Diese Website verwendet Cookies, um Ihnen die bestmögliche Nutzung unserer Website zu ermöglichen.
Bitte beachten Sie, dass Sie durch die weitere Nutzung dieser Website den Bedingungen unserer Privacy and Data Protection Policy zustimmen.
Akzeptieren

Enhanced Real-World Test 2020 – Enterprise

Datum November 2020
Sprache Deutsch
Letzte Revision 4. Dezember 2020

Advanced Threat Protection - Gezielte Angriffe, Exploits und dateilose Bedrohungen


Datum der Veröffentlichung 2020-12-08
Datum der Überarbeitung 2020-12-04
Prüfzeitraum September - November 2020
Anzahl der Testfälle 15
Online mit Cloud-Konnektivität checkbox-checked
Update erlaubt checkbox-checked
False Alarm Test inklusive checkbox-checked
Plattform/OS Microsoft Windows

Einführung

"Advanced Persistent Threat" (fortgeschrittene anhaltende Bedrohung) ist ein Begriff, der allgemein verwendet wird, um einen gezielten Cyberangriff zu beschreiben, bei dem eine Reihe komplexer Methoden und Techniken eingesetzt wird, um in Informationssysteme einzudringen. Die verschiedenen Ziele solcher Angriffe können darin bestehen, vertrauliche Informationen zu stehlen/auszutauschen/zu beschädigen oder Sabotagefähigkeiten aufzubauen, wobei letzteres zu einer finanziellen Schädigung und einer Schädigung des Ansehens der betroffenen Organisationen führen kann. Solche Angriffe sind sehr zielgerichtet, und in der Regel werden hochspezialisierte Tools eingesetzt. Zu den eingesetzten Tools gehören stark verschleierter Schadcode, die böswillige Verwendung gutartiger Systemtools und nicht dateibasierter Schadcode.

In unserem Advanced Threat Protection Test (Enhanced Real-World Test) verwenden wir Hacking- und Penetrationstechniken, die Angreifenden den Zugriff auf interne Computersysteme ermöglichen. Diese Angriffe lassen sich in die Cybersecurity Kill Chain von Lockheed Martin und sieben verschiedene Phasen unterteilen - jede mit einzigartigen IOCs (Indicators of Compromise) für die Opfer. Alle unsere Tests verwenden eine Teilmenge der TTP (Tactics, Techniques, Procedures), die in der MITRE ATT&CK Frameworkgelistet sind. Ein False Alarm Test ist ebenfalls in dem Bericht enthalten.

Bei den Tests wird eine Reihe von Techniken und Ressourcen eingesetzt, die die in der realen Welt verwendete Malware nachahmen. Einige Beispiele dafür sind hier aufgeführt. Wir setzen Systemprogramme ein, um die signaturbasierte Erkennung zu umgehen. Es werden gängige Skriptsprachen (JavaScript, Batch-Dateien, PowerShell, Visual Basic-Skripte usw.) verwendet. Die Tests umfassen sowohl inszenierte als auch nicht inszenierte Malware-Samples und setzen eine Verschleierung und/oder Verschlüsselung des schadhaften Codes vor der Ausführung ein (Base64, AES). Für die Verbindung zum Angreifenden werden verschiedene C2-Channels verwendet (HTTP, HTTPS, TCP). Es werden bekannte Exploit-Frameworks verwendet (Metasploit Framework, Meterpreter, PowerShell Empire, Puppy usw.).

Um das Zielsystem darzustellen, verwenden wir vollständig gepatchte 64-Bit-Windows-10-Systeme, auf denen jeweils ein anderes AV-Produkt installiert ist. In dem Enterprise-Test für Unternehmen hat die Zielgruppe ein Standard-Benutzerkonto. Im Consumer-Test für Privatanwender wird ein Administratorkonto das Ziel. Aus diesem Grund und aus anderen Gründen (z.B. möglicherweise unterschiedliche Einstellungen) sollten die Ergebnisse des Consumer-Tests nicht mit denen des Enterprise-Tests verglichen werden.

Sobald der Payload vom Opfer ausgeführt wird, wird ein Befehls- und Kontrollkanal (C2) zum System des Angreifenden geöffnet. Damit dies geschehen kann, muss auf der Seite des Angreifenden ein Listener ausgeführt werden. Dies könnte zum Beispiel ein Metasploit-Listener auf einem Kali Linux-System sein. Über den C2-Channel hat der Angreifende vollen Zugriff auf das kompromittierte System. Die Funktionalität und Stabilität dieses etablierten Zugriffs wird in jedem Testfall überprüft.

