Évaluation des solutions pour client-serveur de PME-PMI

Mai 2006
Évaluation des solutions
pour client-serveur de
PME-PMI
Trend Micro Client Server Messaging Security for SMB
Symantec Client Security for Groupware
McAfee Active Defense 8.0
Rapport de test
Test comparatif
Présentation générale
3
Introduction et objectifs
4
Description des produits
5
Environnement de test : résumé
6
Méthodologie de test
7
Scénarios de test
8
Résultats de test
9
Conclusion
20
Annexes
•
Annexe A : Environnement de test (détails).
21
•
Annexe B : Procédures de test.
24
•
Annexe C : Intervention de Trend Micro lors d'une véritable épidémie.
27
West Coast Labs, William Knox House, Britannic Way, Llandarcy, Swansea, SA10 6EL, Royaume-Uni.
Tél. : +44 1792 324000, Fax : +44 1792 324001. www.westcoastlabs.org
2
06/27/2006
Page de 28
Rapport de test
Présentation générale
Ce rapport de test décrit une étude comparative de trois solutions conçues pour les PME-PMI développées par
les plus grands distributeurs de logiciels antivirus : McAfee, Symantec et Trend Micro. Cette étude décrit la
facilité d'utilisation de chacune des trois solutions, de même que leur capacité à évaluer, prévenir, protéger et
nettoyer les virus en cas d'épidémie, ne requérant que peu d'intervention de la part des spécialistes informatiques,
voire aucune.
Dans le cadre de ces tests spécifiques, il a été démontré que la solution Trend Micro offre un service supérieur
par rapport aux autres solutions, étant donné que ses fonctionnalités semblent parfaitement adaptées aux
entreprises disposant d'une équipe informatique restreinte ou inexistante.
En effet, il s'agit de la seule solution présentant des fonctions intégrées automatiques pour la surveillance et la
prévention de la propagation de nouveaux virus avant la mise à disposition d'un fichier de signatures et afin
d'identifier les ordinateurs sur lesquels une faille du système risque d'être exploitée par cette nouvelle menace.
Étant donné que la plupart des petites et moyennes entreprises ne disposent pas d'un personnel de sécurité
informatique disponible 24 heures/24 et 7 jours/7, cette fonction de protection automatique contribue à assurer la
continuité des activités dans de telles entreprises.
3
06/27/2006
Page de 28
Rapport de test
Introduction et objectifs
Tous les produits de sécurité ne fonctionnent pas de la même manière au niveau de la protection des petites et
moyennes entreprises. Dans l'élaboration de ce rapport, West Coast Labs a eu le privilège de pouvoir analyser et
évaluer les plus grands distributeurs de produits de sécurité contre les programmes malveillants, à savoir
McAfee, Symantec et Trend Micro. Notre équipe a mis en place une série de méthodologies de tests
soigneusement préparées et les plus neutres possibles, spécialement conçues pour ne favoriser aucune
technologie particulière par rapport aux autres.
Ce test consiste en une comparaison des solutions suivantes :
•
Trend Micro : Client Server Messaging Security for SMB 3.0
•
Symantec : Client Security 3.0 for Groupware
•
McAfee : Active Virus Defense 8.0i
Le fonctionnement et les caractéristiques de chaque solution ont été évalués au niveau de leur réponse face à une
épidémie de programmes malveillants, de même que l'implication potentiellement nécessaire du personnel
informatique et le temps et les efforts potentiellement requis pour restaurer un ordinateur/réseau afin qu'il
recouvre son état opérationnel normal suite à une épidémie.
Objectifs
Les objectifs de tests principaux étaient d'évaluer et d'homologuer les acteurs de premier plan en matière de
gestion de sécurité de contenu de même que leurs produits pour clients/serveurs pour environnement PME-PMI.
Les critères d'évaluation reposaient sur les domaines suivants :
•
Convivialité au niveau de l'installation, de l'administration et de l'intuitivité
•
Capacité à détecter les menaces de programmes malveillants futures connues et inconnues et d'assurer
une protection contre ces risques
•
Nettoyage et réparation de clients en réseau, avec peu ou pas d'intervention de l'équipe informatique.
•
Identification et évaluation des ordinateurs vulnérables face à une attaque spécifique de programmes
malveillants
4
06/27/2006
Page de 28
Rapport de test
Description des produits
McAfee Active Virus Defense 8.0i… selon les propos de McAfee
« … La solution antivirus la plus complète disponible sur le marché, conçue pour répondre aux besoins des
entreprises en plein essor et disposant de ressources limitées. McAfee® Active Virus Defense SMB Edition,
utilisé en association avec McAfee® ProtectionPilot™ et sa console d'administration facile d'utilisation, offre
des fonctions de détection et de nettoyage des virus sur serveurs et postes de travail, de même qu'une protection
au niveau de la passerelle Internet. »
http://www.mcafee.com/
Symantec Client Security 3.0 for Groupware selon les propos de Symantec
« …Client Security 3.0 with Groupware Protection protège l'entreprise des virus, spywares, pirates et messages
de spam. Symantec AntiVirus™ détecte et supprime automatiquement les codes malicieux, tandis que
Symantec™ Mail Security filtre les messages électroniques non sollicités. Une gestion centralisée et un système
de mises à jour automatiques facilitent la protection des entreprises contre les menaces connues et émergentes. »
http://www.symantec.com/
Trend Client Server Messaging Security for SMB 3.0 selon les propos de Trend Micro
« …Solution antivirus, anti-spam et de pare-feu personnel sans souci pour PME-PMI qui protège les ordinateurs,
serveurs Windows et serveurs Microsoft™ Exchange contre les virus, messages de spam et pirates grâce à un
système de défense intégré tout-en-un. Trend Micro Client Server Messaging Security for SMB simplifie de
manière significative la gestion de la sécurité pour les sociétés nécessitant une approche sans souci de la
sécurité. »
http://www.trendmicro-europe.com/
REMARQUE : nous nous permettons de souligner que, si les trois produits ont été développés pour une
utilisation dans un environnement PME-PMI, chaque solution présente des fonctionnalités et caractéristiques
techniques différentes.
