Académique Documents
Professionnel Documents
Culture Documents
PROTECTI
PSE
DE Sécurité des terminaux
Entreprise
janvier - mars 2022
selabs.fr/newsletter blog.selabs.fr
selabs.fr info@SELabs.uk @SELabsUK
Machine Translated by Google
SE Labs a testé une variété de produits anti-malware (alias "anti-virus" ; alias "Endpoint security") d'une
gamme de fournisseurs bien connus dans le but de déterminer lesquels étaient les plus efficaces.
Chaque produit était exposé aux mêmes menaces, qui étaient un mélange d'attaques ciblées utilisant
des techniques bien établies et de menaces publiques par courrier électronique et Web qui étaient
trouvée en direct sur Internet au moment du test.
Les résultats indiquent l'efficacité des produits à détecter et/ou à se protéger contre ces menaces
en temps réel.
LA GESTION
Président-directeur général Simon Edwards Contenu
Directeur des opérations Marc Briggs
Directrice des ressources humaines Magdalena Jurenko
Directeur technique Stefan Dumitrascu
Introduction 04
Équipe de test
Résumé 05
Nikki Albésa
Haricot Thomas
Solandra Brasseur 1. Cotes de précision totales 06
Rory Brun
Liam Fisher Prix de la sécurité des terminaux d'entreprise 07
Gia Gorbold
Erica Marotta 2. Réponses aux menaces 08
Jérémie Morgan
Joseph Pique
3. Indices de protection dix
Dave Togneri
Dimitrios Tsarouchas
4. Cotes de protection 12
Stephen Withey
Liangyi Zhen
5. Détails de protection 13
Support Informatique
selabs.uk/amtso22q1
Version du document 1.0 Écrit le 5 avril 2022
© 2022 SE Labs Ltd 1.01 Mise à jour le 8 avril 2022ÿ: Correction du calcul du score
INTRODUCTION
produits qui prétendent vous protéger contre les menaces en ligne. En ce à maintenir l'intégrité de nos rapports. Si vous voulez jeter un coup d'œil derrière le rideau, pour voir
théorie, aidera les particuliers et les entreprises à choisir le meilleur produit de sécurité. comment nous travaillons avec les fournisseurs de sécurité, les informations sont toutes
disponible en ligne.
Mais ceci est un rapport gratuit. Comment pouvez-vous être sûr que les fournisseurs les mieux notés n'ont
pas simplement payé pour leur classementÿ? Pensez-vous que certains fournisseurs à faible score Pour ce rapport, nous avons également suivi la seule norme disponible pour l'anti-malware
abandonné le rapport? Ou demandé à être retesté jusqu'à ce qu'ils obtiennent de meilleurs résultatsÿ? testing, celui géré par l'Anti-Malware Testing Standards Organization.
Cela garantit que nous faisons ce que nous disons que nous ferons et que nous pouvons le prouver.
Si vous repérez un détail dans ce rapport que vous ne comprenez pas ou que vous
Avec les tests de sécurité, les enjeux sont élevés. Du point de vue des clients, une mauvaise souhaitez discuter, veuillez nous contacter via notre Twitter ou LinkedIn comptes.
décision pourrait être désastreuse pour une entreprise. Ou une vie personnelle. SE Labs utilise les informations actuelles sur les menaces pour rendre nos tests aussi réalistes
Nous, en tant que testeurs, avons donc l'énorme responsabilité de faire ce qu'il faut, c'est-à-dire que possible. Pour en savoir plus sur la façon dont nous testons, comment nous définissons la "menace
la chose honnête. Cela signifie essayer d'impliquer autant de fournisseurs de sécurité réputés que intelligence' et comment nous l'utilisons pour améliorer nos tests, veuillez visiter notre
possible dans nos tests et les traiter tous équitablement. site Internet et suivez-nous sur Twitter.
