmens zugefügt wird, z. B. Manipulation, Störung oder Zerstörung von Betriebssystemen und Daten. Er kann als Endziel (Sabotage) oder als Mittel zur Verschleierung des Datendiebstahls dienen, indem er die Ermittlungen bei Sicherheitsverletzungen erschwert.
In der nachstehenden Tabelle sind die Ergebnisse für jedes der in Phase 3 getesteten Produkte dargestellt.
Aktive und passive Reaktion für Phase 3, wobei nur Szenarien angezeigt werden, die Phase 2 bestanden haben
Die folgende Tabelle zeigt die kumulative aktive Reaktion nach Phase(n) für jedes Produkt.
Aktive Reaktion |
Nur Phase 1 |
Phase 1 & 2 |
Insgesamt (Phase 1, 2 & 3) |
Bitdefender |
98% |
100% |
100% |
Check Point |
98% |
100% |
100% |
CrowdStrike |
94% |
100% |
100% |
ESET |
98% |
100% |
100% |
Kaspersky |
98% |
100% |
100% |
Palo Alto Networks |
98% |
100% |
100% |
VIPRE |
98% |
100% |
100% |
Anbieter A |
94% |
96% |
100% |
Anbieter B |
84% |
98% |
100% |
Anbieter C |
92% |
94% |
100% |
Anbieter D |
86% |
92% |
98% |
Anbieter E |
86% |
92% |
94% |
Kumulative aktive Reaktion nach Phasen
Die folgende Tabelle zeigt die kumulative passive Reaktion nach Phase(n) für jedes Produkt.
Passive Reaktion |
Nur Phase 1 |
Phase 1 & 2 |
Insgesamt (Phase 1, 2 & 3) |
Bitdefender |
98% |
100% |
100% |
Check Point |
98% |
100% |
100% |
CrowdStrike |
94% |
100% |
100% |
ESET |
98% |
100% |
100% |
Kaspersky |
98% |
100% |
100% |
Palo Alto Networks |
98% |
100% |
100% |
VIPRE |
98% |
100% |
100% |
Anbieter A |
94% |
96% |
100% |
Anbieter B |
84% |
98% |
100% |
Anbieter C |
92% |
94% |
100% |
Anbieter D |
86% |
92% |
98% |
Anbieter E |
86% |
92% |
94% |
Kumulative passive Reaktion nach Phasen geordnet
Die folgende Tabelle zeigt die Rohdaten, d. h. die Anzahl der verhinderten/gemeldeten Szenarien.
|
Szenarien |
Insgesamt
Aktive Prävention |
Insgesamt
Passive Reaktion |
Keine Prävention/Reaktion |
Bitdefender |
50 |
50 |
50 |
0 |
Check Point |
50 |
50 |
50 |
0 |
CrowdStrike |
50 |
50 |
50 |
0 |
ESET |
50 |
50 |
50 |
0 |
Kaspersky |
50 |
50 |
50 |
0 |
Palo Alto Networks |
50 |
50 |
50 |
0 |
VIPRE |
50 |
50 |
50 |
0 |
Anbieter A |
50 |
49 |
50 |
0 |
Anbieter B |
50 |
50 |
50 |
0 |
Anbieter C |
50 |
49 |
50 |
0 |
Anbieter D |
50 |
48 |
49 |
1 |
Anbieter E |
50 |
47 |
47 |
3 |
Reaktionen pro Szenario
MITRE ATT&CK Matrix for Enterprise
Das nachstehende Diagramm zeigt die gesamte MITRE ATT&CK Matrix for Enterprise. Die Spaltenüberschriften stellen die ATT&CK Tactics (Ziele) dar, während die Kästchen darunter die ATT&CK Techniques , die zur Erreichung dieser Ziele eingesetzt werden, darstellen. Unser EPR-Test deckt die gesamte hier gezeigte Angriffskette ab, wobei möglichst realistische Szenarien verwendet wurden. Bei den 50 Angriffsszenarien, die in diesem EPR-Test verwendet wurden, haben wir versucht, alle in den grünen Kästen aufgeführten Techniken anzuwenden.
MITRE ATT&CK-Taktiken und -Techniken, die von diesem EPR-Test abgedeckt werden
Erzeugt mit https://mitre-attack.github.io/attack-navigator/
Ein Beispielszenario könnte wie folgt aussehen: Phishing-Mail mit Skript-Payload wird an einen Benutzer auf Arbeitsstation A gesendet - interne Erkennung wird durchgeführt - Zugriff auf C$-Freigabe auf Arbeitsstation B wird gefunden - laterale Bewegung zu Arbeitsstation B - Netzwerk-Admin-Sitzung auf Arbeitsstation B wird gefunden - LSASS-Dump, um Admin-Anmeldeinformationen zu erhalten - laterale Bewegung zu Server 1 - Verteidigungsumgehung wird verwendet, um Sicherheitsprodukt auf Server 1 zu umgehen - Kreditkartendaten werden gefunden - Daten werden über einen offenen C2-Kanal extrahiert.
In diesem Endpoint Prevention & Response Test erreichte Awards
Die Produktkosten basieren auf den Listenpreisen in USD, die von den Anbietern zum Zeitpunkt der Prüfung (Sommer 2024) angegeben wurden. Die tatsächlichen Kosten für die Endnutzer können je nach den verschiedenen Faktoren niedriger sein. Im Allgemeinen können die Preise aufgrund von Faktoren wie Mengenrabatten, ausgehandelten Rabatten, geografischer Lage, Vertriebskanal und Partnermargen variieren.
Die EPR-Kosten umfassen die Produktkosten für 5.000 Kunden, basierend auf einem 5-Jahres-Vertrag.
Produkt |
EPR-Kosten (5000 Kunden) 5 Jahre |
Bitdefender |
$ 500,777 |
Check Point |
$ 950,000 |
CrowdStrike |
$ 2,374,400 |
ESET |
$ 760,833 |
Kaspersky |
$ 1,032,000 |
Palo Alto Networks |
$ 1,750,000 |
VIPRE |
$ 600,000 |
Anbieter A |
$ 2,725,000 |
Anbieter B |
$ 975,000 |
Anbieter C |
$ 1,500,000 |
Anbieter D |
$ 800,000 |
Anbieter E |
$ 1,650,000 |
Gesamtkostenstruktur des EPR
Bitte beachten Sie, dass jedes Produkt seine eigenen besonderen Merkmale und Vorteile hat. Wir empfehlen den Lesern, jedes Produkt im Detail zu betrachten, anstatt nur auf die Listenpreise zu schauen. Einige Produkte verfügen möglicherweise über zusätzliche/andere Merkmale und Dienstleistungen, die sie für einige Organisationen besonders geeignet machen.
