Microsoft klepie się po plecach i dziękuje AV-Comparatives za pomoc w ulepszeniu Defendera

W zeszłym miesiącu firma AV-Comparatives zajmująca się oceną złośliwego oprogramowania opublikowała wyniki testu oceniającego możliwości ochrony zrzutu danych uwierzytelniających LSASS w produktach antywirusowych klasy korporacyjnej. Usługa podsystemu LSASS lub Local Security Authority uwierzytelnia użytkowników logujących się do komputera z systemem Windows. Atakujący często używają tego procesu LSASS do kradzieży przydatnych poświadczeń od użytkowników domeny za pomocą zrzutu. Można je następnie wykorzystać do ruchu bocznego w sieci docelowej.

W testach AV-Comparatives program Microsoft Defender for Endpoint wypadł bardzo dobrze, zdobywając najwyższe wyniki w teście. W sumie przeprowadzono 15 testów. W poście na blogu gigant z Redmond pochwalił się za to osiągnięcie, ponieważ jest wyraźnie zachwycony wynikami testu. To mówi:

W maju 2022 r. firma Microsoft uczestniczyła w ocenie przeprowadzonej przez niezależną organizację testową AV-Comparatives w celu wykrycia i zablokowania metody resetowania poświadczeń LSASS. W teście oceniającym wiele platform ochrony punktów końcowych (EPP) oraz dostawców wykrywania i odpowiedzi punktów końcowych (EDR), AV-Comparatives po raz pierwszy skoncentrowało się na jednej metodzie ataku i z przyjemnością informujemy, że Defender for Endpoint przeszedł wszystkie 15 testów . przypadki testowe używane do wywnioskowania poświadczeń systemu operacyjnego użytkownika z procesu LSASS, osiągając 100% współczynniki wykrywania i zapobiegania.

Warto zauważyć, że przeprowadziliśmy również wszystkie przypadki testowe ze skonfigurowanymi tylko domyślnymi ustawieniami Defender for Endpoint, tj. z wyłączonymi LSASS ASR i Protective Process Light (PPL), aby przetestować niezawodność naszej ochrony antywirusowej jako takiej. Wyniki te świadczą o naszym stałym zaangażowaniu w zapewnianie organizacjom najlepszej ochrony w branży.

Jednak początkowo dla Defendera nie wszystko szło gładko. AV-Comparatives ustaliło, że z 15 przypadków testowych Defender początkowo pominął cztery z nich (przypadki 01, 03, 09 i 10):

Następnie Microsoft wprowadził ulepszenia, a w sierpniowym reteście miał 100% wskaźnik wykrywalności, co pokazują wyniki końcowe. Firma Microsoft to potwierdziła i podziękowała firmie AV-Comparatives za pomoc w ulepszaniu rozwiązania. Ponadto chętnie zdamy również następujący zestaw testów:

Chcielibyśmy podziękować AV-Comparatives za ten dokładny test, który pozwolił nam ulepszyć nasze możliwości ochrony i wykrywania w Defender for Endpoint. Te ulepszenia zostały już wdrożone dla naszych klientów i czekamy na kolejny taki test.

Możesz przeczytać wpis na blogu firmy Microsoft tutaj .