Najlepsze antywirusy 2020 do ochrony Windows 10 dla przedsiębiorstw i użytkowników indywidualnych

Na przełomie marca i kwietnia 2020 roku przeprowadziliśmy trzy testy bezpieczeństwa, z których właśnie teraz publikujemy zestawienie popularnych antywirusów do zabezpieczania stacji roboczych i komputerów domowych. Do testu włączyliśmy 12 wyspecjalizowanych rozwiązań dla użytkowników indywidualnych oraz 9 produktów dla średniego i dużego biznesu.

Przeprowadzone badania były odpowiedzią na zaobserwowane trendy zagrożeń w pierwszym kwartale 2020 roku: cyberprzestępcy nadal nie ustają w wymuszaniu okupów za pośrednictwem ataków z udziałem wirusów szyfrujących. Dodatkowo stosują ukrywanie złośliwego kodu w dokumentach biurowych. Tendencja szyfrowania plików przez ransomware stała się groźniejsza, ponieważ w czasie globalnego paraliżu życia społecznego atakowane są szpitale i uczelnie wyższe, a efekty pracy naukowców są bezpowrotnie tracone.

Testowane rozwiązania

Dla mikro-przedsiębiorców i użytkowników indywidualnych:

1. ARCABIT Internet Security
2. AVIRA Antivirus Pro
3. AVIRA Prime
4. COMODO Internet Security
5. EMSISOFT Anti-Malware
6. MICROSOFT Windows Defender Antivirus
7. MKS_VIR Internet Security
8. SECUREAPLUS Pro
9. SOPHOS Home Premium
10. TREND MICRO Maximum Security
11. WEBROOT Antivirus
12. ZONEALARM Extreme Security

Dla większych przedsiębiorstw:

1. BITDEFENDER GravityZone Elite
2. CHECK POINT Endpoint Security
3. COMODO Advanced Endpoint Protection
4. EMSISOFT Business Security
5. ESET Endpoint Protection Advanced Cloud
6. F-SECURE Protection Service for Business
7. G DATA Endpoint Protection Business
8. KASPERSKY Endpoint Security Cloud
9. WEBROOT Endpoint Protection

Główne założenia testu

Chcieliśmy sprawdzić skuteczność zabezpieczeń popularnych programów do ochrony komputerów osobistych i stacji roboczych przed najczęściej rejestrowanymi zagrożeniami i cyberatakami od początku 2020 roku.

W ostatnim kwartale cyberprzestępcy dali do zrozumienia, że aby uniknąć wykrycia przez tradycyjne narzędzia ochronne, łączy się popularne rodziny złośliwego oprogramowania z nowoczesnymi technikami atakowania. Według raportów globalnych firm IT ataki bezplikowe będą zjawiskiem bardzo powszechnym w kolejnych kwartałach. Używanie tego typu sposobów oszukiwania zabezpieczeń wzrosło o kilkaset procent, co zaobserwowała firma Trend Micro pod koniec grudnia 2019 roku. Zaprogramowane przez hackerów narzędzia do automatycznego wyszukiwania podatności w aplikacjach mają obecnie większe możliwości techniczne niż wcześniej. Są też trudniejsze do zaobserwowania, ponieważ do uruchomiania złośliwego kodu nie potrzebują interakcji z użytkownikiem.

Dotkliwym zjawiskiem jest niszczenie efektów pracy uniwersytetów, szpitali państwowych i prywatnych klinik, które wspólnie próbują wyizolować choroby. Trudno pojąć jak bardzo prymitywnymi pobudkami kierują się przestępcy i dlaczego zwracają się przeciwko nauce i służbie zdrowia. Działanie internetowych kryminalistów ma negatywne konsekwencje w gospodarce, co mogliśmy zaobserwować w ostatnich tygodniach. Największe serwisy informacyjne pisały o incydentach wymuszania okupów od placówek zdrowia i szkół wyższych w zamian za odszyfrowanie danych utraconych w wyniku cyberataku.

