AV-Test 2022: Тестирование защиты 34 антивирусов против шифровальщиков

2022-08-19 13420 комментарии
В тестировании AV-Test «Advanced Threat Protection» с использованием реальных сценариев атак были проверены 34 антивируса для потребителей и корпоративных пользователей на защиту от шифровальщиков

Волны атак с участием программ-вымогателей становятся все более частыми в последнее время. Появилась даже уникальная модель «Шифровальщик как сервис» (Ransomware-as-a-Service), которая позволяет даже киберпреступникам без углубленных технических знаний, проводить атаки. Смогут ли новейшие решения безопасности для потребителей и корпоративных сред выдержать натиск этой коварной угрозы? Тесты Advanced Threat Protection от AV-Test наглядно показывают, насколько хорошо решения способны обеспечить защиту от программ-вымогателей. В реалистичных сценариях атак каждый шаг защиты и перехвата, выполняемый решениями, документируется и оценивается. Многие продукты безопасности сработали безошибочно.

Видимо, традиционных атак с использованием шифровальщиков оказалось недостаточно и появилась новая бизнес-модель Ransomware-as-a-Service, которая набирает популярность. Теперь злоумышленники, не имеющие большого опыта работы с шифровальщиками могут приобрести лицензию и проводить собственные атаки. Часть денег, собранным от действия шифровальщика поступает в APT-группу. Данная модель приведет к росту количества атак с использованием программ-вымогателей. Вот почему важно понимать, насколько хорошо решение безопасности проявляет себя в борьбы с такими угрозами.В отличие от традиционных вредоносных программ, простое обнаружение программ-вымогателей не всегда приводит к успешной защите. Однако, даже программы-вымогатели, не обнаруженные сразу, все равно могут быть остановлены в ходе атаки. Оценить эффективность продуктов можно с помощью тестов Advanced Threat Protection от AV-Test. В ходе тестирования корпоративные и потребительские продукты должны успешно отразить 10 реальных атак с программами-вымогателями.

Даем отпор шифровальщикам: В тесте Advanced Threat Protection было протестировано 34 антивирусных продукта.

34 протестированных антивируса

Антивирусы, протестированные в данном испытании разделены на две группы, по 17 продуктов в каждой.

17 потребительских решений защиты:

17 корпоративных решений защиты:

В 10 реалистичных сценариях атак систем Windows каждый участник тестирования должен был отразить действия программ-вымогателей. Эти 10 сценариев поясняются на диаграммах ниже. Например, в одном из сценариев приходит электронное письмо с вложенным zip-файлом. Архив содержит исполняемый файл, который запускается сразу после распаковки. После этого программа-вымогатель начинает развертываться в системе и шифровать систему с помощью различных шагов. В тестовых сценариях перечислены типы атак на каждом этапе. Лаборатория также указала определения в технических кодах MITRE ATT&CK. Более подробные технические сведения, связанные с тестом Advanced Threat Protection можно получить в статье «New Lines of Defense: EPPs and EDRs Put to the Test Against APT and Ransomware Attacks».

Антивирусы против шифровальщиков: в тесте расширенной защиты от атак 17 антивирусных продуктов для потребителей должны были столкнуться с 10 реалистичными атаками с использованием программ-вымогателей.

Корпоративные решения против шифровальщиков: шифровальщики — это страшный сон для любой компании! В тесте расширенной защиты от атак было проверено, насколько эффективную защиту от программ-вымогателей обеспечивают корпоративные продукты.

340 столкновений с программами-вымогателями

Если во время тестирования антивирусный продукт обнаруживает программу-вымогатель на одном из первых двух шагов (первоначальный доступ или выполнение) атака считается предотвращенной. Лаборатория использует цветовое кодирования для визуализации результатов в таблице. Зеленый цвет означает, что атака остановлена; желтый — остановлена частично; оранжевый — атака не остановлена (обнаружение не произошло). Желтое поле на последней стадии может указывать на два результата: атака обнаружена частично с шифрованием отдельных файлов, либо шифровальщику удалось остаться в системе. Если в конце ряда полей на диаграмме есть оранжевое поле, атака считается пропущенной, и программа-вымогатель может спокойно запускаться.

Система начисления баллов довольно проста: лаборатория присуждает до 4 баллов за полное обнаружение или защиту в каждом тестовом сценарии. За частичное обнаружение вычитается значительное количество баллов. Затем баллы по всем 10 сценариям складываются в общую оценку защиты, которая в этом тесте составляет максимум около 40 баллов. Обратите внимание: несмотря на то, что тесты Advanced Threat Protection проводятся регулярно каждые два месяца, сценарии, а значит и максимальные баллы оценки защиты могут отличаться.

Тестовые сценарии

Все сценарии атак задокументированы в соответствии со стандартом базы данных MITRE ATT&CK. Отдельные подметоды, например «T1059.001», перечислены в базе данных MITRE под номером 1059.001 «Command and Scripting Interpreter: PowerShell». Таким образом, каждый шаг теста идентифицируется среди экспертов и его можно понять логически.

Потребительские антивирусы: 12 решений отработали без ошибок

В данном тесте проверялась эффективность защиты 17 продуктов против 10 реальных сценариев атак с участием программ-вымогателей. Сразу 12 решений оказались очень успешными. Они смогли своевременно обнаружить шифровальщиков и предотвратить дальнейшие вредоносные действий. За это они получили максимальные 40 баллов: AhnLab, Avast, AVG, Avira, F-Secure, Kaspersky, McAfee, Microsoft, NortonLifeLock, PC Matic, Protected.net и VIPRE Security

Результаты тестирования для потребителей

Bitdefender и K7 Computing получили 39 баллов из 40 возможных. Оба продукта выдали лишь частичное обнаружение в одном тестовом сценарии. В случае с Bitdefender, программы-вымогателю удалось зашифровать небольшое количество файлов. Что касается K7 Computing, то решению удалось вовремя остановить шифровальщик, но вредоносная программа оставалась в системе и снова могла быть приведена в действие. Аналогичная проблема у Trend Micro наблюдалась сразу в 3 случаях — в результате продукт получил только 37 баллов.

Malwarebytes в двух сценариях продемонстрировал частичное обнаружение, и в одном из них некоторые файлы были зашифрованы. Во втором случае, вредоносной программе удалось не только зашифровать часть файлов, но и внести изменения в реестр и сменить фоновое изображение на рабочем столе. Таким образом, Malwarebytes получил только 36,5 баллов из 40 возможных.

Антивирусное решение G DATA не смогло обнаружить угрозу в двух сценариях, что позволило программе-вымогателю выполниться. Это привело к потере 4 баллов в каждом из случаев — суммарно G DATA набирает 32 балла.

Для получения сертификата «Advanced Certified» по итогам данного теста продукт должен был набрать по крайней мере 75% от максимально возможного результата, т.е. минимум 30 баллов из 40. Все протестированные продукты с этим справились.

Корпоративные антивирусы: многие сработали безошибочно

Решения для корпоративных сред, протестированные в данном испытании, показали отличные результаты. Сразу 12 из 17 продуктов заработали максимальные 40 баллов за защиту.

Результаты тестирования для корпоративных пользователей

Оба продукта от Bitdefender получили по 39 баллов, потому что каждый из них допустил одно частичное обнаружение.

Seqrite получил 37 баллов из-за трех проблемных случаев: одно частичное обнаружение с шифрованием нескольких файлов и два сценария, когда вредоносная программа оставалась в системе и подвергала пользователя дополнительному риску.

Trend Micro столкнулся с такими сложностями целых три раза, но при этом ни разу не допускалось шифрование даже части файлов. В итоге продукт набрал 37 баллов.

Корпоративное решение от G DATA проигнорировало шифровальщики сразу в двух тестовых сценариях, за что получило только 32 балла.

Все корпоративные продукты получили сертификацию «Advanced Approved Endpoint Protection» потому что набрали 75% (30 баллов) от максимального результата в 40 баллов.

Выбор надежного решения защиты от программ-вымогателей

В то время как многие из популярных продуктов смогли пройти традиционный тест на обнаружение, в тестировании лаборатории AV-Test «Advanced Threat Protection» расширенной защиты от угроз продукты также должны были доказать свою эффективность после обнаружения или пропуска программы-вымогателя. Это очень важный аспект, потому что, если программа-вымогатель может проникнуть и закрепиться в системе, то все ваши данные будут зашифрованы, а другие компьютеры в сети окажутся в серьезной опасности.

Антивирусные решения для потребительского рынка в целом положительно справились с тестовыми задачами. 12 из 17 протестированных продуктов получили максимальные 40 баллов, в том числе бесплатные Avast Free AntiVirus и Microsoft Defender Antivirus. Если вас интересует более широкие функциональные возможности, то обратите внимание на следующие платные продукты от AhnLab, AVG, Avira, F-Secure, Kaspersky, McAfee, NortonLifeLock, PC Matic, Protected.net или VIPRE:

Результаты корпоративных решений оказались столь же убедительными. 12 из 17 протестированных продуктов набрали максимальные 40 баллов: AhnLab, Avast, Comodo, Kaspersky (2 продукта), Malwarebytes, Microsoft, Sangfor Technologies, Symantec (Broadcom), Trellix, VMware и WithSecure (ранее F-Secure Business). Таким образом, корпоративным пользователям доступен широкий выбор решений с сертификатом «Advanced Approved Endpoint Protection» для защиты сети и конечных точек.

© . По материалам AV-Test
Комментарии и отзывы

Нашли ошибку?

Новое на сайте