Machine Translated by Google

PROTECTI
PSE
DE Sécurité des terminaux
Entreprise
janvier - mars 2022

selabs.fr/newsletter blog.selabs.fr
selabs.fr info@SELabs.uk @SELabsUK
Machine Translated by Google

SE Labs a testé une variété de produits anti-malware (alias "anti-virus" ; alias "Endpoint security") d'une
gamme de fournisseurs bien connus dans le but de déterminer lesquels étaient les plus efficaces.

Chaque produit était exposé aux mêmes menaces, qui étaient un mélange d'attaques ciblées utilisant
des techniques bien établies et de menaces publiques par courrier électronique et Web qui étaient
trouvée en direct sur Internet au moment du test.

Les résultats indiquent l'efficacité des produits à détecter et/ou à se protéger contre ces menaces
en temps réel.

2 Endpoint Security Enterprise Protection Janvier - Mars 2022

Machine Translated by Google

LA GESTION
Président-directeur général Simon Edwards Contenu
Directeur des opérations Marc Briggs
Directrice des ressources humaines Magdalena Jurenko
Directeur technique Stefan Dumitrascu
Introduction 04
Équipe de test
Résumé 05
Nikki Albésa
Haricot Thomas
Solandra Brasseur 1. Cotes de précision totales 06
Rory Brun
Liam Fisher Prix de la sécurité des terminaux d'entreprise 07
Gia Gorbold
Erica Marotta 2. Réponses aux menaces 08
Jérémie Morgan
Joseph Pique
3. Indices de protection dix
Dave Togneri
Dimitrios Tsarouchas
4. Cotes de protection 12
Stephen Withey
Liangyi Zhen
5. Détails de protection 13
Support Informatique

Danny King Smith 6. Évaluations légitimes des logiciels 14

Chris court
6.1 Évaluations des interactions 15
Publication

Sara Claridge 6.2 Cotes de prévalence 16

Colin Mackleworth

6.3 Cotes de précision 16

Site Web selabs.fr
Twitter @SELabsUK 17
6.4 Répartition des catégories d'impact
Courriel info@SELabs.uk
LinkedIn www.linkedin.com/company/se-labs/
conclusion 17
Blog blog.selabs.fr
Téléphone +44 (0)203 875 5000
Poste SE Labs Ltd, 55A Annexe A : Termes utilisés 18
High Street, Wimbledon, SW19 5BA, Royaume-Uni
Annexe Bÿ: FAQ 18
SE Labs est certifié ISO/IEC 27001ÿ: 2013 et
BS EN ISO 9001 : 2015 certifié pour The Provision Annexe C : Versions du produit 19
des tests de produits de sécurité informatique.

Annexe Dÿ: Types d'attaques 20

SE Labs est membre de Microsoft Virus Information

Alliance (VIA); l'Organisation des normes de test anti-malware

(AMTSO)ÿ; et NetSecOPEN.

Référence standard AMTSOÿ:

selabs.uk/amtso22q1
Version du document 1.0 Écrit le 5 avril 2022
© 2022 SE Labs Ltd 1.01 Mise à jour le 8 avril 2022ÿ: Correction du calcul du score

3 Endpoint Security Enterprise Protection Janvier - Mars 2022

Machine Translated by Google

INTRODUCTION

Choisissez le meilleur produit de sécurité…

En comprenant les règles des tests de sécurité
Ce rapport contient les résultats des tests de sécurité. Vous pouvez comparer les performances de divers Dans notre article de blog Tests publics et privés nous expliquons nos cinq règles simples pour aider

produits qui prétendent vous protéger contre les menaces en ligne. En ce à maintenir l'intégrité de nos rapports. Si vous voulez jeter un coup d'œil derrière le rideau, pour voir

théorie, aidera les particuliers et les entreprises à choisir le meilleur produit de sécurité. comment nous travaillons avec les fournisseurs de sécurité, les informations sont toutes
disponible en ligne.

Mais ceci est un rapport gratuit. Comment pouvez-vous être sûr que les fournisseurs les mieux notés n'ont

pas simplement payé pour leur classementÿ? Pensez-vous que certains fournisseurs à faible score Pour ce rapport, nous avons également suivi la seule norme disponible pour l'anti-malware

abandonné le rapport? Ou demandé à être retesté jusqu'à ce qu'ils obtiennent de meilleurs résultatsÿ? testing, celui géré par l'Anti-Malware Testing Standards Organization.

Cela garantit que nous faisons ce que nous disons que nous ferons et que nous pouvons le prouver.

Quelles sont les règles en coulisses des tests de sécuritéÿ?

Si vous repérez un détail dans ce rapport que vous ne comprenez pas ou que vous

Avec les tests de sécurité, les enjeux sont élevés. Du point de vue des clients, une mauvaise souhaitez discuter, veuillez nous contacter via notre Twitter ou LinkedIn comptes.

décision pourrait être désastreuse pour une entreprise. Ou une vie personnelle. SE Labs utilise les informations actuelles sur les menaces pour rendre nos tests aussi réalistes

Nous, en tant que testeurs, avons donc l'énorme responsabilité de faire ce qu'il faut, c'est-à-dire que possible. Pour en savoir plus sur la façon dont nous testons, comment nous définissons la "menace

la chose honnête. Cela signifie essayer d'impliquer autant de fournisseurs de sécurité réputés que intelligence' et comment nous l'utilisons pour améliorer nos tests, veuillez visiter notre

possible dans nos tests et les traiter tous équitablement. site Internet et suivez-nous sur Twitter.