5
06/27/2006
Page de 28
Rapport de test
Environnement de test : résumé
L'environnement de test (conçu pour refléter le réseau d'une PME-PMI dans la réalité), comprenait :
•
10 ordinateurs clients exécutant Microsoft Windows XP Professionnel ;
•
1 serveur sur lequel était installé Microsoft Windows Server 2003 et principalement configuré comme
contrôleur de domaine Active Directory ;
•
1 serveur sur lequel était installé Microsoft Small Business Server 2003 et principalement configuré
comme passerelle de messagerie Microsoft Exchange ;
•
une connexion Internet, avec accès via routeur ou pare-feu ;
•
un ordinateur West Coast Labs de contrôle et d'enregistrement des données.
Le diagramme de réseau ci-dessous est une représentation simplifiée de l'environnement de test :
REMARQUE : pour de plus amples informations concernant l'environnement de test
et la configuration du réseau, veuillez consulter l'annexe A de ce rapport.
6
06/27/2006
Page de 28
Rapport de test
Méthodologie de test
Les tests ont été effectués dans les locaux de West Coast Labs dans un environnement PME-PMI virtuel visant à
reproduire une situation réelle. Les différentes tâches, basées sur des scénarios, ont été réalisées en fonction de la
convivialité et des fonctions de détection, de prévention, de restauration et d'évaluation de chaque solution.
Chaque tâche a été répétée et observée exactement de la même manière et dans les mêmes conditions
d'environnement pour chaque solution testée.
West Coast Labs a quantifié la facilité d'utilisation en terme d'intuitivité (temps requis et complexité) de
l'installation, de la gestion/administration et de l'automatisation par rapport aux étapes manuelles nécessaires
pour exécuter des fonctions de base comme la restauration et la mise en œuvre de mesures préventives sur le
réseau. L'analyse d'autres caractéristiques telles que l'esthétique ou la mise en page n'a pas été prise en compte
dans ces tests.
La détection de programmes malveillants à l'aide de techniques de signatures fait partie des méthodes les plus
employées aujourd'hui. C'est pourquoi la protection de type « zero-day » ou l'interception de l'infection au cours
du premier jour de l'épidémie et avant qu'une signature ne soit disponible représente un véritable défi. C'est
pourquoi, en plus des échantillons de programmes malveillants connus, West Coast Labs a également testé une
série d'échantillons de programmes malveillants inconnus afin d'évaluer la réponse de chaque solution avant la
mise à disposition de la signature du virus.
7
06/27/2006
Page de 28
Rapport de test
Scénarios de test
1. Convivialité
La convivialité a été analysée en quantifiant le nombre de supports d'installation et de procédures
d'installation requis au cours de l'installation par défaut de chaque solution, de même que les tâches
administratives de base requises pour assurer le fonctionnement de chaque solution.
2. Évaluation des failles
Une évaluation des failles visant à évaluer les niveaux de correctifs relatifs aux programmes
malveillants a été initiée sur l'ensemble du réseau test à l'aide de la fonction intégrée de chaque solution,
dans la mesure où une telle fonction existait sur le produit d'origine sans nécessiter d'achat de solutions
complémentaires. L'outil Windows Update a été utilisé pour évaluer les failles lorsqu'une telle fonction
de produit spécifique dans ce domaine était inexistante. La durée et les efforts nécessaires ont été
enregistrés en tant que résultats mesurables.
3. Épidémie de programmes malveillants Groupe A/Groupe B : menaces connues
Des programmes malveillants de Groupe A et Groupe B ont été introduits sur le réseau
test afin de vérifier les capacités immédiates de détection/restauration et leurs effets
sur les échantillons connus. Dans le cadre de ce projet, West Coast Labs avait
auparavant vérifié que les signatures de virus ou méthodes de détection heuristique
étaient disponibles pour ces échantillons sur chacun des produits testés.
4. Épidémie de programmes malveillants Groupe C : menaces inconnues
Des programmes malveillants de Groupe C ont été introduits sur le réseau test afin de vérifier les
capacités immédiates de détection/restauration et leurs effets sur les échantillons inconnus. West Coast
Labs avait auparavant vérifié que les signatures de virus ou méthodes de détection heuristique n'étaient
pas disponibles pour ces échantillons sur chacun des produits testés. Ce scénario (comprenant toutes les
durées et tous les événements synchronisés) a été mis en œuvre en accord avec la simulation d'épidémie
de programmes malveillants « zero day », décrite dans l'annexe B : Procédures de test de ce rapport.
REMARQUE : Les échantillons utilisés dans les groupes A, B et C sont détaillés dans
l'annexe A de ce rapport.
8
06/27/2006
Page de 28
Rapport de test
Résultats de test
(Nb = nombre total)
Supports/programmes d'installation
Les tests ont permis d'évaluer le type de supports et le nombre de programmes individuels nécessaires à
l'installation complète de chaque solution.
McAfee
Type de support :
Nb de programmes
d'installation :
Téléchargement Internet
3
Symantec
Trend Micro
CD/téléchargement
CD/téléchargement
Internet
Internet
2
1
Activités d'installation par défaut.