Kosten für operative Genauigkeit und Workflow-Verzögerung
Die Kosten, die durch unvollkommene operative Genauigkeit und Verzögerungen im Arbeitsablauf entstehen, werden wie folgt berechnet.
Kosten, die durch unvollkommene operative Genauigkeit entstehen
Die Prüfung der operationellen Genauigkeit erfolgte durch die Simulation einer typischen Benutzeraktivität in der Unternehmensumgebung. Dazu gehörte das Öffnen von sauberen Dateien verschiedener Typen (z. B. ausführbare Dateien, Skripte, Dokumente mit Makros) und das Surfen auf verschiedenen sauberen Websites. Darüber hinaus wurden in der Testumgebung auch verschiedene verwalterfreundliche Tools und Skripte ausgeführt, um sicherzustellen, dass die Produktivität nicht durch die für den Test verwendete Produktkonfiguration beeinträchtigt wurde. Um die operative Genauigkeit zu bewerten, wird jedes Produkt mit einer Reihe von sauberen Szenarien getestet. Eine Überblockierung oder Übermeldung solcher Szenarien bedeutet, dass ein Produkt hohe Präventions- und Erkennungsraten erreicht, aber auch erhöhte Kosten verursacht. Wenn legitime Programme/Aktionen blockiert werden, muss der Systemadministrator dies untersuchen, blockierte Programme wiederherstellen/reaktivieren usw. und Maßnahmen ergreifen, um eine Wiederholung des Vorfalls zu verhindern. Das Prinzip des "The boy who cried wolf" (Der Junge, der Wolf rief) kann ebenfalls zutreffen; je größer die Zahl der Fehlalarme ist, desto schwieriger wird es, einen echten Alarm zu erkennen.
Die Produkte werden dann je nach Anzahl der betroffenen Szenarien einer von fünf Gruppen (Keine, Geringe, Mittelmäßige, Hohe und Sehr hohe, wobei niedriger besser ist) zugeordnet. Diese sind in der nachstehenden Tabelle aufgeführt.
Gruppen |
Anzahl der betroffenen Szenarien |
Operative Genauigkeit
|
Aktive Reaktion Multiplikationsfaktor
|
Passive Antwort Multiplikationsfaktor |
Keine |
0 |
x0 |
x0 |
Low |
1 |
x1 |
x0.75 |
Mittelmäßige |
2-3 |
x5 |
x3.75 |
High |
4-5 |
x10 |
x7.5 |
Sehr hohe |
5+ |
x20 |
x15 |
Multiplikationsfaktoren für die Kosten der operationellen Genauigkeit
Die Kosten, die durch mangelhafte betriebliche Genauigkeit entstehen, werden mit Kostenelementen von 1,7 Millionen USD berechnet. Die Anzahl der Kosteneinheiten, die ein Produkt verursacht haben soll, wird mit Hilfe eines Multiplikationsfaktors berechnet. Dieser variiert je nach Gruppe und auch danach, ob das Szenario von einer aktiven Reaktion (Aktion blockiert) oder einer passiven Reaktion (Aktion nicht blockiert, aber Erkennungsalarm in der Konsole angezeigt) betroffen war. Der Multiplikationsfaktor für eine fehlerhafte Passive Response beträgt immer drei Viertel des Multiplikationsfaktors für eine fehlerhafte Aktive Response, da weniger Zeit und Aufwand zur Lösung des Problems erforderlich ist.
Wie dies in der Praxis funktioniert, lässt sich am besten anhand der obigen Tabelle erklären. Produkte in der Gruppe "Keine" haben einen Multiplikationsfaktor von 0 sowohl für aktive als auch für passive Antworten, daher sind die Kosten für die operationelle Genauigkeit gleich Null. Produkte in der Gruppe "Geringe" (1 betroffenes Szenario) haben einen Multiplikationsfaktor von 1 für fehlerhafte Aktive Antworten, aber nur 0,75 für eine fehlerhafte Passive Antwort. Folglich verursacht ein Produkt mit einer fehlerhaften aktiven Antwort eine Kosteneinheit, während ein Produkt mit einer fehlerhaften passiven Antwort nur 0,75 Kosteneinheiten verursacht. Wenn ein Produkt 2 betroffene Szenarien hat, von denen eines eine aktive und das andere eine passive Reaktion ist, würde es 8,75 Kosteneinheiten verursachen (5 für die aktive Reaktion und 3,75 für die passive Reaktion).
Ab 2024 werden Produkte, die während der Tests erhebliche Fehler aufweisen, mit einem zusätzlichen Straffaktor von 12 belegt. Wir freuen uns, berichten zu können, dass bei der diesjährigen Prüfung keine signifikanten Fehler festgestellt wurden.
Kosten, die durch Verzögerungen im Arbeitsablauf entstehen
Einige EPR-Produkte führen zu Verzögerungen im Arbeitsablauf des Benutzers, weil sie z. B. die Ausführung einer zuvor unbekannten Datei anhalten und sie zur weiteren Analyse an die Online-Sandbox des Anbieters senden. Dadurch wird die Ausführung gestoppt, und der Benutzer kann nicht fortfahren, bis die Analyse aus der Sandbox zurückkommt. Wir haben die durch eine solche Analyse verursachte Verzögerung für beide Szenarien (sauber und bösartig) festgestellt. Wenn ein Produkt bei der Analyse eines Szenarios erhebliche Verzögerungen verursachte, wurde dies bestraft. Die Analysezeit für jedes Produkt wurde wie folgt berechnet. Für saubere Szenarien wurde die längste beobachtete Verzögerung für ein beliebiges Szenario herangezogen. Ein Produkt mit zwei Verzögerungen - von 2 Minuten bzw. 10 Minuten - für saubere Szenarien würde also eine aufgezeichnete Zeit von 10 Minuten haben. Für bösartige Szenarien wurde der Durchschnitt aller Verzögerungen ermittelt. Ein Produkt mit zwei Verspätungen - von 2 Minuten bzw. 10 Minuten - für bösartige Szenarien hätte also eine aufgezeichnete Zeit von 6 Minuten. Die Produkte werden dann je nach Länge der jeweiligen Verzögerung einer von fünf Workflow-Verzögerungsgruppen (Keine, Gering, Mäßig, Hoch und Sehr Hoch) zugewiesen. Diese sind in der nachstehenden Tabelle aufgeführt.
