Windows Defender vs Check Point Harmony Endpoint Protection

В продолжение прошедшего вебинара по технологиям Check Point Harmony мы решили провести небольшой тест, а именно качество детектирования и блокировки шифровальщиков. Для этого мы будем использовать специальную утилиту RanSim от широко известной компании KnowBe4.

RanSim это бесплатный инструмент, который симулирует активность более 20 видов шифровальщиков и нескольких криптомайнеров. Программа абсолютно безопасна для пользователя и не затрагивает реальные файлы. Подробнее можно почитать здесь.

Кроме Check Point Harmony Endpoint Protection (бывший SandBlast Agent) мы будем тестировать классический Windows Defender. Почему именно его? Потому что он есть у всех пользователей Windows и в целом показывает отличные результаты по борьбе с классическими вирусами. Но что у него с защитой от шифровальщиков? Это и проверим.

После того как мы скачали RanSim, мы одновременно запустили его на двух абсолютно одинаковых машинах, на одной был только Windows Defender, на другой - Check Point Harmony Endpoint Protection с включенным модулем защиты от шифровальщиков. Все настройки по умолчанию, без какой-то специальной кастомизации. Вот результаты:

Как видно, Windows Defender абсолютно не справился с задачей. Единственный шанс в борьбе с шифровальщиком, в данном случае, это если вы “поймаете” уже старый шифровальщик и он будет заблокирован по сигнатуре. Поведенческий анализ, к сожалению, в данном случае не спасает.

А здесь уже совсем другая картина. Не прошла ни одна атака шифровальщика. И это с дефолтными настройками, которые не требуют серьезных знаний от администратора.

Шифровальщики до сих пор остаются одной из главных угроз для пользователей и компаний. Ваши данные могут быть либо уничтожены, либо может потребоваться огромная сумма денег для их расшифровки.

Можно надеяться на сигнатурный анализ, а можно иметь более продвинутую защиту. Здесь каждый решает сам. Если вы используете другое решение, то очень рекомендую провести этот простой тест с помощью RanSim!