Évaluation des solutions pour client-serveur de PME-PMI
Transcription
Évaluation des solutions pour client-serveur de PME-PMI
Mai 2006 Évaluation des solutions pour client-serveur de PME-PMI Trend Micro Client Server Messaging Security for SMB Symantec Client Security for Groupware McAfee Active Defense 8.0 Rapport de test Test comparatif Présentation générale 3 Introduction et objectifs 4 Description des produits 5 Environnement de test : résumé 6 Méthodologie de test 7 Scénarios de test 8 Résultats de test 9 Conclusion 20 Annexes • Annexe A : Environnement de test (détails). 21 • Annexe B : Procédures de test. 24 • Annexe C : Intervention de Trend Micro lors d'une véritable épidémie. 27 West Coast Labs, William Knox House, Britannic Way, Llandarcy, Swansea, SA10 6EL, Royaume-Uni. Tél. : +44 1792 324000, Fax : +44 1792 324001. www.westcoastlabs.org 2 06/27/2006 Page de 28 Rapport de test Présentation générale Ce rapport de test décrit une étude comparative de trois solutions conçues pour les PME-PMI développées par les plus grands distributeurs de logiciels antivirus : McAfee, Symantec et Trend Micro. Cette étude décrit la facilité d'utilisation de chacune des trois solutions, de même que leur capacité à évaluer, prévenir, protéger et nettoyer les virus en cas d'épidémie, ne requérant que peu d'intervention de la part des spécialistes informatiques, voire aucune. Dans le cadre de ces tests spécifiques, il a été démontré que la solution Trend Micro offre un service supérieur par rapport aux autres solutions, étant donné que ses fonctionnalités semblent parfaitement adaptées aux entreprises disposant d'une équipe informatique restreinte ou inexistante. En effet, il s'agit de la seule solution présentant des fonctions intégrées automatiques pour la surveillance et la prévention de la propagation de nouveaux virus avant la mise à disposition d'un fichier de signatures et afin d'identifier les ordinateurs sur lesquels une faille du système risque d'être exploitée par cette nouvelle menace. Étant donné que la plupart des petites et moyennes entreprises ne disposent pas d'un personnel de sécurité informatique disponible 24 heures/24 et 7 jours/7, cette fonction de protection automatique contribue à assurer la continuité des activités dans de telles entreprises. 3 06/27/2006 Page de 28 Rapport de test Introduction et objectifs Tous les produits de sécurité ne fonctionnent pas de la même manière au niveau de la protection des petites et moyennes entreprises. Dans l'élaboration de ce rapport, West Coast Labs a eu le privilège de pouvoir analyser et évaluer les plus grands distributeurs de produits de sécurité contre les programmes malveillants, à savoir McAfee, Symantec et Trend Micro. Notre équipe a mis en place une série de méthodologies de tests soigneusement préparées et les plus neutres possibles, spécialement conçues pour ne favoriser aucune technologie particulière par rapport aux autres. Ce test consiste en une comparaison des solutions suivantes : • Trend Micro : Client Server Messaging Security for SMB 3.0 • Symantec : Client Security 3.0 for Groupware • McAfee : Active Virus Defense 8.0i Le fonctionnement et les caractéristiques de chaque solution ont été évalués au niveau de leur réponse face à une épidémie de programmes malveillants, de même que l'implication potentiellement nécessaire du personnel informatique et le temps et les efforts potentiellement requis pour restaurer un ordinateur/réseau afin qu'il recouvre son état opérationnel normal suite à une épidémie. Objectifs Les objectifs de tests principaux étaient d'évaluer et d'homologuer les acteurs de premier plan en matière de gestion de sécurité de contenu de même que leurs produits pour clients/serveurs pour environnement PME-PMI. Les critères d'évaluation reposaient sur les domaines suivants : • Convivialité au niveau de l'installation, de l'administration et de l'intuitivité • Capacité à détecter les menaces de programmes malveillants futures connues et inconnues et d'assurer une protection contre ces risques • Nettoyage et réparation de clients en réseau, avec peu ou pas d'intervention de l'équipe informatique. • Identification et évaluation des ordinateurs vulnérables face à une attaque spécifique de programmes malveillants 4 06/27/2006 Page de 28 Rapport de test Description des produits McAfee Active Virus Defense 8.0i… selon les propos de McAfee « … La solution antivirus la plus complète disponible sur le marché, conçue pour répondre aux besoins des entreprises en plein essor et disposant de ressources limitées. McAfee® Active Virus Defense SMB Edition, utilisé en association avec McAfee® ProtectionPilot™ et sa console d'administration facile d'utilisation, offre des fonctions de détection et de nettoyage des virus sur serveurs et postes de travail, de même qu'une protection au niveau de la passerelle Internet. » http://www.mcafee.com/ Symantec Client Security 3.0 for Groupware selon les propos de Symantec « …Client Security 3.0 with Groupware Protection protège l'entreprise des virus, spywares, pirates et messages de spam. Symantec AntiVirus™ détecte et supprime automatiquement les codes malicieux, tandis que Symantec™ Mail Security filtre les messages électroniques non sollicités. Une gestion centralisée et un système de mises à jour automatiques facilitent la protection des entreprises contre les menaces connues et émergentes. » http://www.symantec.com/ Trend Client Server Messaging Security for SMB 3.0 selon les propos de Trend Micro « …Solution antivirus, anti-spam et de pare-feu personnel sans souci pour PME-PMI qui protège les ordinateurs, serveurs Windows et serveurs Microsoft™ Exchange contre les virus, messages de spam et pirates grâce à un système de défense intégré tout-en-un. Trend Micro Client Server Messaging Security for SMB simplifie de manière significative la gestion de la sécurité pour les sociétés nécessitant une approche sans souci de la sécurité. » http://www.trendmicro-europe.com/ REMARQUE : nous nous permettons de souligner que, si les trois produits ont été développés pour une utilisation dans un environnement PME-PMI, chaque solution présente des fonctionnalités et caractéristiques techniques différentes. 