Les fournisseurs de sécurité veulent vendre des produits et feront tout ce qu'ils peuvent pour y parvenir Ce rapport de test a été financé par les services de consultation post-test fournis par

forte commercialisation. Cela peut impliquer d'apparaître dans des tests faibles ou de s'engager SE Labs aux fournisseurs de sécurité. Les fournisseurs de tous les produits inclus dans ce rapport ont

avec des testeurs plus "flexibles". Une stratégie pourrait être de tester suffisamment en privé pu demander un accès anticipé aux résultats et la possibilité de contester les détails

contre les concurrents, puis publiez le seul rapport qui montre votre gratuitement. SE Labs a soumis le processus de test derrière ce rapport pour

produit en tête de liste. conformité avec la norme de protocole de test AMTSO v1.3. Pour vérifier sa conformité, veuillez

vérifier le lien de référence AMTSO en bas de page

Nous nous concentrons sur des tests techniques solides et évitons les initiatives purement marketing. trois de ce rapport ou ici.

Nous avons des récompenses pour les fournisseurs qui réussissent, mais nous nous démarquons en

évaluant la technologie en profondeur et en aidant à améliorer les choses pour tout le monde.

4 Endpoint Security Enterprise Protection Janvier - Mars 2022

Machine Translated by Google

Résumé
Noms de produits
Il est recommandé de rester à jour avec la dernière version du produit de sécurité Endpoint que vous avez
choisi. Nous avons fait de notre mieux pour nous assurer que chaque produit testé était la toute dernière version
fonctionnant avec les mises à jour les plus récentes pour donner le meilleur résultat possible.
Pour les numéros de build spécifiques, voir Annexe C : Versions du produit à la page 19.
• Les terminaux étaient généralement efficaces pour gérer les menaces générales
des cybercriminels…
La plupart des produits étaient tout à fait capables de gérer les e-mails
publics et les menaces Web telles que celles utilisées par les criminels pour
attaquer les PC Windows, incitant les utilisateurs à exécuter des fichiers
malveillants ou à exécuter des scripts qui téléchargent et exécutent des fichiers malveillants.
Cependant, trois n'étaient pas complètement efficaces.

• ... mais les attaques ciblées ont causé des problèmes pour presque
tous les produits.
Seuls quatre des neuf produits fournissaient une protection complète contre
les attaques ciblées utilisées dans ce test. Il suffit d'une attaque ciblée pour
percer une organisation, c'est donc un résultat préoccupant.

Résumé
protection Légitime Total
Précision Précision Précision
• Les faux positifs n'étaient pas un problème sérieux pour la plupart des produits.
Produits testés Évaluation (%) Évaluation (%) Évaluation (%) La plupart des produits classaient correctement les applications et les
Kaspersky Endpoint Security 100% 100% 100% sites Web légitimes. Trois produits fabriqués

Sophos intercepte X 100% 100% 100% une seule erreur chacun, tandis qu'un a bloqué trois objets.

Antivirus Microsoft Defender (entreprise) 98% 100% 99%

• Quels produits ont été les plus efficaces ?
Broadcom Endpoint Enterprise Edition 97% 100% 99%
Les produits de Kaspersky et Sophos fabriqués extrêmement
CrowdStrike Faucon 97% 99% 99%
de bons résultats grâce à une combinaison de leur capacité à bloquer
ESET Endpoint Security 96% 100% 98%
URL malveillantes, gérer les exploits et classer correctement les
Sécurité des terminaux VIPRE 97% 99% 98%
applications et les sites Web légitimes. Tous les produits, à l'exception de
Sécurité des terminaux McAfee 98% 97% 98% Deep Instinct, se sont suffisamment bien comportés pour obtenir des prix AAA.

Client D Deep Instinct 90% 91% 91%

Les produits surlignés en vert étaient les plus précis, obtenant 85 % ou plus pour la précision totale.
Ceux en jaune ont obtenu moins de 85 mais 75 ou plus. Les produits indiqués en rouge ont obtenu moins de 75ÿ%.

Pour les pourcentages exacts, voir 1. Cotes de précision totale à la page 6.

5 Endpoint Security Enterprise Protection Janvier - Mars 2022

Machine Translated by Google

1. Cotes de précision totales

Juger de l'efficacité d'un produit de sécurité Endpoint est un art subtil, et
Cotes de précision totales
de nombreux facteurs entrent en jeu lors de l'évaluation de ses performances.
Précision totale Total
Faire des choses
Produit Évaluation Précision (%) Décerner
plus facile, nous avons combiné tous les différents résultats de
Kaspersky Endpoint Security 1ÿ136 100% AAA
ce rapport dans un graphique facile à comprendre.
Sophos intercepte X 1ÿ136 100% AAA

Antivirus Microsoft Defender (entreprise) 1ÿ127 99% AAA

Le graphique ci-dessous prend en compte non seulement la capacité de
Broadcom Endpoint Security Édition Entreprise 1ÿ125 99% AAA
chaque produit à détecter et à se protéger contre les menaces, mais également

sa gestion des objets non malveillants tels que les adresses Web (URL) et les CrowdStrike Faucon 1ÿ119 99% AAA

applications. ESET Endpoint Security 1ÿ118 98% AAA

Sécurité des terminaux VIPRE 1ÿ114 98% AAA

Toutes les protections, ou détections d'ailleurs, ne sont pas égales. Un

Sécurité des terminaux McAfee 1ÿ108 98% AAA
produit peut bloquer complètement une URL, ce qui arrête la menace avant
Client D Deep Instinct 1 031,5 91% AA
même qu'elle ne puisse déclencher la série d'événements malveillants prévue.