Trendy w cyber-zagrożeniach na rok 2020 podkreślają potrzebę inwestowania w rozwiązania, które pozwolą na szczegółowe raportowanie istotnych zmian w systemach i sieciach. Swój kamień dźwigają producenci i dostawcy usług IT, którzy powinny brać odpowiedzialność za rozwiązania, które dostarczają firmom i użytkownikom końcowym. Z drugiej strony przedsiębiorstwa muszą zrozumieć ryzyko i zacząć chronić się przed atakami proaktywnie, a także łagodzić skutki ewentualnych ataków. Większość organizacji nie może sobie pozwolić na utrzymanie podstawowych zabezpieczeń do ochrony sieci, nie mówiąc już o podtrzymaniu całodobowych jednostek monitorowania bezpieczeństwa infrastruktury. Firmy powinny rozważyć współpracę z doświadczonym dostawcą usług bezpieczeństwa, który pomoże im zabezpieczyć systemy IT przed współczesnymi cyberatakami.

Scenariusze ataków

Złośliwe dokumenty Office

Makra można łatwo połączyć z technikami socjotechnicznymi w kampaniach phishingowych. Obieg dokumentów w przedsiębiorstwach jest czymś normalnym, a domyślnie zainstalowany pakiet Office automatycznie wymusza potrzebę ochrony systemów IT przed próbą zainfekowania systemów.

Ataki wymuszające okup

Organizacja, która utraci dostęp do danych może mieć poważny problem wizerunkowy i finansowy z powodu kar wynikających z tak zwanego RODO – rozporządzenia o ochronie danych osobowych. Ataki z udziałem próbek ransomware są ciągle popularne. Hackerzy koncentrują się głównie na średnich i dużych organizacjach, nie wykluczając państwowych instytucji. Przestępcze działania stały się groźniejsze, ponieważ wzrasta sprzedaż wykradzionych zawartości plików na forach w sieci Tor.

Techniki bezplikowego infekowania systemów IT

We współczesnych systemach operacyjnych są już wbudowane narzędzia, z których korzystają przestępcy, dlatego nie muszą oni instalować złośliwych programów. Skrypt w PowerShell jest łatwy do zaciemnienia, przez co może być trudniejszy do wykrycia za pomocą starszych narzędzi bezpieczeństwa. Administratorzy powszechnie używają PowerShell do automatyzowania pewnych czynności. W środowisku korporacyjnym działanie procesów systemowych, takich jak PowerShell lub Windows Management Instrumentation, nie jest niczym niezwykłym.

Metodologia i inne informacje

Narzędzia do symulowania ataków i próbki złośliwego oprogramowania

Test został przeprowadzony w trzech następujących po sobie rundach. W każdej części użyliśmy pewną ilość złośliwego oprogramowania. Kierując się jawnością testów publikujemy sumy kontrolne pierwszych pięciu próbek, które zakwalifikowano do każdego z etapów. Nie podajemy pełnych informacji o wszystkich próbkach, ponieważ każda indywidualna karta produktu jest ograniczona maksymalną ilością znaków, która może się zmieścić na jednej stronie dokumentu.

Wszystkie próbki przed uruchomieniem w maszynach z zainstalowanymi rozwiązaniami zostały sprawdzone pod kątem szkodliwości. Musieliśmy mieć pewność, że analizujemy przypadki na działających wirusach, które są w stanie zainfekować system Windows 10. Użyliśmy tak zwanych próbek in-the-wild. Inaczej mówiąc, określenie in-the wild oznacza zagrożenia rozprzestrzeniane w Internecie.

Do przeprowadzenia testu wykorzystaliśmy:

(1) 65 złośliwych dokumentów Office (Word i Excel).

(2) 28 próbek ransomware.

(3) 2 zasymulowanych ataków bezplikowych.

W pierwszym i drugim scenariuszu chcieliśmy sprawdzić, czy testowane oprogramowanie zabezpieczające radzą sobie z wyselekcjonowanymi zagrożeniami znalezionymi w Internecie. Złośliwe pliki były po kolei dostarczane przez przeglądarkę Chrome lub EDGE do maszyn z zainstalowanymi rozwiązaniami. Następnie po uruchomieniu każdego wirusa obserwowaliśmy reakcję produktów ochronnych.

W sieci nie brakuje łatwo dostępnych narzędzi, które są używane przez specjalistów ds. red teamingu. Z tych samych bądź zmodyfikowanych aplikacji korzystają cyberprzestępcy, dlatego w trzecim scenariuszu do symulowania ataków bezplikowych użyliśmy oprogramowania Metasploit i narzędzia Unicorn, które jest dostępne w repozytorium GitHub.

