Endpoint Prevention & Response (EPR) Test 2025

Endpoint Protection Products (EPP), Endpoint Detection and Response (EDR) und Extended Detection and Response (XDR) Lösungen sind wichtige Komponenten der Unternehmenssicherheit, die Schutz vor gezielten Bedrohungen wie Advanced Persistent Threats (APTs) bieten. Der Endpoint Prevention and Response (EPR)-Test von AV-Comparatives wurde entwickelt, um die Wirksamkeit dieser Lösungen bei der Abwehr komplexer, mehrstufiger Angriffe zu bewerten, die die gesamte Infrastruktur eines Unternehmens beeinträchtigen können. In diesem Bericht bezeichnen wir alle EPP-, EDR-, XDR- und ähnlichen Produkte gemeinsam als "EPR" Lösungen für die Einfachheit.

Diese Systeme sollen nicht nur einzelne Endpunkte schützen, sondern auch Angriffsursprünge, -taktiken und -ziele analysieren und es den Sicherheitsteams ermöglichen, Bedrohungen einzudämmen, betroffene Systeme zu sanieren und zukünftige Vorfälle zu verhindern. Der Endpoint Prevention and Response Test von AV-Comparatives ist nach wie vor die branchenweit umfassendste Bewertung solcher Lösungen. Der diesjährige Test umfasste 12 Produkte, die jeweils 50 gezielten Angriffsszenarien unterzogen wurden, die reale Bedrohungen in drei kritischen Phasen simulieren: Endpoint Compromise and Foothold, Internal Propagation und Asset Breach.

Jedes Produkt wurde danach bewertet, ob es den Angriff automatisch abwehrte (aktive Reaktion) oder verwertbare Informationen für ein manuelles Eingreifen lieferte (passive Reaktion). Wurde ein Angriff in einer Phase nicht abgewehrt, wurde das Szenario mit der nächsten Phase fortgesetzt. Bei dem Test wurde auch die Fähigkeit der einzelnen Produkte bewertet, Abhilfemaßnahmen zu ergreifen und Indikatoren für eine Gefährdung auf zugängliche Weise zu sammeln.

Um einen aussagekräftigen Vergleich zu ermöglichen, haben wir den Enterprise EPR CyberRisk Quadrant™ entwickelt, der nicht nur die Effektivität bei der Vermeidung von Sicherheitsverletzungen, sondern auch die Kosteneffizienz, die operative Genauigkeit und die Effizienz der Arbeitsabläufe berücksichtigt. Das Modell basiert auf einem hypothetischen Unternehmen mit 5.000 Client-PCs über einen Zeitraum von fünf Jahren. Im Rahmen unserer kontinuierlichen Bemühungen, den Quadranten zu verbessern, wurden im Jahr 2025 mehrere Verbesserungen eingeführt, um den sich entwickelnden Unternehmensanforderungen und der Bedrohungsrealität Rechnung zu tragen.

CyberRisk Quadrant Key Metrics - basierend auf 5000 Clients

Erläuterung des EPR CyberRisk Quadranten

Der Quadrant zeigt zwei Ebenen an: Zertifiziert und Nicht zertifiziert. Verdienen der Zertifiziert Status spiegelt ein hohes Leistungsniveau in allen Schlüsselbereichen wider und bestätigt, dass das Produkt die strengen Standards unserer Bewertung erfüllt. Die Zertifizierung ist nicht leicht zu erreichen und bleibt ein starker Indikator für Qualität, Zuverlässigkeit und Effektivität. Diese gestraffte Darstellung sorgt für Klarheit und bewahrt gleichzeitig die Bedeutung und das Prestige der Zertifizierung.

Zertifiziert
Zertifizierte Produkte bieten eine außergewöhnliche Investitionsrendite, die zu deutlich geringeren Gesamtbetriebskosten (TCO) führt. Ihre bemerkenswerten technischen Fähigkeiten, gepaart mit einer fehlerfreien Leistung, halten die Kosten im Zaum. Diese Produkte zeichnen sich durchgängig durch hervorragende Leistungen in den Bereichen Prävention, Erkennung, Reaktion und Berichterstattung aus und bieten gleichzeitig optimale Workflow-Funktionen für Systemadministratoren und den Betrieb.

Nicht zertifiziert
Produkte mit einer kombinierten aktiven und passiven Reaktion von weniger als 92% und/oder anderen Kosten, die die TCO zu hoch machen, werden nicht zertifiziert. Wenn ein Produkt fünf vollständige Verstöße erreicht, wird es automatisch disqualifiziert (nicht zertifiziert) und wir stellen die weitere Prüfung ein, da es dann außerhalb des Quadranten liegen würde.

Welches Produkt ist das richtige für mein Unternehmen?
Die Tatsache, dass ein Produkt hier im obersten Bereich des Quadranten angezeigt wird, bedeutet nicht unbedingt, dass es das beste Produkt für die Anforderungen Ihres Unternehmens ist. Produkte in den unteren Bereichen des Quadranten können Merkmale aufweisen, die sie für Ihre spezielle Umgebung gut geeignet machen. Wir sind jedoch nicht in der Lage, die Verwendung von Produkten zu empfehlen, die nicht zertifiziert wurden.

Platzierung der Punkte
Die Platzierung des "Punktes" des Anbieters auf der Y-Achse des Quadranten richtete sich danach, wie gut die aktiven oder passiven Antwortmöglichkeiten waren. Diese Punktzahl wirkt sich auch auf die X-Achse aus; ein Produkt mit einer hohen aktiven Reaktionsrate hat eine niedrigere TCO, da die Reaktionskosten geringer sind. Außerdem verursachen Produkte, die einen Angriff in einer früheren Phase stoppen, auch weniger Kosten. Weitere Faktoren bei der TCO-Berechnung sind der Anschaffungspreis, die operative Genauigkeit und die Verzögerungen im Arbeitsablauf, die z. B. durch Sandbox-Analysen entstehen.

EPR CyberRisk Quadrant Übersicht

Der CyberRisk Quadrant berücksichtigt die Effektivität jedes Produkts bei der Verhinderung von Sicherheitsverletzungen, die berechneten Einsparungen, die sich daraus ergeben, die Anschaffungskosten des Produkts und die Kosten für die (Un-)Genauigkeit des Produkts.

Eines der größten Probleme, die durch eine Sicherheitsverletzung verursacht werden, sind die finanziellen Kosten, die dem betroffenen Unternehmen entstehen. Nach Angaben von IBM betrugen die durchschnittlichen Kosten einer Sicherheitsverletzung im Jahr 2025 4,4 Millionen USD. Daher kann der Kauf eines wirksamen EPR-Produkts, das die negativen Auswirkungen eines Angriffs minimiert, eine gute Investition sein. Wenn ein Unternehmen im Falle eines erfolgreichen Angriffs rund 5 Mio. USD verlieren kann, ist die Investition von 2 Mio. USD in Sicherheitsmaßnahmen - abgesehen von allen anderen Überlegungen - finanziell sinnvoll.

