Bitdefender GravityZone Business Security Enterprise zdobywa Anti-Tampering Certification od AV Comparatives

Niezmiernie miło nam ogłosić, że Bitdefender Business Security Enterprise uzyskał Anti-Tampering Certification przyznany przez prestiżową instytucję AV-Comparatives. Dzięki temu odznaczeniu mamy pewność, że oferowane przez nas produkty spełniają najwyższe standardy bezpieczeństwa. W tym artykule przedstawimy, w jaki sposób zespół AV Comparatives przeprowadzał testy, na co zwracał w nich uwagę oraz jak poradził sobie w nich antywirus Bitdefender.

Anti-Tampering Certification – na czym polega ten test?

Każdego roku AV-Comparatives przeprowadza ukierunkowany test penetracyjny, do którego producenci mogą się zgłaszać, aby uzyskać certyfikację.

W tym roku zespół AV-Comparatives skupił się na zagadnieniu „Omijania mechanizmów obronnych” (ang. Defense Evasion, czyli ochrony przed manipulacją). Raporty z certyfikacji publikowane są wyłącznie dla producentów, którzy uzyskali certyfikat. Producenci, którzy nie przeszli certyfikacji, otrzymali informację zwrotną dotyczącą tego, w jaki sposób ich produkt został skutecznie zmanipulowany, co pozwala im go udoskonalić.

Po przejęciu systemu w docelowej sieci, atakujący często muszą zmierzyć się z takimi jak klasyczne i nowoczesne programy antywirusowe, czy systemy wykrywania i reagowania na incydenty na punktach końcowych (EDR). Produkty typu EDR mogą być szczególnie uciążliwe w przypadku stosowania technik takich jak zrzut poświadczeń, ruch lateralny itp. Nawet jeśli atakujący uzyskał już dostęp uprzywilejowany (np. lokalnego administratora), większość rozwiązań zabezpieczających punkty końcowe nadal mogą skutecznie utrudniać działania atakującego.

Dlatego atakujący starają się wyłączyć lub zmodyfikować narzędzia i pozbawić rozwiązania bezpieczeństwa ich kluczowych funkcji, aby trwale uniknąć wykrycia lub zablokowania działań.

Procedura testowa

W ostatnim teście, przeprowadzanym w systemie Windows 11, zespół AV Comparatives skoncentrował się na ocenie, czy możliwe jest wyłączenie lub modyfikacja komponentów bądź funkcji rozwiązań AV/EPP/EDR poprzez manipulację (tampering). Poprzez poprzez ingerencję w produkt próbowano wyłączyć lub zmodyfikować jego komponenty.

Wszystkie działania manipulacyjne były wykonywane w przestrzeni użytkownika Windows z uprawnieniami o wysokiej integralności systemowej. Nie podejmowano prób uzyskania dostępu zapisu do jądra systemu Windows, choć podjęto działania mające na celu ingerencję w komponenty jądra pozostając w przestrzeni użytkownika Nie prowadzono działań manipulacyjnych z poziomu użytkownika nieuprzywilejowanego, ponieważ badaczy interesowała ocena funkcji zabezpieczających przed manipulacją, a nie wykrywanie luk.

Jeśli możliwe byłoby wyłączenie kluczowych funkcji AV/EPP/EDR z poziomu nieuprzywilejowanego użytkownika, byłoby to klasyfikowane jako luka bezpieczeństwa.

Celem testu była ocena jakości funkcji ochrony przed manipulacją w produktach AV/EPP/EDR. Podejmowano próby naruszenia każdego produktu na podstawie listy kontrolnej oraz próbować wyłączyć lub zmodyfikować rozwiązanie zabezpieczające poprzez ingerencję w określone komponenty.

Jak ogólnie definiuje się ochronę przed manipulacją (tamper protection)?

Ochrona przed manipulacją zabezpiecza produkt przed zmianami dokonywanymi przez użytkownika końcowego lub aplikacje firm trzecich, a także chroni usługi, procesy, pliki, wpisy rejestru itd. przed próbami przejęcia kontroli – nawet w kontekście uprzywilejowanego użytkownika (o wysokiej lub systemowej integralności).

Jak definiuje się skuteczną manipulację w ramach tego testu?

Za udaną manipulację uznaje się sytuację, gdy możliwe było:

• Wyłączenie lub modyfikowanie plików konfiguracyjnych lub kluczy rejestru związanych z rozwiązaniem bezpieczeństwa, wyłączenie odpowiednich usług lub procesów, albo modyfikacja komponentów w przestrzeni jądra (kernel space).
• Usunięcie obrazów, bibliotek DLL lub plików sterowników powiązanych z kluczową funkcjonalnością produktu w celu uniemożliwienia inicjalizacji powiązanych komponentów w przestrzeni użytkownika lub jądrze systemu Windows po ponownym uruchomieniu docelowego hosta.
• Odinstalowanie danego produktu lub zmiana jego konfiguracji.
• Wyłączenie produktu – ogólnie lub przy użyciu samego produktu.
• Zmiana ustawień wykluczeń lub listy dozwolonych elementów (allowlisting).
• Częściowe lub całkowite wyłączenie produktu, np. wyłączenie komponentu w przestrzeni użytkownika.

Co ważne, ten test koncentrował się wyłącznie na jakości ochrony przed manipulacją. Oznacza to, że nie oceniono skutków działania po udanej manipulacji danego komponentu produktu.