Gruppen |
Verursachte Verzögerung
(in Minuten) |
Verzögerung des Arbeitsflusses
Multiplikationsfaktor |
Keine |
unter 2 |
x0 |
Low |
2-5 |
x0.5 |
Mittelmäßige |
6-10 |
x2.5 |
High |
11-20 |
x5 |
Sehr hohe |
über 20 |
x10 |
Multiplikationsfaktoren für Workflow-Verzögerungskosten
Die Kosten für diese Verzögerungen werden mit denselben Kostenträgern wie für die operative Genauigkeit berechnet. Auch hier gibt es einen Multiplikationsfaktor, der je nach Workflow Delay Group variiert. Produkte in der Gruppe "Geringe Verzögerung des Arbeitsablaufs" haben einen Multiplikationsfaktor von 0,5 und verursachen somit Kosten von 1 Kosteneinheit; Produkte in der Gruppe "Sehr hohe Verzögerung des Arbeitsablaufs" haben einen Multiplikationsfaktor von 10 und verursachen somit Kosten von 10 Kosteneinheiten. Produkte in der letztgenannten Kategorie würden aufgrund der zu hohen Kosten von der Zertifizierung ausgeschlossen werden.
Ergebnisse
Die Kosten, die sich aus unzureichender operativer Genauigkeit und Verzögerungen im Arbeitsablauf ergeben, sind nachstehend aufgeführt:
|
Operative Genauigkeit |
Arbeitsablauf
Verzögerungen |
Aktive Reaktion |
Passive Reaktion |
Bitdefender |
Mittelmäßige |
Low |
Keine |
Check Point |
Keine |
Low |
Keine |
CrowdStrike |
Keine |
Low |
Keine |
ESET |
Keine |
High |
Keine |
Kaspersky |
Low |
Low |
Keine |
Palo Alto Networks |
Low |
Low |
Keine |
VIPRE |
Low |
Keine |
Keine |
Anbieter A |
Low |
Low |
Low |
Anbieter B |
Keine |
Keine |
Mittelmäßige |
Anbieter C |
Keine |
Keine |
Keine |
Anbieter D |
Keine |
Mittelmäßige |
Keine |
Anbieter E |
Keine |
Mittelmäßige |
Keine |
Kombinierte Ergebnistabelle für operationelle Genauigkeit und Workflow-Verzögerungen
In diesem Abschnitt geben wir einen Überblick über die Funktionen der Produkte und einige der damit verbundenen Dienste, die von den jeweiligen Anbietern bereitgestellt werden. Bitte beachten Sie, dass sich diese Angaben in jedem Fall nur auf das spezifische Produkt, die Stufe und die Konfiguration beziehen, die in unserem Test verwendet wurden. Ein anderes Produkt/Tier desselben Anbieters kann einen anderen Funktionsumfang aufweisen. Auf den folgenden Seiten beschreiben wir die Funktionen "Allgemein", "Produktreaktion", "Management und Berichterstattung", "IOC-Integrationsfunktionen", "Supportfunktionen" und stellen dann eine Funktionsliste zur Verfügung, die zeigt, welche Produkte diese Funktionen unterstützen.
Allgemeine Merkmale
Dieser Abschnitt befasst sich mit allgemeinen Funktionen wie Phishing-Schutz, Web-Zugriffskontrolle, Gerätekontrolle, Schnittstellensprachen und unterstützten Betriebssystemen.
Zentrale Verwaltung und Berichterstattung
Der Management-Workflow ist ein wichtiges Unterscheidungsmerkmal für Sicherheitsprodukte in Unternehmen. Wenn ein Produkt schwierig zu verwalten ist, wird es nicht effizient genutzt werden. Die Intuitivität der Verwaltungsoberfläche eines Produkts ist ein guter Indikator dafür, wie nützlich das Produkt sein wird. Die pro Aktivität eingesparten Minuten können sich im Laufe eines Jahres in Tage und sogar Wochen umwandeln.
Mechanismus der Produktreaktion
EPR-Produkte setzen ihre Reaktionsmechanismen ein, um Eindringlinge, die in die geschützte Umgebung eingedrungen sind, zu bekämpfen. Von einem EPR-Produkt wird zumindest erwartet, dass es die Korrelation von Endpunkten, Prozessen und Netzwerkkommunikation sowie die Korrelation von externen IOCs mit der internen Umgebung ermöglicht. Die EDR-Fähigkeiten wurden anhand der Erkennungs- und Reaktionsfähigkeiten des Produkts getestet und untersucht. Wir waren in der Lage, die Ereignisse zu untersuchen, die mit den verschiedenen Schritten korrelierten, die der Angreifer bei seinem Versuch, in die Umgebung einzudringen, unternahm.
Das EPR-Produkt sollte eine vollständige Sichtbarkeit der bösartigen Artefakte/Vorgänge ermöglichen, aus denen die Angriffskette besteht, so dass alle reaktionsbasierten Aktivitäten leicht durchgeführt werden können. Das bedeutet, dass jede Form von vorgesehenem Abhilfemechanismus im Produkt verfügbar ist (Response Enablement) und dieser Mechanismus unten angezeigt wird. Bitte beachten Sie, dass die unten gezeigten Funktionen nur für das spezifische Produkt/die Version gelten, die in diesem Test verwendet wurde. Möglicherweise bietet ein Anbieter zusätzliche Funktionen als Add-on oder in einem anderen Produkt an.
Verwaltung: Sichtbarkeit von Bedrohungen, Systemsichtbarkeit und gemeinsame Nutzung von Daten
Die Fähigkeit, Bedrohungskontext bereitzustellen, ist eine Schlüsselkomponente eines EPR-Produkts. Diese Transparenz kann entscheidend sein, wenn Unternehmen entscheiden, ob sie eine bestehende Technologie ergänzen oder ersetzen wollen. Die Verwaltungskonsole kann als physische Appliance, virtuelle Appliance oder Cloud-basierte Appliance implementiert werden. In der Verwaltungskonsole ist eine vollständige Aufzeichnung der Audit-Protokolle verfügbar. Die Kommunikation zwischen dem Agenten und der Verwaltungskonsole erfolgt über SSL. Die folgenden Tabellen enthalten Informationen zu den jeweiligen Funktionen der getesteten Produkte.
