Bitdefender liderem w nowych niezależnych testach AV-Comparatives i AV-TEST
Piotr R
11 października 2024
Bitdefender GravityZone nadal konsekwentnie wyróżnia się w nowych niezależnych testach AV-Comparatives i AV-Test, wykazując wyjątkowe możliwości zapobiegania zagrożeniom i reagowania na nie na różnych platformach. Poniżej znajduje się przegląd przeprowadzonych testów i Bitdefender.
Test zapobiegania i reagowania na punkty końcowe AV-Comparatives
Raport porównawczy AV-Comparatives Endpoint Prevention and Response Comparative Report na rok 2024 to zestaw okresowych ocen, które są publikowane w celu pomiaru produktów dostawców zabezpieczeń pod kątem ich zdolności do zapewnienia aktywnej i pasywnej odpowiedzi na współczesne zagrożenia cybernetyczne. W tym roku przetestowano produkty dwunastu różnych dostawców, w tym Bitdefender, CrowdStrike, Check Point, ESET, Kaspersky, Palo Alto Networks, VIPRE i pięciu innych dostawców, których nazw nie wymieniono.
Każdy produkt został poddany 50 różnym scenariuszom ataków w hipotetycznym środowisku 5000 punktów końcowych. Scenariusze ataków wybrano ze względu na ich zdolność do naśladowania rzeczywistych ataków wieloetapowych, których celem jest sieć i systemy organizacji. Oprócz ochrony przed skutecznym wykonaniem ataków, rozwiązania miały wykonywać dogłębną analizę wektorów ataków, metodologii i intencji. Zapewniając ten poziom widoczności, mogą one umożliwić zespołom ds. bezpieczeństwa skuteczne powstrzymywanie zagrożeń, naprawianie naruszonych systemów i wdrażanie środków zapobiegających ponownemu wystąpieniu naruszeń bezpieczeństwa.
Kryteria oceny porównawczej AV
Oceniono, czy 50 ataków osiągnęło trzy krytyczne etapy:
- Naruszenie bezpieczeństwa punktu końcowego i jego utrwalenie: W jakim stopniu detonacja zagrożeń okazała się skuteczna w celu naruszenia bezpieczeństwa systemu.
- Propagacja wewnętrzna: W jakim stopniu zagrożenie mogło rozprzestrzenić się na inne systemy po naruszeniu systemu?
- Naruszenie bezpieczeństwa aktywów: Możliwość uzyskania dostępu do poufnych danych lub zasobów w wyniku ataku.
W tych krytycznych etapach AV-Comparatives oceniło każdy produkt pod kątem jego zdolności do aktywnej i pasywnej reakcji. AV-Comparatives definiuje aktywną reakcję jako zdolność rozwiązania do automatycznego blokowania zagrożenia, podczas gdy pasywna reakcja mierzy zdolność rozwiązania do dostarczania „możliwych do wykorzystania informacji wywiadowczych, których administrator mógłby użyć do interwencji”.
Biorąc pod uwagę te kryteria, dostawcy byli oceniani przez hipotetyczny okres pięciu lat, mierząc ich skuteczność zapobiegania naruszeniom, opłacalność, dokładność operacyjną i wydajność przepływu pracy. Następnie pomiary te były tłumaczone na to, co AV-Comparatives nazywa „CyberRisk Quadrant”, który był następnie używany do przydzielania każdego dostawcy do jednej z następujących kategorii: Strategic Leader, CyberRisk Visionary, Strong Challenger i Not Certified.
Bitdefender sklasyfikowany jako lider strategiczny
Wyniki testów zdecydowanie plasują Bitdefender jako „Strategicznego Lidera”. W 50 symulowanych atakach Bitdefender wyróżniał się w radzeniu sobie z zagrożeniami „zanim zagrożenia mogły się rozprzestrzenić i zinfiltrować sieć organizacji”. Bitdefender osiągnął najwyższy wskaźnik aktywnej i pasywnej reakcji na poziomie 99,3%.
Faza 1
W pierwszej fazie ataków wykorzystano trzy ważne taktyki opisane w ramach MITRE ATT&CK:
- Dostęp początkowy: Metoda wykorzystywana przez zagrożenie w celu uzyskania nieautoryzowanego dostępu do sieci lub systemu celu.
- Wykonanie: Zdolność zagrożenia do uruchomienia złośliwego kodu w zainfekowanym systemie w celu osiągnięcia celów atakującego.
- Trwałość: Opisuje działania atakującego mające na celu utrzymanie nieautoryzowanego dostępu do naruszonego systemu lub sieci. Może to obejmować instalowanie tylnych drzwi, modyfikowanie ustawień systemu lub wykorzystywanie luk w celu uzyskania i utrzymania kontroli.
Bitdefender GravityZone nie tylko automatycznie wykrył i udaremnił każdą z tych taktyk, ale także dostarczył pomocne dane kontekstowe, które pozwoliły oceniającym ustalić priorytety zdarzeń.
