Diese Website verwendet Cookies, um Ihnen die bestmögliche Nutzung unserer Website zu ermöglichen.
Bitte beachten Sie, dass Sie sich durch die weitere Nutzung dieser Website mit den Bedingungen unserer Politik zum Schutz der Privatsphäre und des Datenschutzes .
Einige unserer Partnerdienste befinden sich in den USA. Nach Rechtsprechung des Europäischen Gerichtshofs existiert derzeit in den USA kein angemessener Datenschutz. Es besteht das Risiko, dass Ihre Daten durch US-Behörden kontrolliert und überwacht werden. Dagegen können Sie keine wirksamen Rechtsmittel vorbringen.
Akzeptieren

Das Gleichgewicht zwischen Performanz (geringe Auswirkung auf die Geschwindigkeit) und Echtzeit-Erkennung - Unternehmensprodukte

29. Juli 2023

In unserem aktuellen Bericht setzen wir unsere Untersuchung der Auswirkungen leistungssteigernder Maßnahmen auf die Malware-Erkennungsfunktionen von Antivirus-Produkten fort. Aufbauend auf Erkenntnisse aus dem letzten Jahrwidmen wir uns in diesem Blogpost nun den Produkten für Unternehmen. Da wir dieselbe Methodik anwenden, bleibt unser Ziel gleich - die Bewertung der konsistenten Malware-Erkennung von Sicherheitslösungen für Unternehmen in bestimmten Szenarien. Um die Einheitlichkeit zu wahren, verwenden wir die gleichen Einstellungen wie in unseren Business Main-Test Series.

Heutzutage verwenden Antivirus-Produkte verschiedene Optimierungstechniken, um die Auswirkungen auf das System und die Unterbrechung alltäglicher Aufgaben zu verringern. Es ist schwierig, das richtige Gleichgewicht zwischen Echtzeit-Malware-Erkennung und Performanz zu finden. Die Hersteller von Antivirus-Produkten optimieren ihre jeweiligen Produkte auf verschiedene Weise, um die Auswirkungen auf die Systemperformanz zu verringern. Im Folgenden finden Sie einige Beispiele für Optimierungen, die . theoretisch in einige Produkte implementiert werden könnten. Sie alle könnten sich positiv auf die Performanz auswirken, aber auch die Erkennungsrate bösartiger Dateien verringern. Angesichts der Vielzahl unbekannter Variablen und verschiedener Implementierungen, die wir nicht berücksichtigen können, können endgültige Antworten und genaue technische Details zu einem bestimmten Produkt nur vom jeweiligen Softwarehersteller gegeben werden.