Der Test besteht aus 15 verschiedenen Angriffen. Er konzentriert sich derzeit auf den Schutz, nicht auf die Erkennung, und wird vollständig manuell durchgeführt. Obwohl das Testverfahren notwendigerweise komplex ist, haben wir es in diesem Bericht relativ einfach beschrieben. Dies entspricht dem Feedback der Leser und wir hoffen, dass es dadurch für ein breiteres Publikum verständlich wird.

Wir beglückwünschen alle Anbieter, die an dem Test teilgenommen haben, auch diejenigen, deren Produkte nicht die besten Ergebnisse erzielt haben, denn sie sind bestrebt, ihre Software zu verbessern.

Umfang des Tests

Der Advanced Threat Protection (ATP) Test untersucht, wie gut die getesteten Produkte vor ganz bestimmten gezielten Angriffsmethoden schützen. Er berücksichtigt nicht die allgemeine Sicherheit, die jedes Programm bietet, oder wie gut es das System vor Malware schützt, die aus dem Internet heruntergeladen oder über USB-Geräte eingeschleust wird.

Er sollte als Ergänzung zum Real-World Protection Test und zum Malware Protection Test betrachtet werden, nicht als Ersatz für diese beiden Tests. Folglich sollten die Leser auch die Ergebnisse der anderen Tests in unserer Main-Test Series berücksichtigen, wenn sie den Gesamtschutz eines einzelnen Produkts bewerten. Dieser Test konzentriert sich darauf, ob die Security-Produkte vor bestimmten Angriffs-/Ausbeutungstechniken schützen, die bei Advanced Persistent Threats verwendet werden. Leser, die über solche Angriffe besorgt sind, sollten die an diesem Test teilnehmenden Produkte in Betracht ziehen, deren Hersteller sich sicher waren, dass sie vor diesen Bedrohungen schützen können.

Unterschiede zwischen dem MITRE ATT&CK® Test und unser ATP-Test

Unser Advanced Threat Protection Test greift zwar auf Elemente des ATT&CK-Frameworks zurück, unterscheidet sich aber deutlich von dem ATT&CK-Test. Beim ATT&CK-Test werden hauptsächlich Enterprise Security-Produkte mit Ermittlungs- und Reaktionsfähigkeiten in Situationen bewertet, in denen die jeweiligen Anbieter den durchgeführten Angriff selbst aktiv und in Echtzeit überwachen. Dies wird manchmal auch als "red and blue team testing" bezeichnet. Der Schwerpunkt liegt auf der Erkennung und Protokollierung von Angriffsprozessen (Visibilität), der Warnmeldungen an Administratoren und der Bereitstellung von Daten zur Unterstützung manueller Maßnahmen zur Bedrohungsabwehr und -bekämpfung.

Für den ATT&CK-Test schalten die Hersteller ihre Produkte in den "log-only"-Modus, um so viel wie möglich über die Angriffskette herauszufinden. Solche Tests haben durchaus ihre Berechtigung und liefern wertvolle Daten. Der Schutz einzelner Systeme vor einer Infektion und damit vor System-/Datenschäden ist jedoch nicht das Hauptziel eines solchen Tests. Wir weisen auch darauf hin, dass ATT&CK-Test kein abschließendes Bewertungs- oder Rangsystem liefert, sondern Rohdaten für die Analyse bereitstellt.

Unser ATP-Test zielt hingegen darauf ab, festzustellen, wie gut ein Security-Produkt das System, auf dem es installiert ist, im täglichen Gebrauch schützt. Die entscheidende Frage ist, ob das Produkt das System vor dem Angriff schützt, wobei es nicht wichtig ist, welche Schutzkomponente den Angriff blockiert oder in welchem Stadium der Angriff gestoppt wird, solange das System nicht kompromittiert wird. Wir berücksichtigen in unserem Test auch die Fehlalarme.

Unterschiede zwischen unserem ATP-Test und unserem EPR-Test

Unser ATP-Test (Advanced Threat Protection) konzentriert sich auf den Schutz (im Gegensatz zur Erkennung oder Informationsbeschaffung). Das Stadium, in dem der Angriff abgeblockt wird, ist nicht relevant, solange das System letztendlich geschützt ist. Der ATP-Test wird sowohl für Verbraucher- als auch für Unternehmensprodukte durchgeführt und ist somit für alle Benutzer von Interesse. Daher haben wir versucht, ihn auch für Nicht-Experten leichter verständlich zu machen.