EPR-Produktberichtsfunktionen
Eine EPR-Plattform sollte in der Lage sein, Daten zu vereinheitlichen, d. h. Informationen aus unterschiedlichen Quellen zusammenzuführen und sie in ihrer eigenen Benutzeroberfläche als kohärentes Bild der Situation zu präsentieren. Die technische Integration mit dem Betriebssystem und Anwendungen von Drittanbietern (Syslog, SIEM oder über API) ist dabei ein wichtiger Bestandteil. Ein EPR-System sollte in der Lage sein, dem Unternehmen angemessene Reaktionsmöglichkeiten zu bieten.
IOC-Integration
Damit soll der digitale Fußabdruck identifiziert werden, anhand dessen die böswillige Aktivität auf einem Endpunkt/Netzwerk erkannt werden kann. Wir werden diesen Anwendungsfall untersuchen, indem wir uns die Fähigkeit des EPR-Produkts ansehen, externe IOCs einschließlich Yara-Signaturen oder Threat Intelligence Feeds usw. zu verwenden, wie in der folgenden Tabelle dargestellt.
Unterstützungsfunktionen
Kostenlose, grundlegende menschliche Unterstützung für den Einsatz: Das bedeutet, dass Sie in Echtzeit mit einem Mitarbeiter des Supports kommunizieren können, der Sie durch den Einrichtungsprozess führt und alle grundlegenden Fragen sofort beantworten kann, die Sie haben. Natürlich bieten viele Anbieter stattdessen/zusätzlich Benutzerhandbücher, Videos und (kostenpflichtige) Premium-Supportdienste für die Bereitstellung an.
Professionell unterstützte Ausbildung:
Dazu gehört jede Form der interaktiven Schulung mit einem Ausbilder. Bei einigen Anbietern ist die professionelle Schulung in der Lizenzgebühr für 5.000 Kunden enthalten, während andere dafür zusätzliche Gebühren verlangen. Einige andere Anbieter bieten möglicherweise nur Videos und andere Online-Materialien für die Selbstschulung an.
Im dynamischen Bereich der Cybersicherheit benötigen IT-Sicherheitsexperten ein tiefes Verständnis von Antiviren- (AV/EPP) und Endpunkt-Erkennungs- und Reaktionssystemen (EDR), die für umfassende Verteidigungsstrategien entscheidend sind. Ein wichtiger Aspekt ist das Verständnis dafür, wie verschiedene AV- und EDR-Systeme wichtige Technologien implementieren. Die folgenden Informationen bieten einen umfassenden Überblick über diese Technologien und verdeutlichen ihre Bedeutung in der sich ständig verändernden Cybersicherheitslandschaft. Diese Technologien umfassen das Antimalware Scan Interface (AMSI), User-Mode Hooking, Callbacks und Kernel-Treiber.
- Antimalware Scan Interface (AMSI):
AMSI in Windows ist ein API-Set, das für eine verbesserte Malware-Erkennung entwickelt wurde. Es ist in Komponenten wie PowerShell, Windows Script Host und .NET integriert und fängt Skripte nach der Entschleierung zur Laufzeit ab. AMSI kommuniziert direkt mit der Antimalware-Lösung des Systems und leitet Inhalte zur Analyse weiter. Als Schnittstelle ist es unabhängig vom jeweiligen Antimalware-Anbieter. Die Integration gewährleistet die Erkennung von Bedrohungen in Echtzeit, selbst bei dynamisch ausgeführten Inhalten.
-
User-Mode Hooking: User-Mode-Hooking fängt Funktionsaufrufe in Prozessen auf Anwendungsebene in Windows ab. Durch Überschreiben des Starts einer Funktion werden die Aufrufe an eine benutzerdefinierte Funktion weitergeleitet. Ein EDR könnte zum Beispiel die Funktion CreateFileW in kernel32.dll und leitet sie auf ihre eigene DLL um. Wenn eine Anwendung die CreateFileWWenn Sie den Anruf nicht annehmen, wird er zunächst von der EDR-Funktion verarbeitet, die eine Echtzeitüberwachung oder Einschränkungen ermöglicht, bevor der ursprüngliche Anruf fortgesetzt wird.
-
Callbacks: EPP/EDR-Lösungen nutzen Kernel-Callback-Routinen für eine umfassende Systemüberwachung. Diese Routinen benachrichtigen registrierte Callbacks, wenn bestimmte Betriebssystemereignisse auftreten. Durch das Abgreifen dieser Ereignisse beobachten EPPs/EDRs das Systemverhalten in Echtzeit. So kann ein EPP/EDR beispielsweise Ereignisse bei der Prozesserstellung überwachen. Wenn ein neuer Prozess startet, prüft der Callback dessen Details und Herkunft. Auf diese Weise kann die EPP/EDR potenzielle Bedrohungen schnell erkennen, bewerten und auf sie reagieren.
- Kernel-Treiber: EPP/EDR-Lösungen nutzen Kernel-Treiber, um sich tief in das Betriebssystem zu integrieren und fortschrittliche Bedrohungen abzuwehren. Minifilter-Treiber, die Teil des Windows Filter Managers sind, ermöglichen es EPP/EDR-Tools, Vorgänge in Dateien und Datenströmen zu überwachen, zu ändern oder zu blockieren. Dies ist entscheidend für Echtzeit-Scans und Zugriffsbeschränkungen. ELAM-Treiber (Early Launch Anti-Malware) hingegen starten bereits während des Bootvorgangs und stellen sicher, dass nur legitime, signierte Treiber geladen werden, wodurch verhindert wird, dass Rootkits oder Bootkits das System kompromittieren. Insgesamt gewährleisten diese Treiber einen umfassenden Schutz vom Hochfahren bis zum Betrieb des Systems.
Diese Informationen liefern IT-Sicherheitsexperten wertvolle Erkenntnisse, um fundierte Entscheidungen über Cybersicherheitslösungen zu treffen. Ganz gleich, ob Sie ein umfassendes Verständnis oder ein schnelles Nachschlagewerk benötigen, diese Erkenntnisse helfen Ihnen, sich in der komplexen Welt der IT-Sicherheit zurechtzufinden.
Es ist wichtig, darauf hinzuweisen, dass dies nur einige der Technologien sind, die in der modernen Cybersicherheit eingesetzt werden, und dass andere ebenfalls zum Arsenal von IT-Sicherheitsexperten gehören können. Das Fehlen oder Vorhandensein einer bestimmten Technologie bedeutet nicht unbedingt, dass ein Produkt schlechter oder besser ist. Die Wirksamkeit einer Cybersicherheitsstrategie hängt von ihrem ganzheitlichen Ansatz und ihrer Anpassungsfähigkeit an sich entwickelnde Bedrohungen ab. Die aufgeführten Daten wurden von den Anbietern überprüft und zur Verfügung gestellt.
In Unternehmensumgebungen und bei Unternehmensprodukten im Allgemeinen ist es üblich, dass die Produkte vom Systemadministrator gemäß den Richtlinien des Herstellers konfiguriert werden. Daher haben wir die Hersteller gebeten, uns zu bitten, alle gewünschten Änderungen an der Standardkonfiguration ihrer jeweiligen Produkte vorzunehmen. Die in diesem Test vorgestellten Ergebnisse wurden nur durch die Anwendung der jeweiligen Produktkonfigurationen wie hier beschrieben erzielt.
Die Konfigurationen wurden zusammen mit den Technikern der jeweiligen Anbieter während der Einrichtung vorgenommen. Diese Konfiguration ist typisch für Unternehmen, die über eigene Sicherheitsteams verfügen, die sich um ihre Verteidigungsmaßnahmen kümmern. Bei Produkten dieser Art ist es üblich, dass die Experten der Hersteller die Unternehmen bei der Einrichtung und Konfiguration unterstützen, die für die jeweilige Art von Unternehmen am besten geeignet ist.
Nachfolgend sind die relevanten nicht standardmäßigen Einstellungen aufgeführt (d. h. die Einstellungen, die vom Hersteller für diesen Test verwendet werden).
Bitdefender: "Advanced Threat Control", "Advanced Anti-Exploit", "Firewall", "Network Content Control", "Network Attack Defense" und "EDR Sensor" wurden aktiviert. Der "Scan-Modus" wurde auf "Lokaler Scan" eingestellt. "Relay Server" und "Standard Update Server" wurden gelöscht. "Update Ring" wurde auf "Fast Ring" eingestellt. "On-access Scanning" für Archive größer als 100MB wurde mit Tiefe 16 aktiviert. Die Einstellung "AMSI" und "Analyseergebnisse an AMSI melden" wurden aktiviert. "Ransomware Mitigation" und "Email Traffic Scan" wurden aktiviert. "HyperDetect" wurde aktiviert und auf "Blockieren" (für das Netzwerk) und auf "Desinfizieren" (für Dateien) eingestellt. Die "Schutzstufe" wurde für alle Einstellungen von "HyperDetect" auf "Aggressiv" gesetzt. "Scan SSL" und "Sandbox Analyzer" wurden aktiviert und auf "Blockieren" gesetzt.
Check Point: Bei "Web- und Dateischutz" und "Verhaltensschutz" war alles auf "Verhindern" eingestellt. In den "Erweiterten Einstellungen" war "Dateisanierung" auf "Quarantäne" und "Beenden" eingestellt. Der "Anti-Exploit-Modus" war auf "Verhindern" eingestellt. Unter "Analyse und Behebung" wurde der "Schutzmodus" auf "Immer", "Bedrohungsjagd aktivieren" auf "Ein" und "Angriffsbehebung" auf "Mittel und Hoch" gesetzt. Alle Einstellungen wurden auf "Verbundener Modus" gesetzt.
CrowdStrike: "Identitätsschutz" wurde aktiviert; in "Next-Gen SIEM" wurde ein Workflow erstellt, um Geräte einzuschließen und sie zur Überwachungsliste hinzuzufügen, wenn die Identität mit einem Schweregrad größer oder gleich "Niedrig" kompromittiert wurde. "Die Überprüfung des Authentifizierungsverkehrs wurde aktiviert.
ESET: Alle Einstellungen für "Echtzeitschutz und maschinelles Lernen", "Potenziell unerwünschte Anwendungen", "Potenziell unsichere Anwendungen" und "Verdächtige Anwendungen" wurden auf "Aggressiv" gesetzt. "Laufzeit-Packer" und "Erweiterte Heuristik" wurden für "ThreatSense" aktiviert. Unter "Cloud-basierter Schutz" wurden "LiveGuard", "LiveGrid Feedback System" und "LiveGrid Reputation System" auf "Ein" gesetzt. Die "Erkennungsschwelle" für "LiveGuard" wurde auf "Verdächtig", der "Proaktive Schutz" auf "Ausführung blockieren bis zum Erhalt des Analyseergebnisses" und die "Maximale Wartezeit auf das Analyseergebnis" auf "5 min" gesetzt. "Automatische Übermittlung verdächtiger Proben" für alle Dateitypen aktiviert. In "ESET Inspect" waren alle Erkennungsregeln und Ausschlüsse aktiviert, mit Ausnahme der "optionalen" Regeln.
Kaspersky: Das "Kaspersky Security Network (KSN)" wurde aktiviert. Die "Adaptive Anomaly Control" war deaktiviert. Die Sandbox-Funktion war nicht aktiviert.
Palo Alto Networks: Unter "Agent-Einstellungen", in "XDR Pro Endpunkte", wurden "XDR Pro Endpunkt-Funktionen" aktiviert. Unter "Malware-Profil" wurden "Untersuchung von Portable Executables und DLLs", "Schutz vor Verhaltensbedrohungen" und "Schutz vor Ransomware" auf "Quarantäne" gesetzt. Die Option "Grayware als Malware behandeln" wurde aktiviert.
VIPRE: "IDS" aktiviert und auf "Blockieren mit Benachrichtigung" eingestellt. "Firewall" aktiviert. "AMSI" aktiviert und auf "Blockieren und desinfizieren" eingestellt. "Behandlung inkompatibler Software" deaktiviert.
Anbieter A - E: Es wurden andere Einstellungen als die Standardwerte verwendet.
