Gewoonlijk wordt bij het bespreken van endpointsecurity de onderliggende technologie afgedaan als "techno-babble", waarbij meer wordt gekeken naar de prestaties en kosten dan naar de technologie die ervoor zorgt dat een cybersecurity-oplossing optimaal werkt.
Deze onderliggende technologieën of toolsets zijn eigenlijk heel belangrijk, omdat elke laag het endpoint op een specifieke manier beschermt, van cloudgebaseerde sandboxing tot daadwerkelijke on-device bescherming om elke would-be aanvaller ervan te weerhouden een netwerk of systeem aan te tasten. De combinatie van al deze maatregelen zorgt ervoor dat endpointsecurity werkt; maar, zoals in het geval van onze blog over detectie en respons, verdienen sommige functies een diepere verkenning. Net zoals de redenen waarom ze überhaupt bestaan - zoals in het geval van anti-tampering technologieën die zijn gemaakt om bescherming te bieden tegen, je raadt het al, sabotage.
Onlangs voerde AV-Comparatives zijn eerste Anti-Tampering Certification Test uit waarbij securityoplossingen werden onderworpen aan geavanceerde technieken en tools in een poging om AV/EPP/EDR componenten of mogelijkheden uit te schakelen of te wijzigen door middel van sabotage. In de Anti-Tampering Certification Test was ESET één van de slechts vier leveranciers die slaagde - wat de effectiviteit van ESET's meerlaagse beveiligingsaanpak aantoont. In de tests toonde ESET PROTECT Entry het vermogen om effectief pogingen tot sabotage te detecteren en te voorkomen en de eigen integriteit te beschermen tegen kwaadwillende actoren.
Wat is sabotage?
Zodra een cybercrimineel een netwerk/machine heeft gecompromitteerd, is onder de radar blijven de belangrijkste hindernis om te overwinnen. Dit kan het beste worden bereikt door endpoint securitysoftware te elimineren, waarschijnlijk door gecompromitteerde credentials te gebruiken om toegang te krijgen tot het netwerk en vervolgens zo veel mogelijk gebruik te maken van legitieme tools (leven van het land).
Dat heet sabotage en het kan op verschillende manieren gebeuren, meestal door de gebruiker te vragen met valse pop-ups om hun antivirus uit te schakelen om onnodige softwareblokkering tijdens de installatie te voorkomen. Hierdoor heeft de aanvaller het makkelijker om iemands systeem te hacken. Aanvallers kunnen ook de services van beveiligingssoftware volledig uitschakelen, registersleutels of configuratiebestanden wijzigen zodat beveiligingsprogramma's niet goed werken. Of ze kunnen andere methoden gebruiken om beveiligingsproducten te verstoren, zoals het uitschakelen van updates om te voorkomen dat de nieuwste beveiligingspatches de systemen van het slachtoffer bereiken. Een succesvolle sabotage-aanval kan resulteren in een verlies van functionaliteit voor het hele beveiligingsecosysteem, waardoor ongeautoriseerde toegang tot het interne systeem mogelijk wordt (zoals privilege-escalatie), wat kan resulteren in een datalek.
AV-Comapartives vergelijkt de uitdaging van het omzeilen van endpoint security met het passeren van een moeilijk obstakel, zelfs voor iemand met rechten. Gewoonlijk kan een beheerder na het verzamelen en analyseren van logboeken na een incident, pogingen zien om endpoint security uit te schakelen, een mogelijk slechte configuratie van securityoplossingen, het bestaan van kwetsbaarheden en welke modules in het endpointsecurityproduct uiteindelijk werden uitgeschakeld vanwege alle eerder genoemde zwakke punten.
Zodra de criminele actor endpoint securitysoftware uitschakelt, hebben ze waarschijnlijk weinig tijd voordat ze worden gedetecteerd - de IT-beheerder logt 's ochtends in op ESET PROTECT en ontdekt dat endpoint security is uitgeschakeld of instellingen zijn gewijzigd (waarschijnlijk door een XDR-melding, waardoor een incidentrespons op gang komt).