Alternativement, le produit peut autoriser l'exécution d'un exploit basé sur le

Web, mais l'empêcher de télécharger du code supplémentaire sur la cible. Dans

un autre cas, un logiciel malveillant peut s'exécuter sur la cible

pendant un court moment avant que son comportement ne soit détecté et que son

le code est supprimé ou déplacé vers une zone de « quarantaine » sûre pour
Kaspersky Endpoint Security
une analyse future. Nous tenons compte de ces résultats lors de l'attribution des

points qui forment les notes finales. Sophos intercepte X

Antivirus Microsoft Defender (entreprise)

Par exemple, un produit qui bloque complètement une menace est mieux noté
Broadcom Endpoint Security Édition Entreprise
qu'un produit qui permet à une menace de s'exécuter pendant un certain temps
CrowdStrike Faucon
avant de finalement l'évincer. Les produits qui autorisent toutes les infections de

logiciels malveillants ou qui bloquent les applications légitimes populaires sont ESET Endpoint Security

lourdement pénalisés.
Sécurité des terminaux VIPRE

Sécurité des terminaux McAfee

Catégoriser la façon dont un produit gère les objets légitimes est complexe, et Les cotes de
Client D Deep Instinct précision totale
vous pouvez découvrir comment nous le faisons dans 6. Évaluations des logiciels
combinent protection
légitimes à la page 14. 0 284 568 852 1ÿ136 et faux positifs.

6 Endpoint Security Enterprise Protection Janvier - Mars 2022

Machine Translated by Google

Prix de la sécurité des terminaux d'entreprise

Les produits suivants remportent des prix SE Labsÿ:

• Kaspersky Endpoint Security E

n • Client D Deep Instinct E
n
• Sophos Intercept X r avril 2022
r r avril 2022
r
r r
je
se S je
se S
Enrépo t
EPS
je
je n
Enrépo t
EPS
je
je n
• Antivirus Microsoft Defender (entreprise) Pro t ect
non _
Pro t ect
non _

• Broadcom Endpoint Security Enterprise Edition

• Faucon CrowdStrike

• ESET Endpoint Security

• Sécurité des terminaux VIPRE

• McAfee Endpoint Security

sept
Endpoint Security Enterprise Protection Janvier - Mars 2022
Machine Translated by Google

2. Réponses aux menaces

Chaîne d'attaque complèteÿ: test de chaque couche de détection et de protection

Les attaquants commencent à partir d'un certain point et ne s'arrêtent site Web et en parcourant bon nombre des sites Web probables Si le test se termine avant qu'un dommage ou un vol "utile" n'ait été

pas tant qu'ils n'ont pas atteint leur objectif ou atteint la fin de leurs étapes menant au vol de données ou causant d'autres formes de réalisé, alors le produit

ressources (ce qui peut être une échéance ou la limite de leurs dommages au réseau. peut se voir refuser la possibilité de démontrer son

capacités). capacités dans la détection comportementale et ainsi de suite.

Si le test commence trop loin dans la chaîne d'attaque, par exemple

Cela signifie que, dans un test, le testeur doit commencer l'attaque comme exécutant des logiciels malveillants sur un Endpoint, de Étapes d'attaque
à partir d'une première position réaliste, comme l'envoi d'un e-mail nombreux produits se verront refuser la possibilité d'utiliser pleinement L'illustration ci-dessous montre quelques étapes typiques

de phishing ou la mise en place d'un leurs capacités de protection et de détection. d'une attaque. Dans un test, chacun de ces éléments doit être

Chaîne d'attaqueÿ: comment les pirates progressent

Figure 1. Une attaque typique commence par un

01 02 03 04 05 06
contact initial et progresse à travers différentes
étapes, y compris la reconnaissance, le vol de
données et les dommages.
PDF

Figure 2. Cette attaque a d'abord réussi mais

n'a pu progresser que jusqu'à la phase de
01 02 03 04 05 06
reconnaissance.

PDF

Figure 3. Une attaque plus réussie parvient à

01 02 03 04 05 06
voler des mots de passe mais vole et détruit en
gros des données
a été bloqué.
PDF

8 Endpoint Security Enterprise Protection Janvier - Mars 2022

Machine Translated by Google

tenté de déterminer la solution de sécurité représenté par les étapes deux à sept ci-dessous. être que leur objectif est une présence persistante sur les
efficacité. L'enregistrement des résultats de ce test Nous classons globalement ces étapes comme suit : Accès systèmes pour surveiller les activités, voler lentement des
détection et protection pour chacune de ces étapes. (étape 2) ; action (étape 3); Escalade (étape 4)ÿ; et Post- informations et d'autres missions plus subtiles.

escalade (étape 5).

Nous mesurons comment un produit répond aux premiers
stades de l'attaque avec un indice de détection et/ou de
protection. Parfois, les produits permettent
menaces à courir mais les détecter. D'autres fois
ils pourraient permettre à la menace de courir brièvement avant
de la neutraliser. Idéalement, ils détectent et bloquent
la menace avant qu'elle ait une chance de s'exécuter.
Les produits peuvent supprimer les menaces ou les contenir
Dans la figure 3. l'attaquant a réussi à progresser
Dans la figure 1. vous pouvez voir une attaque typique se jusqu'à la cinquième étape. Cela signifie que
dérouler du début à la fin, à travers diverses activités de le système a été sérieusement compromis.
«ÿpiratageÿ». Cela peut être classé comme entièrement L'attaquant a un haut niveau d'accès et a volé des mots de
rupture réussie. passe. Cependant, les tentatives d'exfiltration des données de la
cible ont été bloquées, tout comme les tentatives d'endommager le
Dans la figure 2. un produit ou un service a interféré avec système.
l'attaque, lui permettant de réussir seulement si
jusqu'au stade 3, après quoi il a été détecté et neutralisé. Le tableau ci-dessous montre comment une manière typique

automatiquement dans une « quarantaine » ou un autre L'attaquant n'a pas pu progresser dans les étapes 4 et suivantes. dans lequel les testeurs de sécurité illustrent le comportement

mécanisme de stockage sécurisé pour une analyse ultérieure. des attaquants. C'est en grande partie la même chose que nos images

ci-dessus, mais plus détaillé.