In diesem Abschnitt bewerten wir die Gesamtkosten für den Einsatz der getesteten Sicherheitsprodukte sowie ihre Wirksamkeit bei der Verhinderung von Sicherheitsverletzungen. So können wir beurteilen, wie hoch die finanzielle Investition für jedes Produkt ist. Auf der Grundlage der von IBM geschätzten durchschnittlichen Kosten einer Datenschutzverletzung in Höhe von 4,4 Millionen US-Dollar berechnen wir die potenziellen Kosteneinsparungen, die ein Unternehmen durch den Einsatz jedes der getesteten EPR-Produkte erzielen könnte. Die Ergebnisse zeigen, dass alle getesteten Produkte einen sinnvollen Schutz bieten, da ihre kombinierten aktiven und passiven Reaktionsmöglichkeiten die große Mehrheit der Angriffe verhindern. Einige Produkte sind jedoch eindeutig besser als andere. Je effektiver eine Lösung bei der Verhinderung von Sicherheitsverletzungen ist, desto geringer sind die zu erwartenden Kosten des Unternehmens für die Reaktion auf einen Vorfall und die Behebung des Problems.

Die nachstehende Grafik zeigt die Formel, mit der die Gesamtbetriebskosten für ein Produkt ermittelt werden, wobei folgende Faktoren berücksichtigt werden. Zunächst ist da der Preis, den der Hersteller für das Produkt und die damit verbundenen Service- und Supportkosten zahlt. Als Nächstes kommen die Kosten in Verbindung mit durch das Produkt verursachten Over-Blocking/Over-Reporting hinzu, die im Folgenden als Kosten für die Betriebsgenauigkeit definiert werden. Diese Fälle müssen untersucht und behoben werden. Im Jahr 2015 schätzte das Ponemon’s Institute schätzte, dass Unternehmen jährlich etwa 1,3 Millionen USD aufgrund ungenauer oder fehlerhafter Informationen verschwenden. Berücksichtigt man die Inflation der letzten zehn Jahre, so liegt eine vernünftige Schätzung für 2025 bei 1,76 Mio. USD. Dies sind die zusätzlichen jährlichen Kosten, die Sie für ein Produkt zu erwarten haben, das unsere Validierung der operationellen Genauigkeit in diesem Jahr nicht besteht. Die Kosten, die sich aus einer unvollkommenen operationellen Genauigkeit ergeben, werden bestraft, und die Kosten aufgrund von Verzögerungen im Arbeitsablauf werden ebenfalls berücksichtigt. Wenn also ein Benutzer z. B. durch die Funktionen, Richtlinien oder das Verhalten eines Produkts in seinem Betrieb beeinträchtigt wird, schlägt sich dies auch im EPR-CyberRisk-Quadranten nieder.

Als Nächstes folgen die Kosten im Zusammenhang mit Sicherheitsverletzungen, wobei ein Produkt, das theoretisch 100% Angriffe abwehren kann, hier keine Kosten verursacht, während ein Produkt, das keine Angriffe abwehrt, die vollen Kosten einer Sicherheitsverletzung verursacht.

Die Kosten für den Einbruch wurden für jedes Produkt pro Szenario berechnet, basierend auf der Fähigkeit des EPR-Produkts, zum Zeitpunkt der Ausführung aktiv und passiv zu reagieren. Das Verfahren, das wir für die Berechnung der Einbruchskosten im Jahr 2025 verwendet haben, wird im Folgenden dargestellt:

Aktive Reaktion in Phase 1
Wenn es in Phase 1 eine aktive Reaktion gab (d. h. der Angriff wurde automatisch erfolgreich gestoppt und gemeldet), wurden für das Szenario 0% der Gesamtkosten für die Sicherheitsverletzung hinzugefügt. Im Falle einer stillen Blockade ohne Meldung werden 12,5% der Gesamtkosten für die Verletzung addiert.

Nur passive Reaktion in Phase 1
Wenn es in Phase 1 KEINE aktive Reaktion gab, aber das Produkt in Phase 1 passive Reaktionsfähigkeiten zeigte, wurden für das Szenario nur 12,5% der Gesamtkosten der Sicherheitsverletzung addiert.

Aktive Reaktion in Phase 2
Wenn es in Phase 2 eine aktive Reaktion gab, wurden für das Szenario 25% der Gesamtkosten für den Verstoß hinzugefügt. Im Falle einer stillen Sperre ohne Meldung werden 35% der Gesamtkosten für die Verletzung addiert.

Nur passive Reaktion in Phase 2
Wenn es in Phase 2 KEINE aktive Reaktion gab, aber das Produkt in Phase 2 passive Reaktionsmöglichkeiten aufzeigte, wurden 50% der Gesamtkosten für das Szenario hinzugefügt.

Aktive Reaktion in Phase 3
Wenn es in Phase 3 eine aktive Reaktion gab, wurden für das Szenario 75% der Gesamtkosten für den Verstoß hinzugefügt. Im Falle einer stillen Sperre ohne Meldung werden 85% der Gesamtkosten für die Verletzung addiert.

Nur passive Reaktion in Phase 3
Wenn es in Phase 3 KEINE aktive Reaktion gab, aber das Produkt in Phase 3 passive Reaktionsfähigkeiten zeigte, dann wurden 95% der Gesamtkosten für das Szenario hinzugefügt.

Keine aktive oder passive Reaktion in einer der drei Phasen / Vollständiger Verstoß
Wenn es für das Szenario KEINE aktive oder passive Reaktion gab, wurden 100% der Gesamtkosten für die Sicherheitsverletzung für das Szenario addiert.

Zur Berechnung der X-Achse im EPR-CyberRisk-Quadranten haben wir den Listenpreis des Produkts, die Kosten für die operative Genauigkeit (z. B. Falschmeldungen/Over-Blocking/Over-Reporting), die Kosten für die Verzögerung des Arbeitsablaufs und die Kosteneinsparungen durch Sicherheitsverletzungen herangezogen. Die auf der X-Achse des Quadranten angezeigten Punktzahlen werden wie folgt berechnet. Für die aktive Reaktion nehmen wir die kumulativen Reaktionswerte für die Phasen 1, 2 und 3 und ermitteln den Durchschnitt dieser Werte. Das Gleiche gilt für die kumulativen Werte der passiven Reaktion für die Phasen 1, 2 und 3. Schließlich bilden wir den Durchschnitt dieser beiden Werte, um die Gesamtnote für die Reaktion zu ermitteln. Wir sind fest entschlossen, die größtmögliche Relevanz der in dieser Bewertung verwendeten Metriken zu gewährleisten. Wir haben die Rückmeldungen der Unternehmen geprüft und gegebenenfalls berücksichtigt. Dieser iterative Ansatz stellt sicher, dass sich unser Bewertungsprozess kontinuierlich an die sich ständig verändernde Unternehmenslandschaft anpasst. EPR-Systeme zielen darauf ab, Bedrohungen zu verhindern, wo dies möglich ist, oder effektive Erkennungs-/Reaktionsfunktionen bereitzustellen, wo dies nicht möglich ist. Endpunktprodukte, die eine hohe Präventionsrate bieten, verursachen weniger Kosten, da kein operativer Aufwand erforderlich ist, um auf die Auswirkungen eines Angriffs zu reagieren und sie zu beheben. Darüber hinaus können EPR-Produkte, die eine hohe Erkennungsrate (Sichtbarkeit und forensische Details) bieten, Einsparungen erzielen, da das Produkt die zur Untersuchung des Angriffs erforderlichen Informationen liefert.