  • Ausschluss bestimmter Dateitypen aus der Analyse: Das Antivirus-Programm schließt oft bestimmte Dateitypen (oder sogar Dateierweiterungen) von der Analyse aus.
  • Ausschluss von Dateien die von bekannten Entwicklern signiert wurden: Das Antivirus-Programm kann Dateien, die von bekannten Entwicklern signiert wurden, von der Analyse ausschließen.
  • Ausschluss der Analyse von Dateien, die vom Security-Programm auf die Whitelist gesetzt wurden: Das Antivirus-Programm kann die Analyse für eine Liste bestimmter, vordefinierter Programme, die auf der Whitelist stehen, ausschließen.
  • Ausschluss von mit Fingerabdrücken versehene Dateien oder Programme: Das Antivirus-Programm überspringt möglicherweise die erneute Analyse von Dateien, die bereits analysiert wurden oder die sich seit der letzten Analyse oder Aktualisierung nicht verändert haben. Außerdem werden Dateien, auf die der Nutzer in der aktuellen Windows-Sitzung zugreift, möglicherweise nur einmal analysiert und erst nach einem Neustart des Systems oder einem Signatur-Update erneut analysiert. Einige Programme schlagen vor, sofort nach der Installation einen vollständigen On-Demand Scan des Systems durchzuführen, um einen Fingerabdruck bestimmter Dateien auf dem System zu erstellen.
  • Verschiedene heuristische Analysestufen: Das Antivirus-Programm kann während seiner Analyse verschiedene heuristische Methoden anwenden, je nachdem, woher eine Datei stammt (z.B. aus dem Internet oder von der lokalen Festplatte), welche Aktion der Nutzer mit einer Datei durchführt (z.B. Kopieren, Archivieren oder Starten) oder wie viele Dateien verarbeitet werden. Bei einigen heuristischen Methoden kann die Analyse weniger Zeit in Anspruch nehmen, so dass weniger Systemressourcen verbraucht werden.
  • Die Analyse spezifischer Zielorte wird ausgeschlossen: Die Analyse wird möglicherweise nicht durchgeführt, wenn Dateien während des Kopierens, der Wiederherstellung, des Herunterladens usw. an bestimmte Zielspeicherorte (z.B. USB-Laufwerk) geschrieben werden.
  • Ausschluss der Analyse von Dateien auf großen Medien oder Netzwerkfreigaben: der Inhalt von Medien mit potenziell hoher Speicherkapazität (z.B. externe USB-Laufwerke) oder Netzwerkfreigaben wird möglicherweise nicht analysiert.
  • Ausschluss der Analyse für verschiedene Partitionen desselben Datenträgers: Die Analyse wird möglicherweise nicht durchgeführt, wenn Dateien zwischen verschiedenen Partitionen auf demselben Datenträger kopiert/verschoben werden.
  • Ausschluss von Dateien, während sie erstellt/gelesen/verschoben/kopiert werden: Das Antivirus-Programm analysiert die Dateien möglicherweise nur, wenn sie ausgeführt werden.
  • Ausschluss der Analyse von bestimmten Dateinamen und/oder Speicherorten: Das Antivirus-Programm kann Dateien mit bestimmten Namen und/oder an bestimmten Orten auf dem System von der Analyse ausschließen.
  • Ausschluss der Analyse für bestimmte Aktionen: Die Analyse von Dateien während Vorgängen, die oft einige Zeit in Anspruch nehmen (z. B. Archivierung oder Wiederherstellung von Dateien), kann deaktiviert werden.
  • Start der Analyse nach bestimmten Aktionen: Die Analyse kann erst beginnen, wenn der aktuelle Vorgang (z.B. das Kopieren oder Wiederherstellen von Dateien) abgeschlossen ist. In diesem Fall bemerkt der Nutzer möglicherweise keine Leistungseinbrüche während des Vorgangs selbst.
  • Begrenzung der Anzahl und Größe der zu analysierenden Dateien: Wenn mehrere Dateien kopiert werden (entweder lose oder in Ordnern), könnte das Antivirus-Programm nur bis zu einer Anzahl von x Dateien analysieren und dann die Analyse für die restlichen Dateien abbrechen. Ebenso könnte das Antivirus-Programm die Analyse großer Ordner oder Dateien überspringen oder nur Stichproben bei einigen Dateien durchführen, anstatt sie alle zu analysieren.
  • Verschiedene Standard-Analysestufen je nach Hardware: Standardmäßig führt das Antivirus-Programm auf High-End-Rechnern eine gründlichere Analyse durch, während es auf schwächerer Hardware eine weniger umfassende Analyse durchführt, um den Druck auf die begrenzten Ressourcen zu verringern.

Wie haben wir getestet?