Si la phase d'attaque initiale réussit, nous mesurons ensuite les Il est possible que les attaquants ne causent pas de
étapes de post-exploitation, qui sont dégâts notables lors d'une attaque. Cela pourrait

MITRE Exemple Détails de la chaîne d'attaque

Accès initial Exécution Escalade des privilèges Accès aux identifiants Découverte Le recueil Commander et contrôler Exfiltration

Spearphishing via Fichier et répertoire

Interface de ligne de commande Capture d'entrée Capture d'entrée Encodage des données
Service Découverte

Powershell Découverte de processus Exfiltration sur C2

Contourner l'UAC
Canaliser
Hameçonnage Données locales
Script Vidage des informations d'identification du système d'exploitation Obfuscation des données
Lien Informations système Système
Découverte
Exécution utilisateur

C2

>/< ********

Lien de harponnage Script Contourner l'UAC Vidage des informations d'identification du système d'exploitation Découverte de processus Données du système local Obfuscation des données Exfiltration sur canal C2

9 Endpoint Security Enterprise Protection Janvier - Mars 2022

Machine Translated by Google
3. Indices de protection
Les résultats ci-dessous indiquent l'efficacité avec laquelle les
produits ont traité les menaces. Des points sont gagnés pour
détecter la menace et pour la bloquer ou la neutraliser.
Détecté (+1)
Si le produit détecte la menace avec un quelconque degré
d'informations utiles, nous lui attribuons un point.
Bloqué (+2)
Les menaces qui ne sont même pas autorisées à démarrer
leurs activités malveillantes sont bloquées. Les produits
bloquants marquent deux points.
Correction complète (+1)
Si, en plus de neutraliser une menace, le produit supprime toute
trace significative de l'attaque, il gagne un point supplémentaire.
Neutralisé (+1)
Les produits qui tuent tous les processus malveillants en cours
d'exécution « neutralisent » la menace et gagnent un point.
Neutralisation persistante (-2)
Ce résultat se produit lorsqu'un produit empêche
continuellement une menace persistante d'atteindre son objectif,
sans la supprimer du système.
Compromis (-5)
Si la menace compromet le système, le produit perd cinq
points. Cette perte peut être réduite à quatre points s'il
parvient à détecter la menace (voir Détecté, ci-dessus), car
celle-ci au moins
10 Endpoint Security Enterprise Protection Janvier - Mars 2022
alerte l'utilisateur, qui peut alors prendre des mesures pour
sécuriser le système.
Calculs de notation
Nous calculons les indices de protection à l'aide de la formule
suivanteÿ:
Indice de protection =
(1x nombre de détectés) +
(2x nombre de Bloqués) +
(1x nombre de neutralisés) +
(1x nombre de corrections complètes) +
(-5x nombre de compromis)
Le chiffre «ÿRemédiation complèteÿ» concerne les cas de
neutralisation dans lesquels toutes les traces significatives de
l'attaque ont été supprimées de la cible.
Ces notations sont basées sur notre opinion sur
l'importance de ces différents résultats.
Vous pouvez avoir un point de vue différent sur le sérieux avec
lequel vous traitez un «ÿcompromisÿ» ou une «ÿneutralisation sans
assainissement complet ». Si vous souhaitez créer votre propre
système d'évaluation, vous pouvez utiliser les données brutes de
5. Détails de la protection à la page 13 pour créer votre propre
ensemble d'évaluations personnalisées.
Score d'attaque ciblée
Les scores suivants s'appliquent uniquement aux attaques ciblées et
sont cumulatifs, allant de -1 à -5.
Accès (-1)
Si une commande fournissant des informations sur le
système cible réussit, ce score est appliqué.
Des exemples de commandes réussies incluent la liste des
processus en cours d'exécution, l'exploration du système de fichiers,
etc. Si la première commande est tentée et
la session est terminée par le produit sans que la commande
aboutisse le score de Neutralisé (voir ci-dessus) sera appliqué.
Action (-1)
Si l'attaquant est capable d'exfiltrer un document de
sur le bureau de la cible de l'utilisateur actuellement connecté, une
"action" a été effectuée avec succès.
Escalade (-2)
L'attaquant tente d'élever les privilèges vers l'autorité/le système NT.
En cas de succès, deux autres
points sont déduits.
Action post-escalade (-1)
Après l'escalade, l'attaquant tente des actions qui reposent sur
des privilèges élevés. Ceux-ci inclus
tentative de vol d'informations d'identification, modification du fichier
système et enregistrement des frappes. Si l'une de ces actions
réussit, une pénalité supplémentaire d'un point de déduction est
appliquée.
Machine Translated by Google

Laboratoires SE
Indices de protection

Produit Indice de protection

400
Taux de protection (%)

100%
Mensuel
Bulletin
Kaspersky Endpoint Security

Sophos intercepte X 400 100%

Sécurité des terminaux McAfee 392 98%

Antivirus Microsoft Defender (entreprise) 391 98% Ne manquez pas nos articles
Broadcom Endpoint Security Édition Entreprise 389 97%
et rapports sur la sécurité
CrowdStrike Faucon 387 97%