Aktive Reaktion (Prävention): Eine aktive Reaktion stoppt den Angriff automatisch und meldet ihn.

Passive Reaktion (Erkennung): Bei einer passiven Reaktion wird der Angriff nicht gestoppt, sondern verdächtige Aktivitäten gemeldet.

Die Produktkosten basieren auf den Listenpreisen in USD, die zum Zeitpunkt der Prüfung (Sommer 2025) von den Anbietern angegeben wurden. Die tatsächlichen Kosten für die Endnutzer können je nach den verschiedenen Faktoren niedriger sein. Im Allgemeinen können die Preise aufgrund von Faktoren wie Mengenrabatten, ausgehandelten Rabatten, geografischer Lage, Vertriebskanal und Partnermargen variieren.

Die EPR-Kosten umfassen die Produktkosten für 5.000 Kunden, basierend auf einem 5-Jahres-Vertrag.

Gesamtkostenstruktur des EPR

Bitte beachten Sie, dass jedes Produkt seine eigenen besonderen Merkmale und Vorteile hat. Wir empfehlen den Lesern, jedes Produkt im Detail zu betrachten, anstatt nur auf die Listenpreise zu schauen. Einige Produkte verfügen möglicherweise über zusätzliche/andere Merkmale und Dienstleistungen, die sie für einige Organisationen besonders geeignet machen.

Kosten für operative Genauigkeit und Workflow-Verzögerung

Die Kosten, die durch unvollkommene operative Genauigkeit und Verzögerungen im Arbeitsablauf entstehen, werden wie folgt berechnet.

Kosten, die durch unvollkommene operative Genauigkeit entstehen

Die Prüfung der operationellen Genauigkeit erfolgte durch die Simulation einer typischen Benutzeraktivität in der Unternehmensumgebung. Dazu gehörte das Öffnen von sauberen Dateien verschiedener Typen (z. B. ausführbare Dateien, Skripte, Dokumente mit Makros) und das Surfen auf verschiedenen sauberen Websites. Darüber hinaus wurden in der Testumgebung auch verschiedene verwalterfreundliche Tools und Skripte ausgeführt, um sicherzustellen, dass die Produktivität nicht durch die für den Test verwendete Produktkonfiguration beeinträchtigt wurde. Um die operative Genauigkeit zu bewerten, wird jedes Produkt mit einer Reihe von sauberen Szenarien getestet. Eine Überblockierung oder Übermeldung solcher Szenarien bedeutet, dass ein Produkt hohe Präventions- und Erkennungsraten erreicht, aber auch erhöhte Kosten verursacht. Wenn legitime Programme/Aktionen blockiert werden, muss der Systemadministrator dies untersuchen, blockierte Programme wiederherstellen/reaktivieren usw. und Maßnahmen ergreifen, um eine Wiederholung des Vorfalls zu verhindern. Das Prinzip des "The boy who cried wolf" (Der Junge, der Wolf rief) kann ebenfalls zutreffen; je größer die Zahl der Fehlalarme ist, desto schwieriger wird es, einen echten Alarm zu erkennen.

Die Produkte werden dann je nach Anzahl der betroffenen Szenarien einer von fünf Gruppen (Keine, Geringe, Mittelmäßige, Hohe und Sehr hohe, wobei niedriger besser ist) zugeordnet. Diese sind in der nachstehenden Tabelle aufgeführt.

Multiplikationsfaktoren für die Kosten der operationellen Genauigkeit

Die Kosten, die durch unzureichende operative Genauigkeit entstehen, werden mit Kosteneinheiten von 1,76 Mio. USD berechnet. Die Anzahl der Kosteneinheiten, die ein Produkt verursacht haben soll, wird mit Hilfe eines Multiplikationsfaktors berechnet. Dieser variiert je nach Gruppe und auch danach, ob das Szenario von einer aktiven Reaktion (Aktion blockiert) oder einer passiven Reaktion (Aktion nicht blockiert, aber Erkennungsalarm in der Konsole angezeigt) betroffen war. Der Multiplikationsfaktor für eine fehlerhafte Passive Response beträgt immer drei Viertel des Multiplikationsfaktors für eine fehlerhafte Aktive Response, da weniger Zeit und Aufwand für die Lösung des Problems erforderlich ist.

Wie dies in der Praxis funktioniert, lässt sich am besten anhand der obigen Tabelle erklären. Produkte in der Gruppe "Keine" haben einen Multiplikationsfaktor von 0 sowohl für aktive als auch für passive Antworten, daher sind die Kosten für die operationelle Genauigkeit gleich Null. Produkte in der Gruppe "Geringe" (1 betroffenes Szenario) haben einen Multiplikationsfaktor von 1 für fehlerhafte Aktive Antworten, aber nur 0,75 für eine fehlerhafte Passive Antwort. Folglich verursacht ein Produkt mit einer fehlerhaften aktiven Antwort eine Kosteneinheit, während ein Produkt mit einer fehlerhaften passiven Antwort nur 0,75 Kosteneinheiten verursacht. Wenn ein Produkt 2 betroffene Szenarien hat, von denen eines eine aktive und das andere eine passive Reaktion ist, würde es 8,75 Kosteneinheiten verursachen (5 für die aktive Reaktion und 3,75 für die passive Reaktion).

Produkte, die während der Prüfung erhebliche Fehler oder Funktionsstörungen aufweisen, werden mit einem zusätzlichen Straffaktor von 12 belegt. Wir freuen uns, berichten zu können, dass bei der diesjährigen Prüfung keine derartigen Probleme festgestellt wurden.

