{"id":29172,"date":"2022-08-23T17:08:00","date_gmt":"2022-08-23T15:08:00","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=29172"},"modified":"2022-08-23T17:08:00","modified_gmt":"2022-08-23T15:08:00","slug":"kedr-selabs-test-2022","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/kedr-selabs-test-2022\/29172\/","title":{"rendered":"Unabh\u00e4ngige Pr\u00fcfung von EDR-L\u00f6sungen"},"content":{"rendered":"<p>Die beste M\u00f6glichkeit, die Effektivit\u00e4t einer Sicherheitsl\u00f6sung zu beweisen, ist, sie unter m\u00f6glichst realen Bedingungen zu testen und dabei typische Taktiken und Techniken zielgerichteter Angriffe anzuwenden. Kaspersky nimmt regelm\u00e4\u00dfig an solchen Tests teil und liegt bei den <a href=\"https:\/\/www.kaspersky.de\/top3\" target=\"_blank\" rel=\"noopener\">Bewertungen ganz weit vorne<\/a>.<\/p>\n<p>Die Ergebnisse eines k\u00fcrzlich durchgef\u00fchrten Tests \u2013 <a href=\"https:\/\/selabs.uk\/reports\/enterprise-advanced-security-edr-2022-q2-detection\/\" target=\"_blank\" rel=\"noopener nofollow\">Enterprise Advanced Security (EDR): Enterprise 2022 Q2 \u2013 DETECTION<\/a> \u2013 wurden im Juli in einem Bericht von <a href=\"https:\/\/selabs.uk\/reports\/enterprise-advanced-security-edr-2022-q2-detection\/\" target=\"_blank\" rel=\"noopener nofollow\">SE Labs<\/a> ver\u00f6ffentlicht. Das britische Unternehmen testet seit mehreren Jahren Sicherheitsl\u00f6sungen gro\u00dfer Anbieter auf Herz und Nieren. Unsere Unternehmensl\u00f6sung <em>Kaspersky Endpoint Detection and Response Expert<\/em> erreichte im Rahmen dieser j\u00fcngsten Pr\u00fcfung bei der Erkennung zielgerichteter Angriffe die volle Punktzahl und folglich die h\u00f6chstm\u00f6gliche Bewertung \u2013 AAA.<\/p>\n<p>SE Labs hat unsere Produkte zum Schutz der Unternehmensinfrastruktur vor ausgekl\u00fcgelten Bedrohungen bereits zuvor analysiert. Bereits <a href=\"https:\/\/selabs.uk\/reports\/breach-response-test-kaspersky-anti-targeted-attack-platform\/\" target=\"_blank\" rel=\"noopener nofollow\">2019<\/a> nahmen wir am Breach Response Test des Unternehmens teil. Im Jahr <a href=\"https:\/\/selabs.uk\/reports\/enterprise-advanced-security-edr-kaspersky-2021-q4\/\" target=\"_blank\" rel=\"noopener nofollow\">2021<\/a> wurde unser Produkt zudem im Advanced Security Test (EDR) von SE Labs unter die Lupe genommen. Seither wurde die Testmethodik optimiert und der Test selbst in zwei Bereiche aufgeteilt: Erkennung und Schutz. Dieses Mal analysierte SE Labs, wie effektiv Sicherheitsl\u00f6sungen sch\u00e4dliche Aktivit\u00e4ten erkennen. Neben Kaspersky EDR Expert nahmen vier weitere Produkte am Test teil: Broadcom Symantec, CrowdStrike, BlackBerry und eine weitere, anonyme L\u00f6sung.<\/p>\n<h2>Bewertungssystem<\/h2>\n<p>Die Tests bestanden aus mehreren Pr\u00fcfungen, aber ein Blick auf die <em>Total Accuracy Ratings<\/em> reicht aus, um ein Gef\u00fchl f\u00fcr die Ergebnisse zu bekommen. Die Gesamtwertung zeigt, wie gut die einzelnen L\u00f6sungen Angriffe in verschiedenen Stadien erkannt haben und ob sie den Benutzer mit False-Positives bel\u00e4stigt haben. Um die \u00dcbersichtlichkeit zu erh\u00f6hen, wurden die teilnehmenden L\u00f6sungen mit einer Auszeichnung versehen: von AAA (f\u00fcr Produkte mit einer hohen Genauigkeit) bis D (f\u00fcr die am wenigsten effektiven L\u00f6sungen). Wie bereits erw\u00e4hnt, erhielt unsere L\u00f6sung ein Rating von 100% und somit die Bewertung AAA.<\/p>\n<p>Die <em>Accuracy Ratings<\/em> werden in folgende 2 Kategorien unterteilt:<\/p>\n<ul>\n<li><em>Detection Accuracy<\/em>: Diese ber\u00fccksichtigt den Erfolg bei der Erkennung jeder wichtigen Phase eines Angriffs.<\/li>\n<li><em>Legitimate Software Rating<\/em>: Je weniger Fehlalarme das Produkt ausl\u00f6st, desto h\u00f6her die Bewertung.<\/li>\n<\/ul>\n<p>Dar\u00fcber hinaus gibt es einen weiteren wichtigen Indikator: <em>Attacks Detected<\/em>. Hierbei handelt es sich um den Prozentsatz der Angriffe, die von der L\u00f6sung in mindestens einer der Phasen erkannt werden, so dass das Sicherheitsteam die M\u00f6glichkeit hat, auf den Vorfall zu reagieren.