Es wurden mehrere verschiedene typische Nutzeraktionen auf einem sauberen und aktuellen Windows 10 22H2-System durchgeführt, auf dem die entsprechende Unternehmenssicherheitssoftware installiert und wie in unserer Main-Test Series für Unternehmen konfiguriert war. Das Testsystem verfügte über eine aktive Internetverbindung, um die Auswirkungen von Cloud-Diensten/Funktionen in der realen Welt zu berücksichtigen. Diese Aktivitäten könnten im täglichen Betrieb der Nutzer beobachtet werden, allerdings mit dem Zusatz von bösartigen Dateien und Phishing-Websites im jeweiligen Szenario. Um ein vollständigeres Bild von den Erkennungsmechanismen der einzelnen Programme zu erhalten, haben wir verschiedene Techniken zur Durchführung dieser Aktionen eingesetzt. So haben wir zum Beispiel verschiedene Tools und Verfahren zum Kopieren der Dateien verwendet. Außerdem haben wir verschiedene Orte und Richtungen in Betracht gezogen.

  • Kopieren von Dateien: Hierzu haben wir ein Set von Dateien kopiert, der aus mehreren sauberen Dateien und einer bösartigen Datei bestand.
  • Archivieren/Entpacken: Um die Archivierung zu testen, archivierten wir einen Satz von Dateien, der aus mehreren sauberen Dateien und einer bösartigen Datei bestand. Um das Wiederherstellen zu testen, bereiteten wir ein Archiv vor, das eine bösartige Datei und mehrere saubere Dateien enthielt; dieses wurde dann auf dem Testcomputer entpackt.
  • Installieren von Anwendungen: Wir haben eine Anwendung installiert, die während des Installationsvorgangs eine bösartige Datei auf der Systemfestplatte ablegt.
  • Starten von Anwendungen: Hierzu haben wir ein bösartiges Dokument mit der entsprechenden Anwendung geöffnet.
  • Download von Dateien: Hierzu haben wir bösartige Dateien von verschiedenen Webservern im Internet heruntergeladen.
  • Browsing: wir haben Phishing-Webseiten mit Google Chrome geöffnet.

Die in diesem Test verwendeten schädlichen Samples würden von allen getesteten Programmen bei einem einfachen On-Demand-Scan erkannt werden. In diesem Test wird geprüft, ob dieselben Samples in den oben aufgeführten zusätzlichen spezifischen Szenarien erkannt werden würden.

Bitte beachten Sie, dass diese Szenarien nur eine Teilmenge der möglichen Szenarien sind, die getestet werden könnten. Es ist nicht möglich, alle denkbaren Szenarien zu testen, da es eine Reihe von Variablen gibt (Dateitypen/Speicherorte, Anzahl/Größe der Dateien, Ordnerstruktur, Laufwerkstyp usw.), und die möglichen Kombinationen dieser Variablen unbegrenzt sind.

Erkenntnisse

Die folgenden Produkte wurden im Juni 2023 überprüft: Avast Ultimate Business Security, Bitdefender GravityZone Business Security Premium, Cisco Secure Endpoint Essentials, CrowdStrike Falcon Pro, Cybereason NGAV, Elastic Security, ESET PROTECT Entry (mit ESET PROTECT Cloud), G Data Endpoint Protection Business, K7 On-Premises Endpoint Security Advanced, Kaspersky Endpoint Security for Business - Select, mit KSC, Microsoft Defender Antivirus mit Microsoft Endpoint Manager, Sophos Intercept X Advanced, Trellix Endpoint Security (ENS), VIPRE Endpoint Detection & Response, VMware Carbon Black Cloud Endpoint Standard, WatchGuard Endpoint Protection Plus on Aether.

Die nachstehende Tabelle fasst die Ergebnisse für jedes Szenario zusammen und zeigt, ob die Sicherheitsprogramme Dateien bei gewöhnlichen Vorgängen, wie dem Kopieren oder Herunterladen von Dateien, und Websites auf Phishing-Inhalte untersuchen.

Immer analysiert: Das Produkt analysierte konsistent Dateien (und damit erkannte Malware) oder Websites in dem jeweiligen Testszenario und mit den verwendeten Techniken. Die Testergebnisse zeigen, dass alle Produkte Dateien zumindest bei "Installation von Anwendungen" und "Starten von Anwendungen" auf Malware untersucht haben. Dies sind die Szenarien, in denen Malware das System direkt infizieren könnte.