Les fournisseurs de sécurité veulent vendre des produits et feront tout ce qu'ils peuvent pour y parvenir Ce rapport de test a été financé par les services de consultation post-test fournis par
forte commercialisation. Cela peut impliquer d'apparaître dans des tests faibles ou de s'engager SE Labs aux fournisseurs de sécurité. Les fournisseurs de tous les produits inclus dans ce rapport ont
avec des testeurs plus "flexibles". Une stratégie pourrait être de tester suffisamment en privé pu demander un accès anticipé aux résultats et la possibilité de contester les détails
contre les concurrents, puis publiez le seul rapport qui montre votre gratuitement. SE Labs a soumis le processus de test derrière ce rapport pour
produit en tête de liste. conformité avec la norme de protocole de test AMTSO v1.3. Pour vérifier sa conformité, veuillez
Nous nous concentrons sur des tests techniques solides et évitons les initiatives purement marketing. trois de ce rapport ou ici.
Nous avons des récompenses pour les fournisseurs qui réussissent, mais nous nous démarquons en
évaluant la technologie en profondeur et en aidant à améliorer les choses pour tout le monde.
Résumé
Noms de produits
Il est recommandé de rester à jour avec la dernière version du produit de sécurité Endpoint que vous avez • Les terminaux étaient généralement efficaces pour gérer les menaces générales
choisi. Nous avons fait de notre mieux pour nous assurer que chaque produit testé était la toute dernière version des cybercriminels…
fonctionnant avec les mises à jour les plus récentes pour donner le meilleur résultat possible. La plupart des produits étaient tout à fait capables de gérer les e-mails
publics et les menaces Web telles que celles utilisées par les criminels pour
Pour les numéros de build spécifiques, voir Annexe C : Versions du produit à la page 19. attaquer les PC Windows, incitant les utilisateurs à exécuter des fichiers
malveillants ou à exécuter des scripts qui téléchargent et exécutent des fichiers malveillants.
Cependant, trois n'étaient pas complètement efficaces.
• ... mais les attaques ciblées ont causé des problèmes pour presque
tous les produits.
Seuls quatre des neuf produits fournissaient une protection complète contre
les attaques ciblées utilisées dans ce test. Il suffit d'une attaque ciblée pour
percer une organisation, c'est donc un résultat préoccupant.
Résumé
protection Légitime Total
Précision Précision Précision
• Les faux positifs n'étaient pas un problème sérieux pour la plupart des produits.
Produits testés Évaluation (%) Évaluation (%) Évaluation (%) La plupart des produits classaient correctement les applications et les
Kaspersky Endpoint Security 100% 100% 100% sites Web légitimes. Trois produits fabriqués
Sophos intercepte X 100% 100% 100% une seule erreur chacun, tandis qu'un a bloqué trois objets.
Les produits surlignés en vert étaient les plus précis, obtenant 85 % ou plus pour la précision totale.
Ceux en jaune ont obtenu moins de 85 mais 75 ou plus. Les produits indiqués en rouge ont obtenu moins de 75ÿ%.
sa gestion des objets non malveillants tels que les adresses Web (URL) et les CrowdStrike Faucon 1ÿ119 99% AAA
pendant un court moment avant que son comportement ne soit détecté et que son
le code est supprimé ou déplacé vers une zone de « quarantaine » sûre pour
Kaspersky Endpoint Security
une analyse future. Nous tenons compte de ces résultats lors de l'attribution des
Par exemple, un produit qui bloque complètement une menace est mieux noté
Broadcom Endpoint Security Édition Entreprise
qu'un produit qui permet à une menace de s'exécuter pendant un certain temps
CrowdStrike Faucon
avant de finalement l'évincer. Les produits qui autorisent toutes les infections de
logiciels malveillants ou qui bloquent les applications légitimes populaires sont ESET Endpoint Security
lourdement pénalisés.
