Ranking firmowych rozwiązań do ochrony danych przed ransomware

8 października, 2021

Nawet połowa wszystkich cyberataków, które zostały niedawno uwzględnione w danych telemetrycznych producenta Cisco, dotyczą szkodliwego oprogramowania szyfrującego dane firmowe. Zebrane informacje przez ekspertów z Cisco Talos Incident Response (CTIR) w dalszym ciągu wskazują na ransomware, jako główne zagrożenie w drugim kwartale 2021 roku. Skoro więc ransomware jest bardzo opłacalną inwestycją dla grup przestępczych, warto zapoznać się z rankingiem programów dla firm, które powinny chronić własne stacje robocze przed zaszyfrowaniem danych, szantażowaniem i wyłudzaniem.

W jednym z najnowszych badań o ransomware, gdzie skonfrontowano popularne rozwiązania zabezpieczające dla firm, opisano trzy scenariusze, z którymi może spotkać się każde przedsiębiorstwo, niezależnie od regionu geograficznego:

  • Pierwszy scenariusz uwzględnia ataki próbkami ransomware na pliki użytkownika w systemie lokalnym.
  • W drugim scenariuszy badania, ransomware atakuje pliki użytkownika w zdalnym folderze współdzielonym.
  • Trzeciej koncepcji testu wykorzystano własne techniki i narzędzia do zasymulowania ransomware w systemie lokalnym użytkownika (na 20. stronie raportu opisano je wszystkie).

Test przeprowadzono w okresie od czerwca do sierpnia 2021 roku. Uwzględniono w nim między innymi następujące próbki ransomware: conti, darkside, lockbit, Ragnar Locker, ransomexx (aka defray777), revil (aka Sodinokibi or Sodin), ryuk.

Test polegał na sprawdzeniu tych oto produktów:

  • Bitdefender GravityZone Business Security 7.2.1.69
  • ESET Protect Entry 8.0.202.0
  • F-Secure Elements Endpoint Protection 21.6
  • Kaspersky Endpoint Security Cloud 11.6.0.394
  • McAfee Mvision + Microsoft Defender 5.7.33.245 + 4.18.2106.6
  • Microsoft Defender Antivirus ATP 18.2106.6
  • Sophos Intercept X Advanced 18.2
  • Symantec Endpoit Protection 14.3 RU2
  • Trend Micro Endpoint Security with APEX One 14.0.9672
  • WatchGuard Endpoint Security 8.0.18
  • Webroot Business Endpoint Protection 9.0.30.75

Każdy z trzech scenariuszy został oceniony niezależnie i uwzględniał to, czy zagrożenie wyeliminowano całkowicie lub częściowo (ransomware zostało wykryte, ale niektóre pliki użytkownika zostały utracone).

Test został zlecony przez firmę Kaspersky.

Wyniki i ranking programów do ochrony przed ransomware

Scenariusz 1: Wyniki

Wyniki dla ochrony przed próbkami ransomware w lokalnym systemie.
Wyniki dla ochrony przed próbkami ransomware w lokalnym systemie.

Podczas tej części badania wszystkie produkty osiągnęły doskonały wynik ochrony lokalnego systemu użytkownika. Z wyjątkiem oprogramowania Webroot Business Endpoint Protection, które nie poradziło sobie  z testowym przypadkiem. 

Scenariusz 2: Wyniki

ransomware wyniki 2021 foldery wspoldzielone
Wyniki dla ochrony przed ransomware we folderach współdzielonych.

W tej koncepcji sprawdzono  ochronę folderów współdzielonych na domyślnej konfiguracji produktów. Okazało się, że niektóre produkty bezpieczeństwa mają trudności, aby wykrywać i zapobiegać takim atakom. Tytko Kaspersky Endpoint Security Cloud poradził sobie ze wszystkimi przypadkami testowymi – jeszcze raz dodajmy, że wszystkie produkty sprawdzano na domyślnej konfiguracji.

Scenariusz 3: Wyniki

ransomware proof of concept
Wyniki dla lokalnych ataków ransomware z użyciem znanych technik zachowania złośliwego oprogramowania w systemach z rodziny Windows.

Ostatni rodzaj testu pokazuje nam, że oprogramowanie ochronne może mieć duże problemy z prawidłowym rozpoznaniem ataku z użyciem manualnych prób pokonywania zabezpieczeń, w których wykorzystuje się mechanizmy systemu Windows, jak i autorskie lub publicznie dostępne narzędzia (open source).

Podsumowanie i krótkie wnioski

Przeprowadzając własne testy w laboratorium AVLab, z własnego doświadczenia wiemy już, że domyślne ustawienia produktów biznesowych zazwyczaj nie są najlepsze. Co więcej sami producenci zalecają „podkręcenie” wskazanych ustawień lub zastosowanie predefiniowanych polityk, które uwzględniają ataki i pliki zero-day (lecz mogą powodować fałszywe zablokowania).

Z pełnym przekonaniem możemy stwierdzić, że kilka produktów, które zostały przetestowane w tym badaniu, niestety nie mają włączonych istotnych modułów w domyślnej konfiguracji, które zapobiegałyby zagrożeniom ransomware. Jednak z drugiej strony musimy brać stronę użytkownika końcowego, w tym przypadku administratora, który spodziewa się, że domyślne ustawienia będą wystarczające, aby chronić dane firmowe przed ransomware. Niestety tak nie jest (z korzyścią dla produktu Kaspersky), dlatego końcowym wnioskiem niech będzie pilna rekomendacja rekonfiguracji ochrony rozwiązań bezpieczeństwa. Nie warto czekać na incydent bezpieczeństwa!

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]