5 06/27/2006 Page de 28 Rapport de test Environnement de test : résumé L'environnement de test (conçu pour refléter le réseau d'une PME-PMI dans la réalité), comprenait : • 10 ordinateurs clients exécutant Microsoft Windows XP Professionnel ; • 1 serveur sur lequel était installé Microsoft Windows Server 2003 et principalement configuré comme contrôleur de domaine Active Directory ; • 1 serveur sur lequel était installé Microsoft Small Business Server 2003 et principalement configuré comme passerelle de messagerie Microsoft Exchange ; • une connexion Internet, avec accès via routeur ou pare-feu ; • un ordinateur West Coast Labs de contrôle et d'enregistrement des données. Le diagramme de réseau ci-dessous est une représentation simplifiée de l'environnement de test : REMARQUE : pour de plus amples informations concernant l'environnement de test et la configuration du réseau, veuillez consulter l'annexe A de ce rapport. 6 06/27/2006 Page de 28 Rapport de test Méthodologie de test Les tests ont été effectués dans les locaux de West Coast Labs dans un environnement PME-PMI virtuel visant à reproduire une situation réelle. Les différentes tâches, basées sur des scénarios, ont été réalisées en fonction de la convivialité et des fonctions de détection, de prévention, de restauration et d'évaluation de chaque solution. Chaque tâche a été répétée et observée exactement de la même manière et dans les mêmes conditions d'environnement pour chaque solution testée. West Coast Labs a quantifié la facilité d'utilisation en terme d'intuitivité (temps requis et complexité) de l'installation, de la gestion/administration et de l'automatisation par rapport aux étapes manuelles nécessaires pour exécuter des fonctions de base comme la restauration et la mise en œuvre de mesures préventives sur le réseau. L'analyse d'autres caractéristiques telles que l'esthétique ou la mise en page n'a pas été prise en compte dans ces tests. La détection de programmes malveillants à l'aide de techniques de signatures fait partie des méthodes les plus employées aujourd'hui. C'est pourquoi la protection de type « zero-day » ou l'interception de l'infection au cours du premier jour de l'épidémie et avant qu'une signature ne soit disponible représente un véritable défi. C'est pourquoi, en plus des échantillons de programmes malveillants connus, West Coast Labs a également testé une série d'échantillons de programmes malveillants inconnus afin d'évaluer la réponse de chaque solution avant la mise à disposition de la signature du virus. 7 06/27/2006 Page de 28 Rapport de test Scénarios de test 1. Convivialité La convivialité a été analysée en quantifiant le nombre de supports d'installation et de procédures d'installation requis au cours de l'installation par défaut de chaque solution, de même que les tâches administratives de base requises pour assurer le fonctionnement de chaque solution. 2. Évaluation des failles Une évaluation des failles visant à évaluer les niveaux de correctifs relatifs aux programmes malveillants a été initiée sur l'ensemble du réseau test à l'aide de la fonction intégrée de chaque solution, dans la mesure où une telle fonction existait sur le produit d'origine sans nécessiter d'achat de solutions complémentaires. L'outil Windows Update a été utilisé pour évaluer les failles lorsqu'une telle fonction de produit spécifique dans ce domaine était inexistante. La durée et les efforts nécessaires ont été enregistrés en tant que résultats mesurables. 3. Épidémie de programmes malveillants Groupe A/Groupe B : menaces connues Des programmes malveillants de Groupe A et Groupe B ont été introduits sur le réseau test afin de vérifier les capacités immédiates de détection/restauration et leurs effets sur les échantillons connus. Dans le cadre de ce projet, West Coast Labs avait auparavant vérifié que les signatures de virus ou méthodes de détection heuristique étaient disponibles pour ces échantillons sur chacun des produits testés. 4. Épidémie de programmes malveillants Groupe C : menaces inconnues Des programmes malveillants de Groupe C ont été introduits sur le réseau test afin de vérifier les capacités immédiates de détection/restauration et leurs effets sur les échantillons inconnus. West Coast Labs avait auparavant vérifié que les signatures de virus ou méthodes de détection heuristique n'étaient pas disponibles pour ces échantillons sur chacun des produits testés. Ce scénario (comprenant toutes les durées et tous les événements synchronisés) a été mis en œuvre en accord avec la simulation d'épidémie de programmes malveillants « zero day », décrite dans l'annexe B : Procédures de test de ce rapport. REMARQUE : Les échantillons utilisés dans les groupes A, B et C sont détaillés dans l'annexe A de ce rapport. 