Kosten, die durch Verzögerungen im Arbeitsablauf entstehen

Einige EPR-Produkte führen zu Verzögerungen im Arbeitsablauf des Benutzers, weil sie z. B. die Ausführung einer zuvor unbekannten Datei anhalten und sie zur weiteren Analyse an die Online-Sandbox des Anbieters senden. Dadurch wird die Ausführung gestoppt, und der Benutzer kann nicht fortfahren, bis die Analyse aus der Sandbox zurückkommt. Wir haben die durch eine solche Analyse verursachte Verzögerung für beide Szenarien (sauber und bösartig) festgestellt. Wenn ein Produkt bei der Analyse eines Szenarios erhebliche Verzögerungen verursachte, wurde dies bestraft. Die Analysezeit für jedes Produkt wurde wie folgt berechnet. Für saubere Szenarien wurde die längste beobachtete Verzögerung für ein beliebiges Szenario herangezogen. Ein Produkt mit zwei Verzögerungen - von 2 Minuten bzw. 10 Minuten - für saubere Szenarien würde also eine aufgezeichnete Zeit von 10 Minuten haben. Für bösartige Szenarien wurde der Durchschnitt aller Verzögerungen ermittelt. Ein Produkt mit zwei Verspätungen - von 2 Minuten bzw. 10 Minuten - für bösartige Szenarien hätte also eine aufgezeichnete Zeit von 6 Minuten. Die Produkte werden dann je nach Länge der jeweiligen Verzögerung einer von fünf Workflow-Verzögerungsgruppen (Keine, Gering, Mäßig, Hoch und Sehr Hoch) zugewiesen. Diese sind in der nachstehenden Tabelle aufgeführt.

Multiplikationsfaktoren für Workflow-Verzögerungskosten

Die Kosten für diese Verzögerungen werden mit denselben Kostenträgern wie für die operative Genauigkeit berechnet. Auch hier gibt es einen Multiplikationsfaktor, der je nach Workflow Delay Group variiert. Produkte in der Gruppe "Geringe Verzögerung des Arbeitsablaufs" haben einen Multiplikationsfaktor von 0,5 und verursachen somit Kosten von 1 Kosteneinheit; Produkte in der Gruppe "Sehr hohe Verzögerung des Arbeitsablaufs" haben einen Multiplikationsfaktor von 10 und verursachen somit Kosten von 10 Kosteneinheiten. Produkte in der letztgenannten Kategorie würden aufgrund der zu hohen Kosten von der Zertifizierung ausgeschlossen werden.

Ergebnisse
Die Kosten, die sich aus unzureichender operativer Genauigkeit und Verzögerungen im Arbeitsablauf ergeben, sind nachstehend aufgeführt:

Kombinierte Ergebnistabelle für operationelle Genauigkeit und Workflow-Verzögerungen

In diesem Abschnitt geben wir einen Überblick über die Funktionen der Produkte und einige der damit verbundenen Dienste, die von den jeweiligen Anbietern bereitgestellt werden. Bitte beachten Sie, dass sich diese Angaben in jedem Fall nur auf das spezifische Produkt, die Stufe und die Konfiguration beziehen, die in unserem Test verwendet wurden. Ein anderes Produkt/Tier desselben Anbieters kann einen anderen Funktionsumfang aufweisen. Auf den folgenden Seiten beschreiben wir die Funktionen "Allgemein", "Produktreaktion", "Management und Berichterstattung", "IOC-Integrationsfunktionen", "Supportfunktionen" und stellen dann eine Funktionsliste zur Verfügung, die zeigt, welche Produkte diese Funktionen unterstützen.

Allgemeine Merkmale

Dieser Abschnitt befasst sich mit allgemeinen Funktionen wie Phishing-Schutz, Web-Zugriffskontrolle, Gerätekontrolle, Schnittstellensprachen und unterstützten Betriebssystemen.

Zentrale Verwaltung und Berichterstattung

Der Management-Workflow ist ein wichtiges Unterscheidungsmerkmal für Sicherheitsprodukte in Unternehmen. Wenn ein Produkt schwierig zu verwalten ist, wird es nicht effizient genutzt werden. Die Intuitivität der Verwaltungsoberfläche eines Produkts ist ein guter Indikator dafür, wie nützlich das Produkt sein wird. Die pro Aktivität eingesparten Minuten können sich im Laufe eines Jahres in Tage und sogar Wochen umwandeln.

Mechanismus der Produktreaktion

EPR-Produkte setzen ihre Reaktionsmechanismen ein, um Eindringlinge, die in die geschützte Umgebung eingedrungen sind, zu bekämpfen. Von einem EPR-Produkt wird zumindest erwartet, dass es die Korrelation von Endpunkten, Prozessen und Netzwerkkommunikation sowie die Korrelation von externen IOCs mit der internen Umgebung ermöglicht. Die EDR-Fähigkeiten wurden anhand der Erkennungs- und Reaktionsfähigkeiten des Produkts getestet und untersucht. Wir waren in der Lage, die Ereignisse zu untersuchen, die mit den verschiedenen Schritten korrelierten, die der Angreifer bei seinem Versuch, in die Umgebung einzudringen, unternahm.

Das EPR-Produkt sollte eine vollständige Sichtbarkeit der bösartigen Artefakte/Vorgänge ermöglichen, aus denen die Angriffskette besteht, so dass alle reaktionsbasierten Aktivitäten leicht durchgeführt werden können. Das bedeutet, dass jede Form von vorgesehenem Abhilfemechanismus im Produkt verfügbar ist (Response Enablement) und dieser Mechanismus unten angezeigt wird. Bitte beachten Sie, dass die unten gezeigten Funktionen nur für das spezifische Produkt/die Version gelten, die in diesem Test verwendet wurde. Möglicherweise bietet ein Anbieter zusätzliche Funktionen als Add-on oder in einem anderen Produkt an.

Verwaltung: Sichtbarkeit von Bedrohungen, Systemsichtbarkeit und gemeinsame Nutzung von Daten

Die Fähigkeit, Bedrohungskontext bereitzustellen, ist eine Schlüsselkomponente eines EPR-Produkts. Diese Transparenz kann entscheidend sein, wenn Unternehmen entscheiden, ob sie eine bestehende Technologie ergänzen oder ersetzen wollen. Die Verwaltungskonsole kann als physische Appliance, virtuelle Appliance oder Cloud-basierte Appliance implementiert werden. In der Verwaltungskonsole ist eine vollständige Aufzeichnung der Audit-Protokolle verfügbar. Die Kommunikation zwischen dem Agenten und der Verwaltungskonsole erfolgt über SSL. Die folgenden Tabellen enthalten Informationen zu den jeweiligen Funktionen der getesteten Produkte.

EPR-Produktberichtsfunktionen

Eine EPR-Plattform sollte in der Lage sein, Daten zu vereinheitlichen, d. h. Informationen aus unterschiedlichen Quellen zusammenzuführen und sie in ihrer eigenen Benutzeroberfläche als kohärentes Bild der Situation zu präsentieren. Die technische Integration mit dem Betriebssystem und Anwendungen von Drittanbietern (Syslog, SIEM oder über API) ist dabei ein wichtiger Bestandteil. Ein EPR-System sollte in der Lage sein, dem Unternehmen angemessene Reaktionsmöglichkeiten zu bieten.

