Sākumlapa » Testi » AV-TEST pārbauda galiekārtu kiberdrošības risinājumu efektivitāti aizsardzībā pret izspiedējvīrusiem

AV-TEST pārbauda galiekārtu kiberdrošības risinājumu efektivitāti aizsardzībā pret izspiedējvīrusiem

Gandrīz katrs uzņēmums, kas izstrādā informācijas drošības risinājumus, apgalvo, ka tā produkti palīdz pret izspiedējvīrusu uzbrukumiem. Un tā ir taisnība, zināmā mērā viņi visi spēj apturēt šos draudus. Jautājums ir, cik lielā mērā? Cik efektīvas ir tehnoloģijas, kas tiek pozicionētas kā spējīgas novērst izspiedējvīrusu draudus?

Nesen neatkarīgā uzņēmuma AV-TEST GmbH eksperti centās noskaidrot, cik lielā mērā dažādu drošības risinājumu izstrādātāju tehnoloģijas faktiski aizsargā lietotājus, izmēģinot 11 biznesa galiekārtu aizsardzības (Endpoint Protection Platform – EPP) klases produktus un pārbaudot tos pret 113 dažādiem uzbrukumiem.

Lietotāju failu aizsardzība pret izplatītiem izpiedējvīrusiem

Pirmais testa scenārijs ietvēra tipiskāko izspiedējvīrusu uzbrukumu: upuris palaiž datorā ļaunprogrammatūru, kas mēģina piekļūt vietējiem failiem. Par pozitīvu rezultāts tika uzskatīts tikai tad, ja testa beigās draudi tika neitralizēti (tas ir, tika izdzēsti ļaunprogrammatūras faili, tika pārtraukta tās procesu izpilde un tika novērsti visi to mēģinājumi inficēt sistēmu), pie viena nodrošinot, ikviens lietotāja fails paliek nešifrēts. Šajā scenārijā kopumā tika veikti 85 testi, izmantojot sekojošas izspiedējvīrusu saimes: conti, darkside, fonix, limbozar, lockbit, makop, maze, medusa (ako), mountlocker, nefilim, netwalker (aka mailto), phobos, PYSA (aka mespinoza), Ragnar Locker, ransomexx (aka defray777), revil (aka Sodinokibi or Sodin), ryuk, snatch, stop un wastedlocker.

Šādā scenārijā visi drošības risinājumi darbojās labi (ar dažiem izņēmumiem), kas arī nav pārsteidzoši: tajā tika izmantotas labi zināmas ļaunprogrammatūras saimes, kas jau sen tiek pētītas un ir pievienotas visām ļaunprogrammatūras datu bāzēm. Tāpēc nākošajos scenārijos AV-Test eksperti sarežģīja uzdevumu, pietuvinot to dzīves realitātei.

Aizsardzība pret izspiedējvīrusu uzbrukumiem failiem mapē ar piešķirtu attālo piekļuvi

Otrajā scenārijā tika pieņemts, ka aizsargātajā datorā ir mapes ar failiem, kurām ir atļauta piekļuve lokālajā tīklā. Uzbrukums tika veikts no cita datora tajā pašā tīklā (piemēram, tajā nebija drošības risinājuma, un uzbrucēji varēja palaist ļaunprogrammatūru, kas šifrēja lokālos failus un turpināja meklēt pieejamo informāciju par kaimiņu datoros). Izmantotās ļaunprogrammatūras saimes bija avaddon, conti, fonix, limbozar, lockbit, makop, maze, medusa (ako), nefilim, phobos, Ragnar Locker, Ransomexx (aka defray777), revil (aka Sodinokibi or Sodin) un ryuk.

No drošības risinājuma puses situāciju šeit sarežģī fakts, ka tas neredz ļaunprogrammatūras palaišanu, bet gan tikai failu operācijas no sistēmas procesa puses. Tāpēc nav nekādas iespējas pārbaudīt ļaunprātīgā procesa reputāciju un failu, kas to uzsāka, un to arī nevar skenēt. Rezultātā izrādījās, ka no 11 dalībniekiem tikai trīs kopumā kaut kā aizsargā pret šāda veida uzbrukumiem, un tikai Kaspersky ar produktu Kaspersky Endpoint Security Cloud 100% tiek galā ar uzdevumu. Tajā pašā laikā Sophos produkts, lai gan reaģēja 93% gadījumu, pilnībā aizsargāja lietotāja failus tikai 7% gadījumu.

Aizsardzība pret svaigi izveidotiem izspiedējvīrusiem

Trešajam scenārijam bija jāparāda, kā produkti tiek galā ar ļaunprogrammatūru, par kuru tika garantēts, ka tā iepriekš nav sastapta, un tāpēc pat hipotētiski to nevarēja atrast ļaunprogrammatūras datubāzēs. Tas ir, draudus nācās identificēt tikai ar proaktīvu tehnoloģiju palīdzību, kas reaģē uz ļaunprogrammatūras uzvedību. Lai to paveiktu, pētnieki izveidoja 14 programmatūras paraugus, kuros pielietoto mazāk zināmo metožu popularitāte kiberpagrīdē tikai uzņem apgriezienus. Piemēram, likumīgu Windows pakalpojumu ļaunprātīga izmantošana, šifrēšana, izmantojot hard un symbolic saites, failu šifrēšana, izmantojot to kartēšanu (mapping) atmiņā u.c.

Tāpat kā pirmā scenārija gadījumā, draudu atklāšana un bloķēšana, kā arī failu absolūta drošība mērķa datorā un visu uzbrukuma seku pilnīga aizvākšana no datora tika uzskatīta par veiksmīgu.

Risinājumi parādīja dažādus rezultātus: daži (ESET un Webroot) vispār neatklāja pētnieku radīto ļaunprogrammatūru, bet citi darbojās veiksmīgāk (WatchGuard – 86%, TrendMicro – 64%, McAfee un Microsoft – 50%). Tomēr tikai viens risinājums atkal parādīja 100% efektivitāti – Kaspersky Endpoint Security Cloud*.

Testa rezultāti

Apkopojot rezultātus, izrādījās, ka Kaspersky ar visiem testa scenārijiem tika galā labāk nekā konkurenti, aizsargājot gan no internetā sastopamiem (zināmiem) draudiem, gan no konceptuāliem (nezināmiem), kas radīti tikai testam.

Trīs testa scenāriju kopsavilkums. “Completelely blocked” (pilnībā bloķēts -zaļš) nozīmē, ka izspiedējvīrusi tika atklāti un visi lietotāja faili aizsargāti. “Partially blocked” (daļēji bloķēts – dzeltens) nozīmē, ka izspiedējvīrusi tika atklāti, bet daži lietotāja faili tika zaudēti (netika aizsargāti).

Turklāt otrā scenārija gaitā tika atklāts vēl viens diezgan negaidīts fakts. Lielākā daļa produktu, kuriem neizdevās aizsargāt failus, tomēr aizvāca izpirkuma pieprasījuma teksta failus. Tā ir diezgan pretrunīga prakse, jo šajos failos var būt iekļauta tehniskā informācija, kas ekspertiem var būt nepieciešama, izmeklējot incidentu un atgūstot datus. Dažkārt tā ir vienīgais pavediens, kas var ļaut indentificēt ļaunprogrammatūru, atrast ievainojamību šifrēšanas algoritma realizācijā un izstrādāt dešifrētāju, lai glābtu vērtīgus datus, vai piedāvāt gatavu dešifrētāju vietnē No More Ransom.

Pilnu AV-TEST ziņojumu PDF formātā ar detalizētiem testā izmantotās ļaunprogrammatūras aprakstiem varat lejupielādēt šeit.

* Augstā Kaspersky produktu efektivitāte aizsardzībā pat pret nezināmiem šifrējošajiem izspiedējvīrusiem nesagādā lielu pārsteigumu, jo ražotājs jau vairākus gadus attīsta tehnoloģiju kopumu, kas ļauj ne tikai ātri detektēt šifrētāju darbību, bet vajadzības gadījumā arī atritināt to darbības. Sīkāk par to lasiet un video skatiet šeit.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

− 1 = 1

Uz augšu