8 06/27/2006 Page de 28 Rapport de test Résultats de test (Nb = nombre total) Supports/programmes d'installation Les tests ont permis d'évaluer le type de supports et le nombre de programmes individuels nécessaires à l'installation complète de chaque solution. McAfee Type de support : Nb de programmes d'installation : Téléchargement Internet 3 Symantec Trend Micro CD/téléchargement CD/téléchargement Internet Internet 2 1 Activités d'installation par défaut. Ces tests ont permis de quantifier les activités d'installation par défaut (étapes nécessaires à l'installation complète de chaque solution) selon les critères suivants : nombre d'écrans visionnés par la personne procédant à l'installation ; nombre d'actions/interventions manuelles requises pour installer chaque solution ; activités supplémentaires, comme la connexion à Internet externe nécessaire dans le cadre de la licence ; et enfin, le redémarrage de tous les ordinateurs suite à l'installation. Ces données englobent l'installation de la console d'administration, du module Exchange et du client, y compris les mises à jour de produit. Console d'administration/ module Exchange McAfee Symantec Trend Micro Nb d'écrans utilisateur : 41 63 21 Nb d'actions de l'utilisateur : 62 85 33 0 9 0 Nb de cas de concession de licence externe : Client McAfee + client 8.0i Symantec Trend Micro Écrans utilisateur : 5 5 6 Actions de l'utilisateur : 15 14 12 Redémarrage requis : Oui Non Non 9 06/27/2006 Page de 28 Rapport de test Résultats de test Consoles d'administration Ces tests ont permis de quantifier le nombre de consoles d'administration individuelles requises pour l'administration complète de chaque solution et de déterminer le nom de l'éditeur de chaque console. Nb de consoles individuelles : Description de la console : McAfee Symantec Trend Micro 2 2 1 ProtectionPilot/GroupShield System Center/ Mail Security Security Dashboard 10 06/27/2006 Page de 28 Rapport de test Résultats de test Évaluation des failles Ces tests ont permis de quantifier la durée, ainsi que toutes les tâches requises pour l'exécution d'une évaluation des failles sur tous les ordinateurs du réseau test. Trend Micro s'est avéré être la seule solution disposant d'un outil d'évaluation des failles intégré et géré de manière centrale. C'est pourquoi, lors du test des solutions McAfee et Symantec, West Coast Labs a dû télécharger et exploiter l'outil Windows Update pour évaluer manuellement le niveau de vulnérabilité de chaque ordinateur. Cette procédure consiste à se connecter au site Web de Microsoft et à vérifier les mises à jour de correctifs. La durée totale en minutes et le total des actions de l'utilisateur requises se réfèrent à l'intégrité du réseau, composé de 12 ordinateurs. Cette durée est répartie selon le schéma suivant : • 2 minutes d'évaluation des besoins en mises à jour de correctifs par Windows Update pour chaque ordinateur ; • 1 minute pour se déplacer physiquement d'un ordinateur à l'autre ; • 2 actions utilisateur par ordinateur ; options de connexion/sélection. Ces chiffres varient selon le nombre d'ordinateurs sur le réseau, leur emplacement physique et leurs spécifications et en fonction des performances de l'infrastructure Internet. De plus, la disponibilité des logiciels de contrôle à distance ainsi que la vitesse physique et la compréhension de l'administrateur système affectent également les résultats. Par exemple, dans un réseau de 120 ordinateurs, cette même procédure pourrait prendre 10 fois plus de temps. De la même manière, dans un réseau de six ordinateurs seulement, la procédure pourrait être effectuée deux fois plus vite. West Coast Labs estime que les résultats obtenus à l'aide de l'outil d'évaluation des failles du produit Trend Micro devraient plus ou moins rester les mêmes (en termes de temps et d'efforts), quelle que soit la taille du réseau de l'entreprise. Les agents clients exécutent l'évaluation sous contrôle administratif centralisé. C'est pourquoi l'augmentation de la taille du réseau n'entraîne pas une augmentation proportionnelle de la durée totale nécessaire. REMARQUE : que nous utilisions la solution Trend Micro ou l'outil Windows Update, nous avons trouvé la même convention d'appellation de normes et le même nombre de failles du système d'exploitation. 11 06/27/2006 Page de 28 Rapport de test Résultats de test McAfee Symantec Trend Micro 36 36 6 (3 minutes (3 minutes (6 minutes, par ordinateur) par ordinateur) tous les ordinateurs) Nb d'actions de l'utilisateur : 24 24 3 Nb d'ordinateurs 12 (12 ordinateurs distincts évalués) 12 1 (12 ordinateurs (12 ordinateurs distincts distincts évalués) évalués) Durée (minutes) : (nécessitant une intervention manuelle de l'utilisateur) Évaluation des failles 40 36 36 35 30 25 24 Durée (minutes) 24 Nb d'actions de l'utilisateur Nb d'ordinateurs 20 15 12 12 10 6 3 5 1 0 McAfee Symantec Trend Micro 12 06/27/2006 Page de 28 Rapport de test Résultats de test Durée du scan pour l'ensemble du réseau (réseau exempt de tout programme malveillant) Ces résultats de tests ont permis d'évaluer la durée en heures, minutes et secondes (HH:MM:SS) nécessaire à la réalisation d'un scan anti-programmes malveillants sur l'ensemble du réseau test, en utilisant les paramètres de scan par défaut de chaque produit. Chaque solution avait auparavant été mise à jour via Internet et le réseau test était exempt de tout programme malveillant. Les données sont réparties en catégories serveur et client. Le nombre de la catégorie serveur constitue la valeur moyenne de trois scans distincts effectués à la fois sur le serveur Active Directory et le serveur Exchange, combinés. Le nombre de la catégorie client constitue la valeur moyenne de dix scans distincts effectués sur les dix ordinateurs clients Windows XP du réseau test. Durée serveur : Durée client : McAfee Symantec Trend Micro 00:12:36 00:10:12 00:06:50 (HH:MM:SS) (HH:MM:SS) (HH:MM:SS) 00:04:09 00:06:04 00:02:55 (HH:MM:SS) (HH:MM:SS) (HH:MM:SS) 13 06/27/2006 Page de 28 Rapport de test Résultats de test Épidémie de programmes malveillants Groupe A/Groupe B : menaces connues Ces tests ont permis d'évaluer les effets de l'introduction d'échantillons de programmes malveillants connus (Groupe A et Groupe B) au sein du réseau test et d'enregistrer la durée en heures, minutes et secondes (HH:MM:SS) rapportée nécessaire pour effectuer le scan et nettoyer l'intégralité du réseau. Les trois fabricants ont réussi à détecter ces échantillons une fois les mises à jour appliquées. La vérification manuelle de la suppression complète des programmes malveillants n'était pas incluse dans ce test. Cette procédure a été effectuée entièrement et séparément dans le cadre du test « Simulation d'épidémie de programmes malveillants « zero day » (Groupe C) : menaces inconnues », décrit plus loin dans ce rapport. Les durées totales de scan/nettoyage des échantillons de menaces connues sont indiquées ci-dessous sous forme d'un tableau et d'un graphique : McAfee Symantec Trend Micro Durée de scan et de nettoyage 00:20:42 00:22:38 00:14:56 (rapportée) : (HH:MM:SS) (HH:MM:SS) (HH:MM:SS) Épidémie de programmes malveillants Groupe A/Groupe B Durée totale de la restauration 22,5 20.42 22.38 20 Durée (MM:SS) 17,5 14.56 15 12,5 10 7,5 5 2,5 0 McAfee Symantec Trend Micro 14 06/27/2006 Page de 28 Rapport de test Résultats de test Simulation d'épidémie de programmes malveillants « zero day » (Groupe C) : menaces inconnues Ces tests ont permis d'évaluer les effets de l'introduction des échantillons de programmes malveillants inconnus (Groupe C) au sein du réseau test (aucune des solutions ne disposaient de signatures de virus pour ces échantillons au moment de l'infection. Ces signatures de virus ont cependant été mises à disposition ultérieurement et les capacités de scan/nettoyage totales de chaque solution ont alors été évaluées). Tous les tests ont été effectués en fonction des durées et des événements spécifiés dans le scénario de simulation d'épidémie de programmes malveillants « zero day », décrit dans l'annexe B : Procédures de test de ce rapport et conçu pour reproduire une situation réelle potentielle. Les résultats indiquent que pour McAfee comme pour Symantec, les douze ordinateurs du réseau test ont été contaminés par le programme malveillant de Groupe C avant que les signatures de virus ne soient disponibles, selon ce scénario spécifique. Cependant, la stratégie de prévention des épidémies OPP (Outbreak Prevention Policy) intégrée de la solution Trend Micro, un fichier de base XML, a automatiquement été généré après la contamination de trois ordinateurs (ce chiffre arbitraire a été utilisé dans le but d'évaluer les capacités de protection/maîtrise automatique de Trend Micro suite à une infection) et avant la mise à disposition des signatures de virus. La stratégie OPP a réussi à prévenir automatiquement une continuation de la propagation du programme malveillant sur le réseau, protégeant ainsi les neuf autres ordinateurs du réseau. La stratégie OPP a été lancée depuis un serveur de mise à jour interne de Trend Micro et déployée automatiquement sur tout le réseau d'entreprise test via le composant Security Dashboard. Le but de la stratégie OPP est de prévenir et de maîtriser les épidémies de programmes malveillants bien avant que les signatures/définitions de virus traditionnelles ne soient disponibles. Son fonctionnement consiste à bloquer les ports et pièces jointes de fichiers, à filtrer le contenu et à empêcher certains services sur les ordinateurs du réseau à l'aide de failles identifiées correspondant aux caractéristiques d'infection propres à toute menace de programme malveillant. Une alternative pour les environnements autres que Trend Micro consiste à verrouiller manuellement ces éléments, ce qui peut s'avérer plus difficile à rechercher et implémenter pour le personnel non spécialisé. 15 06/27/2006 Page de 28 Rapport de test Résultats de test Une fois les définitions/signatures de virus des échantillons du Groupe C disponibles, téléchargées et appliquées aux trois solutions, un scan complet de l'intégralité du réseau a été effectué. La détection et la suppression du contenu malicieux des échantillons du Groupe C ont réussi pour les trois solutions et les durées de scan/nettoyage totales rapportées ont été enregistrées en heures, minutes et secondes (HH:MM:SS), tel que le montre le tableau ci-dessous. McAfee Symantec Durée de scan/nettoyage du réseau 00:10:23 00:12:16 rapportée : (HH:MM:SS) (HH:MM:SS) Trend Micro 00:10:04 (HH:MM:SS) West Coast Labs a ensuite vérifié manuellement que tous les résidus d'échantillons du Groupe C ont été entièrement éliminés de tous les ordinateurs du réseau test (et non simplement rendus inoffensifs au moment de la détection). Cette tâche implique la détermination des caractéristiques d'infection de chaque échantillon en effectuant une recherche sur le site Internet de chaque fabricant et en identifiant les sources Internet pour une étude supplémentaire à l'aide de moteurs de recherche. Elle implique également une analyse manuelle approfondie des entrées de registre, processus et fichiers sur les ordinateurs infectés par les échantillons de Groupe C. La réalisation de cette tâche a nécessité une durée totale d'environ 60 minutes, cette durée pouvant être significativement prolongée si les recherches sont effectuées par un personnel non spécialisé. Une fois les caractéristiques d'infection identifiées, West Coast Labs a examiné chaque ordinateur du réseau test (sur lesquels étaient installés les produits McAfee, Symantec et Trend Micro) et tiré la conclusion suivante : bien que les solutions McAfee et Symantec aient inoculé le réseau suivant la mise à jour d'un distributeur, elles n'ont pas supprimé la totalité des résidus (il restait des entrées de registre). Cependant, le produit Trend Micro n'a présenté aucune entrée de registre, fichier ou processus restant. Le programme malveillant a été entièrement nettoyé et la moindre trace a été éliminée. Les données ci-dessous figurant sous forme de tableaux et graphiques indiquent clairement les résultats et calculs impliqués dans la procédure. 