AV-TEST: Тестирование корпоративных антивирусов для Windows 10. Защита от атак без использования файлов

10 октября – Comss.ru, Корпоративные антивирусы. В мае 2019 года компания AV-TEST провела тестирование Fileless Threats Protection, проверив защиту от «безфайловых» атак (атак без использования файлов) с помощью различных продуктов для обеспечения безопасности конечных точек. Всего для тестирования 14 корпоративных антивирусов было использовано 33 различные «безфайловые» атаки, разделенные на четыре категории:

1. Выполнение вредоносной программы из хранилища WMI.
2. Выполнение вредоносной программы c помощью Планировщика задач Windows.
3. Запуск скрипта Powershell после выполнения эксплойта / макроса.
4. Другие подходы, включая:
   • использование файловых ассоциаций для выполнения вредоносных программ;
   • использование уязвимости SettingContent-MS File Execution;
   • удаленное выполнение sct файлов.

Целью теста было выявить способность продуктов обнаруживать «безфайловые» угрозы (уровень обнаружения) и возможность защиты и устранения всех вредоносных действий от атак без использования файлов (уровень защиты). «Безфайловые» угрозы – это растущая тенденция, которая делает эффективную защиту сложной задачей для всех решений безопасности.

Тестовые примеры были созданы собственными силами лаборатории AV-TEST с использованием хорошо известных систем и задокументированных методов атак с целью охватить как можно больше вариантов «безфайловых» атак. Кроме того, был проведен тест на ложноположительные срабатывания. Все тесты были выполнены на ОС Windows 10 с установленной программой Microsoft Office.

Тестируемые антивирусы

Все протестированные корпоративные продукты перечислены в списке ниже. Решения безопасности от вендоров Carbon Black, CrowdStrike, Palo Alto и SentinelOne отнесена к названиям от «Vendor A» до «Vendor D» (в случайном порядке) в связи с ограничениями на публикацию их результатов. Все продукты были протестированы в стандартной конфигурации – с настройками по умолчанию.

• Bitdefender Business Security
• Cylance Protect
• ESET Endpoint Security
• Kaspersky Endpoint Security for Business
• McAfee Endpoint Security
• McAfee Mvision + Microsoft Defender
• Microsoft Defender Antivirus
• Sophos Central Endpoint
• Symantec Endpoint Protection
• Trend Micro Endpoint Apex
• Vendors A, B, C и D

Тестовая среда

Для подготовки и проведения атак использовался атакующий хост на базе KALI LINUX. На атакуемом узле была установлены ОС Microsoft Windows 10 (версия 1709) с Microsoft Office 2013 и тестируемый антивирус. Для проверки правильности выполнения атаки использовался дополнительный атакуемый узел без тестируемого антивируса.

Результаты тестирования

В ходе тестирования предполагалось, что продукты безопасности обнаружат различные атаки и предотвратят или исправят злоумышленные действия.

Уровни обнаружения и защиты

Наилучшие результаты обнаружения были достигнуты Kaspersky Endpoint Security при 100% уровне обнаружения, а среднее значение обнаружения всех продуктов составило 67,75%. Наилучший уровень защиты 94,12% вновь продемонстрировал Kaspersky Endpoint Security, в то время как средний уровень защиты всех продуктов составил 59,10%.

Обнаружение «безфайловых» атак

В тестировании Уровня обнаружения (Detection) рассматривался любой вид обнаружения, например, статическое или динамическое обнаружение, с помощью брандмауэра и т.д. Так как было всего 33 различных тестовых случая, максимальное количество набранных баллов в данной категории составляет 33.

Защита от вредоносных действий

В тестировании Уровня защиты (Protection) все различные вредоносные действия каждого тестового случая были тщательно проанализированы на предмет их предотвращения или исправления с использованием тестируемого продукта. Если решение безопасности успешно предотвратило или устранило какое-либо действие, то за каждое действие начисляется по одному баллу. Всего было проведено 51 вредоносное действие, что также является максимальным возможным результатом.

Ложные срабатывания

Тестирование на ложные срабатывание (False Positive) включало проверку трех различных случаев, которые не должны были быть обнаружены. Более того, в одном случае на диске был создан файл, который не должен был блокироваться ни одним из продуктов. При каждом неправильном обнаружении или блокировке учитывалось по одному ложному срабатыванию.

11 из 14 продуктов прошли тестирование без ложных срабатываний как в обнаружении, так и в защите.

AV-TEST прокомментировала результаты следующим образом:

Результаты тестирования показывают, что на сегодняшний день не все производители способны обнаруживать «безфайловые» угрозы и защищать конечные системы. Принимая во внимание широкое распространение методов атак без использования файлов, начиная от только таргетированных атак и заканчивая атаками на обычных пользователей, в мы считаем важным, чтобы поставщики систем безопасности значительно усовершенствовали свои технологии, независимо от того, что они обещают своим маркетингом.