Endpoint Prevention Response im Vergleich zum MITRE ATT&CK Framework
Dieser EPR-Produktbericht ist eine umfassende Validierung der Funktionen, der Produktwirksamkeit und anderer relevanter Metriken, die Sie bei Ihrer Risikobewertung unterstützen. Es wurden insgesamt 50 Szenarien mit realen Anwendungsfällen in Unternehmen durchgeführt. Diese Szenarien umfassten mehrere Präventions- und Erkennungs-Workflows, die unter normalen Betriebsbedingungen von verschiedenen Benutzer-Personas ausgeführt wurden. Die Ergebnisse der Validierung lassen sich effizient und effektiv auf die MITRE ATT&CK® Plattform (© 2015-2024, The MITRE Corporation. MITRE ATT&CK und ATT&CK sind eingetragene Marken der MITRE Corporation) und der NIST-Plattform zuordnen, so dass es einfacher wird, das Risiko in Bezug auf einen bestimmten Endpunkt zu operationalisieren.
Überblick über den Enterprise EPR Workflow
AV-Comparatives hat einen Paradigmenwechsel in der Branche herbeigeführt, indem es eine reale EPR-Methodik definiert hat, die die alltäglichen Anwendungsfälle und Arbeitsabläufe in Unternehmen widerspiegelt und für die Abbildung der Kill-Chain-Sichtbarkeit im MITRE ATT&CK-Framework verwendet wird.
Wie in der Grafik auf der nächsten Seite dargestellt, haben wir uns von "atomaren" Tests, d. h. Tests, die nur eine bestimmte Komponente des ATT&CK-Frameworks untersuchen, entfernt und stattdessen die EPR-Produkte im Kontext der gesamten Angriffskette bewertet, wobei die Arbeitsabläufe in jeder Phase von der anfänglichen Ausführung bis zur endgültigen Datenexfiltration/Sabotage miteinander verbunden sind.
Bitte beachten Sie die folgenden Hinweise Artikel um mehr über die Unterschiede zwischen dem AV-Comparatives EPR Test und dem MITRE ATT&CK Engenuity Test zu erfahren.
EPR-Prüfungsablauf
Die nachstehende Grafik gibt einen vereinfachten Überblick über das verwendete Prüfverfahren:
Unternehmen EPR Arbeitsablauf Überblick
Prävention (aktive Reaktion)
Die beste Art und Weise, auf eine Bedrohung zu reagieren, besteht darin, sie so schnell wie möglich zu verhindern und effektiv darüber zu berichten. AV-Comparatives definiert Prävention als eine automatisierte, aktive Reaktion, die rund um die Uhr, 365 Tage im Jahr, ohne menschliches Eingreifen, aber mit quantifizierbaren Metriken und Berichtsdatenpunkten, die für eine effektive Analyse genutzt werden können, einsetzt.
Ein EPR-Produkt sollte in der Lage sein, eine Bedrohung auf einem kompromittierten Computer zunächst zu erkennen und zu verhindern. Der Vorfall sollte von einem zentralen Verwaltungssystem aus erkannt, identifiziert, korreliert und durch eine wirksame passive Reaktionsstrategie (teilweise/vollständig automatisiert) behoben werden, idealerweise in Echtzeit. Darüber hinaus sollte der Systemadministrator in der Lage sein, eine Bedrohung auf der Grundlage der gesammelten und analysierten Daten zu klassifizieren und einzuteilen, und er sollte in der Lage sein, eine Reaktion mit Hilfe des EPR-Produkts mit einem spezifischen Workflow abzuschließen.
Eine aktive Reaktion, wie sie in diesem Test definiert wird, ist eine wirksame Reaktionsstrategie, die eine Erkennung mit wirksamen Präventions- und Berichtsfunktionen verbindet. Dies alles sollte auf automatisierte Weise und ohne manuelles Eingreifen geschehen. Dies kann durch eine Vielzahl von Technologien und Mechanismen geschehen, z. B.: signaturbasierte Modelle, verhaltensbasierte Modelle, ML-basierte Modelle, Transaktions-Rollbacks, isolationsbasierte Mechanismen usw. Diese Definition ist technologieunabhängig, da sie sich auf die Ergebnisse der verschiedenen Arbeitsabläufe und Szenarien der Systemadministratoren konzentriert und nicht auf die Technologie, die zur Vorbeugung, Erkennung oder Reaktion darauf eingesetzt wird.
Erkennung (Passive Reaktion)
Passive Reaktion, wie sie in diesem Test definiert wird, ist eine Reihe von Reaktionsmechanismen, die das Produkt mit kohärenten Erkennungs-, Korrelations-, Berichts- und Aktionsfähigkeiten bietet. Sobald sich ein Angreifer bereits in der Unternehmensumgebung befindet, kommen herkömmliche Reaktionsmechanismen zum Einsatz, z. B. IOC- und IOA-Korrelation, externe Bedrohungsinformationen und Jagd. AV-Comparatives definiert diese Reaktionsmechanismen als Passive Response. Die Voraussetzung für eine passive Reaktion ist die Erkennung einer potenziellen Bedrohung durch EPR-Produkte.
Von EPR-Produkten wird in der Regel erwartet, dass sie anfängliche und laufende Angriffe verhindern, ohne eine Triage vornehmen zu müssen, und gleichzeitig aktive Reaktions- und Berichtsfunktionen bieten. Wird der Angriff verpasst oder nicht verhindert, sollten EPR-Produkte in der Lage sein, Angriffe zu bewerten und darauf zu reagieren, wodurch die Ressourcen (Personal/Automatisierung) weniger belastet werden und langfristig eine bessere Rendite erzielt wird.
Die Bandbreite der verfügbaren Reaktionsmöglichkeiten eines EPR-Produkts ist äußerst wichtig für Unternehmen, die Bedrohungen/Kompromittierungen auf mehreren Rechnern an mehreren Standorten überprüfen müssen. Ein EPR-Produkt sollte in der Lage sein, anhand der dem Systemadministrator zur Verfügung gestellten Informationsdaten nach bestimmten Bedrohungen zu suchen. Sobald die Bedrohungen identifiziert sind, sollte der Systemadministrator in der Lage sein, mit dem EPR-Produkt Reaktionen auf der Grundlage der Art der Infektion einzuleiten. AV-Comparatives erwartet, dass EPR-Produkte nicht-automatische oder halbautomatische passive Reaktionsmechanismen haben.
Korrelation von Prozess, Endpunkt und Netzwerk
Das EPR-Produkt sollte in der Lage sein, Bedrohungen auf eine oder mehrere der folgenden Arten zu erkennen und darauf zu reagieren:
Überblick über die EPR-Validierung
AV-Comparatives hat die folgende Topologie und Metrik entwickelt, um die Fähigkeiten von Endpoint Prevention and Response (EPR)-Produkten genau zu bewerten.