Sécurité des terminaux VIPRE
• Faucon CrowdStrike
sept
Endpoint Security Enterprise Protection Janvier - Mars 2022
Machine Translated by Google
Les attaquants commencent à partir d'un certain point et ne s'arrêtent site Web et en parcourant bon nombre des sites Web probables Si le test se termine avant qu'un dommage ou un vol "utile" n'ait été
pas tant qu'ils n'ont pas atteint leur objectif ou atteint la fin de leurs étapes menant au vol de données ou causant d'autres formes de réalisé, alors le produit
ressources (ce qui peut être une échéance ou la limite de leurs dommages au réseau. peut se voir refuser la possibilité de démontrer son
Cela signifie que, dans un test, le testeur doit commencer l'attaque comme exécutant des logiciels malveillants sur un Endpoint, de Étapes d'attaque
à partir d'une première position réaliste, comme l'envoi d'un e-mail nombreux produits se verront refuser la possibilité d'utiliser pleinement L'illustration ci-dessous montre quelques étapes typiques
de phishing ou la mise en place d'un leurs capacités de protection et de détection. d'une attaque. Dans un test, chacun de ces éléments doit être
tenté de déterminer la solution de sécurité représenté par les étapes deux à sept ci-dessous. être que leur objectif est une présence persistante sur les
efficacité. L'enregistrement des résultats de ce test Nous classons globalement ces étapes comme suit : Accès systèmes pour surveiller les activités, voler lentement des
détection et protection pour chacune de ces étapes. (étape 2) ; action (étape 3); Escalade (étape 4)ÿ; et Post- informations et d'autres missions plus subtiles.
automatiquement dans une « quarantaine » ou un autre L'attaquant n'a pas pu progresser dans les étapes 4 et suivantes. dans lequel les testeurs de sécurité illustrent le comportement
mécanisme de stockage sécurisé pour une analyse ultérieure. des attaquants. C'est en grande partie la même chose que nos images
Si la phase d'attaque initiale réussit, nous mesurons ensuite les Il est possible que les attaquants ne causent pas de
étapes de post-exploitation, qui sont dégâts notables lors d'une attaque. Cela pourrait
Accès initial Exécution Escalade des privilèges Accès aux identifiants Découverte Le recueil Commander et contrôler Exfiltration
C2
>/< ********
Lien de harponnage Script Contourner l'UAC Vidage des informations d'identification du système d'exploitation Découverte de processus Données du système local Obfuscation des données Exfiltration sur canal C2
3. Indices de protection
Les résultats ci-dessous indiquent l'efficacité avec laquelle les alerte l'utilisateur, qui peut alors prendre des mesures pour système cible réussit, ce score est appliqué.
produits ont traité les menaces. Des points sont gagnés pour sécuriser le système. Des exemples de commandes réussies incluent la liste des
détecter la menace et pour la bloquer ou la neutraliser. processus en cours d'exécution, l'exploration du système de fichiers,
Calculs de notation etc. Si la première commande est tentée et
Nous calculons les indices de protection à l'aide de la formule la session est terminée par le produit sans que la commande
Détecté (+1) suivanteÿ: aboutisse le score de Neutralisé (voir ci-dessus) sera appliqué.
Si le produit détecte la menace avec un quelconque degré
d'informations utiles, nous lui attribuons un point. Indice de protection =
(1x nombre de détectés) + Action (-1)
Bloqué (+2) (2x nombre de Bloqués) + Si l'attaquant est capable d'exfiltrer un document de
Les menaces qui ne sont même pas autorisées à démarrer (1x nombre de neutralisés) + sur le bureau de la cible de l'utilisateur actuellement connecté, une
leurs activités malveillantes sont bloquées. Les produits (1x nombre de corrections complètes) + "action" a été effectuée avec succès.
bloquants marquent deux points. (-5x nombre de compromis)
Escalade (-2)
Correction complète (+1) Le chiffre «ÿRemédiation complèteÿ» concerne les cas de L'attaquant tente d'élever les privilèges vers l'autorité/le système NT.
Si, en plus de neutraliser une menace, le produit supprime toute neutralisation dans lesquels toutes les traces significatives de En cas de succès, deux autres
trace significative de l'attaque, il gagne un point supplémentaire. l'attaque ont été supprimées de la cible. points sont déduits.
