Security vs. Ransomware: 34 Lösungen im Advanced Threat Protection-Test
Die Angriffswellen mit Ransomware werden immer dichter, zumal es inzwischen Ransomware-as-a-Service gibt, mit dem auch nichtaffine Cyberkriminelle nun zusätzlich angreifen. Können aktuelle Security-Lösungen am Markt für Unternehmen und Privatanwender den Wellen standhalten? Die Advanced Threat Protection-Tests von AV-TEST zeigen schnell, wie gut sich Lösungen gegen Ransomware verteidigen. In realen Szenarien wird jeder Verteidigungs- und Abwehrschritt der Lösungen dokumentiert und bewertet. Viele Security-Produkte arbeiten gut – aber nicht alle.
Als ob die Angriffe der normalen APT-Gruppen nicht schon Stress genug wären, setzt sich deren neues Geschäftsmodell RaaS – Ransomware-as-a-Service – immer mehr durch. Dabei vergeben die Gruppen passende Lizenzen an Angreifer, die wenig Erfahrung mit Ransomware haben. Die Ransomware wird geliefert und die Infrastruktur bereitgestellt. Bei jeder einzelnen Erpressung geht sofort ein Teil des Geldes an die APT-Gruppe. Dieses Modell hat natürlich zur Folge, dass es immer mehr Attacken mit Ransomware gibt und in Zukunft geben wird. Daher ist es umso wichtiger zu wissen, wie gut Schutzlösungen die Angreifer erkennen, aufhalten und liquidieren. Im Gegensatz zur klassischen Malware führt die reine Erkennung der Ransomware nicht immer zur erfolgreichen Abwehr. Allerdings: auch eine zu Beginn nicht erkannte Ransomware kann im Laufe der Attacke noch aufgehalten werden. Wie gut das alles funktioniert, klären die Advanced Threat Protection-Tests von AV-TEST. Im Test müssen alle Produkte – egal, ob für Unternehmen oder Privatanwender – jeweils 10 Live-Szenarien mit Ransomware bestehen.
34 Lösungen im Test – 340 Live-Szenarien
Die im Test untersuchten Produkte teilen sich in zwei Gruppen mit je 17 Produkten. Die 17 Schutzpakete für Privatanwender kommen von AhnLab, Avast, AVG, Avira, Bitdefender, F-Secure, G DATA, K7 Computing, Kaspersky, Malwarebytes, McAfee, Microsoft, NortonLifeLock, PC Matic, Protected.net, Trend Micro und VIPRE Security.
Die weiteren 17 Schutzlösungen für Unternehmen stammen von AhnLab, Avast, Bitdefender (2 Produkte), Comodo (bald Xcitium) , G DATA, Kaspersky (2 Produkte), Malwarebytes, Microsoft, Sangfor Technologies, Seqrite, Symantec, Trellix, Trend Micro, VMware und WithSecure (ehemals F-Secure Business).
Jede einzelne Lösung muss in 10 definierten, realen Szenarien unter Windows eine Ransomware erkennen und abwehren oder deren weiteren Schritte erkennen und den Angriff aufhalten. Die 10 Szenarien sind in den untenstehenden Grafiken erklärt. Zum Beispiel kommt eine E-Mail samt gepackter Datei im Anhang an. Darin befindet sich eine ausführbare Datei, die sich direkt nach dem Entpacken ausführt. Danach beginnt die Ransomware mit verschiedenen Schritten das System zu übernehmen und zu verschlüsseln. Die Testszenarien listen in jedem Schritt die Art des Angriffs auf. Dabei gibt das Labor die Definitionen in MITRE ATT&CK „Techniques“ Codes an. Die genauen technischen Schritte eines Advanced Threat Protection-Tests erklärt das Labor für Interessierte auch im bereits erschienenen Artikel Neue Abwehrkräfte: EPPs und EDRs im Test gegen APT- und Ransomware-Attacken.
340-mal gegen Ransomware
Wird im Test eine Ransomware in einem Szenario von einem Schutzpaket in einem der ersten beiden Schritte erkannt (initial access oder execution), dann gilt die Attacke als abgewehrt. Für eine schnelle Auswertung der Tabelle nutzt das Labor eine Farbkodierung: Die Farbe Grün bedeutet: Angriff gestoppt, Gelb: nur teilweise gestoppt, Orange signalisiert: Angriff nicht gestoppt (no detection). Das gelbe Feld am Ende kann zwei Ergebnisse anzeigen: wurde der Angriff nur teilerkannt, dann sind entweder diverse Dateien verschlüsselt (some files encrypted) oder die Ransomware wurde zwar am Verschlüsseln gehindert, verbleibt aber auf dem System (malware remains on system). Steht am Ende der Grafikreihe ein oranges Feld, gilt die Attacke als nicht erkannt und die Ransomware konnte sich komplett ausführen (files encrypted).
Das Punktesystem ist ebenso einfach gehalten wie die Bewertung: für eine komplette Erkennung oder Abwehr vergibt das Labor pro Szenario bis zu 4 Punkte. Bei Teilerkennungen gibt es einen markanten Punktabzug. Die Werte aller 10 Szenarien ergeben dann den Schutz-Score, der in diesem Test bei maximal 40 Punkten liegt. Achtung: die Advanced Threat Protection-Tests erfolgen zwar regelmäßig alle zwei Monate, aber die Szenarien können variieren und somit auch die maximalen Punkte des Schutz-Score.