Ces tests ont permis de quantifier les activités d'installation par défaut (étapes nécessaires à
l'installation complète de chaque solution) selon les critères suivants : nombre d'écrans
visionnés par la personne procédant à l'installation ; nombre d'actions/interventions manuelles
requises pour installer chaque solution ; activités supplémentaires, comme la connexion à
Internet externe nécessaire dans le cadre de la licence ; et enfin, le redémarrage de tous les
ordinateurs suite à l'installation. Ces données englobent l'installation de la console
d'administration, du module Exchange et du client, y compris les mises à jour de produit.
Console d'administration/
module Exchange
McAfee
Symantec
Trend Micro
Nb d'écrans utilisateur :
41
63
21
Nb d'actions de l'utilisateur :
62
85
33
0
9
0
Nb de cas de concession de licence
externe :
Client
McAfee + client 8.0i
Symantec
Trend Micro
Écrans utilisateur :
5
5
6
Actions de l'utilisateur :
15
14
12
Redémarrage requis :
Oui
Non
Non
9
06/27/2006
Page de 28
Rapport de test
Résultats de test
Consoles d'administration
Ces tests ont permis de quantifier le nombre de consoles d'administration individuelles requises pour
l'administration complète de chaque solution et de déterminer le nom de l'éditeur de chaque console.
Nb de consoles
individuelles :
Description de la
console :
McAfee
Symantec
Trend Micro
2
2
1
ProtectionPilot/GroupShield
System Center/
Mail Security
Security Dashboard
10
06/27/2006
Page de 28
Rapport de test
Résultats de test
Évaluation des failles
Ces tests ont permis de quantifier la durée, ainsi que toutes les tâches requises pour l'exécution d'une évaluation
des failles sur tous les ordinateurs du réseau test.
Trend Micro s'est avéré être la seule solution disposant d'un outil d'évaluation des failles intégré et géré de
manière centrale. C'est pourquoi, lors du test des solutions McAfee et Symantec, West Coast Labs a dû
télécharger et exploiter l'outil Windows Update pour évaluer manuellement le niveau de vulnérabilité de chaque
ordinateur. Cette procédure consiste à se connecter au site Web de Microsoft et à vérifier les mises à jour de
correctifs. La durée totale en minutes et le total des actions de l'utilisateur requises se réfèrent à l'intégrité du
réseau, composé de 12 ordinateurs. Cette durée est répartie selon le schéma suivant :
•
2 minutes d'évaluation des besoins en mises à jour de correctifs par Windows Update pour chaque
ordinateur ;
•
1 minute pour se déplacer physiquement d'un ordinateur à l'autre ;
•
2 actions utilisateur par ordinateur ; options de connexion/sélection.
Ces chiffres varient selon le nombre d'ordinateurs sur le réseau, leur emplacement physique et leurs
spécifications et en fonction des performances de l'infrastructure Internet. De plus, la disponibilité des logiciels
de contrôle à distance ainsi que la vitesse physique et la compréhension de l'administrateur système affectent
également les résultats. Par exemple, dans un réseau de 120 ordinateurs, cette même procédure pourrait prendre
10 fois plus de temps. De la même manière, dans un réseau de six ordinateurs seulement, la procédure pourrait
être effectuée deux fois plus vite.
West Coast Labs estime que les résultats obtenus à l'aide de l'outil d'évaluation des failles
du produit Trend Micro devraient plus ou moins rester les mêmes (en termes de temps et
d'efforts), quelle que soit la taille du réseau de l'entreprise. Les agents clients exécutent
l'évaluation sous contrôle administratif centralisé. C'est pourquoi l'augmentation de la taille
du réseau n'entraîne pas une augmentation proportionnelle de la durée totale nécessaire.
REMARQUE : que nous utilisions la solution Trend Micro ou l'outil Windows Update, nous avons trouvé la
même convention d'appellation de normes et le même nombre de failles du système d'exploitation.
11
06/27/2006
Page de 28
Rapport de test
Résultats de test
McAfee
Symantec
Trend Micro
36
36
6
(3 minutes
(3 minutes
(6 minutes,
par ordinateur)
par ordinateur)
tous les ordinateurs)
Nb d'actions de l'utilisateur :
24
24
3
Nb d'ordinateurs
12
(12 ordinateurs
distincts évalués)
12
1
(12 ordinateurs
(12 ordinateurs distincts
distincts évalués)
évalués)
Durée (minutes) :
(nécessitant une intervention
manuelle de l'utilisateur)
Évaluation des failles
40
36
36
35
30
25
24
Durée (minutes)
24
Nb d'actions de
l'utilisateur
Nb d'ordinateurs
20
15
12
12
10
6
3
5
1
0
McAfee
Symantec
Trend Micro
12
06/27/2006
Page de 28
Rapport de test
Résultats de test
Durée du scan pour l'ensemble du réseau (réseau exempt de tout programme malveillant)
Ces résultats de tests ont permis d'évaluer la durée en heures, minutes et secondes (HH:MM:SS) nécessaire à la
réalisation d'un scan anti-programmes malveillants sur l'ensemble du réseau test, en utilisant les paramètres de
scan par défaut de chaque produit. Chaque solution avait auparavant été mise à jour via Internet et le réseau test
était exempt de tout programme malveillant. Les données sont réparties en catégories serveur et client. Le
nombre de la catégorie serveur constitue la valeur moyenne de trois scans distincts effectués à la fois sur le
serveur Active Directory et le serveur Exchange, combinés. Le nombre de la catégorie client constitue la valeur
moyenne de dix scans distincts effectués sur les dix ordinateurs clients Windows XP du réseau test.