Unser EPR-Test (Endpoint Protection & Response) berücksichtigt hingegen, welche Stufe(n) ein Angriff erreicht, bevor er erkannt und blockiert wird. Außerdem werden alle Reaktionen und die Gesamtbetriebskosten berücksichtigt. Der EPR-Test gilt nur für Unternehmensprodukte und ist komplexer. Die Zielgruppe sind IT-Sicherheitsexperten in größeren Unternehmen.

Geprüfte Produkte

Die folgenden Anbieter haben an dem Test zum Schutz vor fortgeschrittenen Bedrohungen teilgenommen. Dies sind die Anbieter, die von den Schutzfunktionen ihrer Produkte gegen gezielte Angriffe überzeugt genug waren, um an diesem öffentlichen Test teilzunehmen.

Informationen über zusätzliche Engines/Signaturen von Drittanbietern, die von einigen der Produkte verwendet werden: Vipre verwendet die Bitdefender-Engine (zusätzlich zu ihren eigenen Schutzfunktionen).

Die meisten AV-Anbieter haben mit ihren jeweiligen EDR-Produkten nicht teilgenommen oder die EDR-Komponenten ihrer teilnehmenden Produkte deaktiviert (siehe Einstellungen unten). Dies lässt sich wie folgt erklären. Der ATP-Test für Unternehmen ist ein optionaler Zusatz zur Enterprise Main-Test Series. Wir verwenden das gleiche Produkt und die gleiche Konfiguration für alle Tests innerhalb einer Serie, und einige EDR-Funktionen können sich negativ auf die Performance und Fehlalarme auswirken.

Bitte beachten Sie, dass die erzielten Ergebnisse nur für die getesteten Produkte mit ihren jeweiligen Einstellungen gelten. Mit anderen Einstellungen (oder Produkten) können die Ergebnisse schlechter oder besser ausfallen.

Testverfahren

Skripte wie VBS, JS oder MS Office-Makros können ausgeführt werden, eine dateilose Hintertür auf den Systemen der Opfer installieren und damit einen Control-Channel (C2) zum Angreifer schaffen, der sich in der Regel an einem anderen physischen Ort und vielleicht sogar in einem anderen Land befindet. Abgesehen von diesen bekannten Szenarien ist es möglich, Malware über Exploits, Remote Aufrufe (PSexec, wmic), Task Scheduler, Registry-Entries, Arduino-Hardware (USB RubberDucky) und WMI-Aufrufe zu verbreiten. Dies kann mit integrierten Windows-Tools wie PowerShell erfolgen. Diese Methoden laden die eigentliche Malware direkt aus dem Internet in den Speicher des Zielsystems und breiten sich mit systemeigenen Tools weiter im lokalen Netzwerk aus. Auf diese Weise können sie sich sogar dauerhaft auf den Rechnern festsetzen. Der diesjährige Test verwendet keine "portable executable" (PE) Malware. Da sich die Art der Advanced Persistent Threats jedoch ständig weiterentwickelt, werden wir in Zukunft gegebenenfalls ein oder zwei Beispiele dieser Art einführen.

Dateilose Angriffe

Im Bereich der Malware gibt es viele (sich möglicherweise überschneidende) Klassifizierungskategorien, und es kann unter anderem zwischen dateibasierter und dateiloser Malware unterschieden werden. Seit 2017 ist eine deutliche Zunahme von dateilosen Bedrohungen zu verzeichnen. Ein Grund dafür ist die Tatsache, dass sich solche Angriffe aus Sicht der Angreifer als sehr erfolgreich erwiesen haben. Ein Faktor für ihre Effektivität ist die Tatsache, dass dateilose Threats nur im Speicher des kompromittierten Systems operieren, was es für Security-Lösungen schwieriger macht, sie zu erkennen.

Angriffsvektoren und -ziele

Bei Penetrationstests stellen wir fest, dass bestimmte Angriffsvektoren von Security-Programmen noch nicht ausreichend abgedeckt werden und viele gängige AV-Produkte immer noch keinen ausreichenden Schutz bieten. Einige Security-Produkte für Unternehmen haben sich in diesem Bereich verbessert und bieten in einigen Szenarien einen besseren Schutz. Wie bereits erwähnt, sind wir der Meinung, dass auch Consumer-Produkte ihren Schutz vor solchen böswilligen Angriffen verbessern müssen; auch Heimanwender können auf die gleiche Weise angegriffen werden. Jeder kann aus den unterschiedlichsten Gründen angegriffen werden, z.B. durch "Doxing" (Veröffentlichung vertraulicher persönlicher Informationen) als Racheakt. Ein Angriff auf Privatgeräte von Geschäftsleuten ist dabei ebenfalls ein naheliegender Weg, um an die Daten ihres Unternehmens zu gelangen.

