Poświęcając tę edycję rozwiązaniom EDR (Endpoint Detection and Response) chcemy przypomnieć niektóre pojęcia. Otóż podstawowym zadaniem EDR jest ułatwienie zespołom ds. bezpieczeństwa podejmowanie lepszych decyzji podczas przetwarzania incydentów, które są raportowane z urządzeń pracowników. EDR znacząco ułatwia zarządzanie incydentami. Na przykład możliwe jest przekierowanie problemów do wyznaczonych ekspertów od analizy malware i ruchu sieciowego, wyszukiwanie śladów włamań w czasie rzeczywistym, wskazywanie nieprawidłowości z bezpieczeństwem każdego punktu końcowego.
Ogólnie rzecz biorąc rozwiązania, które są wyposażone w moduły EDR, pozwalają firmom oszczędzać pieniądze poprzez unikanie niepotrzebnych wydatków. Mianowicie jeden produkt jest tańszy we wdrożeniu, zarządzaniu, konfiguracji, integracji i utrzymaniu w cyklu rocznym niż kilka odrębnych rozwiązań różnych producentów. W przypadku oprogramowania anty-malware z modułem EDR lub XDR holistyczne podejście do bezpieczeństwa sprawdza się lepiej w praktyce niż fragmentacja produktów IT.
W marcu 2024 podczas badania Advanced In-The-Wild Malware Test pozyskaliśmy znacznie ponad 400 unikalnych adresów URL kierujących do próbek szkodliwego oprogramowania. Przypomnijmy, że próbki malware pozyskujemy z prawdziwych kanałów internetowych: komunikatorów, stron internetowych, honeypotów. Następnie każda próbka jest dokładnie sprawdzana, czy aby na pewno jest szkodliwa. Dzięki temu nie tracimy czasu na testowaniu „próbek-śmieci” i przy wykorzystaniu algorytmów oceniamy ochronę przed zagrożeniami pochodzącym z różnych źródeł w Internecie.
Nasze testy są zgodne z wytycznymi Anti-Malware Testing Standards Organisation. Szczegóły na temat badania dostępne są na tej stronie, a także w naszej metodologii.
W marcu 2024 przetestowaliśmy następujące rozwiązania dla biznesu i instytucji rządowych:
- Emsisoft Enterprise Security + EDR
- Microsoft Defender for Business + EDR
- ThreatDown Endpoint Protection + EDR
- Xcitium ZeroThreat Advanced + EDR
Oraz rozwiązania dla użytkowników indywidualnych:
- Avast Free Antivirus
- Bitdefender Total Protection
- Comodo Internet Security Pro
- Eset Smart Security Premium
- F-Secure Total
- Panda Dome
- McAfee Total Protection
- Malwarebytes Premium
- Webroot Antivirus
Podsumowanie testów w marcu 2024 r.
Do testów dołączyliśmy rozwiązanie Microsoft Defender for Business z modułem EDR, które jak się później okazało – otrzymało certyfikat EXCELLENT od AVLab Cybersecurity Foundation, ponieważ spełniło wymagane minimum 99% łącznej ochrony z poziomów PRE-Launch + POST-Launch. Nowością w teście było także oprogramowanie Bitdefender Total Protection przeznaczone dla użytkowników indywidualnych i mikro firm, które także uzyskało certyfikat potwierdzający skuteczność.
Łącznie przetestowaliśmy kilkanaście rozwiązań. Prawie wszystkie z nich charakteryzowały się 100-procentową neutralizacją zagrożeń in-the-wild. Jeżeli ktoś zechciałby kopać głębiej, powinien odwiedzić stronę z wynikami, gdzie rozbijamy na czynniki pierwsze blokowanie zagrożeń na konkretnym etapie. Obliczamy też średni czas całkowitej neutralizacji zagrożenia (cykl życia malware w systemie).
Najważniejsze dane techniczne są w pełni transparentne i wraz z wynikami są dostępne na stronie RECENT RESULTS. Publikujemy tam również tzw. krajobraz zagrożeń na podstawie danych z testu w marcu 2024 r.
Reagowanie na zagrożenia – jak szybko rozwiązania radzą sobie z malware?
Średni czas reakcji na zagrożenie uzyskany przez wszystkich producentów wyniósł około 33 sekund. Najszybciej z blokowaniem i bezbłędnym usuwaniem zagrożeń radziły sobie rozwiązania:
- F-Secure (średnio 0.559s sekundy)
- McAfee (średnio 1.167 sekundy)
- Avast (średnio 10 sekund)
Nie wszystkim producentom udało się wykryć i zablokować każdą próbkę in-the-wild. W tej edycji z jednym potwierdzonym negatywnym wynikiem jest Eset Smart Security Premium, podobnie jak Bitdefendet Total Security, a także Panda Dome Advanced.
Chociaż w teście nie używamy próbek PUP.PUA, to w środowisku domowym i w małym biurze zawsze warto aktywować taką funkcję i my też używamy takich ustawień. W środowisku biznesowym za sprawą licznych funkcji bezpieczeństwa warto włączyć wszystkie dostępne moduły: rollback, izolację urządzeń z wykrytymi z incydentami, ochronę dokumentów MS Office itp.
W serii „Advanced In-The-Wild Malware Test” używamy domyślnych ustawień testowanych produktów. Ustawienia predefiniowane są dobre, lecz nie zawsze najlepsze. Dlatego dla pełnej transparentności wymieniamy te, które wprowadziliśmy dla uzyskania lepszej ochrony albo jeżeli jest to wymagane przez producenta.
Oprócz poniższych zmian zawsze konfigurujemy rozwiązanie w taki sposób, aby po pierwsze posiadało dedykowane rozszerzenie do przeglądarki Firefox, z której korzystamy w testach (jeśli rozszerzenie jest dostępne). Po drugie, aby oprogramowanie automatycznie blokowało, usuwało i naprawiało incydenty.
Konfiguracja oprogramowania jest następująca:
- Avast Free Antivirus: ustawienia domyślne + automatyczna naprawa PUP + ochrona przeglądarki.
- Bitdefender Total Security: ustawienia domyślne + wykrywanie koparek kryptowalut + ochrona przeglądarki.
- Eset Smart Security Premium: ustawienia domyślne + ochrona przeglądarki +
- LiveGrid włączony.
- Wykrywanie PUP.PUA włączone.
- LiveGuard ustawiony na „zakończ proces i wyczyść”.
- Ochrona i detekcja na poziomie “zbalansowany”.
- F-Secure Total: ustawienia domyślne + ochrona przeglądarki.
- Comodo Internet Security Pro: ustawienia domyślne.
- Emsisoft Enterprise Security: ustawienia domyślne + automatyczna naprawa PUP + EDR + Rollback + ochrona przeglądarki.
- Malwarebytes Premium: ustawienia domyślne + ochrona przeglądarki.
- McAfee Total Protection: ustawienia domyślne + ochrona przeglądarki.
- Microsoft Defender for Business: ustawienia domyślne + EDR.
- ThreatDown Endpoint Protection: ustawienia domyślne + EDR + ochrona przeglądarki.
- Webroot Antivirus: ustawienia domyślne + ochrona przeglądarki.
- Xcitium ZeroThreat Advanced: polityka predefiniowana -> Windows Secure Profile 8.1 + EDR.
