AV-Test 2022: Тестирование защиты 29 антивирусов против шифровальщиков

2022-11-09 4239 комментарии
В тестировании AV-Test «Advanced Threat Protection» с использованием реальных сценариев атак были проверены 29 антивирусов для домашних и корпоративных пользователей на защиту от шифровальщиков

Успешная атака с использованием программ-вымогателей приводит к катастрофическим последствиям. Если в частных домохозяйствах заражение затрагивает только отдельные потребительские ПК, то в корпоративных средах шифровальщики могут быстро распространяться по сети на все доступные компьютеры и устройства хранения данных. В тестировании «Advanced Threat Protection» немецкая лаборатория AV-Test проверяет, насколько эффективно антивирусы могут защитить потребительские устройства и рабочие станции в корпоративных средах от атак шифровальщиками. В ходе тестирования оцениваемые антивирусы должны успешно отразить 10 реальных атак с программами-вымогателями.

«Катастрофа» — самый точный термин для описания успешной атаки программ-вымогателей. Многие компании уже на своем опыте ощутили последствия этих видов атак. В Германии от атак шифровальщиками пострадали ведущие компании, такие как Hipp, dpa или Торгово-промышленная палата, а в Европе и во всем мире пострадали Energias de Portugal, Rockstar Games или Colonial Pipeline. Почти у всех жертв производственные ПК, серверы и диски были зашифрованы, и для восстановления данных нужно было заплатить выкуп злоумышленникам. В результате рабочие процессы часто останавливались, а компании несли дополнительные ежедневные убытки.

Многие потребители и корпоративные пользователи устанавливают антивирусные решения для защиты своих систем Windows от программ-вымогателей. В своих тесте «Advanced Threat Protection» лаборатория AV-Test выяснила, насколько хорошо 29 антивирусных продуктов обеспечивают защиту от ransomware-атак. Каждое протестированное решение должно было успешно противостоять злоумышленникам в 10 тестовых сценариях. Большинство антивирусов продемонстрировали высокую эффективность, но было зафиксировано несколько ошибок, которые подпортили результат.

29 протестированных антивирусов

В классическом тесте на обнаружение оценивается сам факт распознавания угрозы. В этом расширенном тесте все по-другому. На первом этапе документируется обнаружение или игнорирование угрозы. Тем не менее эксперты также учитывают, смогла ли программа защиты обнаружить атаку дополнительными действиями, заблокировав ее и хотя бы частично удалив.

По этой причине в тесте Advanced Threat Protection показываются все этапы атаки программ-вымогателей на оценочных диаграммах, тем самым указывая точку, в которой защитное решение полностью или частично предотвратило атаку или проигнорировала ее. В процессе тестирования оцениваются все шаги, и лаборатория присуждает до 4 баллов в каждом сценарии этого теста. Таким образом, по итогам 10 сценариев антивирусы могут получить до 40 баллов за защиту.

В тесте принимали участие 16 потребительских антивирусов:

В тесте принимали участие 13 корпоративных решений:

Результаты тестирования в разбивке по категориям оказались очень интересными. Все антивирусы для обычных пользователей обнаруживали программу-вымогатель уже в самом начале, но только 10 из 16 антивирусов предотвратили все дальнейшие шаги атаки. Самый низкий общий балл здесь составил всего 31 балл.

Среди решений для корпоративных пользователей был выявлен только один случай полного игнорирования угрозы, но 8 из 13 антивирусов набрали максимальные 40 баллов. Хотя несколько антивирусов не смогли предотвратить все шаги атаки, наименьшее значение итогового результата — 36 из 40 баллов.

Расширенная защита от программ-вымогателей: насколько эффективно антивирусы для Windows защищают от шифровальщиков? На этот вопрос ответил тест «Advanced Threat Protection».

Хорошая защита для корпоративных пользователей: тест «Advanced Threat Protection» показывает, насколько надежно корпоративные антивирусные решения для Windows справляются в шифровальщиками.

10 достойных соперников для каждого решения

10 тестовых сценариев поясняются на диаграммах ниже. Например, в одном из сценариев приходит электронное письмо с вложенным zip-файлом. Архив содержит исполняемый файл, который запускается сразу после распаковки. После этого программа-вымогатель начинает развертываться в системе и шифровать систему с помощью различных шагов. В тестовых сценариях перечислены типы атак на каждом этапе. Лаборатория также указала определения в технических кодах MITRE ATT&CK для отслеживания сценариев. Более подробные технические сведения, связанные с тестом Advanced Threat Protection можно получить в статье «New Lines of Defense: EPPs and EDRs Put to the Test Against APT and Ransomware Attacks».

Процедура тестирования для каждой атакующей программы-вымогателя изображена на диаграмме в одной строке. Всего доступно 10 строк с результатами. Если во время тестирования антивирусный продукт обнаруживает программу-вымогатель на одном из первых двух шагов (первоначальный доступ или выполнение) атака считается предотвращенной. Лаборатория использует цветовое кодирования для визуализации результатов в таблице. Зеленый цвет означает, что атака остановлена; желтый — остановлена частично; оранжевый — атака не остановлена (обнаружение не произошло). Желтое поле на последней стадии может указывать на два результата: атака обнаружена частично с шифрованием отдельных файлов, либо шифровальщику удалось остаться в системе. Если в конце ряда полей на диаграмме есть оранжевое поле, атака считается пропущенной, и программа-вымогатель может спокойно запускаться.

