AV-Comparatives, независимая испытательная лаборатория, прошедшая сертификацию по стандарту ИСО, опубликовала результаты тестирования решений, предлагающих расширенную защиту от киберугроз корпоративного уровня. Было протестировано 15 решений для защиты рабочих мест на базе Windows 10.
Протестированные решения для защиты рабочих мест корпоративного уровня :
Avast Business Antivirus Plus, Bitdefender Gravity Zone Elite Security, CrowdStrike Falcon Pro, ESET PROTECT Entry, Fortinet Forti Client с FortiSandbox и FortiEDR, Kaspersky Endpoint Security for Business Select, Spark Cognition Deep Armor Endpoint Protection Platform и Vipre Endpoint Security Cloud.
Протестированныепотребительскиезащитныерешения:
Avast Free Antivirus, AVG Free Antivirus, Bitdefender Internet Security, ESET Internet Security, F-Secure
В ходе тестирования проверялись возможности каждого продукта обеспечить защиту компьютера от комплексных целевых атак (атак APT). Это сложные, многоэтапные атаки, целью которых является отдельный пользователь или организация. В большинстве случаев их конечной целью является проникновение в корпоративную сеть, а самый простой способ попасть в сеть — атаковать компьютеры сотрудников организации. Это означает, что для защиты от таких атак нужно использовать потребительские защитные решения, а также решения для защиты рабочих мест корпоративного уровня.
«Киберпреступники становятся все хитрее и ежедневно изобретают новые способы атаки. Бесфайловые атаки, маскирование кода и неправомерное использование легитимных инструментов для работы с операционной системой набирают популярность». — Петер Штельцхаммер, сооснователь AV-Comparatives
Для проверки возможностей каждого продукта в ходе тестирования было смоделировано 15 атак APT.
Для тестирования функций защиты от сложных угроз AV-Comparatives использует различные сценарии атак. В ходе целевых атак применяются различные технологии для обхода средств обнаружения вредоносного ПО. К ним относятся бесфайловые атаки, маскирование кода и неправомерное использование легитимных инструментов для работы с операционной системой. Маскирование кода затрудняет обнаружение вредоносной программы защитным ПО. Неправомерное использование легитимных системных утилит также позволяет киберпреступникам остаться незамеченными средствами безопасности.
Для тестирования защиты от сложных угроз AV-Comparatives использует технологии взлома и проникновения, которые позволяют злоумышленникам попасть в компьютерные системы организации. Эти атаки включают семь этапов цепочки KillChain, разработанной Lockheed Martin, для каждой из которых существуют уникальные индикаторы заражения. В каждом тесте используются тактики, методы и процедуры, перечисленные в базе MITRE ATT & CK (TM). Отчет также включает данные о ложноположительных срабатываниях.
Тестирование защиты от сложных атак является дополнительным тестированием, которое AV-Comparatives проводит наряду с другими тестами основных корпоративных систем (Business Main Test Series): тестированием защиты от вредоносного ПО, тестированием защиты в реальных условиях и тестированием производительности. Отчет о тестировании основных корпоративных систем за 2 полугодие 2020 года будет опубликован позднее в этом месяце.
В декабре также будет опубликован отчет AV-Comparatives о тестировании продуктов для предотвращения угроз на рабочих местах и реагирования на них (EPR). Ожидается, что продукты EPR будут не только защищать конечные точки от целевых угроз, но и формировать отчеты об атаках, на которые можно будет опираться в ходе расследования и анализа. В отчете будут отражены результаты тестирования, обзор функциональных возможностей и стоимость владения каждым протестированным продуктом.