• Pierwsza część ataku polegała na dostarczeniu pliku z rozszerzeniem .BAT do systemu ofiary i obserwowaniu reakcji na polecenie uruchamiane w PowerShell. Proces nawiązywał połączenie z serwerem hakera. Jeżeli to się powiodło to próbowaliśmy wykraść testowe pliki znajdujące się w katalogach użytkownika w taki sposób, aby nie doprowadzić do zaalarmowania testowanego produktu.
• Drugi typ ataku polegał na dostarczeniu pliku z rozszerzeniem .HTA do systemu ofiary za pośrednictwem złośliwej strony internetowej. Odpowiednim interpreterem tych plików jest aplikacja MSHTA.exe, która wykonuje polecenia skryptowe plików Microsoft HTML. Mają one rozszerzenie .HTA i działają poza przeglądarką. Co ciekawe użycie interpretera MSHTA nie ogranicza się tylko do plików z tym rozszerzeniem.
  

Narzędzie do zbierania logów

Cały test był przeprowadzony manualnie, dlatego na bieżąco mogliśmy obserwować reakcję produktu na zagrożenie. W niektórych przypadkach brak było wyraźnej reakcji na szkodliwe oprogramowanie, co wynikało z domyślnej konfiguracji. Czasami nieznana próbka nie jest jawnie blokowana — może być monitorowana przez produkt bez wyświetlania komunikatu ostrzegawczego. Na tym etapie przydawały się szczegółowe logi.

Do zbierania logów użyliśmy aplikacji Sysmon, która jest najbardziej zaawansowaną tego typu od firmy Microsoft. Służy do śledzenia zmian w systemie Windows. Doskonale sprawdza się jako kompleksowe narzędzie do dynamicznej analizy złośliwego oprogramowania, ponieważ w czasie rzeczywistym loguje m.in.:

• Tworzenie nowego procesu.
• Zakończenie procesu.
• Połączenia sieciowe.
• Różne zdarzenia dotyczące plików.
• Ładowanie sterownika / biblioteki DLL.
• Dostęp do pamięci procesu przez inny proces.
• Dostęp do rejestru: tworzenie, modyfikowanie, usuwanie kluczy.
• Zdarzenia WMI.
• Próbę ingerencji w proces Sysmon.

Jako reguł do śledzenia zdarzeń w Windows rekomendujemy używanie pliku konfiguracyjnego XML przygotowanego przez Marka Russinovicha z Microsoftu i Thomasa Garniera z Google.

Sysmon jest narzędziem znanym grupom cyberprzestępczym, dlatego zaleca się utwardzenie ustawień od momentu instalacji. Zmodyfikowane instrukcje instalowania zapobiegają (w jakimś stopniu) wykryciu procesów Sysmon przez szkodliwe oprogramowanie, które mogłoby zatrzymać usługi systemowe odpowiedzialne za zbieranie informacji o podejrzanej aktywności.

Testowane wersje programów

Każdego dnia przed testem aktualizowano bazy sygnatur oraz wersje programów, jeżeli producent udostępnił nowe pliki w oficjalnej aktualizacji. W związku z tym zawsze sprawdzaliśmy skuteczność ochrony na najnowszych wersjach programów antywirusowych. Producenci mogą uzyskać szczegółowe informacje, kontaktując się z nami.

System operacyjny

Każda maszyna z zainstalowanym Windows 10 Pro i produktem bezpieczeństwa była skonfigurowana w taki sam sposób. Domyślną przeglądarką było oprogramowanie Google Chrome. Na czas testu wszystkie aktualizacje z Windows Update zostały wstrzymane. Kilka dni przed rozpoczęciem testów system Windows został zaktualizowany do najnowszej wersji.

Wysłane zgłoszenia do producentów

Przed opublikowaniem tego raportu zgłosiliśmy wszystkie wyniki do producentów, z którymi udało nam się skontaktować. Nie wszyscy zareagowali na czas. Producenci, którzy podjęli wyzwanie, ale nie osiągnęli maksymalnego wyniki ochrony, zostali oznaczeni odpowiednią informacją na karcie produktu.

Wyniki z trzech testów bezpieczeństwa

Wyniki są dostępne dla każdego testowanego rozwiązania osobno. Aby pobrać szczegółowe informacje, prosimy o kliknięcie w logo. Poniższa tabela z nazwami testowanych programów została opublikowana w kolejności alfabetycznej: