introduction
«Menace persistante avancée» est un terme couramment utilisé pour décrire une cyberattaque ciblée qui emploie un ensemble complexe de méthodes et de techniques pour pénétrer le (s) système (s) d’information. Différents objectifs de ces attaques pourraient être le vol / la substitution / l’endommagement d’informations confidentielles, ou la mise en place de capacités de sabotage, dont la dernière pourrait entraîner des dommages financiers et de réputation des organisations ciblées. Ces attaques sont très ciblées et impliquent généralement des outils hautement spécialisés. Les outils utilisés incluent le code malveillant fortement obscurci, l’utilisation malveillante d’outils système bénins et le code malveillant non basé sur des fichiers.
Dans notre test avancé de protection contre les menaces (Enhanced Real-World Test), nous utilisons des techniques de piratage et de pénétration qui permettent aux attaquants d’accéder aux systèmes informatiques internes. Ces attaques peuvent être décomposées en Cybersecurity Kill Chain de Lockheed Martin et en sept phases distinctes – chacune avec des IOC (Indicateurs de Compromis) uniques pour les victimes. Tous nos tests utilisent un sous-ensemble des TTP (Tactics, Techniques, Procedures) listés dans le framework MITRE ATT & CK . Un test de fausse alarme est également inclus dans le rapport.
Les tests utilisent une gamme de techniques et de ressources, imitant les logiciels malveillants utilisés dans le monde réel. Quelques exemples de ceux-ci sont donnés ici. Nous utilisons des programmes système pour tenter de contourner la détection basée sur les signatures. Les langages de script populaires (JavaScript, fichiers de commandes, PowerShell, scripts Visual Basic, etc.) sont utilisés. Les tests impliquent à la fois des échantillons de logiciels malveillants par étapes et non, et déploient l’obscurcissement et / ou le chiffrement du code malveillant avant son exécution (Base64, AES). Différents canaux C2 sont utilisés pour se connecter à l’attaquant (HTTP, HTTPS, TCP). On utilise des frameworks d’exploit connus (Metasploit Framework, Meterpreter, PowerShell Empire, Puppy, etc.).
Pour représenter le système ciblé, nous utilisons des systèmes Windows 10 64 bits entièrement corrigés, chacun avec un produit audiovisuel différent installé. Dans le test d’entreprise, l’utilisateur cible dispose d’un compte utilisateur standard. Dans le test consommateur, un compte administrateur est ciblé. Pour cette raison et d’autres (par exemple, des paramètres éventuellement différents), les résultats du test consommateur ne doivent pas être comparés à ceux du test entreprise.
Une fois la charge utile exécutée par la victime, un canal de commande et de contrôle (C2) vers le système de l’attaquant est ouvert. Pour que cela se produise, un auditeur doit courir du côté de l’attaquant. Par exemple, cela pourrait être un écouteur Metasploit sur un système Kali Linux. En utilisant le canal C2, l’attaquant a un accès complet au système compromis. La fonctionnalité et la stabilité de cet accès établi sont vérifiées dans chaque cas de test.
Le test consiste en 15 attaques différentes. Il se concentre actuellement sur la protection, pas sur la détection, et est réalisé entièrement manuellement. Si la procédure de test est nécessairement complexe, nous en avons utilisé une description assez simple dans ce rapport. Ceci est conforme aux commentaires des lecteurs et nous espérons que cela le rendra compréhensible à un public plus large.
Les fournisseurs de la série de tests principaux grand public AV ont eu la possibilité de se retirer de ce test avant le début du test, c’est pourquoi tous les fournisseurs ne sont pas inclus dans ce test. Certains fournisseurs continuent de perfectionner leurs produits avant de rejoindre ce test avancé. Nous félicitons tous les fournisseurs qui ont participé au test, même ceux dont les produits n’ont pas obtenu les meilleurs scores, car ils s’efforcent d’améliorer leur logiciel.
Portée du test
Le test ATP (Advanced Threat Protection) examine dans quelle mesure les produits testés protègent contre des méthodes d’attaque ciblées très spécifiques. Il ne tient pas compte de la sécurité globale fournie par chaque programme, ni de la manière dont il protège le système contre les logiciels malveillants téléchargés sur Internet ou introduits via des périphériques USB.
Il doit être considéré comme un ajout au test de protection du monde réel et au test de protection contre les logiciels malveillants, et non comme un remplacement pour l’un ou l’autre de ces derniers. Par conséquent, les lecteurs doivent également tenir compte des résultats d’autres tests de notre série de tests principaux lors de l’évaluation de la protection globale fournie par un produit individuel. Ce test vise à déterminer si les produits de sécurité protègent contre les techniques d’attaque / d’exploitation spécifiques utilisées dans les menaces persistantes avancées. Les lecteurs qui s’inquiètent de telles attaques devraient envisager les produits participant à ce test, dont les fournisseurs étaient convaincus de leur capacité à se protéger contre ces menaces lors du test.
Différences entre le test MITRE ATT & CK® et notre test ATP
Bien que notre test avancé de protection contre les menaces utilise des éléments du cadre ATT & CK, il s’agit d’un type de test très différent du test ATT & CK. Le test ATT & CK évalue principalement les produits de sécurité d’entreprise avec des capacités d’enquête et de réponse dans des situations où les fournisseurs respectifs surveillent activement l’attaque en temps réel. Ceci est parfois également appelé «test d’équipe rouge et bleu». L’accent est mis sur la détection et la journalisation des processus d’attaque (visibilité), sur l’alerte des administrateurs et sur la fourniture de données pour faciliter la recherche manuelle des menaces et les mesures de lutte contre les menaces.
Pour le test ATT & CK, les fournisseurs définissent leurs produits en mode «journal uniquement», afin d’en savoir le plus possible sur la chaîne d’attaque. De tels tests ont très certainement leur utilité et fournissent des données précieuses. Cependant, la protection des systèmes individuels contre les infections, et donc les dommages au système / aux données, n’est pas le but principal d’un tel test. Nous notons également que ATT & CK Test ne fournit pas de système de notation ou de classement final; il fournit plutôt des données brutes à analyser.
Notre test ATP, quant à lui, vise à déterminer dans quelle mesure un produit de sécurité protège le système sur lequel il est installé au quotidien. La question cruciale est de savoir si le produit protège le système contre l’attaque, ce qui importe peu quel composant de protection bloque l’attaque, ou à quel stade l’attaque est arrêtée, à condition que le système ne soit pas compromis. Nous considérons également les fausses alarmes dans notre test.
Produits testés
Les fournisseurs suivants ont participé au test de protection avancée contre les menaces. Ce sont les vendeurs qui avaient suffisamment confiance dans les capacités de protection de leurs produits contre les attaques ciblées pour participer à ce test public. Tous les autres fournisseurs de la série Consumer Main-Test ont choisi de ne pas participer au test.
Informations sur les moteurs / signatures tiers supplémentaires utilisés dans les produits: Vipre utilise le moteur Bitdefender. F-Secure utilise le moteur Avira. AVG est une version renommée d’Avast.
- Antivirus gratuit Avast 20.8
- Antivirus gratuit AVG 20.8
- Bitdefender Internet Security 25.0
- ESET Internet Security 13.2 – 14.0
- F-Secure SAFE 17.8
- Kaspersky Internet Security 21.1
- Sécurité avancée VIPRE 11.1
Tous les produits grand public ont été testés avec les paramètres par défaut.
Procédure de test
Les scripts tels que les macros VBS, JS ou MS Office peuvent exécuter et installer une porte dérobée sans fichier sur les systèmes des victimes et créer un canal de contrôle (C2) vers l’attaquant, qui se trouve généralement dans un emplacement physique différent, et peut-être même dans un autre pays. En dehors de ces scénarios bien connus, il est possible de diffuser des logiciels malveillants en utilisant des exploits, des appels à distance (PSexec, wmic), un planificateur de tâches, des entrées de registre, du matériel Arduino (USB RubberDucky) et des appels WMI. Cela peut être fait avec des outils Windows intégrés tels que PowerShell. Ces méthodes chargent le malware réel directement à partir d’Internet dans la mémoire du système cible et continuent de s’étendre davantage dans le réseau local avec des outils de système d’exploitation natifs. Ils peuvent même devenir persistants sur les machines de cette manière. Le test de cette année n’utilise pas de logiciels malveillants exécutables portables (PE). cependant, à mesure que la nature des menaces persistantes avancées continue d’évoluer, nous pourrons en introduire un ou deux échantillons dans le futur, le cas échéant.
Attaques sans fichier
Dans le domaine des logiciels malveillants, il existe de nombreuses catégories de classification (qui peuvent se chevaucher) et, entre autres, une distinction peut être faite entre les logiciels malveillants basés sur des fichiers et sans fichiers. Depuis 2017, une augmentation significative des menaces sans fichier a été enregistrée. L’une des raisons à cela est que de telles attaques se sont avérées très fructueuses du point de vue des attaquants. L’un des facteurs de leur efficacité est le fait que les menaces sans fichier n’opèrent que dans la mémoire du système compromis, ce qui rend plus difficile pour les solutions de sécurité de les reconnaître. Il est important que les menaces sans fichier soient reconnues par les programmes de sécurité des consommateurs ainsi que par les produits commerciaux, pour les raisons indiquées ci-dessous.
Attaquer les vecteurs et les cibles
Dans les tests de pénétration, nous constatons que certains vecteurs d’attaque peuvent ne pas être encore bien couverts par les programmes de sécurité, et de nombreux produits audiovisuels populaires offrent encore une protection insuffisante. Certains produits de sécurité d’entreprise apportent désormais des améliorations dans ce domaine et offrent une meilleure protection dans certains scénarios. Comme mentionné ci-dessus, nous pensons que les produits de consommation doivent également améliorer leur protection contre de telles attaques malveillantes; les utilisateurs non professionnels peuvent être et sont attaqués de la même manière. N’importe qui peut être ciblé, pour diverses raisons, y compris le «doxing» (publication d’informations personnelles confidentielles) comme acte de vengeance. Attaquer les ordinateurs personnels des hommes d’affaires est également un moyen évident d’accéder aux données de leur entreprise.
Méthodes d’attaque
Dans le test de protection avancée contre les menaces, nous incluons également plusieurs piles de ligne de commande différentes, des commandes CMD / PS, qui peuvent télécharger des logiciels malveillants à partir du réseau directement dans la RAM (par étapes) ou des appels encodés en base64. Ces méthodes évitent complètement l’accès au disque, qui est (généralement) bien protégé par les produits de sécurité. Nous utilisons parfois de simples mesures de dissimulation, ou modifions également la méthode de l’appel du stager. Une fois que le malware a chargé sa deuxième étape, une connexion http / https à l’attaquant sera établie. Ce mécanisme à l’envers présente l’avantage d’établir un canal C2 vers l’attaquant qui dépasse les mesures de protection de la majorité des produits NAT et pare-feu. Une fois le tunnel C2 établi, l’attaquant peut utiliser tous les mécanismes de contrôle connus des produits C2 courants (Meterpreter, PowerShell Empire, etc.). Ceux-ci incluent par exemple téléchargements / téléchargements de fichiers, captures d’écran, enregistrement de frappe, shell Windows (GUI) et instantanés de la webcam. Tous les outils utilisés sont disponibles gratuitement. Leur code source est ouvert et créé à des fins de recherche. Cependant, les méchants abusent souvent de ces outils à des fins criminelles.
Test de faux positif (fausse alarme)
Un produit de sécurité qui bloque 100% des attaques malveillantes, mais bloque également les actions légitimes (non malveillantes), peut être extrêmement perturbateur. Par conséquent, nous effectuons un test de faux positifs dans le cadre du test avancé de protection contre les menaces, pour vérifier si les produits testés sont capables de distinguer les actions malveillantes des actions non malveillantes. Sinon, un produit de sécurité pourrait facilement bloquer 100% des attaques malveillantes qui utilisent par exemple des pièces jointes, des scripts et des macros de courrier électronique, simplement en bloquant ces fonctions. Pour de nombreux utilisateurs, cela pourrait rendre impossible l’exécution de leurs tâches quotidiennes normales. Par conséquent, les scores faux positifs sont pris en compte dans la note de test du produit.
Nous notons également que mettre en garde l’utilisateur contre, par exemple, l’ouverture de pièces jointes inoffensives peut conduire à un scénario «garçon qui a crié au loup». Les utilisateurs qui rencontrent un certain nombre d’avertissements inutiles supposeront tôt ou tard que tous les avertissements sont de fausses alarmes, et ignoreront ainsi un avertissement authentique lorsqu’il survient.
Cas de test
Nous avons utilisé cinq phases d’accès initial différentes , réparties parmi les 15 cas de test (par exemple, 3 cas de test sont venus par e-mail / pièce jointe de spear-phishing).
- Relation de confiance: «Les adversaires peuvent violer ou exercer une influence sur les organisations qui ont accès aux victimes prévues. L’accès via une relation tierce de confiance exploite une connexion existante qui n’est peut-être pas protégée ou qui est moins examinée que les mécanismes standard permettant d’accéder à un réseau. » (Source: https://attack.mitre.org/techniques/T1199/ )
- Comptes valides: «Les adversaires peuvent voler les informations d’identification d’un utilisateur ou d’un compte de service spécifique en utilisant des techniques d’accès aux informations d’identification ou capturer des informations d’identification plus tôt dans leur processus de reconnaissance grâce à l’ingénierie sociale […].» (Source: https://attack.mitre.org/techniques / T1078 / )
- Réplication via des supports amovibles: «Les adversaires peuvent se déplacer sur les systèmes […] en copiant un logiciel malveillant sur un support amovible […] et en le renommant pour qu’il ressemble à un fichier légitime pour inciter les utilisateurs à l’exécuter sur un système distinct. […] »(Source: https://attack.mitre.org/techniques/T1091/ )
- Pièce jointe Spearphishing: «La pièce jointe Spearphishing est […] utilise des logiciels malveillants joints à un e-mail. […] »(Source: https://attack.mitre.org/techniques/T1193/ )
- Lien Spearphishing: «Spearphishing with a link […] utilise des liens pour télécharger des logiciels malveillants contenus dans les e-mails […].» (Source: https://attack.mitre.org/techniques/T1192/ )
Les 15 scénarios de test utilisés dans ce test sont très brièvement décrits ci-dessous:
1) Cette menace est introduite via Trusted Relationship. MSHTA lance une application HTML, qui exécute une charge utile Empire PowerShell par étapes .
2) Cette menace est introduite via Trusted Relationship. Un script PowerShell contenant un contournement AMSI et un stager PowerShell Empire a été exécuté.
3) Cette menace est introduite via Trusted Relationship. Windows Scripting Host a été utilisé pour télécharger une charge utile PowerShell via un Empire PowerShell Stager intégré , combiné à un contournement AMSI.
4) Cette menace est introduite via des comptes valides. L’utilitaire Windows de confiance Microsoft Build Engine a été utilisé pour proxy l’exécution d’une macro payload Empire , qui ouvre un canal de commande et de contrôle.
5) Cette menace est introduite via des comptes valides. Un VBScript qui génère un processus PowerShell et exécute une charge utile Empire a été utilisé.
6) Cette menace est introduite via des comptes valides. Un fichier de commandes a été utilisé pour exécuter un stager PowerShell obscurci, télécharger un PoshC2 obscurci
7) Cette menace est introduite via un support amovible (USB). Un JavaScript exécute un stager PowerShell masqué, qui télécharge et exécute une charge utile PoshC2 PowerShell.
8) Cette menace est introduite via un support amovible (USB). MSHTA.exe exécute un stager PowerShell qui lance une charge utile PowerShell PoshC2 codée en base64 .
9) Cette menace est introduite via un support amovible (USB). Une macro Microsoft Office malveillante exécute une charge utile PoshC2 PowerShell.
10) Cette menace est introduite via Spearphishing Attachment. VBScript télécharge et exécute un XSL PoshC2
11) Cette menace est introduite via Spearphishing Attachment. Une application HTML télécharge et exécute une charge utile PowerShell obfusquée. Ce cas de test a été créé avec Metasploit Meterpreter .
12) Cette menace est introduite via Spearphishing Attachment. VBScript télécharge et exécute une charge utile XSL. Ce cas de test a été créé avec Metasploit Meterpreter .
13) Cette menace est introduite via Spearphishing Link. MSHTA.exe télécharge et exécute une charge utile XSL obfusquée. Ce cas de test a été créé avec Metasploit Meterpreter .
14) Cette menace est introduite via Spearphishing Link. Un JavaScript télécharge et exécute une charge utile PowerShell obfusquée. Ce cas de test a été créé avec Metasploit Meterpreter .
15) Cette menace est introduite via Spearphishing Link. exe télécharge et exécute un stager PowerShell qui télécharge et exécute une charge utile PowerShell étagée PowerShell Empire chiffrée , combinée à un contournement AMSI.
Test de fausses alarmes : Divers scénarios de fausses alarmes ont été utilisés afin de voir si un produit sur-bloque certaines actions (par exemple en bloquant par politique les pièces jointes aux e-mails, la communication, les scripts, etc.). Aucun des produits testés n’a montré de comportement de blocage excessif dans les scénarios de test de fausse alarme utilisés.
Si au cours du test, nous devions observer des produits adaptant leur protection à notre environnement de test, nous utiliserions des contre-mesures pour échapper à ces adaptations, afin de garantir que chaque produit puisse réellement détecter l’attaque, par opposition à la situation de test.
Que couvrent les différentes études de cas?
Nos tests utilisent un sous-ensemble des TTP (Tactics, Techniques, Procedures) listés dans le Framework MITRE ATT & CK . Cette année, les 15 cas de test ci-dessus couvrent les éléments indiqués dans le tableau ci-dessous:
À des fins de référence, le Framework complet MITRE ATT & CK pour Windows peut être vu ici: https://attack.mitre.org/matrices/enterprise/windows/
Résultats de test
Voici les résultats des 15 attaques utilisées dans ce test:
Scénarios de test | |||||||||||||||||||
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | PF | But | |||
Avast | N | 11 | |||||||||||||||||
AVG | N | 11 | |||||||||||||||||
Bitdefender | N | 13 | |||||||||||||||||
ESET | N | 13 | |||||||||||||||||
F-Secure | N | 6 | |||||||||||||||||
Kaspersky | N | 14 | |||||||||||||||||
Vipre | N | dix | |||||||||||||||||
Clé | ||
Menace détectée, pas de session C2, système protégé | 1 point | |
Aucune alerte affichée, mais aucune session C2 établie, système protégé | 1 point | |
Menace non détectée, session C2 établie | 0 point | |
Résultat de la protection invalide, car des scripts / fonctions non malveillants ont également été bloqués | N / A |
À notre avis, l’objectif de chaque système AV / EPP / EDR doit être de détecter et de prévenir les attaques ou autres logiciels malveillants le plus rapidement possible. En d’autres termes, si l’attaque est détectée avant, pendant ou peu après l’exécution, empêchant ainsi par exemple l’ouverture d’un canal de commande et de contrôle, il n’est pas nécessaire d’empêcher les activités post-exploitation. Une bonne alarme antivol devrait se déclencher lorsque quelqu’un s’introduit par effraction dans votre maison, n’attendez pas qu’il commence à voler des choses.
Un produit qui bloque certaines fonctions légitimes (par exemple les pièces jointes ou les scripts d’e-mail) ne sera classé que comme «testé».
Observations sur les produits de consommation
Dans cette section, nous rapportons des informations supplémentaires qui pourraient intéresser les lecteurs.
Étapes de détection / blocage
Pré-exécution (PRE): lorsque la menace n’a pas été exécutée et est inactive sur le système.
À l’exécution (ON): immédiatement après l’exécution de la menace.
Post-exécution (POST): après que la menace a été exécutée et que ses actions ont été reconnues.