Система начисления баллов довольно проста: лаборатория присуждает до 4 баллов за полное обнаружение или защиту в каждом тестовом сценарии. За частичное обнаружение вычитается значительное количество баллов. Затем баллы по всем 10 сценариям складываются в общую оценку защиты, которая в этом тесте составляет максимум около 40 баллов. Обратите внимание: несмотря на то, что тесты Advanced Threat Protection проводятся регулярно каждые два месяца, сценарии, а значит и максимальные баллы оценки защиты могут отличаться.

Тестовые сценарии

Все сценарии атак задокументированы в соответствии со стандартом базы данных MITRE ATT&CK. Отдельные подметоды, например «T1059.001», перечислены в базе данных MITRE под номером 1059.001 «Command and Scripting Interpreter: PowerShell». Таким образом, каждый шаг теста идентифицируется среди экспертов и его можно понять логически.

Хорошая защита для домашних пользователей

В ходе тестирования большинство из 16 потребительских антивирусов продемонстрировали эффективность своей защиты. 10 из 16 антивирусов безошибочно обнаружили все угрозы и предотвратили любые вредоносные действия. За это все они получили максимальные 40 баллов за оценку защиты: Ahnlab, Avast (с обеими версиями), AVG, Avira, Bitdefender, Microsoft, Microworld, PC Matic и Trend Micro.

Еще 6 антивирусов обнаружили всех вымогателей, но смогли остановить некоторые из них не полностью. Malwarebytes с 37,5 баллами, а также G DATA и McAfee с 37 баллами действительно имели некоторые проблемы с обнаружением, но почти во всех случаях им удавалось остановить программу-вымогатель на более поздних этапах. Malwarebytes допустил шифрование отдельных файлов лишь в одном тестовом случае. Почти во всех случаях в реестре Windows по-прежнему создавался «ключ запуска», об без дальнейших последствий.

Для VIPRE Security с 36 баллами и NortonLifeLock с 35,5 баллами ситуация была аналогичной. Однако, количество невыявленных случаев, остановленных позже, было выше. VIPRE Security допустил шифрование некоторых файлов в одном тестовом случае.

K7 Total Security набрал только 31 балл из 40 возможных. Хотя антивирус обнаружил все угрозы, он смог лишь частично предотвратить атаку по мере ее развертывания. Таким образом, в ряде случаев добавление ключа реестра разрешалось, а частичное шифрование данных не предотвращалось.

Результаты тестирования для потребителей

Для получения сертификата «Advanced Certified» по итогам данного теста антивирус должен был набрать по крайней мере 75% от максимально возможного результата, т.е. минимум 30 баллов из 40. Все протестированные антивирусы с этим справились.

Надежная защита корпоративных сред

Итоговая таблица для корпоративных продуктов показывает, что 12 из 13 решений смогли идентифицировать все угрозы. Только Trend Micro пропустил одного шифровальщика. Однако, обнаружение не гарантирует полноценную защиту от программ-вымогателей. В тесте только 8 из 13 антивирусов успешно обнаруживали и полностью отражали атаки. За это они получили максимальные 40 баллов: Ahnlab, Avast, Bitdefender (с обеими версиями), Comodo, G DATA, Malwarebytes и Microsoft.

Решения от Check Point и Seqrite отстали совсем немного и набрали 38,5 балла. Во время одной атаки у них возникла проблема, заключавшаяся в том, что программа-вымогатель смогла выполнить начальные шаги, включая создание «ключа запуска» в реестре Windows. Только после этого антивирусы заблокировали атаку, очистив реестр от нежелательных ключей.

В одном случае у Trellix возникала аналогичная проблема. Атака не была полностью остановлена, и отдельные файлы действительно шифровались. В итоге Trellix набрал 37,5 балла.

VMware и Trend Micro завершили тест, набрав по 36 баллов. У VMware были проблемы с двумя атаками. Первая атака была отражена на дальнейших шагах и оставила после себя только следы в реестре. Во время второй атаки защита была несколько менее эффективной, и произошло частичное шифрование файлов.

Trend Micro продемонстрировал безупречную защиту в 9 случаях из 10. В 10-й атаке программы-вымогатель не была обнаружена ни в начале, ни во время различных действий, и в результате атака была успешной.

Результаты тестирования для корпоративных пользователей

Для получения сертификата «Advanced Certified» по итогам данного теста антивирус должен был набрать по крайней мере 75% от максимально возможного результата, т.е. минимум 30 баллов из 40. Все протестированные антивирусы с этим справились.

Обнаружение — это хорошо, но комплексная защита лучше

Текущее тестирование подчеркивает сложность защиты от программ-вымогателей. Все тестируемые антивирусы — для обычных пользователей и корпоративных сред — сразу обнаружили всех злоумышленников, за одним исключением. Однако в некоторых случаях различные решения смогли заблокировать программу-вымогатель только на последующих этапах и было допущено шифрование отдельных файлов.

Тест от AV-Test показывает, что большинство антивирусов являются надежными союзниками в борьбе с программами-вымогателями. Среди решений для корпоративных пользователей 8 из 13 достигли максимальной оценки защиты в 40 баллов. Среди продуктов для домашних пользователей максимальный балл получили 10 из 16 антивирусов. Остальные антивирусы заблокировали программу-вымогатель только на следующих этапах, за что не досчитались баллов. Только в редких случаях происходило шифрование отдельных файлов и лишь в одном случае из 290 рассмотренных сценариев атака с использованием шифровальщика была полностью успешной. В целом впечатляющий результат, свидетельствующий о высоком уровне безопасности.

© . По материалам AV-Test

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?