Austriacy przetestowali kilkanaście rozwiązań do ochrony urządzeń roboczych dla biznesu. Przy okazji tego badania chcemy zwrócić uwagę na ustawienia produktów podczas testu. Czasami bywa tak, że na życzenie producentów, używa się ustawień innych niż „fabryczne”. Jest to uzasadnione, ponieważ nie zawsze predefiniowana konfiguracja jest najlepsza, a zatem nie musi być rekomendowana przez danego producenta. To bardzo ważny aspekt testowania, w tym najważniejsze – interpretacja wyników.
Testowane produkty:
- Acronis Cyber Protect Cloud with Advanced Security pack
- Avast Ultimate Business Security
- Bitdefender GravityZone Elite
- Cisco Secure Endpoint Essentials
- CrowdStrike Falcon Pro
- Cybereason Enterprise
- Elastic Security
- ESET PROTECT Entry with ESET PROTECT Cloud
- G Data Endpoint Protection Business
- K7 On-premises Enterprise Security Advanced
- Kaspersky Endpoint Security for Business
- Malwarebytes EDR
- Microsoft Defender Antivirus with Microsoft Endpoint Manager
- Sophos Intercept X Advanced
- Trellix FireEye Endpoint Security
- VIPRE Endpoint Protection Cloud
- VMware Carbon Black Cloud Endpoint Standard
- WatchGuard Endpoint Protection Plus on Aether
Ważna uwaga o silnikach firm trzecich używanych przez niektóre produkty:
- Acronis, Cisco, Cybereason, G Data, Trellix i VIPRE używają silnika Bitdefender (oprócz własnych funkcji ochrony).
- VMware używa silnika Avira (oprócz własnych funkcji ochronnych).
- OutbreakShield firmy G Data jest oparty na silniku Cyren.
W teście „Business Real-World Protection Test”, który trwał od marca do kwietnia 2022 roku na 373 próbkach 0-day, niestety żadne rozwiązanie nie uzyskało maksymalnego wyniku ochrony. Tylko raz pomylił się Bitdefender, G Data, K7 i Avast. Kaspersky i Microsoft tuż za nimi z dwoma negatywnymi punktami.
Ważne jest, aby do interpretację zacząć od analizy ustawień poszczególnych produktów, gdyż nie zastosowano tutaj domyślnych. Modyfikacje polityk ochrony dla przykładu wyglądają tak:
- Dla Bitdefener GravityZone Elite włączono opcjonalne rozszerzenie Sandbox Analyzer – piaskownicę w chmurze (lub lokalną) na życzenie. Co ciekawe, technologia HyperDetect odpowiedzialna za wykrywanie malware 0-day nie była włączona. Pozostałe ustawienia podaje AV-Comparatives.
- Dla G Data Endpoint Protection Business zainstalowano wtyczkę ochronną w przeglądarce, a także włączono kolektywną ochronę w chmurze „Malware Information Initiative”, aby lepiej wykrywać zagrożenia in the wild.
- W Kaspersky’m Endpoint Security for Business zastosowano wyłączoną technologię adaptacyjnego wykrywania podejrzanego oprogramowania.
- Dla Eset Protect Entry zastosowano agresywne skanowanie oparte o maszynowe uczenie w czasie rzeczywistym.
- Szczegóły konfiguracyjne dla każdego produktu podane są na stronie z wynikami.
W tym samym badaniu, lecz w drugiej części „Malware Protection Test” na 1007 próbkach, maksymalny wynik zdołało uzyskać wyłącznie rozwiązanie VMware Carbon Black Cloud Endpoint Standard z silnikiem Avira. Z drobnym potknięciem, bo 99,9% – Acronis, Bitdefender i Trellix.
Wyniki testów mogą zależeć od konfiguracji
Żaden z produktów nie otrzymał negatywnej oceny dotyczącej fałszywych alarmów, co pokazuje, że producenci dokładają starań, aby problemy z niepoprawnym klasyfikowaniem czystych plików i aplikacji, jako malware, było rzadkością.
W środowiskach biznesowych i ogólnie w przypadku produktów biznesowych, zwykle produkty są konfigurowane przez administratora systemu – nie zawsze zgodnie z wytycznymi producenta. Różnice pomiędzy 100% a 99, 9% są tak marginalne, że mogą zależeć od konfiguracji. Jednak nawet brakujące 0,1 procenta może dać 1 lub kilka udanych ataków, które mogą zagrozić organizacji.
Zwracamy państwu uwagę, by mieć pod kontrolą ustawienia produktu bezpieczeństwa. Rekomendujemy, by zapytać swojego opiekuna, pomoc techniczną producenta, w jaki sposób najlepiej skonfigurować oprogramowanie, aby uzyskać możliwe maksymalną ochronę.