Faza 2
Druga faza ataków mierzyła propagację wewnętrzną. Ponownie zastosowano kilka różnych taktyk, aby przetestować zdolność rozwiązań do zapobiegania rozprzestrzenianiu się zagrożenia:
- Eskalacja uprawnień: Po naruszeniu systemu atakujący uzyskuje dostęp na wyższym poziomie do naruszonego systemu lub sieci.
- Unikanie obrony: Obejmuje działania podejmowane przez zagrożenie w celu uniknięcia wykrycia przez systemy bezpieczeństwa lub personel.
- Dostęp do danych uwierzytelniających: Możliwość kradzieży danych uwierzytelniających, takich jak nazwy użytkowników i hasła, z zainfekowanego systemu lub sieci.
- Odkrycie: Mierzy zdolność ataku do identyfikowania cennych zasobów, mapowania topologii sieci lub konfiguracji systemu.
- Poruszanie się poziome: Techniki wykorzystywane przez atakujących w celu przemieszczania się z jednego zainfekowanego systemu lub sieci do innego w obrębie środowiska docelowego.
W fazie 2 Bitdefender GravityZone zapewnił pełną aktywną i pasywną odpowiedź na taktyki mierzone na tym etapie ataku. Ponadto AV-Comparatives wskazał, że „gdy ataki zostały wykryte na późniejszym etapie, Bitdefender był w stanie prześledzić je do ich źródła i dostarczyć szczegółowych informacji”.
Faza 3
Ostatni etap ataku, naruszenie zasobów, mierzył zdolność sprawcy zagrożenia do pozyskania poufnych danych od celu. Jest to zdecydowanie najbardziej szkodliwy potencjał każdego cyberataku, ponieważ umożliwiłby przestępcy dostęp do poufnych danych osobowych, szczegółów infrastruktury krytycznej lub własności intelektualnej. W tej fazie ataku AV-Comparatives oceniło cztery różne kategorie:
- Gromadzenie: Kradzież danych, które mogą obejmować pliki, dokumenty, bazy danych, wiadomości e-mail, obrazy i inne.
- Command and Control: Zdolność ataku do umożliwienia komunikacji między systemem atakującego a siecią celu. Udane połączenie C&C może umożliwić nieograniczony dostęp do całej organizacji przez aktora zagrożenia.
- Skutki: Mierzy bezpośrednie szkody wyrządzone systemom i sieci docelowej, co może wiązać się z szyfrowaniem, manipulacją lub zniszczeniem danych.
- Eksfiltracja: Opisuje zdolność ataku do przesyłania danych z celu poprzez sieć do serwerów osoby atakującej.
W ocenach Bitdefender nie pozwolił żadnemu atakowi osiągnąć fazy 3. Te wyniki odzwierciedlają zaangażowanie producenta w ochronę organizacji każdej wielkości przed najbardziej szkodliwymi aspektami naruszenia bezpieczeństwa.
Inne mierzone czynniki
W tej rocznej ocenie są inne aspekty środków AV-Comparative. Najpierw zaczynają od porównania tego, co nazywają „strukturą kosztów EPR”, co ma na celu zestawienie kosztów dla użytkownika końcowego dla produktu dostawcy w hipotetycznym 5-letnim okresie obejmującym 5000 punktów końcowych. W tym przypadku Bitdefender został zidentyfikowany jako mający najniższy koszt EPR wśród ocenianych dostawców.
AV-Comparatives ostrzega, że „ceny mogą się różnić w zależności od czynników, takich jak rabaty ilościowe, rabaty negocjowane, lokalizacja geolokalizacyjna, kanały dystrybucji i marże partnerów”. Mając to za punkt odniesienia, AV-Comparatives wdraża następnie dwa dodatkowe kryteria:
- Dokładność operacyjna: Mierzy skłonność produktu do blokowania wykonywania „narzędzi i skryptów przyjaznych administratorowi”, co może prowadzić do fałszywych alarmów.
- Koszty opóźnienia przepływu pracy: Mierzy skłonność produktu do zatrzymywania wykonywania plików w celu przeprowadzenia dalszej analizy (np. w środowisku testowym).
Biorąc pod uwagę te czynniki, AV-Comparatives wykonał dodatkowe obliczenia dotyczące całkowitego kosztu posiadania produktu. Wyniki Bitdefender w tej części oceny były w większości pozytywne, biorąc pod uwagę, że nie doświadczono żadnych opóźnień w przepływie pracy, podczas gdy dokładność operacyjna została zmierzona jako „umiarkowana”.
Test wytrzymałościowy AV-Test ATP
Okresowo AV-Test publikuje swój półroczny raport z Advanced Threat Protection Endurance Test. Wyniki porównują 31 różnych produktów od 14 różnych dostawców. Te testy wytrzymałościowe mają na celu nie tylko ocenę, jak dobrze rozwiązania mogą wykrywać zaawansowane zagrożenia, ale także jak skutecznie zapobiegają zagrożeniom przed uszkodzeniem systemów Windows 10.