Überblick über den Enterprise EPR Workflow
Die EPR-Produkte aller getesteten Anbieter wurden im Standalone-Modus implementiert und bewertet, wobei jeder Anbieter aktiv an der anfänglichen Einrichtung, Konfiguration und den Baselining-Aspekten beteiligt war. AV-Comparatives bewertete eine Liste von 50 Szenarien, wie sie häufig von Analysten und Unternehmen gefordert werden, wobei mehrere unternehmensbezogene Anwendungsfälle im Vordergrund standen. Jeder Anbieter durfte sein eigenes Produkt in dem Maße konfigurieren, wie es Unternehmen beim Einsatz in ihrer Infrastruktur tun können. Die Einzelheiten der Konfigurationen sind am Anfang dieses Berichts aufgeführt.
Da diese Methodik auf die Präventions-, Erkennungs- und Reaktionsfähigkeiten zugeschnitten ist, haben alle Anbieter ihre Präventions- und Schutzfähigkeiten (Fähigkeit zum Blockieren) sowie die Erkennungs- und Reaktionsfähigkeiten aktiviert, so dass sie die realen Fähigkeiten dieser Produkte auf Unternehmensebene nachahmen.
Die Tests unterstützten EPR-Produktaktualisierungen und Konfigurationsänderungen, die über die Cloud-Management-Konsole oder den lokalen Netzwerkserver vorgenommen wurden. Wir haben so weit wie möglich alle Testszenarien von Anfang bis Ende durchlaufen und ausgeführt.
Ziel des Tests
Die folgende Bewertung wurde durchgeführt, um zu überprüfen, ob das EPR-Endpunktsicherheitsprodukt in der Lage ist, auf jedes Szenario angemessen zu reagieren.
- In welcher Angriffsphase fand die Verhinderung/Erkennung statt? Phase 1 (Endpoint Compromise and Foothold), Phase 2 (Internal Propagation) oder Phase 3 (Asset Breach)?
- Hat uns das EPR-Produkt eine angemessene Bedrohungsklassifizierung und Bedrohungseinstufung geliefert und einen genauen Bedrohungszeitplan der Angriffe mit relevanten Endpunkt- und Benutzerdaten aufgezeigt?
- Entstanden durch das EPR-Produkt zusätzliche Kosten aufgrund von unzureichender operativer Genauigkeit oder Verzögerungen im Arbeitsablauf?
Gezielte Use-Cases
Bei der emulierten Ereignisfolge handelte es sich um ein unternehmensbasiertes Szenario, bei dem der Benutzer auf Systemebene eine Datei in einem E-Mail-Anhang erhielt und sie ausführte. In einigen Fällen waren die E-Mails harmlos, in anderen wiederum nicht. Wenn die bösartigen E-Mail-Anhänge erfolgreich ausgeführt wurden, konnte ein Angreifer in der Umgebung Fuß fassen und weitere Schritte unternehmen, um seine Ziele zu erreichen.
Während der Tests haben wir uns in das EPR-Produktmanagement und die einzelnen Konsolen der Testsysteme eingeloggt, um zu beobachten, zu analysieren und zu dokumentieren, welche Art von Aktivität vom Produkt aufgezeichnet wird. Gibt es zum Beispiel bei einem Angriff irgendwelche Warnungen oder Ereignisse, und handelt es sich dabei um echte Positiv- oder Negativmeldungen?
Bei echten positiven Alarmen haben wir außerdem untersucht, ob die anschließende Reaktion in Form von Ereigniskorrelation, Triagen, Bedrohungsklassifizierung und Bedrohungszeitplan dem Systemadministrator zeitnah und klar zur Verfügung gestellt wurde. Wir testeten die von den getesteten Produkten zur Verfügung gestellten Antworten.
Der Test wurde im Sommer 2024 durchgeführt, wobei der Angreifer sich durch die Angriffsknoten bewegte, um schließlich sein Ziel zu erreichen. Die Benutzeraktivitäten wurden während des gesamten Tests simuliert, so dass sie einer realen Umgebung so nahe wie möglich kamen.
Alle Angriffe wurden mit Open-Source- und kommerziellen Tools/Frameworks erstellt und wurden mit internem Fachwissen entwickelt. Der Grund, warum wir commercial C2 frameworks ist, dass diese häufig von Angreifern in realen APTs missbraucht werden; sie nicht zu verwenden, würde einen "blinden Fleck" verursachen und zu einem falschen Sicherheitsgefühl führen. Aufgrund von Lizenzvereinbarungen haben wir Maßnahmen ergriffen, um zu verhindern, dass von kommerziellen C2-Frameworks erstellte Samples an die EPR-Anbieter weitergegeben werden. Diese Beschränkungen sollen verhindern, dass sich die Anbieter auf die Tools und nicht auf die Techniken konzentrieren.
Zur Veranschaulichung des Testverfahrens geben wir im Folgenden ein Beispiel dafür, wie ein typischer gezielter Angriff ablaufen könnte. Der Angreifer sendet eine Skript-Nutzlast (die einige Verteidigungsumgehungstechniken wie DLL-Sideloading enthält) über eine Phishing-Mail an Netzwerkbenutzer A auf Arbeitsstation A. Nachdem er mit dem Benutzerkonto A im Zielnetz Fuß gefasst hat, wird eine interne Erkundung durchgeführt. Dies beinhaltet die Auflistung von Benutzerrechten, Benutzergruppen, installierten Sicherheitsprodukten usw. Dabei zeigt sich, dass das kompromittierte Benutzerkonto A Zugriff auf die C$-Freigabe auf Arbeitsstation B hat, was bedeutet, dass das Konto über lokale Administratorrechte auf dieser Arbeitsstation verfügt. Mit dem aus der internen Erkennung gewonnenen Wissen bewegt sich der Angreifer seitlich von Arbeitsstation A zu Arbeitsstation B. Anschließend setzt er die interne Erkennung auf Arbeitsstation B fort. Dadurch findet er die offene Benutzersitzung eines Netzwerkadministrators auf Arbeitsstation B. Um dies auszunutzen, führt der Angreifer den LSASS-Prozess aus und kann so die Anmeldeinformationen des Administrators stehlen. Auf diese Weise findet er heraus, dass das kompromittierte Administratorkonto Zugriff auf Server 1 hat. Der Angreifer verwendet dann dieses kompromittierte Administratorkonto, um sich seitlich von Arbeitsstation B zu Server 1 zu bewegen und diesen Server dann zu kompromittieren. Hier führt er weitere interne Erkundungen durch und nutzt auch einige Techniken zur Umgehung der Verteidigung, um das installierte Sicherheitsprodukt zu umgehen (z. B. durch Patchen von AMSI und ETW). Am Ende dieser Prozedur sind sie in der Lage, Kreditkartendaten auf Server 1 zu identifizieren, die sie über einen offenen C2-Kanal extrahieren.