Ces notations sont basées sur notre opinion sur Action post-escalade (-1)
Neutralisé (+1) l'importance de ces différents résultats. Après l'escalade, l'attaquant tente des actions qui reposent sur
Les produits qui tuent tous les processus malveillants en cours Vous pouvez avoir un point de vue différent sur le sérieux avec des privilèges élevés. Ceux-ci inclus
d'exécution « neutralisent » la menace et gagnent un point. lequel vous traitez un «ÿcompromisÿ» ou une «ÿneutralisation sans tentative de vol d'informations d'identification, modification du fichier
assainissement complet ». Si vous souhaitez créer votre propre système et enregistrement des frappes. Si l'une de ces actions
Neutralisation persistante (-2) système d'évaluation, vous pouvez utiliser les données brutes de réussit, une pénalité supplémentaire d'un point de déduction est
Ce résultat se produit lorsqu'un produit empêche 5. Détails de la protection à la page 13 pour créer votre propre appliquée.
continuellement une menace persistante d'atteindre son objectif, ensemble d'évaluations personnalisées.
sans la supprimer du système.
Score d'attaque ciblée
Compromis (-5) Les scores suivants s'appliquent uniquement aux attaques ciblées et
Si la menace compromet le système, le produit perd cinq sont cumulatifs, allant de -1 à -5.
points. Cette perte peut être réduite à quatre points s'il
parvient à détecter la menace (voir Détecté, ci-dessus), car Accès (-1)
celle-ci au moins Si une commande fournissant des informations sur le
Laboratoires SE
Indices de protection
400
Taux de protection (%)
100%
Mensuel
Bulletin
Kaspersky Endpoint Security
Antivirus Microsoft Defender (entreprise) 391 98% Ne manquez pas nos articles
Broadcom Endpoint Security Édition Entreprise 389 97%
et rapports sur la sécurité
CrowdStrike Faucon 387 97%
Sophos intercepte X
CrowdStrike Faucon
Les cotes de protection
Sécurité des terminaux VIPRE sont pondérées pour
montrer que LIBRE
ESET Endpoint Security
les produits gèrent les
menaces peuvent être
Client D Deep Instinct
plus subtil que simplement
«ÿgagnerÿ» ou «ÿperdreÿ».
0 100 200 300 400
ABONNEZ-VOUS MAINTENANT!
4. Cotes de protection
Ce graphique montre le niveau global de protection, sans Cotes de protection
distinction entre neutralisé et
Produit Niveau de protection
incidents bloqués.
Kaspersky Endpoint Security 100
CrowdStrike Faucon 99
Sophos intercepte X
CrowdStrike Faucon
5. Détails de protection
Ces résultats décomposent la façon dont chaque produit DÉTAILS des protections
contre lesquels ils se protègent. Cela peut se produire Broadcom Endpoint Security Édition Entreprise 99 98 1 1 99
sont pas équipés pour l'arrêter. Les produits peuvent Sécurité des terminaux McAfee 100 98 1 1 99
neutralisé
Sophos intercepte X
CrowdStrike Faucon
comme sûr. Dans aucun des cas, cela ne devrait gêner l'utilisateur. Kaspersky Endpoint Security 736 100%
(popularité) des applications et des sites Web utilisés dans cette CrowdStrike Faucon 732 99%
partie du test, en appliquant des sanctions plus strictes lorsque les
Sécurité des terminaux VIPRE 728 99%
produits classent à tort des logiciels très populaires
Sécurité des terminaux McAfee 716 97%
et chantiers.
Client D Deep Instinct 672.5 91%
Sophos intercepte X
CrowdStrike Faucon
Il est crucial que les produits anti-malware Endpoint non seulement Aucun Cliquez pour autoriser Cliquez pour autoriser/bloquer Cliquez pour bloquer Aucun
arrêtent – ou du moins détectent – les menaces, mais qu'ils permettent (autorisé) (autorisation par défaut) (pas de recommandation) (bloc par défaut) (bloqué)
aux applications légitimes de s'installer et de s'exécuter sans les
L'objet est sûr 2 1.5 1 UN
classer à tort comme des logiciels malveillants. Une telle erreur est
connue sous le nom de «ÿfaux positifÿ» (FP). L'objet est inconnu 2 1 0,5 0 -0,5 B
sûre, il a obtenu un résultat optimal. Tout le reste est une classification/ Sécurité des terminaux VIPRE 99 0 1
Nous pensons qu'il est plus utile de mesurer les NOCA que de
Les produits qui ne dérangent pas les utilisateurs et classent correctement la plupart des applications gagnent plus de points
compter les FP plus rares. que ceux qui posent des questions et condamnent les applications légitimes.
