Vidéo: Comment protéger mon entreprise des logiciels malveillants? (Novembre 2024)
Chaque produit antivirus et suite de sécurité doit empêcher les attaques de virus et autres logiciels malveillants. Je conteste de tels produits en essayant délibérément d'infecter un système de test protégé à l'aide d'échantillons de logiciels malveillants connus. Je calcule ensuite un score de blocage des programmes malveillants en fonction de la capacité du produit à détecter et à prévenir ces attaques. Je vérifie également la capacité de l'antivirus à prévenir l'infection en bloquant les URL d'hébergement de logiciels malveillants.
Blocage des URL malveillantes
Presque tous les logiciels malveillants modernes atteignent votre système à partir d'Internet. De nombreux produits antivirus préviennent les infections en bloquant tout accès aux URL d'hébergement de logiciels malveillants. D'autres vérifient les fichiers pendant ou immédiatement après le téléchargement. L'année dernière, j'ai introduit un test visant spécifiquement à mesurer la capacité d'un produit à bloquer les URL malveillantes.
Je commence par un flux d'URL malveillantes extrêmement nouvelles fournies par MRG-Effitas. Ils traitent chaque jour plusieurs milliers d’URL; ceux que j’utilise en général n’ont pas plus de quatre heures. Je filtre la liste pour capturer spécifiquement les URL pointant vers un fichier exécutable.
Le processus de test est assez simple. À l'aide d'un simple utilitaire que j'ai moi-même codé, je lance les URL dans Internet Explorer, avec la sécurité propre d'IE désactivée. Pour chaque URL, il existe trois résultats possibles. Le logiciel de sécurité peut bloquer tout accès à l'URL, effacer le fichier pendant ou juste après le téléchargement, ou ne rien faire. Je rapporte le pourcentage total bloqué, que ce soit au niveau de l'URL ou lors du téléchargement.
Je fais ce test depuis novembre 2013; Je n'ai pas de données pour les produits examinés avant cette date.
Attaque malveillante délibérée
Mes échantillons de logiciels malveillants changent avec le temps, mais la collection comprend généralement des logiciels publicitaires, des logiciels espions, des virus, des vers, des scarewares (logiciels de sécurité non fiables), des rootkits et des chevaux de Troie.
J'installe le produit sur un système de test vierge et exécute manuellement une mise à jour afin de m'assurer qu'il contient les définitions de virus les plus récentes. Ensuite, j'ouvre simplement un dossier contenant la collection d'échantillons et note comment le produit réagit. Dans de nombreux cas, l'accès minimal qui se produit lorsque l'Explorateur Windows affiche le nom du fichier est suffisant pour déclencher une protection en temps réel. Je clique également sur chaque fichier en un seul clic, car la protection en temps réel de certains produits n'intervient qu'au clic.
Notation
Naturellement, le produit marque dix points pour chaque menace éliminée à vue. Poursuivant le test, je lance les échantillons qui ont survécu à l’abattage initial et note la réaction du produit. En règle générale, j'en lance trois ou quatre, puis j'utilise mes outils d'analyse exclusifs pour déterminer si les menaces ont réussi à placer des fichiers sur le système de test.
- Comment éviter les scarewares Comment éviter les scarewares
- Virus, logiciels espions et logiciels malveillants: quelle est la différence? Virus, logiciels espions et logiciels malveillants: quelle est la différence?
Si la menace ne plante pas de fichiers exécutables et qu'elle installe de zéro à 20% de ses fichiers non exécutables et des fichiers indésirables du registre, je lui attribue dix points, comme si l'antivirus l'avait effacé à vue. Un antivirus qui permettait à la menace de placer 20 à 80% de ses déchets sur le système de test obtient toujours neuf points. Cela tombe à huit points si 80% ou plus des déchets sont tombés sur le système de test.
Une fois que l'antivirus a détecté une menace lors d'une tentative d'installation, il devrait empêcher le placement de fichiers exécutables. Si un fichier exécutable passe à travers, j'offre cinq points, soit un demi-crédit. Si, malgré tous les efforts déployés par l'antivirus, un composant malveillant parvient à s'exécuter, le nombre de points devient trois. Naturellement, un échec total dans la détection de la menace ne rapporte aucun point. Le score de blocage global est simplement la moyenne de tous les scores individuels. Je distingue également des partitions distinctes pour le blocage des rootkits et des scarewares.
La note finale du produit n'a pas de corrélation individuelle avec les scores de blocage et d'élimination des logiciels malveillants. D'autres facteurs peuvent entrer en ligne de compte, notamment les résultats de tests en laboratoire indépendants. Toutefois, bien noter le blocage de mes programmes malveillants et les tests de blocage des URL malveillants aide certainement à obtenir une bonne note.