Sécurité des terminaux VIPRE 386 97%

ESET Endpoint Security 382 96%

• Rapports de test annoncés
Client D Deep Instinct 359 90%
• Articles de blog examinés
Moyenne 97%

• Tests de sécurité analysés

• NOUVEAUÿ: Épisodes de podcast

Kaspersky Endpoint Security

Sophos intercepte X

Sécurité des terminaux McAfee

Antivirus Microsoft Defender (entreprise)

Broadcom Endpoint Security Édition Entreprise

CrowdStrike Faucon
Les cotes de protection
Sécurité des terminaux VIPRE sont pondérées pour
montrer que LIBRE
ESET Endpoint Security
les produits gèrent les
menaces peuvent être
Client D Deep Instinct
plus subtil que simplement

«ÿgagnerÿ» ou «ÿperdreÿ».
0 100 200 300 400
ABONNEZ-VOUS MAINTENANT!

11 Endpoint Security Enterprise Protection Janvier - Mars 2022

Machine Translated by Google

4. Cotes de protection
Ce graphique montre le niveau global de protection, sans Cotes de protection
distinction entre neutralisé et
Produit Niveau de protection
incidents bloqués.
Kaspersky Endpoint Security 100

Sophos intercepte X 100

Pour chaque produit, nous ajoutons les cas bloqués et neutralisés
pour faire un décompte simple. Broadcom Endpoint Security Édition Entreprise 99

CrowdStrike Faucon 99

Sécurité des terminaux McAfee 99

Antivirus Microsoft Defender (entreprise) 99

ESET Endpoint Security 98

Sécurité des terminaux VIPRE 98

Client D Deep Instinct 94

Kaspersky Endpoint Security

Sophos intercepte X

Broadcom Endpoint Security Édition Entreprise

CrowdStrike Faucon

Sécurité des terminaux McAfee

Antivirus Microsoft Defender (entreprise)

ESET Endpoint Security

Cotes de protection
Sécurité des terminaux VIPRE
sont un simple décompte

Client D Deep Instinct du nombre de fois qu'un

produit a protégé le système.
0 25 50 75 100

12 Endpoint Security Enterprise Protection Janvier - Mars 2022

Machine Translated by Google

5. Détails de protection
Ces résultats décomposent la façon dont chaque produit DÉTAILS des protections

traité les menaces dans les moindres détails. Tu peux voir

Produit Détecté Bloqué Neutralisé Compromis Protégé
combien ont détecté une menace et les niveaux de protection
Kaspersky Endpoint Security 100 100 0 0 100
fournis.
Sophos intercepte X 100 100 0 0 100

Antivirus Microsoft Defender (entreprise) 99 99 0 1 99

Les produits détectent parfois plus de menaces que

contre lesquels ils se protègent. Cela peut se produire Broadcom Endpoint Security Édition Entreprise 99 98 1 1 99

lorsqu'ils reconnaissent un élément de la menace mais ne CrowdStrike Faucon 100 98 1 1 99

sont pas équipés pour l'arrêter. Les produits peuvent Sécurité des terminaux McAfee 100 98 1 1 99

également fournir une protection même s'ils ne détectent pas 99 97 1 2 98

ESET Endpoint Security
certaines menaces. Certaines menaces échouent le
Sécurité des terminaux VIPRE 100 96 2 2 98
détection d'un logiciel de protection Endpoint spécifique.
Client D Deep Instinct 100 94 0 6 94

Kaspersky Endpoint Security Bloqué

neutralisé
Sophos intercepte X

Antivirus Microsoft Defender (entreprise) Compromis

Broadcom Endpoint Security Édition Entreprise

CrowdStrike Faucon

Sécurité des terminaux McAfee

ESET Endpoint Security

Sécurité des terminaux VIPRE

Ces données apparaissent dans

détailler comment chacun

Client D Deep Instinct
produit a géré les
0 25 50 75 100 menaces utilisées.

13 Endpoint Security Enterprise Protection Janvier - Mars 2022

Machine Translated by Google

6. Évaluations légitimes des

logiciels
Ces évaluations indiquent la précision avec laquelle les produits Évaluations légitimes des logiciels
classent les applications et les URL légitimes, tout en tenant compte Produit Évaluation de la précision légitime Précision légitime (%)
des interactions que chaque produit a avec l'utilisateur. Idéalement,
Broadcom Endpoint Security Édition Entreprise 736 100%
un produit ne classera pas un objet légitime ou classera
ESET Endpoint Security 736 100%

comme sûr. Dans aucun des cas, cela ne devrait gêner l'utilisateur. Kaspersky Endpoint Security 736 100%

Antivirus Microsoft Defender (entreprise) 736 100%

Nous prenons également en compte la prévalence Sophos intercepte X 736 100%

(popularité) des applications et des sites Web utilisés dans cette CrowdStrike Faucon 732 99%
partie du test, en appliquant des sanctions plus strictes lorsque les
Sécurité des terminaux VIPRE 728 99%
produits classent à tort des logiciels très populaires
Sécurité des terminaux McAfee 716 97%
et chantiers.
Client D Deep Instinct 672.5 91%

Pour comprendre comment nous calculons ces cotes, voir 6.3

Cotes de précision à la page 16.

Broadcom Endpoint Security Édition Entreprise

ESET Endpoint Security

Kaspersky Endpoint Security

Antivirus Microsoft Defender (entreprise)

Sophos intercepte X

CrowdStrike Faucon

Sécurité des terminaux VIPRE

Les évaluations de logiciels
Sécurité des terminaux McAfee
légitimes peuvent indiquer
dans quelle mesure un
Client D Deep Instinct
fournisseur a réglé son
0 184 368 552 736 moteur de détection.