W tych testach oceniono dwa produkty biznesowe Bitdefender: Bitdefender Business Security (wcześniej znany jako Bitdefender Endpoint Security) i Bitdefender Business Security Enterprise (wcześniej znany jako Bitdefender Endpoint Security Ultra). Oba produkty wypadły znakomicie, uzyskując najwyższe noty w każdym z kryteriów oceny.
Kryteria oceny testu AV
Testy wytrzymałościowe AV-Test Advanced Threat Protection Endurance zostały zaprojektowane w celu odtworzenia złożonych technik ataków, na które podatne byłyby systemy Windows 10. Wśród odtworzonych technik znalazły się:
- Reflective Code Injection: Typ ataku bezplikowego, ta technika polega na wstrzykiwaniu złośliwego kodu do pamięci systemu. Nie zapisując złośliwego kodu na dysku, można ominąć tradycyjne metody wykrywania.
- Fileless Malware: Opisuje typ malware, który działa całkowicie w pamięci. Używając narzędzi takich jak PowerShell, atakujący może użyć fileless malware, aby wprowadzić zmiany w rejestrze lub plikach systemowych.
- Użycie interpretera skryptów: W teście wykorzystano AutoHotkey, język skryptowy typu open source dla systemu Windows, służący do automatyzacji zadań polegających na bezpośrednim wykonywaniu instrukcji w podsystemie Windows 10 w celu załadowania oprogramowania wymuszającego okup lub złodzieja informacji.
- MSI: Program Microsoft Software Installer został użyty w celu ukrycia złośliwych plików, które później mogą zostać wyodrębnione podczas ataku.
- NSIS: Nullsoft Scriptable Install System to narzędzie skryptowe typu open source, które, podobnie jak MSI, może służyć do pakowania złośliwych plików do archiwum, z którego można je później wyodrębnić.
- Złośliwy kod w pliku LNK: Używając formatu pliku skrótu systemu Windows (LNK), atakujący mogą ukryć złośliwe oprogramowanie podszywając się pod inne programy. Po kliknięciu skrótu wykonywany jest złośliwy kod.
Przy użyciu tych technik przetestowano 31 produktów od stycznia do czerwca 2024 r. w trzech różnych testach. Nie każdy produkt brał udział w każdym z testów. AV-Test nie określił dokładnie, dlaczego wybrano tę metodę, ale niezależnie od tego każdy z produktów został oceniony pod kątem tego, jak dobrze wykrył atak i jak dobrze rozwiązanie zapobiegło zainfekowaniu systemu przez złośliwy ładunek. Późniejsze kryteria znalazły odzwierciedlenie w „Protection Score” i „Max Protection Score”. W sposób, w jaki opisuje to AV-Test, produkty, które popełniły drobne błędy, otrzymały punkty odjęte od „Max Protection Score”. Szczegóły tych błędów nie zostały udostępnione przez AV-Test.
Bitdefender zdobył najwyższe noty w teście wytrzymałości AV-Test
Bitdefender Business Security Enterprise był najlepszym rozwiązaniem spośród wszystkich ocenianych rozwiązań, uzyskując najwyższą możliwą ocenę. Przeprowadzono trzy oddzielne testy obejmujące 30 ataków. Według AV-Test „Jedynym produktem w teście wytrzymałościowym, który uzyskał 105 na 105 możliwych punktów, było rozwiązanie Bitdefender Endpoint Security Ultra (Bitdefender Business Security Enterprise).” Główny produkt biznesowy, Bitdefender Business Security, zajął drugie miejsce w tych testach.
Wysoka wydajność Bitdefender zainspirowała AV-Test do stwierdzenia, że ten produkt biznesowy „wyróżnia się z tłumu” dzięki imponującym wynikom. Te wyniki uzupełniają niezwykły rekord Bitdefendera jako jedynego aktywnego dostawcy, który osiągnął idealne wyniki w zakresie ochrony, wydajności i użyteczności w ciągu ostatnich siedmiu testów Endpoint Security AV-Test.
Bitdefender doceniony w testach – kluczowe wnioski
Dzięki wynikom dwóch nowych niezależnych testów AV-Comparatives i AV-Test, Bitdefender po raz kolejny wykazał zdolność do zapewnienia wyjątkowej ochrony i możliwości zapobiegania odpowiednim organizacjom każdej wielkości. Te wyniki podkreślają zaangażowanie Bitdefender w dostarczanie najwyższej klasy rozwiązań cyberbezpieczeństwa, które mogą skutecznie chronić firmy przed szeroką gamą zagrożeń. Ponieważ cyberprzestępcy nadal opracowują nowe sposoby atakowania firm, Bitdefender będzie tam, aby pomóc Twojej firmie przygotować się na wszystko, co nadejdzie.
Autor
Piotr R