Scénarios de test | ||||||||||||||||
1 | 2 | 3 | 4 | 5 | 6 | sept | 8 | 9 | dix | 11 | 12 | 13 | 14 | 15 | ||
Avast | SUR | PUBLIER | PRÉ | PUBLIER | PRÉ | SUR | PUBLIER | – | – | SUR | – | PUBLIER | – | PUBLIER | SUR | |
AVG | SUR | PUBLIER | PRÉ | PUBLIER | PRÉ | SUR | PUBLIER | – | – | SUR | – | PUBLIER | – | PUBLIER | SUR | |
Bitdefender | PRÉ | PRÉ | PRÉ | PUBLIER | PRÉ | SUR | PRÉ | PUBLIER | PRÉ | – | PRÉ | SUR | – | PRÉ | PRÉ | |
ESET | SUR | SUR | SUR | SUR | SUR | SUR | PUBLIER | SUR | – | – | PRÉ | PRÉ | PRÉ | PRÉ | SUR | |
F-Secure | SUR | SUR | – | PUBLIER | – | – | – | – | PRÉ | – | – | – | – | SUR | SUR | |
Kaspersky | PUBLIER | PRÉ | PRÉ | PRÉ | PRÉ | – | SUR | PUBLIER | SUR | PUBLIER | PRÉ | PRÉ | PUBLIER | SUR | SUR | |
Vipre | PRÉ | – | PRÉ | PRÉ | SUR | PRÉ | PUBLIER | PRÉ | – | PRÉ | – | – | PRÉ | PRÉ | ||
Avast, AVG : Dans deux cas, il n’y a pas eu d’alerte, mais pas de session C2 stable.
Bitdefender : de nombreuses détections ont eu lieu avant l’exécution de la menace, en raison de l’heuristique des scripts malveillants.
ESET: Dans un cas, il n’y a pas eu d’alerte, mais pas de session C2 stable. La plupart des pièces jointes malveillantes ont été détectées avant que les pièces jointes ne soient enregistrées sur le disque.
F-Secure : Les détections concernaient principalement le code d’exploitation PowerShell.
Kaspersky : Environ la moitié des attaques ont été bloquées avant que la menace ne soit exécutée, en raison de l’heuristique des scripts malveillants, et la plupart des autres attaques ont été bloquées après l’exécution par le bloqueur de comportement.
Vipre: de nombreuses détections ont eu lieu avant l’exécution de la menace, en raison de l’heuristique des scripts malveillants. Un cas (n ° 12) a été détecté (et le fichier sur le disque a été supprimé), mais la menace a continué à s’exécuter en mémoire et l’attaque s’est poursuivie sans problème.
Tous les fournisseurs testés implémentent en permanence des améliorations dans le produit, il faut donc s’attendre à ce que la plupart des attaques manquées utilisées dans le test soient couvertes maintenant.
Niveaux de récompense atteints dans ce test amélioré du monde réel
D’après notre expérience, nous savons que de nombreux programmes audiovisuels grand public n’offrent pas une protection efficace contre les types de menaces utilisées dans ce test. Pour cette raison, une application de sécurité grand public qui détecte même 5 menaces sur 15 mérite une récompense pour «Advanced Threat Protection» (ATP). Les critères précis pour les récompenses dans ce test sont donnés ci-dessous:
0-4 | 5-8 | 9-12 | 13-15 | |
Pas de fausses alarmes / blocage des fonctionnalités | TESTÉ | LA NORME | AVANCÉE | AVANCÉ + |
Faux alarmes / blocage des fonctionnalités | TESTÉ | TESTÉ | TESTÉ | TESTÉ + |
À propos de ce test
Le test avancé de protection contre les menaces pour les produits grand public est une partie facultative de la série de tests principaux publics. Nous félicitons les vendeurs qui ont choisi de participer. Ils ont évidemment travaillé dur sur leurs produits et utilisent ces tests publics tiers comme vérification indépendante que leurs produits font ce qu’ils prétendent. La nature complexe du test signifie que l’automatisation n’est pas possible et doit être effectuée entièrement manuellement, ce qui rend son exécution coûteuse. Cependant, les fournisseurs de la série Consumer Main-Test ont eu la possibilité de participer au test public Advanced Threat Protection de 2020 sans frais supplémentaires pour eux-mêmes.
Comme certaines des méthodes d’attaque utilisées dans le test utilisent des programmes et des techniques système légitimes, il serait assez facile pour un fournisseur d’arrêter de telles attaques, par exemple simplement en bloquant l’utilisation de ces processus légitimes. Cependant, cela aboutirait à ce que le produit concerné soit marqué pour les faux positifs, de la même manière qu’un programme de sécurité serait marqué pour bloquer, par exemple, tous les fichiers programmes exécutables inconnus. De même, dans ce test, empêcher une attaque, par exemple en mettant simplement sur une liste noire les serveurs, fichiers ou e-mails utilisés provenant d’un nom de domaine particulier, ne serait pas autorisé comme moyen d’empêcher une attaque ciblée. De même, nous n’acceptons pas une approche qui ne fait pas la distinction entre les processus malveillants et non malveillants, mais qui nécessite par exemple qu’un administrateur en liste blanche ceux qui devraient être autorisés.