16 06/27/2006 Page de 28 Rapport de test Résultats de test McAfee Durée de scan/nettoyage du réseau rapportée : Symantec Trend Micro 00:10:23 00:12:16 (HH:MM:SS) (HH:MM:SS) 00:10:04 (HH:MM:SS) Temps de recherche (détermination des caractéristiques 60 minutes d'infection des échantillons de 0 minutes Groupe C) : (non inclus dans le calcul, étant donné que West Coast 48 minutes 12 (ordinateurs) x 4 (minutes pour se Durée de la suppression manuelle : déplacer physiquement d'un ordinateur à l'autre et supprimer manuellement les résidus de programmes malveillants de Labs avait auparavant constaté que la solution Trend Micro avait entièrement supprimé toute trace du programme Groupe C). malveillant en question) Durée rapportée du second 00:10:02 scan/nettoyage (afin de confirmer la suppression) : (HH:MM:SS) 02:08:25 (HH:MM:SS) Durée totale du nettoyage (opération/vérification) : 00:11:32 (HH:MM:SS) 02:11:48 00:10:04 (HH:MM:SS) (HH:MM:SS) Restauration complète (vérification manuelle) 140 128,25 131,48 Durée (MM:SS) 120 100 80 60 40 10,04 20 0 McAfee Symantec Trend Micro 17 06/27/2006 Page de 28 Rapport de test Résultats de test. Simulation d'épidémie de programmes malveillants « zero day » (Groupe C) : menaces inconnues Ce test n'a été réalisé que sur le produit Trend Micro, étant donné qu'aucune des autres solutions, McAfee ou Symantec, ne dispose pour le moment d'une fonction de protection active avant la mise à disposition des fichiers de signatures. Ce test a permis d'évaluer les capacités de protection automatique contre les menaces (stratégie OPP) de Trend Micro appliquée à l'intégralité d'un réseau, avant la mise à disposition des signatures de virus et avant que les échantillons de programmes malveillants inconnus de Groupe C n'infectent le réseau. West Coast Labs s'est auparavant assuré que la protection automatique contre les menaces fonctionnait correctement, puis a tenté d'introduire les échantillons de menaces inconnues du Groupe C sur le réseau test, prenant soin d'enregistrer les résultats. Les résultats ont démontré que, suite au déploiement automatique de la stratégie OPP, le réseau test a été automatiquement protégé contre les échantillons de menaces de Groupe C, avant la mise à disposition des signatures de virus traditionnelles (une capacité unique comparé aux versions par défaut des produits McAfee et Symantec testés). Cette stratégie a permis d'assurer l'incapacité des échantillons de Groupe C à infecter le moindre ordinateur ou à se propager sur le réseau. McAfee Symantec Trend Micro Non Non Oui Protection active avant la mise à disposition des fichiers de signatures : 18 06/27/2006 Page de 28 Rapport de test Résultats de test Moyenne d'utilisation de la CPU au cours du scan/nettoyage (%) Ces tests ont enregistré la valeur moyenne d'utilisation de la CPU, en pourcentage, pour la durée complète du scan/nettoyage rapporté effectué suite à l'épidémie initiale de programmes malveillants de Groupe C. Les données correspondent aux outils de performance intégrés sur le serveur Exchange, le serveur Active Directory et les dix ordinateurs clients Windows XP. McAfee Symantec Trend Micro Serveur Exchange (moyenne) : 48 61 39 Serveur Active Directory (moyenne) : 51 57 41 Ordinateur client Windows XP (moyenne) : 46 54 36 % Utilisation de la CPU pendant la restauration (%) Programmes malveillants de Groupe C 65 60 55 50 45 40 35 30 25 20 15 10 5 0 61 57 48 51 54 Exchange 46 39 41 36 Contrôleur de domaine AD Cliente McAfee Symantec Trend Micro REMARQUE : toutes les données de CPU ont été obtenues à partir d'une mesure unique (et non à partir d'une moyenne d'utilisation de la CPU sur plusieurs scans). Aussi, bien que la durée et l'environnement soient les mêmes pour chacune des solutions testées, les processus effectués en arrière-plan peuvent varier et affecter les données. Ces données ne constituent pas une preuve concluante que la solution Trend Micro présente un avantage incontestable au niveau des performances de la CPU. Toutes les données de durée détaillées dans ce rapport concernent un environnement de test spécifique et éventuellement des échantillons de programmes malveillants spécifiques, y compris le nombre correspondant d'infections du réseau/d'ordinateurs présentes à un moment précis (en effet, les processus supplémentaires en arrière-plan, les différents échantillons de programmes malveillants ou un environnement de test alternatif peuvent affecter les données). Ces données ne doivent donc pas être considérées comme une preuve concluante que Trend Micro offre des technologies de scan/nettoyage incontestablement plus rapides. 