IOC-Integration: Damit soll der digitale Fußabdruck identifiziert werden, anhand dessen die böswillige Aktivität auf einem Endpunkt/Netzwerk erkannt werden kann. Wir werden diesen Anwendungsfall untersuchen, indem wir uns die Fähigkeit des EPR-Produkts ansehen, externe IOCs einschließlich Yara-Signaturen oder Threat Intelligence Feeds usw. zu verwenden, wie in der folgenden Tabelle dargestellt.

Unterstützungsfunktionen

Kostenlose, grundlegende menschliche Unterstützung für den Einsatz: Das bedeutet, dass Sie in Echtzeit mit einem Mitarbeiter des Supports kommunizieren können, der Sie durch den Einrichtungsprozess führt und alle grundlegenden Fragen sofort beantworten kann, die Sie haben. Natürlich bieten viele Anbieter stattdessen/zusätzlich Benutzerhandbücher, Videos und (kostenpflichtige) Premium-Supportdienste für die Bereitstellung an.

Professionell unterstützte Ausbildung: Dazu gehört jede Form der interaktiven Schulung mit einem Ausbilder. Bei einigen Anbietern ist die professionelle Schulung in der Lizenzgebühr für 5.000 Kunden enthalten, während andere dafür zusätzliche Gebühren verlangen. Einige andere Anbieter bieten möglicherweise nur Videos und andere Online-Materialien für die Selbstschulung an.

Im dynamischen Bereich der Cybersicherheit benötigen IT-Sicherheitsexperten ein tiefes Verständnis von Antiviren- (AV/EPP) und Endpunkt-Erkennungs- und Reaktionssystemen (EDR), die für umfassende Verteidigungsstrategien entscheidend sind. Ein wichtiger Aspekt ist das Verständnis dafür, wie verschiedene AV- und EDR-Systeme wichtige Technologien implementieren. Die folgenden Informationen bieten einen umfassenden Überblick über diese Technologien und verdeutlichen ihre Bedeutung in der sich ständig verändernden Cybersicherheitslandschaft. Diese Technologien umfassen die Anti-Malware Scan-Schnittstelle (AMSI), User-Mode Hooking, Callbacks und Kernel-Treiber.

1. Antimalware Scan Interface (AMSI): AMSI in Windows ist ein API-Set, das für eine verbesserte Malware-Erkennung entwickelt wurde. Es ist in Komponenten wie PowerShell, Windows Script Host und .NET integriert und fängt Skripte nach der Entschleierung zur Laufzeit ab. AMSI kommuniziert direkt mit der Antimalware-Lösung des Systems und leitet Inhalte zur Analyse weiter. Als Schnittstelle ist es unabhängig vom jeweiligen Antimalware-Anbieter. Die Integration gewährleistet die Erkennung von Bedrohungen in Echtzeit, selbst bei dynamisch ausgeführten Inhalten.
2. User-Mode Hooking: User-Mode-Hooking fängt Funktionsaufrufe in Prozessen auf Anwendungsebene in Windows ab. Durch Überschreiben des Starts einer Funktion werden die Aufrufe an eine benutzerdefinierte Funktion weitergeleitet. Ein EDR könnte zum Beispiel die Funktion CreateFileW in kernel32.dll und leitet sie auf ihre eigene DLL um. Wenn eine Anwendung die CreateFileWWenn Sie den Anruf nicht annehmen, wird er zunächst von der EDR-Funktion verarbeitet, die eine Echtzeitüberwachung oder Einschränkungen ermöglicht, bevor der ursprüngliche Anruf fortgesetzt wird.
3. Kernel-Aufrufe: EPP/EDR-Lösungen nutzen Kernel-Callback-Routinen für eine umfassende Systemüberwachung. Diese Routinen benachrichtigen registrierte Callbacks, wenn bestimmte Betriebssystemereignisse auftreten. Durch das Abgreifen dieser Ereignisse beobachten EPPs/EDRs das Systemverhalten in Echtzeit. So kann ein EPP/EDR beispielsweise Ereignisse bei der Prozesserstellung überwachen. Wenn ein neuer Prozess startet, prüft der Callback dessen Details und Herkunft. Auf diese Weise kann die EPP/EDR potenzielle Bedrohungen schnell erkennen, bewerten und auf sie reagieren.
4. Kernel-Treiber: EPP/EDR-Lösungen nutzen Kernel-Treiber, um sich tief in das Betriebssystem zu integrieren und fortschrittliche Bedrohungen abzuwehren. Minifilter-Treiber, die Teil des Windows Filter Managers sind, ermöglichen es EPP/EDR-Tools, Vorgänge in Dateien und Datenströmen zu überwachen, zu ändern oder zu blockieren. Dies ist entscheidend für Echtzeit-Scans und Zugriffsbeschränkungen. ELAM-Treiber (Early Launch Anti-Malware) hingegen starten bereits während des Bootvorgangs und stellen sicher, dass nur legitime, signierte Treiber geladen werden, wodurch verhindert wird, dass Rootkits oder Bootkits das System kompromittieren. Insgesamt gewährleisten diese Treiber einen umfassenden Schutz vom Hochfahren bis zum Betrieb des Systems.

Diese Informationen liefern IT-Sicherheitsexperten wertvolle Erkenntnisse, um fundierte Entscheidungen über Cybersicherheitslösungen zu treffen. Ganz gleich, ob Sie ein umfassendes Verständnis oder ein schnelles Nachschlagewerk benötigen, diese Erkenntnisse helfen Ihnen, sich in der komplexen Welt der IT-Sicherheit zurechtzufinden.

Es ist wichtig, darauf hinzuweisen, dass dies nur einige der Technologien sind, die in der modernen Cybersicherheit eingesetzt werden, und dass andere ebenfalls zum Arsenal von IT-Sicherheitsexperten gehören können. Das Fehlen oder Vorhandensein einer bestimmten Technologie bedeutet nicht unbedingt, dass ein Produkt schlechter oder besser ist. Die Wirksamkeit einer Cybersicherheitsstrategie hängt von ihrem ganzheitlichen Ansatz und ihrer Anpassungsfähigkeit an sich entwickelnde Bedrohungen ab. Die aufgeführten Daten wurden von den Anbietern überprüft und zur Verfügung gestellt.

In Unternehmensumgebungen und bei Unternehmensprodukten im Allgemeinen ist es üblich, dass die Produkte vom Systemadministrator gemäß den Richtlinien des Herstellers konfiguriert werden. Daher haben wir die Hersteller gebeten, uns zu bitten, alle gewünschten Änderungen an der Standardkonfiguration ihrer jeweiligen Produkte vorzunehmen. Die in diesem Test vorgestellten Ergebnisse wurden nur durch die Anwendung der jeweiligen Produktkonfigurationen wie hier beschrieben erzielt.