et sa détection en tant que malware (ou quelque chose de moins grave Impact moyen 3 Note d'exactitude = note d'interaction x prévalence
nouvelle. Détecter cette application comme un logiciel malveillant peut moyen sans aucune interaction avec l'utilisateur, son indice de précision
être une erreur, mais cela a moins d'impact sur le schéma général des Des applications ont été téléchargées et installées pendant le serait calculé
ont été évités et les URL des développeurs d'origine ont été
Dans cette optique, nous avons recueilli les candidatures de utilisées dans la mesure du possible. Les sites de téléchargement Niveau de précision = 2 x 3 = 6
popularité variable et les a triés en cinq regroupent parfois des composants supplémentaires dans les
catégories distinctes, comme suit : fichiers d'installation des applications, ce qui peut amener Ce même calcul est effectué pour chaque légitime
correctement les produits anti-malware à signaler les adwares. application/site dans le test et les résultats sont
1. Impact très élevé Nous supprimons les logiciels publicitaires de l'ensemble de test car ils additionnés et utilisés pour remplir le graphique et le tableau présentés
2. Impact élevé est souvent difficile de savoir à quel point ce type de code est souhaitable. sous 6. Évaluations logicielles légitimes sur
5. Très faible impact de mesures telles que les sites de téléchargement tiers et les
données d'Alexa.com.
La gestion incorrecte d'une application légitime entraînera des système mondial de classement du trafic.
gestion des objets légitimes ont obtenu les notes les plus élevées. individus et organisations. Vous pourriez dire ça et ESET a arrêté toutes les menaces ciblées sauf une.
Si tous les objets présentaient la prévalence la plus élevée, la cote nous avons testé les produits avec des logiciels malveillants VIPRE en a raté deux tandis que Deep Instinct en a raté
maximale possible serait de 1 000 (100 incidents x (2 cote d'interaction "publics" et des attaques de piratage complètes. six attaques.
x 5 cote de prévalence)).
Nous avons introduit les menaces d'une manière réaliste telle Un peu plus de la moitié des produits traitaient
que les menaces vues dans la nature sur les sites Web étaient correctement les applications légitimes, sans erreur.
Dans ce test, il y avait une gamme d'applications avec différents téléchargés à partir de ces mêmes sites Web, tandis que Les autres ont bloqué des objets sans demander la permission.
niveaux de prévalence. Le tableau ci-dessous indique la fréquence : les menaces capturées se propageant par e-mail étaient Produits de CrowdStrike, McAfee
transmises à nos systèmes cibles sous forme d'e-mails. et VIPRE en ont bloqué un chacun, tandis que Deep Instinct
bloqué trois.
Fréquence des catégories de logiciels légitimes Tous les produits testés sont connus et
Cote de prévalence La fréquence devrait bien réussir ce test. Pendant que nous 'créons' Les produits phares de Kaspersky, Sophos,
32 menaces en utilisant des outils de piratage gratuits accessibles Microsoft, Broadcom, CrowdStrike, ESET, VIPRE
Impact très élevé
au public, nous n'écrivons pas de logiciels malveillants uniques. et McAfee remportent tous des prix AAA.
Fort impact 32
n'y a aucune raison technique pour qu'un fournisseur soit
Impact moyen 16
testé devrait faire mal.
Faible impact 12
Annexes
Annexe A : Termes utilisés Annexe Bÿ: FAQ
Terme
Une méthodologie complète pour ce test est disponible sur notre site Web.
Sens
• Les produits choisis pour ce test ont été sélectionnés par SE Labs.
L'attaque a réussi, ce qui a permis à des logiciels malveillants de
• Le test n'était pas sponsorisé.
s'exécuter sans entrave sur la cible. Dans le cas d'une attaque ciblée,
Compromis • Le test a été réalisé entre le 17 janvier et le 14 mars 2022.
l'attaquant a pu prendre le contrôle à distance du
système et effectuer une variété de tâches sans entrave. • Tous les produits ont été configurés selon les recommandations de chaque fournisseur, lorsque
de telles recommandations ont été fournies.