19 06/27/2006 Page de 28 Rapport de test Conclusion Compte tenu des résultas et relativement aux évaluations réalisées dans le cadre de technologies et scénarios de test spécifiques au sein de ce rapport, Trend Micro présente un avantage indéniable sur les produits concurrents. Le produit est bien conçu au niveau de la facilité de déploiement (grâce à une installation par défaut inchangée offrant un haut niveau de protection). La simplicité d'utilisation de manière générale est facilitée par une interface de gestion basée sur le Web aussi intuitive que conviviale. Depuis cette interface centralisée, les administrateurs ont pu : • obtenir un aperçu de l'état de sécurité de l'ensemble du réseau en un coup d'œil ; • connaître les actions exécutées pour combattre une menace de programme malveillant ; • procéder à distance à la gestion, la configuration et l'application des paramètres de sécurité sur tous les ordinateurs du réseau. Les fonctionnalités de prévention, protection et restauration automatiques des menaces se sont avérées parfaitement efficaces et n'ont requis absolument aucune intervention de la part de l'utilisateur. Ces résultats de tests ont permis de mettre en évidence l'importance de la fonction d'évaluation des failles et de la stratégie de prévention des épidémies (OPP) de Trend Micro. Ces technologies combinées, n'impliquant qu'une intervention minimale de la part de l'utilisateur, constituent un produit de protection contre les menaces hautement efficace. Un réseau informatique peut être contrôlé de façon rapide et précise afin d'identifier les failles de sécurité ; peut être verrouillé et immunisé contre de nouvelles épidémies de programmes malveillants de façon précoce par rapport aux solutions de virus les plus communes, et cela sans nécessiter de personnel spécialisé en informatique et dans le domaine de la sécurité. REMARQUE IMPORTANTE : dans un souci de neutralité, West Coast Labs (se basant sur les évaluations actuelles et les tests précédents) tient à attirer l'attention sur le fait que les trois produits présentent des fonctionnalités avantageuses dans différents domaines. Les objectifs de test définis dans ce rapport excluent l'évaluation complète du fonctionnement individuel de chacun des trois produits testés. Il est donc possible que les entreprises nécessitent d'effectuer une évaluation supplémentaire individuelle de chacun des produits, en se basant sur leurs besoins commerciaux spécifiques, les conditions d'environnement et différents scénarios à prendre en considération, sans oublier les capacités et connaissances en matière de sécurité du personnel disponible ou des ressources extérieures. 20 06/27/2006 Page de 28 Rapport de test Annexes Annexe A : Environnement de test (détails) 1. Configuration matérielle Qté Type de nœud CPU RAM Disque dur Réseau 11 Client 3,0 GHz 1 Go 40 Go Gigabit 2 Serveur 3,06 GHz 1 Go 40 Go Gigabit 2. Configuration logicielle principale Qté Système d’exploitation 10 Microsoft Windows XP Professional SP1 1 Microsoft Small Business Server 2003 1 Microsoft Windows Server 2003 1 Microsoft Office 2000 1 Système d'exploitation Linux personnalisé pour West Coast Labs 3. Infrastructure Qté Description 1 Commutateur LAN 10/100/1 000 Mbps à 24 ports 1 Routeur Cisco 800 (pare-feu) 1 Connexion Internet à haut débit 4. 5. Échantillons de programmes malveillants Groupe Nom A W97M/markhap.A W32/Bagle-EF B W23/Sober.X C WORM_RBOT.DLC WORM_RBOT.CQN WORM_COMBRA.P 21 06/27/2006 Page de 28 Rapport de test Annexes Évaluation de test et outil de rapport West Coast Labs a utilisé un ensemble de logiciels d'enregistrement de tests et de mesures personnalisés, basés sur des produits commerciaux établis comme libres. Des composants d'outils ont été activés sur les dispositifs des clients et du serveur et les résultats de test obtenus ont été capturés sur un ordinateur séparé afin de permettre une analyse plus détaillée. Configuration du réseau test Les ordinateurs suivants ont été définis et installés manuellement par West Coast Labs dans une configuration de réseau LAN isolée et conçue pour reproduire un environnement PME-PMI réel : Qté Système d’exploitation Partition du disque dur Composants clés 10 Windows XP Professional SP1 19,53 Go 17,71 Go Outlook/Word C: Système D: Image 19,53 Go 17,71 Go C: Système D: Image 19,53 Go 17,71 Go C: Système D: Image 1 1 1 Small Business Server 2003 Windows Server 2003 Système d'exploitation Linux N/A Exchange AD/DNS/IIS Outils de test/mesure personnalisé pour West Coast Labs Chaque système d'exploitation du réseau test a été installé sur la partition « C: Système », puis une copie exacte (image de copie instantanée) de cette partition a été compressée, protégée par un mot de passe et copiée sur la partition « D: Image ». Chaque capture d'écran a été testée en étant ré-écrite sur la partition « C: System », garantissant que chaque environnement de système d'exploitation soit reproduisible et fonctionne correctement, en accord avec la méthodologie ou le scénario de test. Les logiciels de synchronisation de réseau pour tous les dispositifs clients/serveurs ont été installés et activés, puis réinitialisés pour retrouver la valeur d'origine avant chaque phase de test, assurant une certaine synergie temporelle, en accord avec la méthodologie ou le scénario de test. Le tableau suivant contient des informations supplémentaires sur la configuration du réseau test : 22 06/27/2006 Page de 28 Rapport de test Annexes Nom de l'ordinateur Type de nœud Utilisateur Adresse IP T130 T131 T132 T133 T134 T135 T136 T137 T138 T139 T140 T141 Linux Client Client Client Client Client Client Client Client Client Client Serveur Serveur Client/Serveur T130 T131 T132 T133 T134 T135 T136 T137 T138 T139 Administrateur Administrateur Racine 10.10.10.130 / 24 10.10.10.131 / 24 10.10.10.132 / 24 10.10.10.133 / 24 10.10.10.134 / 24 10.10.10.135 / 24 10.10.10.136 / 24 10.10.10.137 / 24 10.10.10.138 / 24 10.10.10.139 / 24 10.10.10.140 / 24 10.10.10.141 / 24 10.10.10.142 / 24 Chaque ordinateur était relié au réseau via le commutateur LAN à 24 ports et une passerelle Internet était fournie par le dispositif de routeur/pare-feu Cisco 800. Une adresse IP interne 10.10.10.254 / 24 a été assignée au dispositif et les règles de pare-feu appropriées ont été configurées pour assurer l'isolation complète d'Internet et de tous les autres réseaux de test internes, afin de rester conforme à la méthodologie ou au scénario de test. 23 06/27/2006 Page de 28 Rapport de test Annexes Annexe B : Procédures de test West Coast Labs a défini et appliqué ces procédures de test et enregistré tous les résultats obtenus : • Une fois le réseau test installé, configuré et testé, les programmes malveillants du Groupe A ont été introduits dans l'environnement de test et se sont propagés librement pendant une durée déterminée par des techniques basées sur fichiers et réseau, en accord avec les activités traditionnelles des utilisateurs dans les PME-PMI, y compris l'utilisation de messageries, la navigation sur le Web et le partage de fichiers. Tous les ordinateurs du test étaient infectés à ce stade. Toutes les données de réseau/session générées au cours de ce processus ont été capturées et enregistrées par l'intermédiaire d'un groupe d'outils d'analyse préconfigurés installés sur l'ordinateur Linux personnalisé. • Le réseau test a ensuite été ré-imagé et réinitié pour retrouver son état d'origine (sans aucun programme malveillant). Suite à cette procédure, les programmes malveillants du Groupe B ont été introduits dans l'environnement de test et se sont propagés librement pendant une durée déterminée par des techniques basées sur fichiers et réseau, en fonction des activités traditionnelles des utilisateurs dans les PME-PMI, y compris l'utilisation de messageries, la navigation sur le Web et le partage de fichiers. Tous les ordinateurs du test étaient infectés à ce stade. Toutes les données de réseau/session générées au cours de ce processus ont été capturées et enregistrées par l'intermédiaire d'un groupe d'outils d'analyse préconfigurés installé sur l'ordinateur Linux personnalisé. • Le réseau test a ensuite été ré-imagé et réinitié pour retrouver son état d'origine (sans aucun programme malveillant). Suite à cette procédure, les programmes malveillants du Groupe C ont été introduits dans l'environnement de test et se sont propagés librement pendant une durée déterminée par des techniques basées sur fichiers et réseau, en fonction des activités traditionnelles des utilisateurs dans les PME-PMI, y compris l'utilisation de messageries, la navigation sur le Web et le partage de fichiers. À ce stade, trois ordinateurs tests étaient initialement infectés. Toutes les données de réseau/session générées au cours de ce processus ont été capturées et enregistrées par l'intermédiaire d'un groupe d'outils d'analyse préconfigurés installé sur l'ordinateur Linux personnalisé. • Chaque groupe de programmes malveillants (A, B et C) a été ensuite ré-introduit à différents intervalles de temps dans une instance ré-imagée du réseau test, afin de garantir que les infections de programmes malveillants puissent être reproduites en accord avec le scénario de test. Un outil de réinsertion des données approprié a été utilisé, facilitant la simultanéité et la synergie des données dans un but de test comparatif. • La solution de chaque éditeur a été installée à intervalle de temps séparé sur une instance inaltérée du réseau test, exempte de tout programme malveillant, et toutes les activités d'intervention de l'utilisateur 24 06/27/2006 Page de 28 Rapport de test ont été enregistrées, sur la base d'une configuration par défaut des composants principaux ; définis comme console d'administration, agent Exchange et logiciel client. • La solution de chaque éditeur a été installée à un moment différent sur le réseau test, lequel a ensuite été infecté par chaque groupe de programmes malveillants (A, B et C) à différents moments (à l'aide de l'outil de réinsertion des données approprié et en accord avec le scénario de test décrit dans ce rapport). Chaque groupe de programmes malveillants a été introduit à la fois avec et sans application des mises à jour de produit des éditeurs, permettant à West Coast Labs d'évaluer la base de données des signatures de virus de chaque produit, en veillant particulièrement à ce que les signatures des programmes malveillants du Groupe C ne soient présentes sur aucun des produits au moment de l'installation. De plus, West Coast Labs s'est assuré que les signatures des programmes malveillants du Groupe C étaient disponibles pour chaque produit suite à une mise à jour Internet. • Un serveur de mise à jour interne a été installé sur le contrôleur de domaine Active Directory afin de permettre à West Coast Labs de simuler, d'évaluer et de valider la stratégie de prévention des épidémies OPP de la solution Trend Micro en accord avec la méthodologie ou le scénario de test. • Une épidémie de type « zero-day » (échantillons de programmes malveillants du Groupe C) a été simulée alors que les signatures de virus des éditeurs n'étaient pas encore disponibles pour les produits testés. Les échantillons de Groupe C ont été choisis pour tester les programmes malveillants inconnus. Dans le cadre de ce projet, West Coast Labs avait auparavant vérifié que les signatures de virus ou méthodes de détection heuristique étaient