وبلاگ
برتری بیتدیفندر در آزمون ضددستکاری AV-Comparatives ۲۰۲۵
وقتی هکرها پس از نفوذ به شبکه به مانعی به نام «آنتیویروس سازمانی» میرسند، اولین تاکتیکشان خاموشکردن یا دورزدن این سد دفاعی است؛ به ویژه اگر راهکار امنیتیِ شما یک EDR تمامعیار باشد. در سال ۲۰۲۵ مؤسسه معتبر AV-Comparatives برای سنجش همین موضوع، یعنی «مقاومت در برابر دستکاری (Defense Evasion)»، آزمونی مستقل برگزار کرد که در آن فقط محصولاتی منتشر شدند که توانستند همه تلاشهای مخرب را خنثی کنند. در میان نامهای بزرگ امنیت سایبری، تنها Bitdefender GravityZone Business Security Enterprise موفق شد گواهی Anti-Tampering را از آن خود کند. این موفقیت تازهترین نشان افتخار برند بیت دیفندر است؛ برندی که حالا عملاً به تعریف استاندارد طلایی امنیت سازمانی تبدیل شده.
چرا عبور از GravityZone برای مهاجمان سخت شد؟
هر سال آزمایشگاه AV-Comparatives یک آزمون نفوذ متمرکز (focus pen-test) برگزار میکند که در آن فروشندگان راهکارهای امنیتی میتوانند برای اخذ گواهینامه اقدام کنند. تمرکز آزمون ۲۰۲۵ روی «گریز از دفاع» یا همان ضددستکاری بود؛ گزارشی که در ادامه میخوانید خلاصه و تحلیلی از همین سند رسمی است.
روش آزمون؛ حمله از جایگاه مدیر سیستم
تمام تلاش مهاجم در این تست روی از کار انداختن یا تغییر اجزای یک راهکار EPP/EDR در ویندوز ۱۱ متمرکز بود. همه عملیات در فضای کاربری (user-space) و با دسترسی سطح بالا انجام شد؛ به کرنل نفوذ نکردند، اما سعی شد مؤلفههای کرنل از همان فضای کاربری دستکاری شوند. اگر غیرفعالسازی از حساب عادی ممکن بود، آن یک «اکسپلویت» محسوب میشد و از حوزه این آزمون خارج بود. هدف اینجا فقط سنجش کیفیت مقاومت در برابر دستکاری بود، نه اندازهگیری پیامدهای بعدی.
محدوده و نکات خارج از محدوده
تیم آزمون بررسی کرد که آیا میتوان سرویسها، فرایندها، رجیستری، درایورها، پروندهها یا پیکربندی محصول را حذف، متوقف یا تغییر داد. تأثیر روی قابلیتهای شناسایی و پاسخدهی سنجیده نشد. سختسازیهای بومی ویندوز مثل VBS یا HVCI و دستکاری از طریق کنسول تحت وب محصول نیز در دامنه آزمون نبودند.
محصول و پیکربندی آزمون
تنها محصولی که برای این گواهینامه ارسال و در آوریل ۲۰۲۵ ارزیابی شد، Bitdefender GravityZone Business Security Enterprise بود. همانگونه که در محیطهای سازمانی رایج است، خود فروشنده تنظیمات را براساس بهترین عمل توصیهشده فعال کرد؛
| دسته تنظیم | وضعیت در هنگام آزمون |
|---|---|
| Sandbox Analyzer برای برنامهها و اسناد | فعال – حالت «Blocking» |
| اسکن SSL روی HTTP و RDP | فعال |
| Process Memory Scan (اسکن رویدسترس) | فعال |
| HyperDetect | حالت «Block» و «Aggressive» |
| کنترل دستگاه (Device Control) | غیرفعال |
| Web Traffic Scan و «Ransomware Mitigation» | فعال |
| همه تنظیمات AMSI Command-Line Scanner | فعال |
| Kernel-API Monitoring | فعال |
| رمز عبور برای حذف نصب | تنظیم شده |
نتیجه آزمون؛ یک سد نفوذناپذیر
تمام تلاشها برای متوقف کردن فرایندها، غیرفعالسازی سرویسها، حذف درایورها یا دستکاری فایلها به شکست انجامید. به بیان ساده، تیم آزمون نتوانست حتی به طور موقت بخشی از EDR بیتدیفندر را از کار بیندازد؛ بنابراین GravityZone Business Security Enterprise موفق به اخذ گواهینامه ضددستکاری AV-Comparatives ۲۰۲۵ شد.
تحلیل؛ چرا این گواهی اهمیت دارد؟
-
مقاومت در شرایط بدترین سناریو
آزمون از جایگاه یک کاربر سطح سیستم اجرا شد؛ پس عبور از آن نشان میدهد محصول در سناریوهای «دست رسی مدیر داخلی» هم پابرجاست. -
اطمینان برای تیمهای امنیت سازمانی
بسیاری از حملات پیشرفته پس از گرفتن دسترسی ادمین، نخستین اقدامشان خاموشکردن AV/EDR است. این گزارش ثابت میکند GravityZone حداقل در برابر روشهای مرسوم tampering سرسخت است. -
اهمیت پیکربندی
گواهی فقط برای نسخهای معتبر است که تنظیمات بالا در آن فعال باشد. به بیان دیگر، بخشی از امنیت محصول در گرو سیاستهای درست استقرار است؛ نقشی که تیم عملیات امنیت (SecOps) بر عهده دارد.
جمعبندی
گزارش AV-Comparatives نشان میدهد خط دفاعی بیتدیفندر در حوزه ضددستکاری در سال ۲۰۲۵ یک قدم جلوتر از اکثر رقبا قرار گرفته است. اگر به دنبال راهکاری هستید که حتی در صورت نفوذ اولیه مهاجم، همچنان اکوسیستم دفاعی شما را فعال نگه دارد، GravityZone (با تنظیمات توصیهشده) گزینهای مطمئن به نظر میرسد.