Die Konfigurationen wurden zusammen mit den Technikern der jeweiligen Anbieter während der Einrichtung vorgenommen. Diese Konfiguration ist typisch für Unternehmen, die über eigene Sicherheitsteams verfügen, die sich um ihre Verteidigungsmaßnahmen kümmern. Bei Produkten dieser Art ist es üblich, dass die Experten der Hersteller die Unternehmen bei der Einrichtung und Konfiguration unterstützen, die für die jeweilige Art von Unternehmen am besten geeignet ist.

Nachfolgend sind die relevanten nicht standardmäßigen Einstellungen aufgeführt (d. h. die Einstellungen, die vom Hersteller für diesen Test verwendet werden).

Bitdefender: "Advanced Threat Control", "Advanced Anti-Exploit", "Firewall", "Network Content Control", "Network Attack Defense", "Kernel-API Monitoring" und "EDR Sensor" wurden aktiviert. Der "Scan-Modus" wurde auf "Lokaler Scan" eingestellt. "Relay Server" und "Standard Update Server" wurden gelöscht. "Update Ring" wurde auf "Fast Ring" eingestellt. "On-access Scanning" für Archive größer als 100MB wurde mit Tiefe 16 aktiviert. Die Einstellung "AMSI" und "Analyseergebnisse an AMSI melden" wurden aktiviert. "Ransomware Mitigation" und "Email Traffic Scan" wurden aktiviert. "HyperDetect" wurde aktiviert und auf "Blockieren" (für das Netzwerk) und auf "Desinfizieren" (für Dateien) eingestellt. Die "Schutzstufe" wurde für alle Einstellungen von "HyperDetect" auf "Normal" gesetzt. "Scan SSL" und "Sandbox Analyzer" wurden aktiviert und auf "Überwachung" gesetzt. Im Abschnitt "Netzwerkschutz" wurden zusätzliche Prozesse für "Verschlüsselten Verkehr abfangen" hinzugefügt, nämlich "wscript.exe", "cscript.exe", "powershell.exe" und "pwsh.exe".

Check Point: Bei "Web- und Dateischutz" und "Verhaltensschutz" war alles auf "Verhindern" eingestellt. In den "Erweiterten Einstellungen" war "Dateisanierung" auf "Quarantäne" und "Beenden" eingestellt. Der "Anti-Exploit-Modus" war auf "Verhindern" eingestellt. Unter "Analyse und Behebung" wurde der "Schutzmodus" auf "Immer", "Bedrohungsjagd aktivieren" auf "Ein" und "Angriffsbehebung" auf "Mittel und Hoch" gesetzt. Alle Einstellungen wurden auf "Verbundener Modus" gesetzt.

CrowdStrike: Alles aktiviert und auf Maximum eingestellt, d.h. "Extra Aggressiv". "Sichtbarkeit von Skriptdateien beim Schreiben" und "Analyse unbekannter ausführbarer Dateien im Zusammenhang mit der Erkennung" aktiviert. "On-demand Scans" und "Analyse unbekannter ausführbarer Dateien" aktiviert. "Early Adopter Sensor Builds" aktiviert. "Geschwärzte HTTP-Erkennungsdetails" deaktiviert. "Erweiterte Datensichtbarkeit im Benutzermodus" auf "Aggressiv" eingestellt. "Identitätsschutz" wurde aktiviert; in "Next-Gen SIEM" wurde ein Workflow erstellt, um Geräte einzugrenzen und zur Überwachungsliste hinzuzufügen, wenn die Identität mit einem "Schweregrad" größer oder gleich "Niedrig" kompromittiert wurde. "Die Überprüfung des Authentifizierungsverkehrs wurde aktiviert.

Elastisch: MalwareScore ("windows.advanced.malware.threshold") auf "aggressiv" gesetzt. 

ESET: Alle Einstellungen für "Echtzeitschutz und maschinelles Lernen", "Potenziell unerwünschte Anwendungen", "Potenziell unsichere Anwendungen" und "Verdächtige Anwendungen" wurden auf "Aggressiv" gesetzt. "Laufzeit-Packer" und "Erweiterte Heuristik" für "ThreatSense" aktiviert. Unter "Cloud-basierter Schutz" wurden "LiveGuard", "LiveGrid Feedback System" und "LiveGrid Reputation System" auf "Ein" gesetzt. Die "Erkennungsschwelle" für "LiveGuard" wurde auf "Verdächtig", der "Proaktive Schutz" auf "Ausführung blockieren bis zum Erhalt des Analyseergebnisses" und die "Maximale Wartezeit auf das Analyseergebnis" auf "5 min" gesetzt. "Automatische Übermittlung verdächtiger Proben" für alle Dateitypen aktiviert. In "ESET Inspect" waren alle Erkennungsregeln und Ausschlüsse aktiviert, mit Ausnahme der "optionalen" Regeln.

Fortinet: "Ausführungsverhinderung", "Exfiltrationsverhinderung" und "Ransomware-Verhinderung" wurden aktiviert und alles auf "Blockieren" gesetzt, mit Ausnahme von "Sandbox-Analyse", "Unbestätigte Datei erkannt", "Debugged-Prozess", "Netzwerk-Scanversuch erkannt", "Teilweise zugeordnet", "Geschützte Systemkonfiguration" und "Stack-Manipulation", die auf "Protokollieren" gesetzt wurden. Das "Standard-Wiedergabebuch" wurde aktiviert.

G Daten: "BEAST-Verhaltensüberwachung" auf "Programm anhalten und in Quarantäne verschieben" eingestellt. "G DATA WebProtection-Add-on installiert und aktiviert. "Malware-Informationsinitiative" aktiviert.

Kaspersky: Das "Kaspersky Security Network (KSN)" wurde aktiviert. Die "Adaptive Anomaly Control" war deaktiviert. Die Sandbox-Funktion war nicht aktiviert.

Palo Alto Networks: Unter "Agent-Einstellungen" wurde die "On-Write-Dateiprüfung" aktiviert. Unter "Malware-Profil" wurden "Untersuchung von Portable Executables und DLLs", "Schutz vor Verhaltensbedrohungen" und "Schutz vor Ransomware" auf "Quarantäne" gesetzt. Die Option "Grayware als Malware behandeln" wurde aktiviert. "PowerShell-Skriptdateien", "VB-Skriptuntersuchung", "ASP- und ASPX-Dateien" wurden auf "Blockieren" gesetzt.

VIPRE: "IDS" aktiviert und auf "Blockieren mit Benachrichtigung" eingestellt. "Firewall" aktiviert. "AMSI" aktiviert und auf "Blockieren und desinfizieren" eingestellt. "Behandlung inkompatibler Software" deaktiviert.

Anbieter A - B: Es wurden andere Einstellungen als die Standardwerte verwendet.