disponibles pour ces échantillons sur chacun des produits testés. Les détails suivants offrent une description approfondie de la structure du scénario de test : Jour zéro, 09:00 : Une série de vers auparavant non détectés (groupe C) a été introduite, se propageant activement et infectant les ordinateurs vulnérables. Jour zéro, 09:20 : Le réseau test de reproduction d'un environnement PME-PMI a été infecté par les programmes malveillants du Groupe C, avec en conséquence la contamination initiale de trois ordinateurs sur un total potentiel de douze nœuds. Jour zéro, 09:21 : Trend Micro a lancé la stratégie OPP de protection automatique contre les menaces, avant la mise à disposition des signatures de virus pour les menaces du Groupe C. Jour zéro, 10:00 : Les nouvelles signatures de virus pour le Groupe C ont été publiées par chacun des éditeurs (McAfee, Symantec et Trend Micro) et sont disponibles sur Internet pour être téléchargées. À ce stade, ces mises à jour ont été appliquées à chacune des trois solutions. REMARQUE : dans une situation réelle, la disponibilité des signatures de virus signature peut varier en fonction de la complexité de la menace, du type de menace et de l'éditeur. Une période d'une heure entre l'introduction des programmes malveillants de Groupe C et la mise à disposition d'une signature 25 06/27/2006 Page de 28 Rapport de test réduisant les risques (en plus d'être réaliste) a été spécifiée dans ce scénario afin d'assurer que la même comparaison de base soit possible entre toutes les solutions et pour permettre le test de la stratégie de prévention des épidémies OPP dans une situation réelle. De 09:00 à 10:00 : les activités informatiques normales de l'environnement PME-PMI sont poursuivies, y compris les activités de messagerie, de navigation sur le Web et de partage de fichiers. Au cours de ce processus, chacune des solutions ont été évaluées au niveau des capacités connues de prévention contre les menaces, protection et restauration et de convivialité administrative. Il a été ensuite nécessaire d'enregistrer la durée totale de recherche et suppression complète des échantillons de vers de Groupe C sur les ordinateurs infectés (dans le cas où un produit n'aurait pas pu entièrement nettoyer le ver et/ou les résidus éventuels, après l'application d'une mise à jour de l'éditeur) et de noter les procédures manuelles impliquées. La méthode de recherche suivie est décrite dans la section Résultats de test de ce rapport dans le paragraphe Épidémie de programmes malveillants « zero day »/restauration complète (vérification manuelle). REMARQUE : il est possible que les éditeurs fournissent un outil de suppression de programme malveillant lors de la publication d'une nouvelle signature de virus. Dans ce cas précis, l'utilisation d'un tel outil de suppression n'a pas été jugée appropriée étant donné que West Coast Labs a réalisé les tests dans des conditions reproduisant une situation réelle d'épidémie « zero-day ». Une méthode manuelle a été appliqué pour procéder à la suppression. 26 06/27/2006 Page de 28 Rapport de test Annexes Annexe C : Intervention de Trend Micro lors d'une véritable épidémie Pour confirmer les résultats de test et scénarios décrits dans ce rapport, Trend Micro décrit une épidémie réelle, en détaillant les événements d'arrière-plan et la réponse à l'incident en question : Le 5 octobre 2005, le monde entier se trouva face au problème du ver de messagerie nommé WORM_SOBER.AC. Ce ver se propageait à travers les messages électroniques. Le ver utilisait un moteur SMTP intégré pour envoyer sa propre copie en pièce jointe à des adresses électroniques ciblées. Il pouvait regrouper ces adresses à partir des fichiers portant certaines extensions sur un système infecté. La plupart des fichiers portant ces extensions étaient relatifs aux pages Web consultées par un utilisateur concerné. Le ver regroupait ces types de fichiers, prévoyant que les pages Web visitées contiendraient des chaînes de texte se référant à des adresses électroniques. Afin d'empêcher la propagation de ce ver, Trend Micro déploya la stratégie de prévention des épidémies 186, imposant aux produits Trend Micro de : 1. bloquer les messages entrants présentants des pièces jointes .zip (cela empêche l'entrée de tous les messages provenant de l'infection par WORM_SOBER.AC sur des systèmes externes) ; 2. supprimer les fichiers introduits par des programmes malveillants. Pour éliminer les endommagements causés par ce ver, Trend Micro déploya le modèle Damage Cleanup 661.04, imposant aux produits Trend Micro de : 1. mettre fin au programme malveillant ; 2. supprimer les fichiers et dossiers introduits ; 3. supprimer l'entrée de registre du programme malveillant. REMARQUE : dans le cadre de la procédure de test, il n'a pas été demandé à West Coast Labs de vérifier les détails spécifiques du compte-rendu ci-dessus. Cependant, la description de ces événements et des procédures de prévention, de restauration et de suppression effectuées par la suite correspondent aux résultats de test contenus dans ce rapport. 27 06/27/2006 Page de 28 Rapport de test Historique de révision Version Description des modifications Date de publication 1.0 Trend Micro Client Server Messaging Security for SMB 10/05/06 West Coast Labs, William Knox House, Britannic Way, Llandarcy, Swansea, SA10 6EL, Royaume-Uni. Tél. : +44 1792 324000, Fax : +44 1792 324001. www.westcoastlabs.org Une version anglaise de ce rapport est disponible auprès de Chris Thomas, Directeur des opérations de West Coast Labs : [email protected] 28 06/27/2006 Page de 28