Angriffsmethoden

Der Test zum Schutz vor fortgeschrittenen Bedrohungen umfasst auch verschiedene Befehlszeilen-Stacks, CMD/PS-Befehle, mit denen Malware aus dem Netz direkt in den Arbeitsspeicher heruntergeladen (staged) oder base64-kodiert aufgerufen werden kann. Mit diesen Methoden wird der Zugriff auf die Festplatte, die (normalerweise) gut von Security-Produkten geschützt wird, vollständig vermieden. Manchmal verwenden wir einfache Verschleierungsmaßnahmen oder ändern auch die Methode des Stager-Aufrufs. Sobald die Malware ihre zweite Stufe geladen hat, wird eine http/https-Verbindung zum Angreifer hergestellt. Dieser Inside-Out-Mechanismus hat den Vorteil, dass ein C2-Kanal zum Angreifer aufgebaut wird, der den Schutzmaßnahmen der meisten NAT- und Firewall-Produkte entgeht. Sobald der C2-Tunnel aufgebaut ist, kann der Angreifer alle bekannten Kontrollmechanismen der gängigen C2-Produkte (Meterpreter, PowerShell Empire, etc.) nutzen. Dazu gehören z.B. Datei-Uploads/Downloads, Screenshots, Keylogging, Windows Shell (GUI) und Webcam-Snapshots. Alle verwendeten Tools sind frei verfügbar. Ihr Quellcode ist offen und wurde zu Forschungszwecken erstellt. Allerdings missbrauchen Bösewichte diese Tools oft für kriminelle Zwecke.

False Positives (False Alarm) Test

Ein Security-Produkt, das 100% bösartige Angriffe blockiert, aber auch legitime (nicht schädliche) Aktionen blockiert, kann eine enorme Störung darstellen. Daher führen wir im Rahmen des Advanced Threat Protection Test einen False Positives Test durch, um zu prüfen, ob die getesteten Produkte in der Lage sind, schädliche von nicht schädlichen Aktionen zu unterscheiden. Andernfalls könnte ein Security-Produkt leicht 100% der schädlichen Angriffe blockieren, die z.B. E-Mail Anhänge, Skripte und Makros verwenden, indem es solche Funktionen einfach blockiert. Für viele Nutzer könnte dies die Erledigung ihrer normalen täglichen Aufgaben unmöglich machen. Daher werden die Ergebnisse des False Positives Tests in der Bewertung des Produkts berücksichtigt.

Wir stellen außerdem fest, dass eine Warnung, z.B. vor dem Öffnen harmloser E-Mail-Anhänge, zu einem "Junge, der Wolf rief"-Szenario führen kann. Nutzer, die mit einer Reihe unnötiger Warnungen konfrontiert werden, gehen früher oder später davon aus, dass alle Warnhinweise Fehlalarme sind, und ignorieren daher eine echte Warnung, wenn sie auftaucht.

Testfälle

Wir haben fünf verschiedene Initial Access Phasesauf die 15 Testfälle verteilt (z.B. kamen 3 Testfälle per Anhang über E-Mail/Spear-Phishing).

  1. Trusted Relationship: "Angreifer können in Organisationen eindringen oder diese anderweitig ausnutzen, die Zugang zu den beabsichtigten Opfern haben. Der Zugang über die Beziehung zu vertrauenswürdigen Dritten nutzt eine bestehende Verbindung aus, die möglicherweise nicht geschützt ist oder weniger sorgfältig geprüft wird als Standardmechanismen, um Zugang zu einem Netzwerk zu erhalten." (Quelle: https://attack.mitre.org/techniques/T1199/)
  2. Gültig Konten: "Angreifer können die Anmeldedaten eines bestimmten Benutzer- oder Dienstkontos mithilfe von Credential-Access-Techniken stehlen oder Anmeldedaten zu einem früheren Zeitpunkt in ihrem Erkundungsprozess durch Social Engineering abfangen [...]." (Quelle: https://attack.mitre.org/techniques/T1078/)
  3. Replication Through Removable Media: "Angreifer können in Systeme eindringen [...], indem sie Malware auf Wechseldatenträger kopieren [...] und sie so umbenennen, dass sie wie eine legitime Datei aussieht, um Benutzer dazu zu bringen, sie auf einem anderen System auszuführen. [...]" (Quelle: https://attack.mitre.org/techniques/T1091/)
  4. Phishing: Spearphishing-Anhang: "Spearphishing Attachment ist [...] die Verwendung von Malware im Anhang einer E-Mail. [...]" (Quelle: https://attack.mitre.org/techniques/T1193/)
  5. Phishing: Spearphishing-Link: "Beim Spearphishing mit einem Link [...] werden Links verwendet, um in E-Mails enthaltene Malware herunterzuladen [...]." (Quelle: https://attack.mitre.org/techniques/T1192/)

