В компании AV-Comparatives провели тестирование восьми IT-продуктов безопасности (Security Products). Согласно исследованиям аналитиков компании, из восьми протестированных ими продуктов класса предприятия с объявленным антивирусным и защитным функционалом, только шесть заслужили положительную оценку и получили сертификат AV-Comparatives.
В исследовании участвовали следующие продукты: Avast Business Antivirus Plus, Bitdefender Gravity Zone Elite Security, CrowdStrike Falcon Pro, ESET PROTECT Entry, Fortinet FortiClient (включая FortiSandbox и FortiEDR), Kaspersky Endpoint Security for Business Select, SparkCognition DeepArmor Endpoint Protection Platform и Vipre Endpoint Security Cloud.
Тестирование осуществлялось в соответствии с программой Advanced Threat Protection Test (ATP), предусматривающей противодействие 15 атакам. Оценивались способность продуктов защиты от атаки (не учитывалась возможность ее выявления), блокировки ее и степень нарушения работы атакуемой системы. В тест было включено также подмножество сценариев проверки TTP (Tactics, Techniques, Procedures — тактика, техника, процедуры), приведенных в структурной программе тестирования MITRE ATT&CK .
При проведении тестов ATP использовались методы хакеров и механизмы проникновения, позволяющие достичь внутренних систем жертвы. Кроме того, применялись системные программы для обхода сигнатурных методик определения атаки. Испытания включали реакцию на скрытые и зашифрованные вредоносные коды (Base64, AES), атаки на разные каналы (HTTP, HTTPS, TCP) и известные эксплойты (Metasploit Framework, Meterpreter, PowerShell Empire, Puppy и др.).
Результаты для каждой из 15 атак приведены в двух таблицах.
Таблица 1. Тестирование по программе ATP
Примечания
н/п — неприменимо
FPs (False Positive /False Alarm) — проверка на способность отличить сходные невредоносные действия от вредоносных
Таблица 2. Оперативность реакции на атаку
|
Продукт |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
12 |
13 |
14 |
15 |
|
Avast |
ON |
POST |
PRE |
POST |
PRE |
ON |
POST |
— |
— |
ON |
— |
POST |
— |
POST |
ON |
|
Bitdefender |
PRE |
PRE |
PRE |
POST |
PRE |
ON |
PRE |
POST |
PRE |
ON |
PRE |
PRE |
ON |
PRE |
PRE |
|
CrowdStrike |
ON |
POST |
POST |
POST |
POST |
POST |
POST |
POST |
ON |
— |
— |
ON |
— |
POST |
ON |
|
ESET |
ON |
ON |
ON |
ON |
ON |
ON |
POST |
ON |
PRE |
— |
PRE |
PRE |
PRE |
PRE |
ON |
|
Fortinet |
ON* |
ON* |
ON* |
ON* |
ON* |
ON* |
ON* |
ON* |
ON* |
ON* |
ON* |
ON* |
ON* |
ON* |
ON* |
|
Kaspersky |
POST |
PRE |
PRE |
PRE |
PRE |
— |
ON |
POST |
ON |
POST |
PRE |
PRE |
POST |
ON |
ON |
|
SparkCognition |
— |
PRE |
PRE |
PRE |
— |
— |
— |
— |
— |
PRE |
— |
PRE |
— |
— |
— |
|
Vipre |
PRE |
PRE |
PRE |
— |
PRE |
ON |
PRE |
POST |
PRE |
— |
PRE |
PRE |
— |
PRE |
PRE |
Примечания
Стадии определения/блокировки атаки:
Pre-execution (PRE) — до исполнения атаки, атака не реализована;
On-execution (ON) — сразу после начала действия атаки;
Post-execution (POST) — после начала действия атаки, атака выявлена.
По результатам тестирования Avast, Bitdefender, CrowdStrike, ESET, Kaspersky, VIPRE признаны AV-Comparatives удовлетворяющими критериям защищенности и получили подтверждающий, соответствующий сертификат.