False positives kunnen zich voordoen, maar in het geval van ESET-technologie is dat een minder groot probleem, dankzij onze staat van dienst van het regelmatig realiseren van het laagste percentage valse positieven van alle geteste leveranciers. Daarom is het altijd beter om te luisteren naar de waarschuwingen van het endpoint protection platform zelf in plaats van de pagina die je bekijkt of de software die je probeert te installeren - houd jouw bescherming altijd ingeschakeld.
ESET's anti-tampering technologieën
Bij ESET streven we al meer dan 3 decennia lang ernaar het beste product te bieden dat we kunnen. Anti-tampering functionaliteit is al een aantal jaren één van onze beste hulpmiddelen in het bestrijden van hackpogingen. Het is al meer dan tien jaar geleden dat we verschillende technologieën hebben geïntroduceerd om te voorkomen dat er met onze software wordt geknoeid.
De belangrijkste anti-tampering functie waar klanten aan herinnerd moeten worden is het instellen van een sterk wachtwoord om hun instellingen te beschermen. Het is van cruciaal belang dat klanten prioriteit geven aan deze stap, omdat het veel oplevert voor de ultieme bescherming.
Op technisch vlak maakt ESET gebruik van kerntechnologieën, waaronder HIPS en Self-Defense, om zelfverdediging te bieden voor al haar producten om te voorkomen dat kwetsbaarheden in het geheugen worden uitgebuit of om te voorkomen dat uitvoerbare code wordt gestart waar dat niet de bedoeling is. Deze modules voegen zich bij vertrouwenscertificaten en andere technologieën en strategieën om manipulatie van ons product te beperken.
De bovenstaande modules werken samen met ESET Anti-Tampering technologieën, waaronder Protected Process Light, dat lopende processen controleert en beschermt tegen infectie door kwaadaardige code en mogelijke uitbuiting door andere potentieel gevaarlijke processen. Daarnaast is er sinds de introductie van Windows 8.1 OS en later ook ELAM, of Early Launch Anti-Malware, in de vorm van een opt-in stuurprogramma, dat anti-malwarediensten helpt door te worden gestart als een beschermde service. Hierdoor kan alleen vertrouwde, ondertekende code (door Windows of anti-malwareleverancier ondertekend) worden geladen, als een ingebouwde verdediging tegen code-injectieaanvallen.
Deze technologieën zijn belangrijk omdat zowel malware als handmatige aanvallers zich altijd eerst zullen richten op het uitschakelen van het beveiligingssysteem, zelfs na een poging om op afstand in te loggen.
Testen bevestigen ESET's anti-tampering kwaliteiten
Voor elke endpointsecurityoplossing geldt dat onafhankelijke tests door analisten de manier zijn waarop een product kritische waardering en certificering krijgt als bewijs van deskundige bekwaamheid.
Op het gebied van anti-tampering heeft ESET al in 2014 en 2015 uitstekend gepresteerd in tests, toen onafhankelijke tests vaststelden dat ESET's consumentenaanbod 100% succesvol was in het voorkomen van sabotageaanvallen, een belangrijke mijlpaal in vergelijking met de concurrentie van 32 verschillende leveranciers.
De recente resultaten van de Anti-Tampering Certification Test van AV-Comparatives onderstreept nogmaals de kwaliteit van ESET - ESET PROTECT Entry wordt gecertificeerd met de hoogste graad van goedkeuring, terwijl ook ESET's voortdurende verbeteringen van de anti-tampering technologieën worden bevestigd, zoals onze wachtwoordbeveiliging voor instellingen, wat de meest relevante instellingwijziging was die AV-Comparatives benadrukte in hun test. *Gebruikers van ESET Protect Entry hebben standaard ook het recht om ESET Protect Cloud te gebruiken, wat admins kan helpen om tijd en capaciteit te besparen.
Klik hier voor meer informatie over ESET PROTECT en onze volledige reeks cyberbeveiligingsoplossingen.