<\/p>\n<h2>So wurde unsere L\u00f6sung getestet<\/h2>\n<p>Im Idealfall sollten die Tests zeigen, wie sich die L\u00f6sung bei einem realen Angriff verhalten w\u00fcrde. Aus diesem Grund hat SE Labs versucht, die Testumgebung so realistisch wie m\u00f6glich zu gestalten. Zum einen haben nicht die Entwickler die Sicherheitsl\u00f6sungen f\u00fcr den Test konfiguriert, sondern die unternehmenseigenen Pr\u00fcfer von SE Labs, die dann spezifische Anweisungen vom Hersteller erhielten. Zum anderen wurden die Tests \u00fcber die gesamte Angriffskette durchgef\u00fchrt \u2013 vom ersten Kontakt bis hin zum Datendiebstahl o. \u00e4. Dar\u00fcber hinaus basierten die Tests auf den Angriffsmethoden vier realer und aktiver APT-Gruppen:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.theregister.com\/2022\/05\/18\/wizard-spider-ransomware-conti\/\" target=\"_blank\" rel=\"noopener nofollow\">Wizard Spider<\/a>, die es auf Unternehmen, Banken und sogar Krankenh\u00e4user abgesehen hat. Zu ihren Tools geh\u00f6rt der Banking-Trojaner <a href=\"https:\/\/www.kaspersky.de\/blog\/trickbot-new-tricks\/27612\/\" target=\"_blank\" rel=\"noopener\">Trickbot<\/a>.<\/li>\n<li><a href=\"https:\/\/www.welivesecurity.com\/2022\/03\/21\/sandworm-tale-disruption-told-anew\/\" target=\"_blank\" rel=\"noopener nofollow\">Sandworm<\/a>, die in erster Linie auf Regierungsbeh\u00f6rden abzielt und f\u00fcr ihre Malware <a href=\"https:\/\/securelist.com\/expetrpetyanotpetya-is-a-wiper-not-ransomware\/78902\/\" target=\"_blank\" rel=\"noopener\">NotPetya<\/a> ber\u00fcchtigt ist, die sich als Ransomware ausgab, in Wirklichkeit aber die Daten der Opfer ohne die M\u00f6glichkeit auf Wiederherstellung zerst\u00f6rte.<\/li>\n<li><a href=\"https:\/\/www.kaspersky.de\/blog\/lazarus-defi-wallet-backdoor\/28504\/\" target=\"_blank\" rel=\"noopener\">Lazarus<\/a>, die nach einem gro\u00dfangelegten Angriff auf Sony Pictures im November 2014 weltweit bekannt wurde. Nachdem sich die Gruppe zuvor auf den Bankensektor konzentriert hatte, hat sie nun Krypto-B\u00f6rsen ins Visier genommen.<\/li>\n<li><a href=\"https:\/\/www.fox-it.com\/media\/kadlze5c\/201912_report_operation_wocao.pdf\" target=\"_blank\" rel=\"noopener nofollow\">Operation Wocao<\/a>, die auf Regierungsbeh\u00f6rden, Dienstleistungsunternehmen, Energie- und Technologieunternehmen sowie den Gesundheitssektor abzielt.<\/li>\n<\/ul>\n<h3>Tests zur Bedrohungserkennung<\/h3>\n<p>Im Test <em>Detection Accuracy<\/em> untersuchte SE Labs, wie effektiv Sicherheitsl\u00f6sungen Bedrohungen erkennen. Dazu wurden 17 komplexe Angriffe auf der Grundlage von vier realen Angriffen der Akteure Wizard Spider, Sandworm, Lazarus und Operation Wocao durchgef\u00fchrt, bei denen vier wichtige Phasen hervorgehoben wurden:<\/p>\n<ul>\n<li>Lieferung\/Ausf\u00fchrung<\/li>\n<li>Aktion<\/li>\n<li>Privilegienerweiterung\/Aktion<\/li>\n<li><a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/lateral-movement\/\" target=\"_blank\" rel=\"noopener\">Lateral Movement<\/a>\/Aktion<\/li>\n<\/ul>\n<p>Die Testlogik verlangt nicht, dass die L\u00f6sung alle Ereignisse in einer bestimmten Phase des Angriffs erkennt; es reicht aus, mindestens eines davon zu identifizieren. Wenn das Produkt beispielsweise nicht feststellen konnte, wie die Nutzlast auf das Ger\u00e4t gelangt ist, aber einen Versuch, sie auszuf\u00fchren, erkannt hat, hat es die erste Stufe erfolgreich bestanden.<\/p>\n<p><strong>Lieferung\/Ausf\u00fchrung.<\/strong> In dieser Phase wird die F\u00e4higkeit der L\u00f6sung getestet, einen Angriff in seinen Anf\u00e4ngen zu erkennen: zum Zeitpunkt der Lieferung \u2013 zum Beispiel in Form einer Phishing-E-Mail oder eines sch\u00e4dlichen Links \u2013 und der Ausf\u00fchrung des gef\u00e4hrlichen Codes. Unter realen Bedingungen wird der Angriff in der Regel an dieser Stelle von der Sicherheitsl\u00f6sung gestoppt. Um die Effektivit\u00e4t der L\u00f6sung zu testen, wurde die Angriffskette jedoch fortgesetzt.<\/p>\n<p><strong>Aktion.<\/strong> In diesem Schritt untersuchen die Forscher das Verhalten der L\u00f6sung, wenn Angreifer bereits Zugriff auf den Endpunkt erhalten haben.<\/p>\n<p><strong>Privilegienerweiterung\/Aktion.<\/strong> Bei einem erfolgreichen Angriff versucht der Eindringling, weitere Privilegien im System zu erlangen und weiteren Schaden anzurichten. Wenn die Sicherheitsl\u00f6sung solche Ereignisse oder den Prozess der Privilegienerweiterung selbst \u00fcberwacht, erh\u00e4lt sie zus\u00e4tzliche Punkte.