Endpoint Prevention Response im Vergleich zum MITRE ATT&CK Framework

Dieser EPR-Produktbericht ist eine umfassende Validierung der Funktionen, der Produktwirksamkeit und anderer relevanter Metriken, die Sie bei Ihrer Risikobewertung unterstützen. Es wurden insgesamt 50 Szenarien mit realen Anwendungsfällen in Unternehmen durchgeführt. Diese Szenarien umfassten mehrere Präventions- und Erkennungs-Workflows, die unter normalen Betriebsbedingungen von verschiedenen Benutzer-Personas ausgeführt wurden. Die Ergebnisse der Validierung lassen sich effizient und effektiv auf die MITRE ATT&CK® Plattform abbilden (© 2015-2025, The MITRE Corporation. MITRE ATT&CK und ATT&CK sind eingetragene Warenzeichen von The MITRE Corporation.) und der NIST-Plattform zugeordnet werden, so dass es einfacher wird, das Risiko in Bezug auf einen bestimmten Endpunkt zu operationalisieren.

Überblick über den Enterprise EPR Workflow

AV-Comparatives hat einen Paradigmenwechsel in der Branche herbeigeführt, indem es eine reale EPR-Methodik definiert hat, die die alltäglichen Anwendungsfälle und Arbeitsabläufe in Unternehmen widerspiegelt und für die Abbildung der Kill-Chain-Sichtbarkeit im MITRE ATT&CK-Framework verwendet wird.

Wie in der Grafik auf der nächsten Seite dargestellt, haben wir uns von "atomaren" Tests, d. h. Tests, die nur eine bestimmte Komponente des ATT&CK-Frameworks untersuchen, entfernt und stattdessen die EPR-Produkte im Kontext der gesamten Angriffskette bewertet, wobei die Arbeitsabläufe in jeder Phase von der anfänglichen Ausführung bis zur endgültigen Datenexfiltration/Sabotage miteinander verbunden sind.

Bitte lesen Sie den folgenden Artikel, um mehr über die Unterschiede zwischen dem AV-Comparatives EPR Test und dem MITRE ATT&CK Engenuity Test zu erfahren.

EPR-Prüfungsablauf

Die nachstehende Grafik gibt einen vereinfachten Überblick über das verwendete Prüfverfahren:

Unternehmen EPR Arbeitsablauf Überblick

Prävention (aktive Reaktion)

Die beste Art und Weise, auf eine Bedrohung zu reagieren, besteht darin, sie so schnell wie möglich zu verhindern und effektiv darüber zu berichten. AV-Comparatives definiert Prävention als eine automatisierte, aktive Reaktion, die rund um die Uhr, 365 Tage im Jahr, ohne menschliches Eingreifen, aber mit quantifizierbaren Metriken und Berichtsdatenpunkten, die für eine effektive Analyse genutzt werden können, einsetzt.

Ein EPR-Produkt sollte in der Lage sein, eine Bedrohung auf einem kompromittierten Computer zunächst zu erkennen und zu verhindern. Der Vorfall sollte von einem zentralen Verwaltungssystem aus erkannt, identifiziert, korreliert und durch eine wirksame passive Reaktionsstrategie (teilweise/vollständig automatisiert) behoben werden, idealerweise in Echtzeit. Darüber hinaus sollte der Systemadministrator in der Lage sein, eine Bedrohung auf der Grundlage der gesammelten und analysierten Daten zu klassifizieren und einzuteilen, und er sollte in der Lage sein, eine Reaktion mit Hilfe des EPR-Produkts mit einem spezifischen Workflow abzuschließen.

Eine aktive Reaktion, wie sie in diesem Test definiert wird, ist eine wirksame Reaktionsstrategie, die eine Erkennung mit wirksamen Präventions- und Berichtsfunktionen verbindet. Dies alles sollte auf automatisierte Weise und ohne manuelles Eingreifen geschehen. Dies kann durch eine Vielzahl von Technologien und Mechanismen geschehen, z. B.: signaturbasierte Modelle, verhaltensbasierte Modelle, ML-basierte Modelle, Transaktions-Rollbacks, isolationsbasierte Mechanismen usw. Diese Definition ist technologieunabhängig, da sie sich auf die Ergebnisse der verschiedenen Arbeitsabläufe und Szenarien der Systemadministratoren konzentriert und nicht auf die Technologie, die zur Vorbeugung, Erkennung oder Reaktion darauf eingesetzt wird.

Erkennung (Passive Reaktion)

Passive Reaktion, wie sie in diesem Test definiert wird, ist eine Reihe von Reaktionsmechanismen, die das Produkt mit kohärenten Erkennungs-, Korrelations-, Berichts- und Aktionsfähigkeiten bietet. Sobald sich ein Angreifer bereits in der Unternehmensumgebung befindet, kommen herkömmliche Reaktionsmechanismen zum Einsatz, z. B. IOC- und IOA-Korrelation, externe Bedrohungsinformationen und Jagd. AV-Comparatives definiert diese Reaktionsmechanismen als Passive Response. Die Voraussetzung für eine passive Reaktion ist die Erkennung einer potenziellen Bedrohung durch EPR-Produkte.

Von EPR-Produkten wird in der Regel erwartet, dass sie anfängliche und laufende Angriffe verhindern, ohne eine Triage vornehmen zu müssen, und gleichzeitig aktive Reaktions- und Berichtsfunktionen bieten. Wird der Angriff verpasst oder nicht verhindert, sollten EPR-Produkte in der Lage sein, Angriffe zu bewerten und darauf zu reagieren, wodurch die Ressourcen (Personal/Automatisierung) weniger belastet werden und langfristig eine bessere Rendite erzielt wird.

Die Bandbreite der verfügbaren Reaktionsmöglichkeiten eines EPR-Produkts ist äußerst wichtig für Unternehmen, die Bedrohungen/Kompromittierungen auf mehreren Rechnern an mehreren Standorten überprüfen müssen. Ein EPR-Produkt sollte in der Lage sein, anhand der dem Systemadministrator zur Verfügung gestellten Informationsdaten nach bestimmten Bedrohungen zu suchen. Sobald die Bedrohungen identifiziert sind, sollte der Systemadministrator in der Lage sein, mit dem EPR-Produkt Reaktionen auf der Grundlage der Art der Infektion einzuleiten. AV-Comparatives erwartet, dass EPR-Produkte nicht-automatische oder halbautomatische passive Reaktionsmechanismen haben.

Korrelation von Prozess, Endpunkt und Netzwerk

Das EPR-Produkt sollte in der Lage sein, Bedrohungen auf eine oder mehrere der folgenden Arten zu erkennen und darauf zu reagieren:

Überblick über die EPR-Validierung

AV-Comparatives hat die folgende Topologie und Metrik entwickelt, um die Fähigkeiten von Endpoint Prevention and Response (EPR)-Produkten genau zu bewerten.