Manchmal analysiert: Dateien oder Websites wurden manchmal, aber nicht immer, je nach den Umständen (z.B. verwendetes Programm/Methode, Gesamtzahl der Dateien, Speicherort der Dateien) und der Optimierungslogik analysiert.

Nie analysiert: das Produkt analysierte in dem spezifischen Szenario und mit den verwendeten Techniken keine Dateien oder Websites, so dass in diesem Fall keine Erkennung von Malware oder Phishing erfolgte. CrowdStrike, Cybereason, Elastic, Microsoft, Trellix und VMware haben beim "Durchsuchen von Websites" keine Websites analysiert, da sie derzeit z.B. keinen Phishing-Filter enthalten.

Zusammenfassung

Aus der obigen Tabelle geht hervor, dass mehrere Anbieter für Unternehmen derzeit kein Scannen von Phishing-Websites anbieten. Außerdem bieten einige Anbieter nur manchmal eine Analyse beim Kopieren von Dateien und beim Archivieren/Entpacken. Es ist jedoch wichtig zu beachten, dass alle Anbieter während der Installation und des Starts von Anwendungen analysiert werden, um den Systemschutz durch Scannen der Dateien bei der Ausführung zu gewährleisten.

In den Fällen, in denen wir manchmal analysiert, angegeben haben, hängt das Scannen von verschiedenen Faktoren ab, z.B. dem Speicherort der Datei, dem verwendeten Programm/der verwendeten Methode und davon, ob eine einzelne Datei oder mehrere Dateien kopiert werden.

Negative Nebeneffekte der Geschwindigkeitsoptimierung

Die Ergebnisse zeigen, dass unter bestimmten Umständen Dateien nicht analysiert und somit Malware nicht erkannt werden, während sie vom Nutzer ausgeführt werden. Dies könnte beim Nutzer den falschen Eindruck erwecken, dass er Dateien, die er auf sein System heruntergeladen/kopiert/wiederhergestellt hat und die von seinem Antivirus-Programm nicht automatisch als Malware erkannt wurden, gefahrlos an andere Nutzer weitergeben kann.

Empfehlungen

Wir verstehen, dass die Nutzer nach hocheffizienten Antivirus-Produkten suchen, und die Hersteller versuchen, die Performanz zu optimieren und gleichzeitig die Sicherheit zu gewährleisten. Wir sind jedoch der Meinung, dass die Hersteller die Transparenz erhöhen sollten, indem sie klar darlegen, wie sie die Kompromisse zwischen Erkennung und Leistung handhaben. Dies würde es den Nutzern ermöglichen, fundierte Entscheidungen zu treffen. Wenn ein AV-Programm einige Dateioperationen nicht überwacht, um eine bessere Performanz zu erzielen, schlagen wir vor, dass die Hersteller dies den Nutzern klar mitteilen, z.B. während des Installationsprozesses des Programms. Es gibt auch Produkte, die in der Lage, das richtige Gleichgewicht zwischen Sicherheit und Performanz zu finden.

Wenn möglich, sollten Administratoren die Einstellungen ihres Unternehmensprodukts regelmäßig überprüfen, um optimale Sicherheit zu gewährleisten, ohne die Systemleistung übermäßig zu beeinträchtigen. In dieser Hinsicht sollten AV-Anbieter die Administratoren unterstützen, indem sie auf positive und negative Auswirkungen bei der Änderung bestimmter Einstellungen hinweisen.

Die in diesem Artikel enthaltenen Informationen können den Nutzern helfen, die Ergebnisse von Performance Tests in Relation zu setzen, bei denen übliche reale Szenarien verwendet werden. Bitte besuchen Sie gerne auch unsere Websites für Protection- und Performance Tests von Enterprise-Produkten.