L'attaque a été empêchée d'apporter des modifications à la cible.
Bloqué
• Les URL malveillantes et les applications et URL légitimes ont été localisées indépendamment
et vérifié par SE Labs.
Lorsqu'un produit de sécurité classe à tort une application ou un site
Faux positif Web légitime comme étant malveillant, il génère un «ÿfaux positifÿ».
• Les attaques ciblées ont été sélectionnées et vérifiées par SE Labs.
• Des données malveillantes et légitimes ont été fournies aux organisations partenaires une fois le test
était complet.
La charge utile de l'exploit ou du logiciel malveillant s'est exécutée sur la
neutralisé
cible, mais a ensuite été supprimée. • SE Labs a effectué ce test de sécurité Endpoint sur des PC physiques, et non sur des machines virtuelles.
• Le navigateur Web utilisé dans ce test était Google Chrome. Lors du test de Microsoft
Complet Si un produit de sécurité supprime toutes les traces significatives d'une
Remédiation attaque, il a réalisé une correction complète.
produits Chrome était équipé de l'extension de navigateur Windows Defender Browser Protection (https://
browserprotection.microsoft.com). Nous autorisons d'autres extensions de navigateur lorsqu'un produit testé
Cible Le système de test qui est protégé par un produit de sécurité.
demande à un utilisateur d'en installer une ou plusieurs.
Un programme ou une séquence d'interactions avec la cible qui est conçu pour
Menace prendre un certain niveau de contrôle non autorisé de cette cible.
Qu'est-ce qu'une organisation partenaire ? Puis-je le devenir pour accéder aux données sur les menaces
utilisées dans vos testsÿ?
Les fournisseurs de sécurité fournissent des informations à leurs produits Les organisations partenaires bénéficient de nos services de conseil après l'exécution d'un test.
afin de se tenir au courant des dernières menaces.
Mise à jour Les partenaires peuvent avoir accès à des données de bas niveau qui peuvent être utiles pour
Ces mises à jour peuvent être téléchargées en bloc sous forme d'un ou
plusieurs fichiers, ou demandées individuellement et en direct sur Internet. initiatives d'amélioration des produits et avoir la permission d'utiliser les logos de récompense, où
approprié, à des fins de marketing. Nous ne partageons pas les données d'un partenaire avec d'autres
les partenaires. Nous ne collaborons pas avec des organisations qui ne participent pas à nos tests.
Je suis un fournisseur de sécurité et vous avez testé mon produit sans autorisation.
Puis-je accéder aux données sur les menaces pour vérifier que vos résultats sont exactsÿ?
Nous sommes disposés à partager gratuitement un certain niveau de données de test avec des
participants non partenaires. L'intention est de fournir suffisamment de données pour démontrer que les résultats
sont exactes. Pour des données plus détaillées adaptées à des fins d'amélioration des produits, nous
recommander de devenir partenaire.
Versions du produit
Microsoft Defender Antivirus (entreprise) Version du client anti-malwareÿ: 4.18.2202.4 Version du client anti-malwareÿ: 4.18.2202.4
Version du moteur : 1.1.19000.8 Version du moteur : 1.1.19000.8
Version antivirus : 1.361.36.0 Version antivirus : 1.361.935.0
Version anti-logiciels espionsÿ: 1.361.36.0 Version anti-logiciels espionsÿ: 1.361.935.0
VIPRÉ Sécurité des terminaux 12.0.7874 - Version de définition : 98372 - 7.9907 12.0.7874 - Version de définition : 100152 - 7.91526
Types d'attaque
CrowdStrike Faucon 75 24 99
5. Le contenu de ce rapport ne
constituent une recommandation, une garantie, une
approbation ou autre de l'un des produits répertoriés,
mentionnés ou testés.
6. Les tests et les résultats ultérieurs ne
ne garantit pas qu'il n'y a pas d'erreurs dans les
produits, ou que vous obtiendrez le
résultats identiques ou similaires. SE Labs ne