Überblick über den Enterprise EPR Workflow

Die EPR-Produkte aller getesteten Anbieter wurden im Standalone-Modus implementiert und bewertet, wobei jeder Anbieter aktiv an der anfänglichen Einrichtung, Konfiguration und den Baselining-Aspekten beteiligt war. AV-Comparatives bewertete eine Liste von 50 Szenarien, wie sie häufig von Analysten und Unternehmen gefordert werden, wobei mehrere unternehmensbezogene Anwendungsfälle im Vordergrund standen. Jeder Anbieter durfte sein eigenes Produkt in dem Maße konfigurieren, wie es Unternehmen beim Einsatz in ihrer Infrastruktur tun können. Die Einzelheiten der Konfigurationen sind am Anfang dieses Berichts aufgeführt.

Da diese Methodik auf die Präventions-, Erkennungs- und Reaktionsfähigkeiten zugeschnitten ist, haben alle Anbieter ihre Präventions- und Schutzfähigkeiten (Fähigkeit zum Blockieren) sowie die Erkennungs- und Reaktionsfähigkeiten aktiviert, so dass sie die realen Fähigkeiten dieser Produkte auf Unternehmensebene nachahmen.

Die Tests unterstützten EPR-Produktaktualisierungen und Konfigurationsänderungen, die über die Cloud-Management-Konsole oder den lokalen Netzwerkserver vorgenommen wurden. Wir haben so weit wie möglich alle Testszenarien von Anfang bis Ende durchlaufen und ausgeführt.

Ziel des Tests

Die folgende Bewertung wurde durchgeführt, um zu überprüfen, ob das EPR-Endpunktsicherheitsprodukt in der Lage ist, auf jedes Szenario angemessen zu reagieren.

1. In welcher Angriffsphase fand die Verhinderung/Erkennung statt? Phase 1 (Endpoint Compromise and Foothold), Phase 2 (Internal Propagation) oder Phase 3 (Asset Breach)?
2. Hat uns das EPR-Produkt eine angemessene Bedrohungsklassifizierung und Bedrohungseinstufung geliefert und einen genauen Bedrohungszeitplan der Angriffe mit relevanten Endpunkt- und Benutzerdaten aufgezeigt?
3. Entstanden durch das EPR-Produkt zusätzliche Kosten aufgrund von unzureichender operativer Genauigkeit oder Verzögerungen im Arbeitsablauf?

Gezielte Use-Cases

Bei der emulierten Ereignisfolge handelte es sich um ein unternehmensbasiertes Szenario, bei dem der Benutzer auf Systemebene eine Datei in einem E-Mail-Anhang erhielt und sie ausführte. In einigen Fällen waren die E-Mails harmlos, in anderen wiederum nicht. Wenn die bösartigen E-Mail-Anhänge erfolgreich ausgeführt wurden, konnte ein Angreifer in der Umgebung Fuß fassen und weitere Schritte unternehmen, um seine Ziele zu erreichen.

Während der Tests haben wir uns in das EPR-Produktmanagement und die einzelnen Konsolen der Testsysteme eingeloggt, um zu beobachten, zu analysieren und zu dokumentieren, welche Art von Aktivität vom Produkt aufgezeichnet wird. Gibt es zum Beispiel bei einem Angriff irgendwelche Warnungen oder Ereignisse, und handelt es sich dabei um echte Positiv- oder Negativmeldungen?

Bei echten positiven Alarmen haben wir außerdem untersucht, ob die anschließende Reaktion in Form von Ereigniskorrelation, Triagen, Bedrohungsklassifizierung und Bedrohungszeitplan dem Systemadministrator zeitnah und klar zur Verfügung gestellt wurde. Wir testeten die von den getesteten Produkten zur Verfügung gestellten Antworten.

Der Test wurde im Sommer 2025 durchgeführt und basierte auf einer angreifergesteuerten Denkweise, während der Angriff durch die Angriffsknoten fortschritt, um schließlich sein Ziel zu erreichen. Die Benutzeraktivitäten wurden während des gesamten Tests simuliert, so dass sie einer realen Umgebung so nahe wie möglich kamen.

Alle Angriffe wurden mit Open-Source- und kommerziellen Tools/Frameworks erstellt und wurden mit internem Fachwissen entwickelt. Der Grund, warum wir commercial C2 frameworks ist, dass diese häufig von Angreifern in realen APTs missbraucht werden; sie nicht zu verwenden, würde einen "blinden Fleck" verursachen und zu einem falschen Sicherheitsgefühl führen. Aufgrund von Lizenzvereinbarungen haben wir Maßnahmen ergriffen, um zu verhindern, dass von kommerziellen C2-Frameworks erstellte Samples an die EPR-Anbieter weitergegeben werden. Diese Beschränkungen sollen verhindern, dass sich die Anbieter auf die Tools und nicht auf die Techniken konzentrieren.

Zur Veranschaulichung des Testverfahrens geben wir im Folgenden ein Beispiel dafür, wie ein typischer gezielter Angriff ablaufen könnte. Der Angreifer sendet eine Skript-Nutzlast (die einige Verteidigungsumgehungstechniken wie DLL-Sideloading enthält) über eine Phishing-Mail an Netzwerkbenutzer A auf Arbeitsstation A. Nachdem er mit dem Benutzerkonto A im Zielnetz Fuß gefasst hat, wird eine interne Erkundung durchgeführt. Dies beinhaltet die Auflistung von Benutzerrechten, Benutzergruppen, installierten Sicherheitsprodukten usw. Dabei zeigt sich, dass das kompromittierte Benutzerkonto A Zugriff auf die C$-Freigabe auf Arbeitsstation B hat, was bedeutet, dass das Konto über lokale Administratorrechte auf dieser Arbeitsstation verfügt. Mit dem aus der internen Erkennung gewonnenen Wissen bewegt sich der Angreifer seitlich von Arbeitsstation A zu Arbeitsstation B. Anschließend setzt er die interne Erkennung auf Arbeitsstation B fort. Dadurch findet er die offene Benutzersitzung eines Netzwerkadministrators auf Arbeitsstation B. Um dies auszunutzen, führt der Angreifer den LSASS-Prozess aus und kann so die Anmeldeinformationen des Administrators stehlen. Auf diese Weise findet er heraus, dass das kompromittierte Administratorkonto Zugriff auf Server 1 hat. Der Angreifer verwendet dann dieses kompromittierte Administratorkonto, um sich seitlich von Arbeitsstation B zu Server 1 zu bewegen und diesen Server dann zu kompromittieren. Hier führt er weitere interne Erkundungen durch und nutzt auch einige Techniken zur Umgehung der Verteidigung, um das installierte Sicherheitsprodukt zu umgehen (z. B. durch Patchen von AMSI und ETW). Am Ende dieser Prozedur sind sie in der Lage, Kreditkartendaten auf Server 1 zu identifizieren, die sie über einen offenen C2-Kanal extrahieren.