Durée serveur :
Durée client :
McAfee
Symantec
Trend Micro
00:12:36
00:10:12
00:06:50
(HH:MM:SS)
(HH:MM:SS)
(HH:MM:SS)
00:04:09
00:06:04
00:02:55
(HH:MM:SS)
(HH:MM:SS)
(HH:MM:SS)
13
06/27/2006
Page de 28
Rapport de test
Résultats de test
Épidémie de programmes malveillants Groupe A/Groupe B : menaces connues
Ces tests ont permis d'évaluer les effets de l'introduction d'échantillons de programmes malveillants connus
(Groupe A et Groupe B) au sein du réseau test et d'enregistrer la durée en heures, minutes et secondes
(HH:MM:SS) rapportée nécessaire pour effectuer le scan et nettoyer l'intégralité du réseau.
Les trois fabricants ont réussi à détecter ces échantillons une fois les mises à jour appliquées. La vérification
manuelle de la suppression complète des programmes malveillants n'était pas incluse dans ce test. Cette
procédure a été effectuée entièrement et séparément dans le cadre du test « Simulation d'épidémie de
programmes malveillants « zero day » (Groupe C) : menaces inconnues », décrit plus loin dans ce rapport. Les
durées totales de scan/nettoyage des échantillons de menaces connues sont indiquées ci-dessous sous forme d'un
tableau et d'un graphique :
McAfee
Symantec
Trend Micro
Durée de scan et de nettoyage
00:20:42
00:22:38
00:14:56
(rapportée) :
(HH:MM:SS)
(HH:MM:SS)
(HH:MM:SS)
Épidémie de programmes malveillants Groupe A/Groupe B
Durée totale de la restauration
22,5
20.42
22.38
20
Durée (MM:SS)
17,5
14.56
15
12,5
10
7,5
5
2,5
0
McAfee
Symantec
Trend Micro
14
06/27/2006
Page de 28
Rapport de test
Résultats de test
Simulation d'épidémie de programmes malveillants « zero day » (Groupe C) : menaces
inconnues
Ces tests ont permis d'évaluer les effets de l'introduction des échantillons de programmes malveillants inconnus
(Groupe C) au sein du réseau test (aucune des solutions ne disposaient de signatures de virus pour ces
échantillons au moment de l'infection. Ces signatures de virus ont cependant été mises à disposition
ultérieurement et les capacités de scan/nettoyage totales de chaque solution ont alors été évaluées). Tous les tests
ont été effectués en fonction des durées et des événements spécifiés dans le scénario de simulation d'épidémie de
programmes malveillants « zero day », décrit dans l'annexe B : Procédures de test de ce rapport et conçu pour
reproduire une situation réelle potentielle.
Les résultats indiquent que pour McAfee comme pour Symantec, les douze ordinateurs du réseau test ont été
contaminés par le programme malveillant de Groupe C avant que les signatures de virus ne soient disponibles,
selon ce scénario spécifique.
Cependant, la stratégie de prévention des épidémies OPP (Outbreak Prevention Policy) intégrée de la solution
Trend Micro, un fichier de base XML, a automatiquement été généré après la contamination de trois ordinateurs
(ce chiffre arbitraire a été utilisé dans le but d'évaluer les capacités de protection/maîtrise automatique de Trend
Micro suite à une infection) et avant la mise à disposition des signatures de virus.
La stratégie OPP a réussi à prévenir automatiquement une continuation de la propagation du programme
malveillant sur le réseau, protégeant ainsi les neuf autres ordinateurs du réseau. La stratégie OPP a été lancée
depuis un serveur de mise à jour interne de Trend Micro et déployée automatiquement sur tout le réseau
d'entreprise test via le composant Security Dashboard.
Le but de la stratégie OPP est de prévenir et de maîtriser les épidémies de programmes malveillants bien avant
que les signatures/définitions de virus traditionnelles ne soient disponibles. Son fonctionnement consiste à
bloquer les ports et pièces jointes de fichiers, à filtrer le contenu et à empêcher certains services sur les
ordinateurs du réseau à l'aide de failles identifiées correspondant aux caractéristiques d'infection propres à toute
menace de programme malveillant. Une alternative pour les environnements autres que Trend Micro consiste à
verrouiller manuellement ces éléments, ce qui peut s'avérer plus difficile à rechercher et implémenter pour le
personnel non spécialisé.
15
06/27/2006
Page de 28
Rapport de test
Résultats de test
Une fois les définitions/signatures de virus des échantillons du Groupe C disponibles, téléchargées et appliquées
aux trois solutions, un scan complet de l'intégralité du réseau a été effectué. La détection et la suppression du
contenu malicieux des échantillons du Groupe C ont réussi pour les trois solutions et les durées de
scan/nettoyage totales rapportées ont été enregistrées en heures, minutes et secondes (HH:MM:SS), tel que le
montre le tableau ci-dessous.
McAfee
Symantec
Durée de scan/nettoyage du réseau
00:10:23
00:12:16
rapportée :
(HH:MM:SS)
(HH:MM:SS)
Trend Micro
00:10:04 (HH:MM:SS)
West Coast Labs a ensuite vérifié manuellement que tous les résidus d'échantillons du Groupe C ont été
entièrement éliminés de tous les ordinateurs du réseau test (et non simplement rendus inoffensifs au moment de
la détection).
Cette tâche implique la détermination des caractéristiques d'infection de chaque échantillon en effectuant une
recherche sur le site Internet de chaque fabricant et en identifiant les sources Internet pour une étude
supplémentaire à l'aide de moteurs de recherche. Elle implique également une analyse manuelle approfondie des
entrées de registre, processus et fichiers sur les ordinateurs infectés par les échantillons de Groupe C. La
réalisation de cette tâche a nécessité une durée totale d'environ 60 minutes, cette durée pouvant être
significativement prolongée si les recherches sont effectuées par un personnel non spécialisé.