14 Endpoint Security Enterprise Protection Janvier - Mars 2022

Machine Translated by Google

6.1 Évaluations des interactions

Il est crucial que les produits anti-malware Endpoint non seulement Aucun Cliquez pour autoriser Cliquez pour autoriser/bloquer Cliquez pour bloquer Aucun
arrêtent – ou du moins détectent – les menaces, mais qu'ils permettent (autorisé) (autorisation par défaut) (pas de recommandation) (bloc par défaut) (bloqué)
aux applications légitimes de s'installer et de s'exécuter sans les
L'objet est sûr 2 1.5 1 UN
classer à tort comme des logiciels malveillants. Une telle erreur est

connue sous le nom de «ÿfaux positifÿ» (FP). L'objet est inconnu 2 1 0,5 0 -0,5 B

L'objet n'est pas classifié 2 0,5 0 -0,5 -1 C

En réalité, les véritables FP sont assez rares dans les tests. D'après
L'objet est suspect 0,5 0 -0,5 -1 -1.5 ré
notre expérience, il est inhabituel pour une application légitime
être classé comme "malware". Ce sera plus souvent L'objet est indésirable 0 -0,5 -1 -1.5 -2 E

classées comme «ÿinconnuesÿ», «ÿsuspectesÿ» ou «ÿnon L'objet est malveillant -2 -2 F

désiréesÿ» (ou des termes qui signifient à peu près la même chose). 1 2 3 4 5

Nous utilisons un système subtil d'évaluation de l'approche d'un

Endpoint vis-à-vis des objets légitimes, qui prend en compte la

manière dont il classe l'application et la manière dont il présente ces

informations à l'utilisateur. Parfois, le logiciel Endpoint se renvoie la

Évaluations des interactions
balle et demande à l'utilisateur de décider si l'application est sûre ou
Aucun Cliquez pour autoriser/ Aucun
non. Dans de tels cas, le produit peut faire un Produit (autorisé) bloquer (pas de recommandation) (bloqué)

ESET Endpoint Security 100 0 0

recommandation d'autoriser ou de bloquer. Dans d'autres cas,
Kaspersky Endpoint Security 100 0 0
le produit ne fera aucune recommandation, ce qui est peut-être
Broadcom Endpoint Security Édition Entreprise 100 0 0
encore moins utile.
Antivirus Microsoft Defender (entreprise) 100 0 0

Sophos intercepte X 100 0 0

Si un produit permet à une application de s'installer et de
CrowdStrike Faucon 99 0 1
s'exécuter sans interaction de l'utilisateur, ou avec simplement une
Sécurité des terminaux McAfee 99 0 1
brève notification indiquant que l'application est susceptible d'être

sûre, il a obtenu un résultat optimal. Tout le reste est une classification/ Sécurité des terminaux VIPRE 99 0 1

action non optimale (NOCA). Client D Deep Instinct 97 0 3

Nous pensons qu'il est plus utile de mesurer les NOCA que de
Les produits qui ne dérangent pas les utilisateurs et classent correctement la plupart des applications gagnent plus de points
compter les FP plus rares. que ceux qui posent des questions et condamnent les applications légitimes.

15 Endpoint Security Enterprise Protection Janvier - Mars 2022

Machine Translated by Google

6.2 Cotes de prévalence 6.3 Cotes de précision

Il y a une différence significative entre un Nous calculons la précision des logiciels légitimes
Modificateurs légitimes d'évaluation de la prévalence des logiciels
Produit Endpoint bloquant une application populaire notes en multipliant les notes d'interaction et de prévalence
Catégorie d'impact Modificateur de notation
comme la dernière version de Microsoft Word et pour chaque téléchargement
Impact très élevé 5
condamnant une rare barre d'outils de rencontres iraniennes et mise en place :
Fort impact 4
pour Internet Explorer 6. L'une est très populaire dans le monde entier

et sa détection en tant que malware (ou quelque chose de moins grave Impact moyen 3 Note d'exactitude = note d'interaction x prévalence

mais toujours suspect) est un gros problème. Faible impact 2 évaluation

À l'inverse, la barre d'outils obsolète n'aura pas eu une base 1

Très faible impact
d'utilisateurs relativement importante, même lorsqu'elle était Si un produit autorisait l'installation d'une application légitime à impact

nouvelle. Détecter cette application comme un logiciel malveillant peut moyen sans aucune interaction avec l'utilisateur, son indice de précision

être une erreur, mais cela a moins d'impact sur le schéma général des Des applications ont été téléchargées et installées pendant le serait calculé

choses. test, mais des sites de téléchargement tiers comme ça:

ont été évités et les URL des développeurs d'origine ont été

Dans cette optique, nous avons recueilli les candidatures de utilisées dans la mesure du possible. Les sites de téléchargement Niveau de précision = 2 x 3 = 6

popularité variable et les a triés en cinq regroupent parfois des composants supplémentaires dans les

catégories distinctes, comme suit : fichiers d'installation des applications, ce qui peut amener Ce même calcul est effectué pour chaque légitime

correctement les produits anti-malware à signaler les adwares. application/site dans le test et les résultats sont

1. Impact très élevé Nous supprimons les logiciels publicitaires de l'ensemble de test car ils additionnés et utilisés pour remplir le graphique et le tableau présentés

2. Impact élevé est souvent difficile de savoir à quel point ce type de code est souhaitable. sous 6. Évaluations logicielles légitimes sur

3. Impact moyen page 14.

4. Faible impact La prévalence de chaque application et URL est estimée à l'aide

5. Très faible impact de mesures telles que les sites de téléchargement tiers et les
données d'Alexa.com.

La gestion incorrecte d'une application légitime entraînera des système mondial de classement du trafic.

pénalités, mais classer Microsoft Word comme un logiciel malveillant

et le bloquer sans aucun moyen pour l'utilisateur de passer outre cela

entraînera des pénalités bien plus importantes que de faire la même

chose pour une ancienne barre d'outils de niche.

