Αυτή η πιστοποίηση αντικατοπτρίζει την δέσμευση της Bitdefender να προσφέρει ισχυρή προστασία σε εταιρικά περιβάλλοντα, αποδεικνύοντας ότι οι μηχανισμοί ασφαλείας του GravityZone αποτρέπουν αποτελεσματικά τις ενέργειες των επιτιθέμενων να παρακάμψουν την λύση ασφαλείας.

Η Bitdefender είναι ένας από τους μόλις έξι κατασκευαστές που πέρασαν επιτυχώς τα δοκιμαστικά tests των AV-Compraratives για την τεχνολογία Anti-Tampering 2025.

Γιατί το Anti-Tampering είναι σημαντικό

Τα playbooks των κακόβουλων περιλαμβάνουν πέρα από τις τεχνικές εισβολής στο περιβάλλον του στόχου, εξελιγμένες μεθόδους απενεργοποίησης των μηχανισμών ασφαλείας στα συστήματα. Έτσι οι επιθέσεις έχουν μεγαλύτερες πιθανότητες να επιτύχουν. Αυτές οι τεχνικές βοηθούν τους κακόβουλους να επεκτείνουν τον χρόνο παραμονής τους στο δίκτυο και να εμποδίσουν τις προσπάθειες αποκατάστασης. Όσο περισσότερο ένας εισβολέας παραμένει στα συστήματα, τόσο μεγαλύτερη είναι η πιθανή ζημιά από μια επίθεση.

Μία από τις πιο συνηθισμένες τεχνικές παραβίασης της άμυνας που χρησιμοποιούν, είναι η στόχευση και απενεργοποίηση των μηχανισμών ασφαλείας. Για να επιτευχθεί αυτό, ο εισβολέας συνήθως αποκτά privileged access σε ένα σύστημα. Αυτό το επίπεδο πρόσβασης επιτυγχάνεται μέσω ποικίλων τεχνικών, συμπεριλαμβανομένων των credential stuffing ή harvesting, authentication keys exploits ή επιθέσεις εφοδιαστικής αλυσίδας. Ακόμη και με privileged access, οι περισσότερες λύσεις endpoint security μπορούν να εμποδίσουν τις προσπάθειες των επιτιθέμενων, έτσι επιχειρούν να τις απενεργοποιήσουν για να συνεχίσουν την δράση τους.

Υπάρχουν μερικοί συνήθεις τρόποι με τους οποίους οι επιτιθέμενοι επιτυγχάνουν αυτό:

  • Μπορεί να προσπαθήσουν να απενεργοποιήσουν το λογισμικό ασφαλείας, αλλάζοντας τα αρχεία ρυθμίσεων, τα registry entries των Windows ή απενεργοποιώντας τα προγράμματα που τρέχουν και τις βασικές λειτουργίες του συστήματος.
  • Οι επιτιθέμενοι συχνά διαγράφουν σημαντικά αρχεία όπως images, DLL ή drivers. Μπορούν επίσης να εμποδίσουν το λογισμικό ασφαλείας από το να ξεκινήσει σωστά τόσο σε κανονικά προγράμματα όσο και στο βασικό σύστημα των Windows μετά από επανεκκίνηση του υπολογιστή.
  • Μια άλλη τακτική είναι να αλλάζουν τους κανόνες του λογισμικού ασφαλείας, ώστε να αγνοεί την κακόβουλη δραστηριότητα ή σε ορισμένες περιπτώσεις, να επιτρέπει συγκεκριμένες ενέργειες. Εάν το λογισμικό ασφαλείας μπορεί να παραβιαστεί, ανοίγει την πόρτα στον επιτιθέμενο να προχωρήσει μέσα στο δίκτυο, μολύνοντας άλλα συστήματα, ενώ παραμένει μη ανιχνεύσιμος. Αυτό επιτρέπει στους εισβολείς να φυτεύουν ransomware, να υποκλέβουν ευαίσθητες πληροφορίες και πολλά άλλα.

Αυτές οι ενέργειες αποτρέπονται από την τεχνολογία Anti-Tampering, και γι’ αυτό είναι σημαντικό να υπάρχει στους εγγενείς μηχανισμούς άμυνας του endpoint security.

Η αξιολόγηση των AV-Comparatives

Οι έλεγχοι δοκιμών εκτελέστηκαν σε Windows 11 με σενάρια επίθεσης που διέθεταν privileged access και είχαν πρόσβαση στην ακεραιότητας συστήματος. Ο σκοπός της δοκιμής ήταν η αξιολόγηση της δυνατότητας παραβίασης διαφόρων λύσεων AV EPP EDR. Η διαδικασία δοκιμής περιλάμβανε δύο απλά βήματα

Βήμα 1: Σύνδεση σε ένα σύστημα χρησιμοποιώντας RDP κάτω από έναν privileged λογαριασμό χρήστη.

Βήμα 2: Εκτέλεση μιας σειράς ενεργειών για την απενεργοποίηση της βασικής λειτουργίας  της λύσης ασφαλείας όπως περιγράφεται από το MITRE ATT&CK® technique T1562. Αυτό περιλαμβάνει ενέργειες όπως ο τερματισμός της διαδικασίας, η τροποποίηση του registry key των Windows, DLL manipulation και άλλα.

Τα AV-Comparatives εξέτασαν πολυάριθμες λύσεις ασφαλείας, από διαφορετικούς κατασκευαστές. Η αξιολόγηση του Bitdefender GravityZone Enterprise,έγινε με τις προεπιλεγμένες ρυθμίσεις και με τη δυνατότητα “απεγκατάστασης του κωδικού πρόσβασης”.

Τα αποτελέσματα των δοκιμών

Η Bitdefender πέρασε όλες τις δοκιμές κατά της παραβίασης και έλαβε την πιστοποίηση των AV-Comparatives . Το Bitdefender Gravityzone αντιστάθηκε επιτυχώς σε οκτώ διαφορετικές προσεγγίσεις παραβίασης :

  1. Προσπάθειες για τον τερματισμό ή την αναστολή των λειτουργιών ασφαλείας
  2. Προσπάθειες απενεργοποίησης, απεγκατάστασης, διαγραφής της λύσης ή τροποποίηση των registry keys που σχετίζονται με το σύστημα χειρισμού του προϊόντος
  3. Διαγραφή ή τροποποίηση των registry keys που σχετίζονται με την λύση
  4. Manipulation ή hijacking οποιουδήποτε DLL που σχετίζονται με τη λύση
  5. Προσπάθειες απενεργοποίησης, τροποποίησης ή απεγκατάστασης του agent
  6. Προσπάθειες τροποποίησης αρχείων του συστήματος της λύσης ασφαλείας
  7. Προσπάθειες παρέμβασης στους kernel drivers της λύσης
  8. Προσπάθειες που παραβιάζουν τις λειτουργίες οποιουδήποτε μέρους της λύσης, όπως η δυνατότητα να κατεβάζει updates ή να πραγματοποιεί scan