Une fois les caractéristiques d'infection identifiées, West Coast Labs a examiné chaque ordinateur du réseau test
(sur lesquels étaient installés les produits McAfee, Symantec et Trend Micro) et tiré la conclusion suivante : bien
que les solutions McAfee et Symantec aient inoculé le réseau suivant la mise à jour d'un distributeur, elles n'ont
pas supprimé la totalité des résidus (il restait des entrées de registre). Cependant, le produit Trend Micro n'a
présenté aucune entrée de registre, fichier ou processus restant. Le programme malveillant a été entièrement
nettoyé et la moindre trace a été éliminée. Les données ci-dessous figurant sous forme de tableaux et graphiques
indiquent clairement les résultats et calculs impliqués dans la procédure.
16
06/27/2006
Page de 28
Rapport de test
Résultats de test
McAfee
Durée de scan/nettoyage du réseau
rapportée :
Symantec
Trend Micro
00:10:23
00:12:16
(HH:MM:SS) (HH:MM:SS)
00:10:04 (HH:MM:SS)
Temps de recherche
(détermination des caractéristiques
60 minutes
d'infection des échantillons de
0 minutes
Groupe C) :
(non inclus dans le calcul,
étant donné que West Coast
48 minutes
12 (ordinateurs) x 4 (minutes pour se
Durée de la suppression manuelle :
déplacer physiquement d'un ordinateur à
l'autre et supprimer manuellement les
résidus de programmes malveillants de
Labs avait auparavant
constaté que la solution
Trend Micro avait
entièrement supprimé toute
trace du programme
Groupe C).
malveillant en question)
Durée rapportée du second
00:10:02
scan/nettoyage
(afin de confirmer la suppression) :
(HH:MM:SS)
02:08:25
(HH:MM:SS)
Durée totale du nettoyage
(opération/vérification) :
00:11:32
(HH:MM:SS)
02:11:48
00:10:04 (HH:MM:SS)
(HH:MM:SS)
Restauration complète (vérification manuelle)
140
128,25
131,48
Durée (MM:SS)
120
100
80
60
40
10,04
20
0
McAfee
Symantec
Trend Micro
17
06/27/2006
Page de 28
Rapport de test
Résultats de test.
Simulation d'épidémie de programmes malveillants « zero day » (Groupe C) :
menaces inconnues
Ce test n'a été réalisé que sur le produit Trend Micro, étant donné qu'aucune des autres solutions, McAfee ou
Symantec, ne dispose pour le moment d'une fonction de protection active avant la mise à disposition des fichiers
de signatures.
Ce test a permis d'évaluer les capacités de protection automatique contre les menaces (stratégie OPP) de Trend
Micro appliquée à l'intégralité d'un réseau, avant la mise à disposition des signatures de virus et avant que les
échantillons de programmes malveillants inconnus de Groupe C n'infectent le réseau. West Coast Labs s'est
auparavant assuré que la protection automatique contre les menaces fonctionnait correctement, puis a tenté
d'introduire les échantillons de menaces inconnues du Groupe C sur le réseau test, prenant soin d'enregistrer les
résultats.
Les résultats ont démontré que, suite au déploiement automatique de la stratégie OPP, le réseau test a été
automatiquement protégé contre les échantillons de menaces de Groupe C, avant la mise à disposition des
signatures de virus traditionnelles (une capacité unique comparé aux versions par défaut des produits McAfee et
Symantec testés). Cette stratégie a permis d'assurer l'incapacité des échantillons de Groupe C à infecter le
moindre ordinateur ou à se propager sur le réseau.
McAfee
Symantec
Trend Micro
Non
Non
Oui
Protection active avant la
mise à disposition des
fichiers de signatures :
18
06/27/2006
Page de 28
Rapport de test
Résultats de test
Moyenne d'utilisation de la CPU au cours du scan/nettoyage (%)
Ces tests ont enregistré la valeur moyenne d'utilisation de la CPU, en pourcentage, pour la durée complète du
scan/nettoyage rapporté effectué suite à l'épidémie initiale de programmes malveillants de Groupe C. Les
données correspondent aux outils de performance intégrés sur le serveur Exchange, le serveur Active Directory
et les dix ordinateurs clients Windows XP.
McAfee
Symantec
Trend Micro
Serveur Exchange (moyenne) :
48
61
39
Serveur Active Directory (moyenne) :
51
57
41
Ordinateur client Windows XP (moyenne) :
46
54
36
%
Utilisation de la CPU pendant la restauration (%)
Programmes malveillants de Groupe C
65
60
55
50
45
40
35
30
25
20
15
10
5
0
61
57
48
51
54
Exchange
46
39 41
36
Contrôleur
de domaine
AD
Cliente
McAfee
Symantec
Trend Micro
REMARQUE : toutes les données de CPU ont été obtenues à partir d'une mesure unique (et non à partir d'une
moyenne d'utilisation de la CPU sur plusieurs scans). Aussi, bien que la durée et l'environnement soient les
mêmes pour chacune des solutions testées, les processus effectués en arrière-plan peuvent varier et affecter
les données. Ces données ne constituent pas une preuve concluante que la solution Trend Micro présente un
avantage incontestable au niveau des performances de la CPU. Toutes les données de durée détaillées dans
ce rapport concernent un environnement de test spécifique et éventuellement des échantillons de programmes
malveillants spécifiques, y compris le nombre correspondant d'infections du réseau/d'ordinateurs présentes
à un moment précis (en effet, les processus supplémentaires en arrière-plan, les différents échantillons de
programmes malveillants ou un environnement de test alternatif peuvent affecter les données). Ces données ne
doivent donc pas être considérées comme une preuve concluante que Trend Micro offre des technologies de
scan/nettoyage incontestablement plus rapides.
19
06/27/2006
Page de 28
Rapport de test
Conclusion
Compte tenu des résultas et relativement aux évaluations réalisées dans le cadre de technologies et scénarios de
test spécifiques au sein de ce rapport, Trend Micro présente un avantage indéniable sur les produits concurrents.
Le produit est bien conçu au niveau de la facilité de déploiement (grâce à une installation par défaut inchangée
offrant un haut niveau de protection). La simplicité d'utilisation de manière générale est facilitée par une
interface de gestion basée sur le Web aussi intuitive que conviviale. Depuis cette interface centralisée, les
administrateurs ont pu :
•
obtenir un aperçu de l'état de sécurité de l'ensemble du réseau en un coup d'œil ;
•
connaître les actions exécutées pour combattre une menace de programme malveillant ;
•
procéder à distance à la gestion, la configuration et l'application des paramètres de sécurité sur tous les
ordinateurs du réseau.
Les fonctionnalités de prévention, protection et restauration automatiques des menaces se sont avérées
parfaitement efficaces et n'ont requis absolument aucune intervention de la part de l'utilisateur.
Ces résultats de tests ont permis de mettre en évidence l'importance de la fonction d'évaluation des failles et de la
stratégie de prévention des épidémies (OPP) de Trend Micro. Ces technologies combinées, n'impliquant qu'une
intervention minimale de la part de l'utilisateur, constituent un produit de protection contre les menaces
hautement efficace. Un réseau informatique peut être contrôlé de façon rapide et précise afin d'identifier les
failles de sécurité ; peut être verrouillé et immunisé contre de nouvelles épidémies de programmes malveillants
de façon précoce par rapport aux solutions de virus les plus communes, et cela sans nécessiter de personnel
spécialisé en informatique et dans le domaine de la sécurité.
REMARQUE IMPORTANTE : dans un souci de neutralité, West Coast Labs (se basant sur les évaluations
actuelles et les tests précédents) tient à attirer l'attention sur le fait que les trois produits présentent des
fonctionnalités avantageuses dans différents domaines. Les objectifs de test définis dans ce rapport excluent
l'évaluation complète du fonctionnement individuel de chacun des trois produits testés. Il est donc possible que
les entreprises nécessitent d'effectuer une évaluation supplémentaire individuelle de chacun des produits, en se
basant sur leurs besoins commerciaux spécifiques, les conditions d'environnement et différents scénarios à
prendre en considération, sans oublier les capacités et connaissances en matière de sécurité du personnel
disponible ou des ressources extérieures.
20
06/27/2006
Page de 28
Rapport de test
Annexes
Annexe A : Environnement de test (détails)
1. Configuration matérielle
Qté
Type de nœud
CPU
RAM
Disque dur
Réseau
11
Client
3,0 GHz
1 Go
40 Go
Gigabit
2
Serveur
3,06 GHz
1 Go
40 Go
Gigabit
2. Configuration logicielle principale
Qté
Système d’exploitation
10
Microsoft Windows XP Professional SP1
1
Microsoft Small Business Server 2003
1
Microsoft Windows Server 2003
1
Microsoft Office 2000
1
Système d'exploitation Linux personnalisé pour West Coast Labs
3. Infrastructure
Qté
Description
1
Commutateur LAN 10/100/1 000 Mbps à 24 ports
1
Routeur Cisco 800 (pare-feu)
1
Connexion Internet à haut débit
4.
5. Échantillons de programmes malveillants
Groupe
Nom
A
W97M/markhap.A
W32/Bagle-EF
B
W23/Sober.X
C
WORM_RBOT.DLC
WORM_RBOT.CQN
WORM_COMBRA.P
21
06/27/2006
Page de 28
Rapport de test
Annexes
Évaluation de test et outil de rapport
West Coast Labs a utilisé un ensemble de logiciels d'enregistrement de tests et de mesures personnalisés, basés
sur des produits commerciaux établis comme libres. Des composants d'outils ont été activés sur les dispositifs
des clients et du serveur et les résultats de test obtenus ont été capturés sur un ordinateur séparé afin de permettre
une analyse plus détaillée.
Configuration du réseau test
Les ordinateurs suivants ont été définis et installés manuellement par West Coast Labs dans une configuration
de réseau LAN isolée et conçue pour reproduire un environnement PME-PMI réel :
Qté
Système d’exploitation
Partition du disque dur
Composants clés
10
Windows XP Professional SP1
19,53 Go
17,71 Go
Outlook/Word
C: Système
D: Image
19,53 Go
17,71 Go
C: Système
D: Image
19,53 Go
17,71 Go
C: Système
D: Image
1
1
1
Small Business Server 2003
Windows Server 2003
Système d'exploitation Linux
N/A
Exchange
AD/DNS/IIS
Outils de test/mesure
personnalisé pour West Coast Labs
Chaque système d'exploitation du réseau test a été installé sur la partition « C: Système », puis une copie exacte
(image de copie instantanée) de cette partition a été compressée, protégée par un mot de passe et copiée sur la
partition « D: Image ». Chaque capture d'écran a été testée en étant ré-écrite sur la partition « C: System »,
garantissant que chaque environnement de système d'exploitation soit reproduisible et fonctionne correctement,
en accord avec la méthodologie ou le scénario de test. Les logiciels de synchronisation de réseau pour tous les
dispositifs clients/serveurs ont été installés et activés, puis réinitialisés pour retrouver la valeur d'origine avant
chaque phase de test, assurant une certaine synergie temporelle, en accord avec la méthodologie ou le scénario
de test. Le tableau suivant contient des informations supplémentaires sur la configuration du réseau test :
22
06/27/2006
Page de 28
Rapport de test
Annexes
Nom de l'ordinateur
Type de nœud
Utilisateur
Adresse IP
T130
T131
T132
T133
T134
T135
T136
T137
T138
T139
T140
T141
Linux
Client
Client
Client
Client
Client
Client
Client
Client
Client
Client
Serveur
Serveur
Client/Serveur
T130
T131
T132
T133
T134
T135
T136
T137
T138
T139
Administrateur
Administrateur
Racine
10.10.10.130 / 24
10.10.10.131 / 24
10.10.10.132 / 24
10.10.10.133 / 24
10.10.10.134 / 24
10.10.10.135 / 24
10.10.10.136 / 24
10.10.10.137 / 24
10.10.10.138 / 24
10.10.10.139 / 24
10.10.10.140 / 24
10.10.10.141 / 24
10.10.10.142 / 24
Chaque ordinateur était relié au réseau via le commutateur LAN à 24 ports et une passerelle Internet était fournie
par le dispositif de routeur/pare-feu Cisco 800. Une adresse IP interne 10.10.10.254 / 24 a été assignée au
dispositif et les règles de pare-feu appropriées ont été configurées pour assurer l'isolation complète d'Internet et
de tous les autres réseaux de test internes, afin de rester conforme à la méthodologie ou au scénario de test.
