Test skuteczności rozwiązań EDR. Który system jest najlepszy?

Test skuteczności rozwiązań EDR. Który system jest najlepszy?22.05.2024 21:37
Skuteczność ochrony rozwiązań EDR przeciwko zagrożeniom z Internetu w marcu 2024
Źródło zdjęć: © AVLab

Poświęcając tę edycję rozwiązaniom EDR (Endpoint Detection and Response) chcemy przypomnieć niektóre pojęcia. Otóż podstawowym zadaniem EDR jest ułatwienie zespołom ds. bezpieczeństwa podejmowanie lepszych decyzji podczas przetwarzania incydentów, które są raportowane z urządzeń pracowników. EDR znacząco ułatwia zarządzanie incydentami. Na przykład możliwe jest przekierowanie problemów do wyznaczonych ekspertów od analizy malware i ruchu sieciowego, wyszukiwanie śladów włamań w czasie rzeczywistym, wskazywanie nieprawidłowości z bezpieczeństwem każdego punktu końcowego.

Ogólnie rzecz biorąc rozwiązania, które są wyposażone w moduły EDR, pozwalają firmom oszczędzać pieniądze poprzez unikanie niepotrzebnych wydatków. Mianowicie jeden produkt jest tańszy we wdrożeniu, zarządzaniu, konfiguracji, integracji i utrzymaniu w cyklu rocznym niż kilka odrębnych rozwiązań różnych producentów. W przypadku oprogramowania anty-malware z modułem EDR lub XDR holistyczne podejście do bezpieczeństwa sprawdza się lepiej w praktyce niż fragmentacja produktów IT.

W marcu 2024 podczas badania Advanced In-The-Wild Malware Test pozyskaliśmy znacznie ponad 400 unikalnych adresów URL kierujących do próbek szkodliwego oprogramowania. Przypomnijmy, że próbki malware pozyskujemy z prawdziwych kanałów internetowych: komunikatorów, stron internetowych, honeypotów. Następnie każda próbka jest dokładnie sprawdzana, czy aby na pewno jest szkodliwa. Dzięki temu nie tracimy czasu na testowaniu "próbek-śmieci" i przy wykorzystaniu algorytmów oceniamy ochronę przed zagrożeniami pochodzącym z różnych źródeł w Internecie.

Dalsza część artykułu pod materiałem wideo

Nasze testy są zgodne z wytycznymi Anti-Malware Testing Standards Organisation. Szczegóły na temat badania dostępne są na tej stronie, a także w naszej metodologii.

W marcu 2024 przetestowaliśmy następujące rozwiązania dla biznesu i instytucji rządowych:

  • Emsisoft Enterprise Security + EDR
  • Microsoft Defender for Business + EDR
  • ThreatDown Endpoint Protection + EDR
  • Xcitium ZeroThreat Advanced + EDR

Oraz rozwiązania dla użytkowników indywidualnych:

  • Avast Free Antivirus
  • Bitdefender Total Protection
  • Comodo Internet Security Pro
  • Eset Smart Security Premium
  • F-Secure Total
  • Panda Dome
  • McAfee Total Protection
  • Malwarebytes Premium
  • Webroot Antivirus
Skuteczność ochrony rozwiązań EDR przeciwko zagrożeniom z Internetu, Źródło zdjęć: © Licencjodawca
Skuteczność ochrony rozwiązań EDR przeciwko zagrożeniom z Internetu
Źródło zdjęć: © Licencjodawca
Czym jest atak hakerski, jakie są rodzaje ataków i jak się przed nimi bronić

Podsumowanie testów w marcu 2024 r.

Do testów dołączyliśmy rozwiązanie Microsoft Defender for Business z modułem EDR, które jak się później okazało – otrzymało certyfikat EXCELLENT od AVLab Cybersecurity Foundation, ponieważ spełniło wymagane minimum 99% łącznej ochrony z poziomów PRE-Launch + POST-Launch. Nowością w teście było także oprogramowanie Bitdefender Total Protection przeznaczone dla użytkowników indywidualnych i mikro firm, które także uzyskało certyfikat potwierdzający skuteczność.

Łącznie przetestowaliśmy kilkanaście rozwiązań. Prawie wszystkie z nich charakteryzowały się 100-procentową neutralizacją zagrożeń in-the-wild. Jeżeli ktoś zechciałby kopać głębiej, powinien odwiedzić stronę z wynikami, gdzie rozbijamy na czynniki pierwsze blokowanie zagrożeń na konkretnym etapie. Obliczamy też średni czas całkowitej neutralizacji zagrożenia (cykl życia malware w systemie).

Najważniejsze dane techniczne są w pełni transparentne i wraz z wynikami są dostępne na stronie RECENT RESULTS. Publikujemy tam również tzw. krajobraz zagrożeń na podstawie danych z testu w marcu 2024 r.

Reagowanie na zagrożenia – jak szybko rozwiązania radzą sobie z malware?

Średni czas reakcji na zagrożenie uzyskany przez wszystkich producentów wyniósł około 33 sekund. Najszybciej z blokowaniem i bezbłędnym usuwaniem zagrożeń radziły sobie rozwiązania:

  • F-Secure (średnio 0.559s sekundy)
  • McAfee (średnio 1.167 sekundy)
  • Avast (średnio 10 sekund)

Nie wszystkim producentom udało się wykryć i zablokować każdą próbkę in-the-wild. W tej edycji z jednym potwierdzonym negatywnym wynikiem jest Eset Smart Security Premium, podobnie jak Bitdefendet Total Security, a także Panda Dome Advanced.

Chociaż w teście nie używamy próbek PUP.PUA, to w środowisku domowym i w małym biurze zawsze warto aktywować taką funkcję i my też używamy takich ustawień. W środowisku biznesowym za sprawą licznych funkcji bezpieczeństwa warto włączyć wszystkie dostępne moduły: rollback, izolację urządzeń z wykrytymi z incydentami, ochronę dokumentów MS Office itp.

W serii "Advanced In-The-Wild Malware Test" używamy domyślnych ustawień testowanych produktów. Ustawienia predefiniowane są dobre, lecz nie zawsze najlepsze. Dlatego dla pełnej transparentności wymieniamy te, które wprowadziliśmy dla uzyskania lepszej ochrony albo jeżeli jest to wymagane przez producenta.

Oprócz poniższych zmian zawsze konfigurujemy rozwiązanie w taki sposób, aby po pierwsze posiadało dedykowane rozszerzenie do przeglądarki Firefox, z której korzystamy w testach (jeśli rozszerzenie jest dostępne). Po drugie, aby oprogramowanie automatycznie blokowało, usuwało i naprawiało incydenty.

Konfiguracja oprogramowania jest następująca:

  • Avast Free Antivirus: ustawienia domyślne + automatyczna naprawa PUP + ochrona przeglądarki.
  • Bitdefender Total Security: ustawienia domyślne + wykrywanie koparek kryptowalut + ochrona przeglądarki.
  • Eset Smart Security Premium: ustawienia domyślne + ochrona przeglądarki
  • +LiveGrid włączony.
  • +Wykrywanie PUP.PUA włączone.LiveGuard ustawiony na "zakończ proces i wyczyść".
  • +Ochrona i detekcja na poziomie "zbalansowany".
  • F-Secure Total: ustawienia domyślne + ochrona przeglądarki.
  • Comodo Internet Security Pro: ustawienia domyślne.
  • Emsisoft Enterprise Security: ustawienia domyślne + automatyczna naprawa PUP + EDR + Rollback + ochrona przeglądarki.
  • Malwarebytes Premium: ustawienia domyślne + ochrona przeglądarki.
  • McAfee Total Protection: ustawienia domyślne + ochrona przeglądarki.
  • Microsoft Defender for Business: ustawienia domyślne + EDR.
  • ThreatDown Endpoint Protection: ustawienia domyślne + EDR + ochrona przeglądarki.
  • Webroot Antivirus: ustawienia domyślne + ochrona przeglądarki.
  • Xcitium ZeroThreat Advanced: polityka predefiniowana -> Windows Secure Profile 8.1 + EDR.

Twórz treści i zarabiaj na ich publikacji. Dołącz do WP Kreatora

Atak przez Messengera. Próba wyłudzenia danych
Źródło artykułu:avlab.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na