Wir haben im März 2023 an dem ersten „Attack Visibility in Telemetry“-Zertifizierungstest von AVLab teilgenommen. Mit ihm soll die Leistung von Lösungen zur Endpunkterkennung und -reaktion (EDR) sowie zur erweiterten Erkennung und Reaktion (XDR) bewertet werden.
Jetzt wurden die Ergebnisse des Tests veröffentlicht und wir dürfen erfreut bekannt geben, dass die EDR von Emsisoft zertifiziert wurde. Hier erfahren Sie, wie die Tests durchgeführt wurden und was die Ergebnisse bedeuten.
Eine kurze Erläuterung zu DER
EDR ist eine relativ neue Art von Cybersecurity-Tool, die Unternehmen bessere Sichtbarkeit über ihre Endpunkte verschafft. Während herkömmliche Plattformen zum Endpunktschutz auf das Vorbeugen konzentriert sind, liegt bei EDR-Systemen der Fokus auf dem Erkennen und dem Sammeln von Information. Sie analysieren Daten von Endpunkten im gesamten Netzwerk, reagieren automatisch auf Bedrohungen und stellen wichtige Informationen bereit, um den Vorfall zu untersuchen und zu kategorisieren.
In diesem Blogartikel erhalten Sie weitere Informationen über EDR und erfahren, wie das Konzept am besten in Ihre Cybersicherheitsstrategie passt.
Testverfahren
Für die Tests wurden die teilnehmenden EDR-Lösungen auf virtuellen Maschinen mit Windows 11 und Windows Server 2019 unter Standardkonfiguration installiert. Die Agenten der getesteten Produkte wurden mit demselben Netzwerk verbunden und mit Standardeinstellungen oder zusätzlichen Einstellungen für eine detailliertere Telemetrie konfiguriert. Sie hatten darüber hinaus uneingeschränkten Zugriff auf das Internet.
Anschließend wurden die Produkte einer Vielzahl von simulierten Angriffen ausgesetzt, bei denen das Testteam der AVLab Cybersecurity Foundation typische Aktionen von Angreifern nachahmte, die bereits Zugriff auf die IT-Infrastruktur des Opfers haben. Dazu gehörten unter anderem das Ausführen von Linux Mint als Steuerserver über eine virtuelle Maschine innerhalb des Caldera-Frameworks sowie der Einsatz von virtuellen Maschinen mit Kali Linux und Metasploit. Zur Bereitstellung der Bedrohungen dienten eine Vielzahl von Netzwerkprotokollen und Tools.
Die Tester verfolgten dann nach, wie jedes EDR-Produkt auf die Angriffe reagierte sowie welches Niveau an Informationen und Einsichten es den Administratoren bot.
Nachfolgend ist eine Liste der gemessenen Sichtbarkeitskennzahlen:
- Warnung in der Konsole
- Manuelle Aktionen
- Automatische Wiederherstellung
- Vollständige Sichtbarkeit eines Angriffs
- Erkennung eines Angriffs
- Vorbeugendes Blockieren eines Angriffs
- Sichtbarkeit eines Angriffs in den gemessenen Daten
- Keine Telemetrie für einen Angriff
Ergebnisse
Wir dürfen stolz vermelden, dass Emsisoft Enterprise Security mit EDR während der Tests ausführliche Sichtbarkeit in jeden Angriff lieferte und folglich zertifiziert wurde.
Interessanterweise war die EDR von Emsisoft die einzige Lösung, die Datendiebstahl über die Telegram-API blockierte. Bei allen anderen Produkten konnte bei den simulierten Angriffen bösartiger Code ausgeführt und eine Verbindung zum Zielsystem hergestellt werden.
Hier finden Sie den vollständigen Bericht (auf Englisch).
Die AVLab Cybersecurity Foundation ist eine unabhängige Testinstitution, die sich auf das Testen und Bewerten von Sicherheitsprodukten spezialisiert hat. Die Gruppe veröffentlicht regelmäßig ausführliche Berichte über die Wirksamkeit verschiedener Sicherheitslösungen. Von Software, die von der AVLab Cybersecurity Foundation gute Bewertungen erhalten hat, kann im Allgemeinen ein hohes Maß an Schutz erwartet werden.