Die 15 Testszenarien, die in diesem Test verwendet wurden, werden im Folgenden kurz beschrieben:

1) Diese Bedrohung wird über eine vertrauenswürdige Beziehung eingeführt. MSHTA startet eine HTML-Anwendung, die eine gestufte Empire PowerShell-Nutzlast ausführt.

2) Diese Bedrohung wird über eine vertrauenswürdige Beziehung eingeführt. Ein PowerShell-Skript mit einer AMSI-Umgehung und einem PowerShell Empire Stager wurde ausgeführt.

3) Diese Bedrohung wird über eine vertrauenswürdige Beziehung eingeführt. Windows Scripting Host wurde verwendet, um eine PowerShell-Nutzlast über einen integrierten Empire PowerShell Stager herunterzuladen, kombiniert mit einer AMSI-Umgehung.

4) Diese Bedrohung wird über gültige Konten eingeschleust. Das vertrauenswürdige Windows-Dienstprogramm Microsoft Build Engine wurde als Proxy für die Ausführung einer Empire-Makro-Nutzlast verwendet, die einen Befehls- und Kontrollkanal öffnet.

5) Diese Bedrohung wird über gültige Konten eingeschleust. Es wurde ein VBScript verwendet, das einen PowerShell-Prozess auslöst und eine Empire-Nutzlast ausführt.

6) Diese Bedrohung wird über gültige Konten eingeschleust. Eine Batch-Datei wurde verwendet, um einen verschleierten PowerShell-Stager auszuführen, einen verschleierten PoshC2 herunterzuladen

7) Diese Bedrohung wird über Removable Media (USB) eingeschleust. Ein JavaScript führt einen verschleierten PowerShell-Stager aus, der eine PoshC2 PowerShell Payload herunterzuladen und auszuführen.

8) Diese Bedrohung wird über Removable Media (USB) eingeschleust. MSHTA.exe führt einen PowerShell-Stager aus, der eine base64-kodierte PoshC2 Staged PowerShell Payload startet.

9) Diese Bedrohung wird über Removable Media (USB) eingeschleust. Ein bösartiges Microsoft Office-Makro das eine PoshC2 PowerShell Payload herunterzuladen und auszuführen.

10) Diese Bedrohung wird über einen Spearphishing Attachement eingeführt. VBScript lädt sie herunter und führt diese aus: XSL- PoshC2

11) Diese Bedrohung wird über einen Spearphishing Attachment eingeführt. Eine HTML-Anwendung lädt eine verschleierte PowerShell Payload herunter und führt sie aus. Dieser Testfall wurde erstellt mit Metasploit Meterpreter.

12) Diese Bedrohung wird über einen Spearphishing Attachment eingeführt. VBScript lädt eine XSL Payload herunter und führt sie aus. Dieser Testfall wurde erstellt mit Metasploit Meterpreter.

13) Diese Bedrohung wird über einen Spearphishing Link eingeschleust. MSHTA.exe lädt eine verschleierte XSL Payload herunter und führt sie aus. Dieser Testfall wurde erstellt mit Metasploit Meterpreter.

14) Diese Bedrohung wird über einen Spearphishing-Link eingeschleust. Ein JavaScript lädt eine verschleierte PowerShell-Nutzlast herunter und führt sie aus. Dieser Testfall wurde erstellt mit Metasploit Meterpreter.

15) Diese Bedrohung wird über einen Spearphishing-Link eingeschleust. exe lädt einen PowerShell Stager herunter und führt ihn aus, der einen verschlüsselten PowerShell Empire Staged PowerShell Payload herunterlädt und ausführt, kombiniert mit einer AMSI-Umgehung.

 False Alarm Test: Es wurden verschiedene Fehlalarmszenarien verwendet, um festzustellen, ob ein Produkt bestimmte Aktionen übermäßig blockiert (z. B. durch die Blockierung von E-Mail-Anhängen, Kommunikation, Skripten usw.).

Sollten wir im Laufe des Tests feststellen, dass die Produkte ihren Schutz an unsere Testumgebung anpassen, würden wir Gegenmaßnahmen einsetzen, um diese Anpassungen zu umgehen. Damit stellen wir sicher, dass jedes Produkt den Angriff auch ausserhalb der Testsituation wirklich erkennen kann.

Was wird von den verschiedenen Testfällen abgedeckt?

Unsere Tests verwenden eine Teilmenge der TTP (Tactics, Techniques, Procedures), die in der MITRE ATT&CK Frameworkgelistet sind. In diesem Jahr decken die oben genannten 15 Testfälle die in der nachstehenden Tabelle aufgeführten Punkte ab:

Initial Access Execution Persistence Defense Evasion Discovery Lateral Movement
Collection Command and Control Exfiltration
Replication Through Removable Media Command and Scripting Interpreter Boot or Logon Autostart Execution Obfuscated Files or Information System Owner/User Discovery Replication Through Removable Media
Data from Local System Non-Application Layer Protocol

Exfiltration Over C2 Channel

Trusted Relationship User Execution Valid Accounts Modify Registry

Software Discovery

Internal Spearphishing

Screen Capture

Application Layer Protocol Automated Exfiltration
Valid Accounts     Signed Binary Proxy Execution System Information Discovery  

Clipboard Data

Data Obfuscation  
Phishing     Template Injection      

Encrypted Channel

 
      Masquerading       Multi-Stage Channels  
      Valid Accounts       Data Encoding  
      XSL Script Processing      

Non-Standard Port

 

 

Das vollständige MITRE ATT&CK-Framework für Windows kann hier eingesehen werden: https://attack.mitre.org/matrices/enterprise/windows/

Test-Ergebnisse

Nachfolgend finden Sie die Ergebnisse für die 15 Angriffe, die in diesem Test verwendet wurden:

  Test-Szenarien
  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 FPs Ergebnis
Avast N 11
Bitdefender N 15
CrowdStrike N 11
ESET N 14
Fortinet Y N/A
Kaspersky N 14
SparkCognition
N 5
Vipre
N 12

 

Key    
Threat erkannt, keine C2-Session, System geschützt 1 Punkt
Kein Alert angezeigt, aber keine C2-Session aufgebaut, System geschützt 1 Punkt
Threat nicht erkannt, C2-Session aufgebaut 0 Punkte
Schutzergebnis ungültig, da auch nicht-schädliche Skripte/Funktionen blockiert wurden N/A

 

Unserer Meinung nach sollte das Ziel eines jeden AV/EPP/EDR-Systems darin bestehen, Angriffe oder andere Malware so schnell wie möglich zu erkennen und zu verhindern. Mit anderen Worten: Wenn der Angriff vor, bei oder kurz nach der Ausführung erkannt wird und damit z. B. die Öffnung eines Befehls- und Kontrollkanals verhindert wird, besteht keine Notwendigkeit, Aktivitäten nach der Ausnutzung zu verhindern. Eine gute Alarmanlage sollte losgehen, wenn jemand in Ihr Haus einbricht, und nicht warten, bis er anfängt, Dinge zu stehlen.

Ein Produkt, das in unserem FP-Test bestimmte legitime Funktionen (z.B. E-Mail-Anhänge oder Skripte) blockiert, würde nicht zertifiziert werden.

Beobachtungen zu Unternehmensprodukten

In diesem Abschnitt geben wir einige zusätzliche Informationen, die für die Leser von Interesse sein könnten.

Erkennungs-/Blockierungsphasen

Vor der Ausführung (Pre-execution - PRE): wenn der Threat noch nicht ausgeführt wurde und auf dem System inaktiv ist.

Bei der Ausführung (On-execution - ON): unmittelbar nachdem der Threat ausgeführt wurde.

Nach der Ausführung (Post-execution - POST): nachdem der Threat ausgeführt wurde und ihre Aktionen erkannt wurden.

  Test-Szenarien
  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
Avast ON POST PRE POST PRE ON POST ON POST POST ON
Bitdefender PRE PRE PRE POST PRE ON PRE POST PRE ON PRE PRE ON PRE PRE
CrowdStrike ON POST POST POST POST POST POST POST ON ON POST ON
ESET ON ON ON ON ON ON POST ON PRE PRE PRE PRE PRE ON
Fortinet EIN* EIN* EIN* EIN* EIN* EIN* EIN* EIN* EIN* EIN* EIN* EIN* EIN* EIN* EIN*
Kaspersky POST PRE PRE PRE PRE ON POST ON POST PRE PRE POST ON ON
SparkCognition PRE PRE PRE PRE PRE
Vipre PRE PRE PRE PRE ON PRE POST PRE PRE PRE PRE PRE

 

Avast: In zwei Fällen gab es keinen Alarm, aber auch keine stabile C2-Sitzung.

Bitdefender: Viele Erkennungen erfolgten, bevor die Bedrohung ausgeführt wurde, was auf die Heuristik für bösartige Skripte zurückzuführen ist.

CrowdStrike: Fast alle Entdeckungen erfolgten nach der Ausführung, indem der Exploit oder die Reverse Shell entdeckt wurde.

ESET: In einem Fall gab es keinen Alarm, aber auch keine stabile C2-Sitzung. Die meisten bösartigen E-Mail-Anhänge wurden entdeckt, bevor die Anhänge auf der Festplatte gespeichert wurden.

Fortinet: Die Erkennungen erfolgten bei der Ausführung durch FortiEDR. *) Fortinets Einstellungen für FortiEDR unterschieden nicht zwischen nicht bösartigen und bösartigen Skripten/Aktionen, so dass die Ergebnisse nicht zeigen, wie gut es Angriffe blockieren kann, ohne auch legitime Skripte/Aktionen zu blockieren.

Kaspersky: Etwa die Hälfte der Angriffe wurde vor der Ausführung der Bedrohung aufgrund von Heuristiken für bösartige Skripte blockiert, die meisten anderen Angriffe wurden nach der Ausführung durch den Verhaltensblocker blockiert.

SparkCognition: Einige Fälle wurden von der KI entdeckt, bevor die Bedrohung ausgeführt wurde.

Vipre: Viele Erkennungen erfolgten, bevor die Bedrohung ausgeführt wurde, was auf die Heuristik für bösartige Skripte zurückzuführen ist.

 Alle getesteten Anbieter führen laufend Produktverbesserungen durch, so dass zu erwarten ist, dass viele der im Test verwendeten Attacken inzwischen abgedeckt sind.

ATP - Advanced Threat Protection Test - Awards

Die Zertifizierung von AV-Comparatives für Advanced Threat Protection wird an Approved Enterprise-Produkte vergeben, die mindestens 8 der 15 im Advanced Threat Protection Test verwendeten Angriffe blockiert haben, ohne dabei nicht bösartige Vorgänge zu blockieren. Von Sicherheitsprogrammen für Unternehmen wird erwartet, dass sie mit der Art von Angriffen fertig werden, die in diesem Test verwendet werden, so dass für die Zertifizierung die Erkennung von mehr als der Hälfte der Testfälle erforderlich ist.

CERTIFIED
AvastCERTIFIED
BitdefenderCERTIFIED
CrowdStrikeCERTIFIED
ESETCERTIFIED
KasperskyCERTIFIED
VIPRECERTIFIED

Über diesen Test

Der Advanced Threat Protection Test für Unternehmensprodukte ist ein optionaler Zusatztest zur Public Enterprise Main-Test Series, d. h. nur Unternehmensprodukte, die in der Main-Test Series enthalten sind, können an diesem Zusatztest teilnehmen. Um sich einen Überblick über die Schutzfunktionen der getesteten Produkte zu verschaffen, sollten die Leser auch die Ergebnisse der anderen Tests der Main-Test Series berücksichtigen.

Da einige der im Test verwendeten Angriffsmethoden legitime Systemprogramme und -techniken nutzen, wäre es für einen Anbieter relativ einfach, solche Angriffe zu stoppen, indem er z.B. einfach die Verwendung dieser legitimen Prozesse blockiert. Dies würde jedoch dazu führen, dass das betreffende Produkt wegen False Positives herabgestuft wird, so wie ein Security-Programm herabgestuft wird, das z.B. alle unbekannten ausführbaren Programmdateien blockiert. Ebenso wäre in diesem Test die Verhinderung eines Angriffs, z.B. durch einfaches Sperren von verwendeten Servern, Dateien oder E-Mails, die von einem bestimmten Domainnamen stammen, als Mittel zur Verhinderung eines gezielten Angriffs nicht zulässig. Ebenso wenig akzeptieren wir einen Ansatz, der nicht zwischen bösartigen und nicht bösartigen Prozessen unterscheidet, sondern z.B. von einem Administrator verlangt, diejenigen auf eine Whitelist zu setzen, die erlaubt sein sollten. Wir weisen darauf hin, dass es in Unternehmensumgebungen möglich ist, die Systeme der Benutzer zu sperren, um z.B. die Ausführung von PowerShell-Skripten oder Makros zu verhindern. Die Idee eines guten Security-Produkts ist, dass es z.B. zwischen bösartigen und nicht bösartigen Skripten und Makros unterscheiden kann, so dass autorisierte Nutzer effizient arbeiten können, ohne dass die Sicherheit beeinträchtigt wird.

Bei der Enterprise Main-Test Series dürfen die Anbieter die Produkte nach eigenem Ermessen konfigurieren - wie es bei Security-Produkten für Unternehmen in der Praxis üblich ist. Allerdings wird für alle Tests der Series genau das gleiche Produkt und die gleiche Konfiguration verwendet. Würden wir nicht darauf bestehen, könnte ein Anbieter die Schutzeinstellungen erhöhen oder Funktionen aktivieren, um in den Real-World- und Malware-Protection Tests gut abzuschneiden, sie aber für die Performance- und False-Positive Tests herunterfahren/deaktivieren, um schneller und weniger fehleranfällig zu erscheinen. Im wirklichen Leben können die Benutzer nur eine Einstellung gleichzeitig haben, so dass sie in der Lage sein sollten, zu erkennen, ob hohe Schutzwerte eine langsamere Systemleistung oder niedrigere False-Positive Werte einen geringeren Schutz bedeuten.

Einige Anbieter baten um genaue Angaben zu Tag und Uhrzeit der Testdurchführung, damit sie die Angriffe in Echtzeit überwachen und mit ihren Produkten interagieren können, wenn sie es für sinnvoll halten. Da das Ziel des Tests die Messung der Schutzfähigkeiten und nicht die Analyse der Angriffsmethoden ist, haben wir den Anbietern keine Vorabinformationen darüber gegeben, wann der Test durchgeführt werden würde. Im wirklichen Leben teilen die Angreifer ihren Opfern auch nicht mit, wann sie angreifen werden, so dass die Produkte die ganze Zeit über Schutz bieten müssen. Wir hatten auch Anfragen von Anbietern bezüglich der Angriffsmethoden, die in dem Test verwendet werden sollten. Da es bei dem Test eher um den Schutz als um die Analyse/Sichtbarkeit geht, haben wir auch hier keine spezifischen Details zu den Angriffsmethoden bekannt gegeben. Nach dem Test stellen wir aber jedem teilnehmenden Anbieter ausreichend Daten zur Verfügung, um sie bei der Untersuchung ihrer verfehlten Testfälle zu unterstützen.

Der Test ist sehr anspruchsvoll, spiegelt aber gleichzeitig auch realistische Szenarien wider. Wir haben positives Feedback von den technischen Abteilungen vieler Anbieter erhalten. Penetrationstester sehen ja die realen Fähigkeiten von Produkten in ihren Tests jeden Tag. Mit unserem Vergleichstest versuchen wir, gleiche Bedingungen zu schaffen, die es uns ermöglichen, die Schutzfunktionen der verschiedenen Produkte gegen solche Angriffe fair zu vergleichen. So können Nutzer sehen, wie gut sie geschützt sind, und Hersteller können ihre Produkte gegebenenfalls in Zukunft verbessern.

Copyright und Haftungsausschluss

Diese Veröffentlichung ist Copyright © 2020 von AV-Comparatives ®. Jegliche Verwendung der Ergebnisse, etc. im Ganzen oder in Teilen, ist NUR nach ausdrücklicher schriftlicher Zustimmung der Geschäftsführung von AV-Comparatives vor einer Veröffentlichung erlaubt. AV-Comparatives und seine Tester können nicht für Schäden oder Verluste haftbar gemacht werden, die sich aus der Verwendung der in diesem Dokument enthaltenen Informationen ergeben könnten. Wir bemühen uns mit aller Sorgfalt um die Richtigkeit der Basisdaten, eine Haftung für die Richtigkeit der Testergebnisse kann jedoch von keinem Vertreter von AV-Comparatives übernommen werden. Wir übernehmen keine Gewähr für die Richtigkeit, Vollständigkeit oder Eignung für einen bestimmten Zweck der zu einem bestimmten Zeitpunkt bereitgestellten Informationen/Inhalte. Niemand, der an der Erstellung, Produktion oder Lieferung von Testergebnissen beteiligt ist, haftet für indirekte, besondere oder Folgeschäden oder entgangenen Gewinn, die sich aus der Nutzung oder der Unmöglichkeit der Nutzung der auf der Website angebotenen Dienste, Testdokumente oder damit zusammenhängenden Daten ergeben oder damit zusammenhängen.

Für weitere Informationen über AV-Comparatives und die Testmethoden besuchen Sie bitte unsere Website.

AV-Comparatives
(Dezember 2020)