Über diesen Test
AV-Comparatives' Endpoint Prevention and Response (EPR)-Test stellt den Gipfel der Komplexität und Herausforderung im Bereich der Bewertung von Sicherheitsprodukten für Unternehmen dar. Die Nennung des Produkts im vergleichenden EPR-Hauptbericht liegt im Ermessen des Anbieters. Einige Unternehmen, vor allem solche, die stark vom Marketing abhängig sind, können sich dafür entscheiden, anonym zu bleiben, wenn ihre Produkte die Erwartungen, die sie in diesem strengen und realistischen Test vermarktet haben, nicht erfüllen. Wir haben die Produkte mit den von den Anbietern vorgeschlagenen Konfigurationen getestet und diese gemeinsam mit den Anbietern vor Testbeginn überprüft.
Unser Fachwissen: Wir haben unser Fachwissen in zwei Jahrzehnten verfeinert, um präzise Bewertungen von Sicherheitslösungen zu liefern. Im Gegensatz zu einigen Nachahmungen, die von anderen Testlabors versucht werden, ist unser Test dank unserer Erfahrung in der Lage, ein genaues Bild der Fähigkeiten zu liefern.
Komplexität und Realismus: Dieser anspruchsvolle Test spiegelt realistische Szenarien wider, ist jedoch aufgrund seiner Komplexität manuell durchzuführen und daher kostenintensiv. Die Methodik konzentriert sich auf Präventions- und Reaktionsfähigkeiten. Den Anbietern wird empfohlen, Präventions- und Schutzfunktionen zu aktivieren und die Erkennung effektiv zu konfigurieren, während gleichzeitig hohe Kosten aufgrund von unzureichender operativer Genauigkeit oder Verzögerungen im Arbeitsablauf vermieden werden. Die Kosten, die durch unzureichende operative Genauigkeit und Verzögerungen im Arbeitsablauf entstehen, werden berücksichtigt. Außerdem ist die telemetriebasierte Bedrohungsjagd nicht Gegenstand dieses Tests.
Umfassende Bewertung: Die Testphasen bestehen aus Angriffstaktiken, denen Unternehmen üblicherweise begegnen. Unser EPR-Test deckt die gesamte Angriffskette ab und umfasst reale Angriffstaktiken und -techniken, vom anfänglichen Eindringen und der internen Ausbreitung bis hin zur Datenexfiltration und dem tatsächlichen Schaden für das Zielsystem oder -netzwerk.
Bedingungen in der realen Welt: Um die Integrität der Bewertung zu wahren, wurden die Anbieter nicht im Voraus über den genauen Testzeitpunkt oder die Angriffsspezifikationen informiert, um reale Bedingungen zu simulieren, unter denen Angreifer ohne Vorwarnung zuschlagen. Folglich müssen die Produkte einen kontinuierlichen Schutz gewährleisten und dürfen nicht nur für Bewertungszwecke optimiert werden.
Test-Szenarien: Wir erstellen Testszenarien unter Verwendung öffentlich zugänglicher Cyber Threat Intelligence um die aktuelle Bedrohungslandschaft widerzuspiegeln. Diese Szenarien werden dann einem Spektrum von ATT&CK-Techniken zugeordnet, um verschiedene Aktionen zu simulieren und wertvolle Erkenntnisse über die Wirksamkeit des Produkts gegen komplexe Angriffe zu gewinnen. Wir haben 50 Testszenarien verwendet, die sich an den Taktiken und Techniken von verschiedenen APT-Gruppen(z. B. APT3, APT41, Ke3chang, Threat-Group-3390), Russland (z. B. APT28, APT29, Sandworm, Turla, WizardSpider), Iran (z. B. APT33, APT39, OilRig), Nordkorea (z. B. APT37, APT38, Kimsuky) und anderen (z. B. Carbanak, FIN6, FIN7) zugeschrieben werden. Bitte beachten Sie, dass unsere Testszenarien von diesen APT-Gruppen inspiriert sind, ohne ihre Aktionen zu replizieren (und auch nicht auf sie beschränkt sind), obwohl es Überschneidungen bei den verwendeten Techniken, Untertechniken und Tools geben kann.
Umfassende Einsichten: Um ein Gesamtbild der Schutz- und Reaktionsfähigkeiten eines der getesteten EPR-Produkte zu erhalten, können die Leser hier zusätzlich die Ergebnisse weiterer Tests einsehen: AV-Comparatives' Enterprise Main-Test Series.
Copyright und Haftungsausschluss
Diese Veröffentlichung ist Copyright © 2024 von AV-Comparatives ®. Jegliche Verwendung der Ergebnisse, etc. im Ganzen oder in Teilen, ist NUR nach ausdrücklicher schriftlicher Zustimmung der Geschäftsführung von AV-Comparatives vor einer Veröffentlichung erlaubt. AV-Comparatives und seine Tester können nicht für Schäden oder Verluste haftbar gemacht werden, die sich aus der Verwendung der in diesem Dokument enthaltenen Informationen ergeben könnten. Wir bemühen uns mit aller Sorgfalt um die Richtigkeit der Basisdaten, eine Haftung für die Richtigkeit der Testergebnisse kann jedoch von keinem Vertreter von AV-Comparatives übernommen werden. Wir übernehmen keine Gewähr für die Richtigkeit, Vollständigkeit oder Eignung für einen bestimmten Zweck der zu einem bestimmten Zeitpunkt bereitgestellten Informationen/Inhalte. Niemand, der an der Erstellung, Produktion oder Lieferung von Testergebnissen beteiligt ist, haftet für indirekte, besondere oder Folgeschäden oder entgangenen Gewinn, die sich aus der Nutzung oder der Unmöglichkeit der Nutzung der auf der Website angebotenen Dienste, Testdokumente oder damit zusammenhängenden Daten ergeben oder damit zusammenhängen.
Für weitere Informationen über AV-Comparatives und die Testmethoden besuchen Sie bitte unsere Website.
AV-Comparatives
(September 2024)