Dans notre série Consumer Main-Test, les produits sont testés avec leurs paramètres par défaut. Dans la série Business Main-Test, les fournisseurs sont autorisés à configurer les produits comme ils l’entendent – comme c’est la pratique courante avec les produits de sécurité d’entreprise dans le monde réel. Cependant, le même produit et la même configuration sont utilisés pour tous les tests de la série. Si nous n’insistions pas là-dessus, un fournisseur pourrait activer les paramètres de protection ou activer des fonctionnalités afin d’obtenir un score élevé dans les tests de protection dans le monde réel et contre les logiciels malveillants, mais les désactiver / les désactiver pour les tests de performance et les faux positifs, dans l’ordre pour apparaître plus rapidement et moins sujet aux erreurs. Dans la vraie vie, les utilisateurs ne peuvent avoir qu’un seul paramètre à la fois, ils devraient donc être en mesure de voir si des scores de protection élevés signifient des performances système plus lentes ou si des scores faussement positifs inférieurs signifient une protection réduite.
Certains fournisseurs ont demandé des détails précis sur le jour et l’heure du test, afin de pouvoir surveiller les attaques en temps réel et interagir avec leurs produits lorsqu’ils le jugeraient bénéfique. Étant donné que le but du test est de mesurer les capacités de protection, plutôt que d’analyser les méthodes d’attaque, nous n’avons fourni à aucun fournisseur d’informations à l’avance sur le moment où le test serait effectué. Dans la vraie vie, les attaquants ne disent pas à leurs victimes quand ils vont attaquer, les produits doivent donc fournir une protection tout le temps. Nous avons également reçu des demandes de fournisseurs concernant les méthodes d’attaque à utiliser dans le test. Encore une fois, comme le test porte sur la protection plutôt que sur l’analyse / la visibilité, nous n’avons pas divulgué de détails spécifiques sur les méthodes d’attaque. Après le test, nous fournissons à chaque fournisseur participant des données suffisantes pour les aider à comprendre l’un de leurs cas de test manqués.
Le test est très difficile, mais en même temps, il reflète également des scénarios réalistes. Nous avons eu des retours positifs de la part des départements techniques de nombreux fournisseurs. Les testeurs de pénétration voient chaque jour les capacités réelles des produits dans leurs tests. Notre test de comparaison tente de créer des conditions de concurrence équitables qui nous permettent de comparer équitablement les capacités de protection des différents produits contre de telles attaques. Cela permet aux utilisateurs de voir dans quelle mesure ils sont protégés et permet aux fournisseurs, si nécessaire, d’améliorer leurs produits à l’avenir.
Copyright et clause de non-responsabilité
Cette publication est Copyright © 2020 par AV-Comparatives ®. Toute utilisation des résultats, etc. en tout ou en partie, est UNIQUEMENT autorisée après accord explicite et écrit du conseil d’administration d’AV-Comparatives préalablement à toute publication. AV-Comparatives et ses testeurs ne peuvent être tenus responsables de tout dommage ou perte qui pourrait survenir à la suite de, ou en relation avec, l’utilisation des informations fournies dans ce document. Nous prenons toutes les précautions possibles pour garantir l’exactitude des données de base, mais aucune responsabilité quant à l’exactitude des résultats des tests ne peut être prise par un représentant d’AV-Comparatives. Nous ne donnons aucune garantie quant à l’exactitude, l’exhaustivité ou l’adéquation à un objectif spécifique de l’une quelconque des informations / contenus fournis à un moment donné. Personne d’autre n’est impliqué dans la création, la production ou la livraison de résultats de test sera responsable de tout dommage indirect, spécial ou consécutif, ou perte de bénéfices, découlant de ou lié à l’utilisation ou à l’incapacité d’utiliser, les services fournis par le site Web, les documents de test ou toute donnée connexe .
Pour plus d’informations sur AV-Comparatives et les méthodologies de test, veuillez visiter notre site Web.
AV-Comparatives
(décembre 2020)