Na przykład, jeśli możliwe było trwałe lub tymczasowe zakończenie działania procesu związanego z rozwiązaniem bezpieczeństwa z poziomu sesji systemowej, to taki rezultat uznawano za wynik testu.

W przypadku certyfikacji nie oceniano wpływu takiej manipulacji – informacje o potencjalnych skutkach były przekazywane wyłącznie producentowi i nie mają znaczenia w kontekście certyfikacji. Eksperci z AV Comparatives rozumieją, że np. wyłączenie jednego procesu w przestrzeni użytkownika systemu Windows nie zawsze prowadzi do całkowitego wyłączenia produktu.

Zakres testu

Na potrzeby certyfikacji badacze ocenili, czy możliwe było wyłączenie lub modyfikacja produktu lub jego komponentów poprzez manipulację.

Na przykład:

• Tester był w stanie zakończyć proces w przestrzeni użytkownika w sesji systemowej lub jeden z procesów w tej sesji → to stanowi wynik testu.
• W ramach certyfikacji nie oceniano wpływu na możliwości zapobiegania, wykrywania i reagowania.

Poza zakresem testu (Out of Scope)

W tym teście wyraźnie oddzielono produkty zabezpieczające punkty końcowe od systemu operacyjnego Windows. Oznacza to, że nie aktywowano ani nie oceniano mechanizmów utwardzania systemu Windows, takich jak Virtual Based Security (VBS), Hyper Visor Code Integrity (HVCI) itp.

Poza zakresem testu znajdywały się również:

• Przełączanie systemu w tryb blokady (lockdown).
• Tworzenie list dozwolonych (allowlisting) z poziomu AV/EPP/EDR lub z wykorzystaniem AppLocker lub podobnych narzędzi.
• Używanie trybu awaryjnego (safe mode) do manipulacji produktem.
• Dostęp fizyczny do systemu (dlatego logujemy się do maszyny wirtualnej przez RDP).
• Wszelkie działania manipulacyjne wykonywane z poziomu konsoli webowej produktu.

Test certyfikacyjny ochrony przed manipulacją 2025 – Wyniki Bitdefender GravityZone Business Security Enterprise

Poniżej wymieniono ustawienia produktu zastosowane przez producenta. Zmiany ustawień, które zespół AV Comparatives uznał za istotne w kontekście testu, zostały wyróżnione poprzez pogrubienie tekstu i kursywę.

„Sandbox Analyzer” (dla aplikacji i dokumentów) – włączony; Tryb analizy ustawiony na „Blokowanie”; „Scan SSL” – włączony dla HTTP i RDP; „Skanowanie pamięci procesów” przy „Skanowaniu w czasie dostępu” – włączone; HyperDetect ustawiony na „Blokowanie” i tryb „Agresywny”; „Device Control” – wyłączony; „Skanowanie ruchu sieciowego” i „Ochrona przed ransomware” – włączone; Wszystkie ustawienia „AMSI Command-Line Scanner” – włączone dla ochrony przed atakami bezplikowymi (Fileless Attack Protection); „Kernel-API Monitoring” – włączone; Ustawiono hasło do odinstalowania.

Zalecamy użytkownikom, aby upewnili się, że przynajmniej ustawienia zaznaczone poprzez pogrubienie i kursywę są odpowiednio skonfigurowane, jeśli chcą zwiększyć ochronę produktu przed manipulacją.

Certyfikacja ochrony przed manipulacją AV-Comparatives

Aby uzyskać zatwierdzenie AV-Comparatives w zakresie ochrony przed manipulacją (Anti-Tampering), wszystkie próby manipulacji przeprowadzone podczas testu musiały zostać skutecznie udaremnione.

Bitdefender GravityZone Business Security Enterprise spełnił wymagania certyfikacyjne, tj. skutecznie chronił przed atakami manipulacyjnymi zastosowanymi w tym teście.

Skuteczna ochrona przed atakami manipulacyjnymi – czyli próbami manipulacji lub zakończenia działania, które mogłyby prowadzić do tymczasowego lub trwałego, częściowego lub całkowitego wyłączenia funkcjonalności EDR – nie była możliwa.

Poniższe komponenty lub kategorie zostały przetestowane pod kątem odporności na ataki manipulacyjne, które mogłyby skutkować trwałą, tymczasową, częściową lub całkowitą utratą funkcjonalności produktu:

• Procesy w przestrzeni użytkownika, w tym wątki i uchwyty (zakończenie, zawieszenie itp.).
• Usługi w przestrzeni użytkownika (wstrzymanie, zatrzymanie, wyłączenie, odinstalowanie itp.).
• Klucze rejestru (usunięcie, zmiana nazwy, dodanie, modyfikacja itp.).
• Biblioteki DLL (manipulacja, modyfikacja, przejęcie itp.).
• Integralność agenta (wyłączenie, modyfikacja, odinstalowanie itp.).
• System plików (manipulacja, modyfikacja itp.).
• Sterowniki jądra (sterownik ELAM, sterownik filtrujący, minifiltr itp.).
• Inne komponenty i funkcje (np. połączenie z usługami aktualizacji itp.).

Jeśli chcesz poznać więcej możliwości, które zapewni Ci oprogramowanie z linii Bitdefender GravityZone, to sprawdź tę stronę.