23
06/27/2006
Page de 28
Rapport de test
Annexes
Annexe B : Procédures de test
West Coast Labs a défini et appliqué ces procédures de test et enregistré tous les résultats obtenus :
•
Une fois le réseau test installé, configuré et testé, les programmes malveillants du Groupe A ont été
introduits dans l'environnement de test et se sont propagés librement pendant une durée déterminée par
des techniques basées sur fichiers et réseau, en accord avec les activités traditionnelles des utilisateurs
dans les PME-PMI, y compris l'utilisation de messageries, la navigation sur le Web et le partage de
fichiers. Tous les ordinateurs du test étaient infectés à ce stade. Toutes les données de réseau/session
générées au cours de ce processus ont été capturées et enregistrées par l'intermédiaire d'un groupe
d'outils d'analyse préconfigurés installés sur l'ordinateur Linux personnalisé.
•
Le réseau test a ensuite été ré-imagé et réinitié pour retrouver son état d'origine (sans aucun programme
malveillant). Suite à cette procédure, les programmes malveillants du Groupe B ont été introduits dans
l'environnement de test et se sont propagés librement pendant une durée déterminée par des techniques
basées sur fichiers et réseau, en fonction des activités traditionnelles des utilisateurs dans les PME-PMI,
y compris l'utilisation de messageries, la navigation sur le Web et le partage de fichiers. Tous les
ordinateurs du test étaient infectés à ce stade. Toutes les données de réseau/session générées au cours de
ce processus ont été capturées et enregistrées par l'intermédiaire d'un groupe d'outils d'analyse
préconfigurés installé sur l'ordinateur Linux personnalisé.
•
Le réseau test a ensuite été ré-imagé et réinitié pour retrouver son état d'origine (sans aucun programme
malveillant). Suite à cette procédure, les programmes malveillants du Groupe C ont été introduits dans
l'environnement de test et se sont propagés librement pendant une durée déterminée par des techniques
basées sur fichiers et réseau, en fonction des activités traditionnelles des utilisateurs dans les PME-PMI,
y compris l'utilisation de messageries, la navigation sur le Web et le partage de fichiers. À ce stade, trois
ordinateurs tests étaient initialement infectés. Toutes les données de réseau/session générées au cours de
ce processus ont été capturées et enregistrées par l'intermédiaire d'un groupe d'outils d'analyse
préconfigurés installé sur l'ordinateur Linux personnalisé.
•
Chaque groupe de programmes malveillants (A, B et C) a été ensuite ré-introduit à différents intervalles
de temps dans une instance ré-imagée du réseau test, afin de garantir que les infections de programmes
malveillants puissent être reproduites en accord avec le scénario de test. Un outil de réinsertion des
données approprié a été utilisé, facilitant la simultanéité et la synergie des données dans un but de test
comparatif.
•
La solution de chaque éditeur a été installée à intervalle de temps séparé sur une instance inaltérée du
réseau test, exempte de tout programme malveillant, et toutes les activités d'intervention de l'utilisateur
24
06/27/2006
Page de 28
Rapport de test
ont été enregistrées, sur la base d'une configuration par défaut des composants principaux ; définis
comme console d'administration, agent Exchange et logiciel client.
•
La solution de chaque éditeur a été installée à un moment différent sur le réseau test, lequel a ensuite été
infecté par chaque groupe de programmes malveillants (A, B et C) à différents moments (à l'aide de
l'outil de réinsertion des données approprié et en accord avec le scénario de test décrit dans ce rapport).
Chaque groupe de programmes malveillants a été introduit à la fois avec et sans application des mises à
jour de produit des éditeurs, permettant à West Coast Labs d'évaluer la base de données des signatures
de virus de chaque produit, en veillant particulièrement à ce que les signatures des programmes
malveillants du Groupe C ne soient présentes sur aucun des produits au moment de l'installation. De
plus, West Coast Labs s'est assuré que les signatures des programmes malveillants du Groupe C étaient
disponibles pour chaque produit suite à une mise à jour Internet.
•
Un serveur de mise à jour interne a été installé sur le contrôleur de domaine Active Directory afin de
permettre à West Coast Labs de simuler, d'évaluer et de valider la stratégie de prévention des épidémies
OPP de la solution Trend Micro en accord avec la méthodologie ou le scénario de test.
•
Une épidémie de type « zero-day » (échantillons de programmes malveillants du Groupe C) a été
simulée alors que les signatures de virus des éditeurs n'étaient pas encore disponibles pour les produits
testés. Les échantillons de Groupe C ont été choisis pour tester les programmes malveillants inconnus.