Afin de calculer ces pénalités relatives, nous avons attribué à

chaque catégorie d'impact un modificateur de notation, comme

indiqué dans le tableau ci-dessus.

16 Endpoint Security Enterprise Protection Janvier - Mars 2022

Machine Translated by Google

6.4 Répartition des

7. Conclusions
catégories d'impact
Les attaques de ce test incluaient des menaces qui affectent Kaspersky, Sophos, Broadcom et Microsoft
Les produits de point de terminaison les plus précis dans la le grand public et plus ciblé étaient efficaces à 100ÿ%, mais CrowdStrike, McAfee

gestion des objets légitimes ont obtenu les notes les plus élevées. individus et organisations. Vous pourriez dire ça et ESET a arrêté toutes les menaces ciblées sauf une.
Si tous les objets présentaient la prévalence la plus élevée, la cote nous avons testé les produits avec des logiciels malveillants VIPRE en a raté deux tandis que Deep Instinct en a raté

maximale possible serait de 1 000 (100 incidents x (2 cote d'interaction "publics" et des attaques de piratage complètes. six attaques.

x 5 cote de prévalence)).
Dans ce test, il y avait une gamme d'applications avec différents
niveaux de prévalence. Le tableau ci-dessous indique la fréquence :
Nous avons introduit les menaces d'une manière réaliste telle Un peu plus de la moitié des produits traitaient
que les menaces vues dans la nature sur les sites Web étaient correctement les applications légitimes, sans erreur.
téléchargés à partir de ces mêmes sites Web, tandis que Les autres ont bloqué des objets sans demander la permission.
les menaces capturées se propageant par e-mail étaient Produits de CrowdStrike, McAfee

transmises à nos systèmes cibles sous forme d'e-mails. et VIPRE en ont bloqué un chacun, tandis que Deep Instinct
bloqué trois.
Fréquence des catégories de logiciels légitimes Tous les produits testés sont connus et
Cote de prévalence La fréquence devrait bien réussir ce test. Pendant que nous 'créons' Les produits phares de Kaspersky, Sophos,

32 menaces en utilisant des outils de piratage gratuits accessibles Microsoft, Broadcom, CrowdStrike, ESET, VIPRE
Impact très élevé
au public, nous n'écrivons pas de logiciels malveillants uniques. et McAfee remportent tous des prix AAA.
Fort impact 32
n'y a aucune raison technique pour qu'un fournisseur soit
Impact moyen 16
testé devrait faire mal.
Faible impact 12

Très faible impact 8

Les résultats ont été généralement solides et seuls trois produits,
de Broadcom, ESET et Microsoft, n'ont pas réussi à gérer
efficacement 100 % des menaces publiques. Les attaques ciblées

ont été moins bien gérées par une gamme de produits.

17 Endpoint Security Enterprise Protection Janvier - Mars 2022

Machine Translated by Google

Annexes
Annexe A : Termes utilisés Annexe Bÿ: FAQ
Terme
Une méthodologie complète pour ce test est disponible sur notre site Web.
Sens
• Les produits choisis pour ce test ont été sélectionnés par SE Labs.
L'attaque a réussi, ce qui a permis à des logiciels malveillants de
• Le test n'était pas sponsorisé.
s'exécuter sans entrave sur la cible. Dans le cas d'une attaque ciblée,
Compromis • Le test a été réalisé entre le 17 janvier et le 14 mars 2022.
l'attaquant a pu prendre le contrôle à distance du
système et effectuer une variété de tâches sans entrave. • Tous les produits ont été configurés selon les recommandations de chaque fournisseur, lorsque
de telles recommandations ont été fournies.
L'attaque a été empêchée d'apporter des modifications à la cible.
Bloqué
• Les URL malveillantes et les applications et URL légitimes ont été localisées indépendamment
et vérifié par SE Labs.
Lorsqu'un produit de sécurité classe à tort une application ou un site
Faux positif Web légitime comme étant malveillant, il génère un «ÿfaux positifÿ».
• Les attaques ciblées ont été sélectionnées et vérifiées par SE Labs.
• Des données malveillantes et légitimes ont été fournies aux organisations partenaires une fois le test
était complet.
La charge utile de l'exploit ou du logiciel malveillant s'est exécutée sur la
neutralisé
cible, mais a ensuite été supprimée. • SE Labs a effectué ce test de sécurité Endpoint sur des PC physiques, et non sur des machines virtuelles.
• Le navigateur Web utilisé dans ce test était Google Chrome. Lors du test de Microsoft
Complet Si un produit de sécurité supprime toutes les traces significatives d'une
Remédiation attaque, il a réalisé une correction complète.
produits Chrome était équipé de l'extension de navigateur Windows Defender Browser Protection (https://
browserprotection.microsoft.com). Nous autorisons d'autres extensions de navigateur lorsqu'un produit testé
Cible Le système de test qui est protégé par un produit de sécurité.
demande à un utilisateur d'en installer une ou plusieurs.
Un programme ou une séquence d'interactions avec la cible qui est conçu pour
Menace prendre un certain niveau de contrôle non autorisé de cette cible.
Qu'est-ce qu'une organisation partenaire ? Puis-je le devenir pour accéder aux données sur les menaces
utilisées dans vos testsÿ?
Les fournisseurs de sécurité fournissent des informations à leurs produits Les organisations partenaires bénéficient de nos services de conseil après l'exécution d'un test.
afin de se tenir au courant des dernières menaces.
Mise à jour Les partenaires peuvent avoir accès à des données de bas niveau qui peuvent être utiles pour
Ces mises à jour peuvent être téléchargées en bloc sous forme d'un ou
plusieurs fichiers, ou demandées individuellement et en direct sur Internet. initiatives d'amélioration des produits et avoir la permission d'utiliser les logos de récompense, où
approprié, à des fins de marketing. Nous ne partageons pas les données d'un partenaire avec d'autres
les partenaires. Nous ne collaborons pas avec des organisations qui ne participent pas à nos tests.