Testszenarien
Alle Angriffs-Szenarien sind dokumentiert nach dem Standard der MITRE ATT&CK-Datenbank. Die einzelnen Unterpunkte, z.B. „T1059.001“ stehen in der MITRE-Datenbank für „Techniques“ unter 1059.001 „Command and Scripting Interpreter: PowerShell“. Jeder Testschritt ist so unter Fachleuten definiert und lässt sich nachvollziehen.
Privatanwender: 12 Produkte sind fehlerfrei
In diesem Test stellen sich gleich 17 Produkte den jeweils 10 realen Angriffs-Szenarien mit Ransomware. Dabei sind 12 Schutzpakete sehr erfolgreich. Sie erkennen die Ransomware sofort und lassen keine weiteren Aktionen mehr zu. Dafür erhalten sie die maximalen 40 Punkte des Schutz-Score: AhnLab, Avast, AVG, Avira, F-Secure, Kaspersky, McAfee, Microsoft, NortonLifeLock, PC Matic, Protected.net und VIPRE Security.
Mit 39 von 40 Punkten folgen Bitdefender und K7 Computing. Beide liefern in einem Szenario eine Teilerkennung. Bei Bitdefender wird eine kleine Zahl diverser Dateien verschlüsselt. Bei K7 Computing wird die Verschlüsselung zwar gestoppt, aber die Malware bleibt auf dem PC und ist weiterhin eine Gefahr. Trend Micro hat das gleiche Problem – aber gleich dreimal. Dafür gibt es nur noch 37 Punkte.
Malwarebytes leistet sich zwei Teilerkennungen, wobei einmal wenige Dateien verschlüsselt werden. Im zweiten Fall passiert das auch, aber zusätzlich wird ein Registry-Key gesetzt und das Hintergrundbild geändert. Da alle nicht verhinderten Aktionen einen Punktabzug geben, stehen unter dem Strich nur noch 36,5 Punkte.
Das Schutzpaket von G DATA erkennt in zwei Szenarien keinen Angreifer und die Ransomware führt sich somit aus. G DATA verliert 2-mal die 4 Punkte und kommt noch auf 32 Punkte.
Damit ein Produkt im Test das Zertifikat „Advanced Certified“ erhält, muss es mindestens 75 Prozent (30 Punkte) der maximalen 40 Punkte des Schutz-Score erreichen. Das schaffen alle Produkte im Test.
Unternehmen: Viele Lösungen arbeiten fehlerfrei
Die im Test untersuchten Lösungen für Unternehmen zeigen zum großen Teil sehr gute Leistungen. 12 der 17 getesteten Produkte erreichen die vollen 40 Punkte des Schutz-Scores.
Bitdefender folgt mit seinen beiden Lösungen mit 39 Punkten, da es je eine Teilerkennung gibt.
Seqrite hat in drei Fällen einige Probleme und bekommt 37 Punkte. So gibt es einmal eine Teilerkennung, bei der einzelne Daten verschlüsselt werden. In den anderen Fällen wird die Ransomware zwar erkannt und geblockt, verbleibt aber auf dem System. Das ist ein weiteres Risiko.
Trend Micro hat diese Schwierigkeit gleich dreimal. Die Gefahr lauert zwar weiterhin, aber zumindest wird nichts verschlüsselt. Ebenfalls 37 Punkte für Trend Micro.
Die Unternehmenslösung von G DATA hat in zwei Szenarien das Problem, dass sie die Angreifer nicht erkennt und die Ransomware sich entfaltet. Das kostet volle 8 Punkte und am Ende werden noch 32 Punkte erreicht.
Alle Unternehmens-Produkte erhalten das Zertifikat „Advanced Approved Endpoint Protection“, da sie 75 Prozent (30 Punkte) der maximalen 40 Schutz-Score-Punkte erreichen.
Ransomware abgewehrt – mit oder ohne Service
Während im klassischen Erkennungstest viele der bekannten Produkte glänzen, müssen sie im Advanced Threat Protection-Test von AV-TEST auch ihre Leistung nach der Erkennung oder Nichterkennung einer Ransomware zeigen. Gerade beim Thema Ransomware ist das immens wichtig, denn kommt sie durch und kann sich voll entfalten, dann ist das System verschlüsselt und der Rest des Netzwerks in höchster Gefahr.
Bei den Schutzpaketen für Privatnutzer zeigt sich ein gutes Ergebnis im Test. 12 der 17 Pakete erreichen die vollen 40 Punkte. Mit dabei sind das kostenlose Avast Free Antivirus und auch der Microsoft Defender. Wer ein zuverlässiges Security-Paket mit mehr Umfang sucht, findet dies in den Kaufprodukten von AhnLab, AVG, Avira, F-Secure, Kaspersky, McAfee, NortonLifeLock, PC Matic, Protected.net oder VIPRE Security.
Bei den Unternehmenslösungen sieht das Ergebnis genauso überzeugend aus. Hier erreichen 12 von 17 Produkten die vollen 40 Punkte: AhnLab, Avast, Comodo, Kaspersky (mit 2 Versionen), Malwarebytes, Microsoft, Sangfor Technologies, Symantec (Broadcom), Trellix, VMware und WithSecure (ehemals F-Secure Business). Unternehmen finden somit ein breites Feld an Lösungen mit dem Zertifikat „Advanced Approved Endpoint Protection“, um ihr Netzwerk und ihre Arbeitsplätze zu schützen.