Dans le cadre de ce projet, West Coast Labs avait auparavant vérifié que les signatures de virus ou
méthodes de détection heuristique étaient disponibles pour ces échantillons sur chacun des produits
testés. Les détails suivants offrent une description approfondie de la structure du scénario de test :
Jour zéro, 09:00 : Une série de vers auparavant non détectés (groupe C) a été introduite, se propageant
activement et infectant les ordinateurs vulnérables.
Jour zéro, 09:20 : Le réseau test de reproduction d'un environnement PME-PMI a été infecté par les
programmes malveillants du Groupe C, avec en conséquence la contamination initiale de trois
ordinateurs sur un total potentiel de douze nœuds.
Jour zéro, 09:21 : Trend Micro a lancé la stratégie OPP de protection automatique contre les menaces,
avant la mise à disposition des signatures de virus pour les menaces du Groupe C.
Jour zéro, 10:00 : Les nouvelles signatures de virus pour le Groupe C ont été publiées par chacun des
éditeurs (McAfee, Symantec et Trend Micro) et sont disponibles sur Internet pour être téléchargées. À
ce stade, ces mises à jour ont été appliquées à chacune des trois solutions.
REMARQUE : dans une situation réelle, la disponibilité des signatures de virus signature peut varier en
fonction de la complexité de la menace, du type de menace et de l'éditeur. Une période d'une heure
entre l'introduction des programmes malveillants de Groupe C et la mise à disposition d'une signature
25
06/27/2006
Page de 28
Rapport de test
réduisant les risques (en plus d'être réaliste) a été spécifiée dans ce scénario afin d'assurer que la même
comparaison de base soit possible entre toutes les solutions et pour permettre le test de la stratégie de
prévention des épidémies OPP dans une situation réelle.
De 09:00 à 10:00 : les activités informatiques normales de l'environnement PME-PMI sont poursuivies,
y compris les activités de messagerie, de navigation sur le Web et de partage de fichiers.
Au cours de ce processus, chacune des solutions ont été évaluées au niveau des capacités connues de
prévention contre les menaces, protection et restauration et de convivialité administrative.
Il a été ensuite nécessaire d'enregistrer la durée totale de recherche et suppression complète des
échantillons de vers de Groupe C sur les ordinateurs infectés (dans le cas où un produit n'aurait pas pu
entièrement nettoyer le ver et/ou les résidus éventuels, après l'application d'une mise à jour de l'éditeur)
et de noter les procédures manuelles impliquées. La méthode de recherche suivie est décrite dans la
section Résultats de test de ce rapport dans le paragraphe Épidémie de programmes malveillants « zero
day »/restauration complète (vérification manuelle).
REMARQUE : il est possible que les éditeurs fournissent un outil de suppression de programme
malveillant lors de la publication d'une nouvelle signature de virus. Dans ce cas précis, l'utilisation
d'un tel outil de suppression n'a pas été jugée appropriée étant donné que West Coast Labs a réalisé les
tests dans des conditions reproduisant une situation réelle d'épidémie « zero-day ». Une méthode
manuelle a été appliqué pour procéder à la suppression.
26
06/27/2006
Page de 28
Rapport de test
Annexes
Annexe C : Intervention de Trend Micro lors d'une véritable épidémie
Pour confirmer les résultats de test et scénarios décrits dans ce rapport, Trend Micro décrit une épidémie réelle,
en détaillant les événements d'arrière-plan et la réponse à l'incident en question :
Le 5 octobre 2005, le monde entier se trouva face au problème du ver de messagerie nommé
WORM_SOBER.AC. Ce ver se propageait à travers les messages électroniques. Le ver utilisait un moteur
SMTP intégré pour envoyer sa propre copie en pièce jointe à des adresses électroniques ciblées. Il pouvait
regrouper ces adresses à partir des fichiers portant certaines extensions sur un système infecté. La plupart des
fichiers portant ces extensions étaient relatifs aux pages Web consultées par un utilisateur concerné. Le ver
regroupait ces types de fichiers, prévoyant que les pages Web visitées contiendraient des chaînes de texte se
référant à des adresses électroniques.
Afin d'empêcher la propagation de ce ver, Trend Micro déploya la stratégie de prévention des
épidémies 186, imposant aux produits Trend Micro de :
1.
bloquer les messages entrants présentants des pièces jointes .zip (cela empêche l'entrée de
tous les messages provenant de l'infection par WORM_SOBER.AC sur des systèmes
externes) ;
2.
supprimer les fichiers introduits par des programmes malveillants.
Pour éliminer les endommagements causés par ce ver, Trend Micro déploya le modèle Damage Cleanup 661.04,
imposant aux produits Trend Micro de :
1. mettre fin au programme malveillant ;
2. supprimer les fichiers et dossiers introduits ;
3. supprimer l'entrée de registre du programme malveillant.
REMARQUE : dans le cadre de la procédure de test, il n'a pas été demandé à West Coast Labs de vérifier les
détails spécifiques du compte-rendu ci-dessus. Cependant, la description de ces événements et des procédures de
prévention, de restauration et de suppression effectuées par la suite correspondent aux résultats de test contenus
dans ce rapport.
27
06/27/2006
Page de 28
Rapport de test
Historique de révision
Version
Description des modifications
Date de publication
1.0
Trend Micro Client Server Messaging Security for SMB
10/05/06
West Coast Labs, William Knox House, Britannic Way, Llandarcy, Swansea, SA10 6EL, Royaume-Uni. Tél. :
+44 1792 324000, Fax : +44 1792 324001. www.westcoastlabs.org
Une version anglaise de ce rapport est disponible auprès de Chris Thomas, Directeur des
opérations de West Coast Labs : [email protected]
28
06/27/2006
Page de 28