Je suis un fournisseur de sécurité et vous avez testé mon produit sans autorisation.
Puis-je accéder aux données sur les menaces pour vérifier que vos résultats sont exactsÿ?
Nous sommes disposés à partager gratuitement un certain niveau de données de test avec des
participants non partenaires. L'intention est de fournir suffisamment de données pour démontrer que les résultats
sont exactes. Pour des données plus détaillées adaptées à des fins d'amélioration des produits, nous
recommander de devenir partenaire.

18 Endpoint Security Enterprise Protection Janvier - Mars 2022

Machine Translated by Google

Annexe C : Versions du produit

Le tableau ci-dessous reprend le nom du service tel qu'il était commercialisé au moment du test.

Versions du produit

Vendeur Produit Version de compilation (début) Version de construction (fin)

Broadcom Endpoint Security Édition Entreprise 14.3.7388.4000 14.3.7388.4000

FouleStrike Faucon 6.33.14705.0 6.36.15005.0

Instinct profond Client D 3.3.1.15 3.3.1.15

ESET Sécurité des terminaux 9.0.2032.6 9.0.2032.6

Kaspersky Sécurité des terminaux 11.7.0.669 AES256 11.8.0.384 AES256

McAfee Sécurité des terminaux 10.7 10.7

Microsoft Defender Antivirus (entreprise) Version du client anti-malwareÿ: 4.18.2202.4 Version du client anti-malwareÿ: 4.18.2202.4
Version du moteur : 1.1.19000.8 Version du moteur : 1.1.19000.8
Version antivirus : 1.361.36.0 Version antivirus : 1.361.935.0
Version anti-logiciels espionsÿ: 1.361.36.0 Version anti-logiciels espionsÿ: 1.361.935.0

Sophos Intercepter X 2022.3.0.11404 2.20.11

VIPRÉ Sécurité des terminaux 12.0.7874 - Version de définition : 98372 - 7.9907 12.0.7874 - Version de définition : 100152 - 7.91526

19 Endpoint Security Enterprise Protection Janvier - Mars 2022

Machine Translated by Google

Annexe Dÿ: Types d'attaques

Le tableau ci-dessous montre comment chaque produit s'est protégé contre les différents types d'attaques utilisées dans le test.

Types d'attaque

Produit Attaque générale Attaque ciblée Protégé

Kaspersky Endpoint Security 75 25 100

Sophos intercepte X 75 25 100

Broadcom Endpoint Security Édition Entreprise 74 25 99

CrowdStrike Faucon 75 24 99

Sécurité des terminaux McAfee 75 24 99

Antivirus Microsoft Defender (entreprise) 74 25 99

ESET Endpoint Security 74 24 98

Sécurité des terminaux VIPRE 75 23 98

Client D Deep Instinct 75 19 94

20 Endpoint Security Enterprise Protection Janvier - Mars 2022

Machine Translated by Google

Clause de non-responsabilité relative au rapport SE Labs

1. Les informations contenues dans ce rapport sont

susceptibles d'être modifiées et révisées par SE Labs
sans préavis.

2. SE Labs n'a aucune obligation de mettre à jour

ce rapport à tout moment.
3. SE Labs estime que les informations

contenus dans ce rapport sont exacts et fiables au

moment de sa publication,
qui se trouve au bas de la

page de contenu, mais SE Labs ne le garantit en

aucune façon.
4. Toute utilisation et toute confiance accordée à ce rapport,
ou à toute information contenue dans ce rapport, se fait
uniquement à vos risques et périls. SE Labs ne sera pas
tenu responsable de toute perte de profit (qu'elle soit
subie directement ou indirectement), de toute perte de
clientèle ou de réputation commerciale, de toute perte
de données subie, de perte économique pure, de coût
d'achat de biens ou de services de substitution, ou
d'autres perte immatérielle, ou toute perte indirecte,
accessoire, spéciale ou consécutive, coûts, dommages,
charges ou dépenses ou dommages exemplaires
découlant de son rapport de quelque manière que ce soit

quoi que ce soit.

5. Le contenu de ce rapport ne
constituent une recommandation, une garantie, une
approbation ou autre de l'un des produits répertoriés,
mentionnés ou testés.
6. Les tests et les résultats ultérieurs ne
ne garantit pas qu'il n'y a pas d'erreurs dans les
produits, ou que vous obtiendrez le
résultats identiques ou similaires. SE Labs ne

garantir de quelque manière que ce soit que les

produits répondront à vos attentes, exigences,
spécifications ou besoins.
7. Toutes les marques de commerce, noms commerciaux,
logos ou images utilisés dans ce rapport sont les
marques de commerce, noms commerciaux, logos ou
images de leurs propriétaires respectifs.
8. Le contenu de ce rapport est fourni sur une base "TEL
QUEL" et, par conséquent, SE Labs ne fait aucune
garantie ou représentation expresse ou implicite
concernant son exactitude ou son exhaustivité.