<\/p>\n<p><strong>Lateral Movement\/Aktion.<\/strong> Nachdem sich der Angreifer Zugriff zum Endpunkt verschafft hat, kann er versuchen, andere Ger\u00e4te im Unternehmensnetz zu infizieren. Dies wird als Lateral Movement (Seitw\u00e4rtsbewegung) bezeichnet. Die Pr\u00fcfer analysieren, ob die Sicherheitsl\u00f6sungen Versuche einer solchen Bewegung oder daraus resultierende Aktionen erkennen.<\/p>\n<p>Kaspersky EDR Expert erzielte in diesem Segment ein Rating von 100%, d. h. kein einziges Stadium eines Angriffs blieb unbemerkt.<\/p>\n<h3>Bewertung legitimer Software<\/h3>\n<p>Ein guter Schutz muss nicht nur Bedrohungen zuverl\u00e4ssig abwehren, sondern darf den Nutzer auch nicht an der Nutzung sicherer Dienste hindern. Daf\u00fcr haben die Forscher eine eigene Bewertung eingef\u00fchrt: Je h\u00f6her diese Bewertung, desto seltener hat die L\u00f6sung f\u00e4lschlicherweise legitime Websites oder Programme \u2013 vor allem beliebte \u2013 als gef\u00e4hrlich eingestuft.<\/p>\n<p>Die Erfolgsquote von Kaspersky EDR Expert lag erneut bei 100%.<\/p>\n<h2>Testergebnisse<\/h2>\n<p>Auf der Grundlage aller Testergebnisse wurde <a href=\"https:\/\/www.kaspersky.de\/enterprise-security\/endpoint-detection-response-edr?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Endpoint Detection and Response Expert<\/a> mit der H\u00f6chstwertung ausgezeichnet: AAA. Drei weitere Produkte erhielten die gleiche Bewertung: Broadcom Symantec Endpoint Security and Cloud Workload Protection, CrowdStrike Falcon und die anonyme L\u00f6sung. Allerdings erreichten nur wir und Broadcom Symantec die volle Punktzahl in der Gesamtwertung der Genauigkeit (Total Accuracy Ratings).<\/p>\n","protected":false},"excerpt":{"rendered":"<p>SE Labs hat Kaspersky EDR in unabh\u00e4ngigen Tests, die auf realen Angriffen beruhen, mit der H\u00f6chstwertung ausgezeichnet.<\/p>\n","protected":false},"author":2706,"featured_media":29173,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,8],"tags":[2704,2875,927,2126],"class_list":{"0":"post-29172","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-products","10":"tag-edr","11":"tag-se-labs","12":"tag-tests","13":"tag-unabhangige-tests"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/kedr-selabs-test-2022\/29172\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/kedr-selabs-test-2022\/24463\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/kedr-selabs-test-2022\/19929\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/kedr-selabs-test-2022\/26907\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/kedr-selabs-test-2022\/24821\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/kedr-selabs-test-2022\/25192\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/kedr-selabs-test-2022\/27520\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/kedr-selabs-test-2022\/27172\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/kedr-selabs-test-2022\/33872\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/kedr-selabs-test-2022\/10941\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/kedr-selabs-test-2022\/45160\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/kedr-selabs-test-2022\/19304\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/kedr-selabs-test-2022\/19911\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/kedr-selabs-test-2022\/28424\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/kedr-selabs-test-2022\/25366\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/kedr-selabs-test-2022\/30868\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/kedr-selabs-test-2022\/30576\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/unabhangige-tests\/","name":"unabh\u00e4ngige Tests"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29172","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=29172"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29172\/revisions"}],"predecessor-version":[{"id":29175,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29172\/revisions\/29175"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/29173"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=29172"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=29172"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=29172"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}