AV-Comparatives a publié les résultats de son test de protection anti-falsification « Anti-Tampering Certification Test », qui montre si les solutions endpoint se défendent contre la falsification : CrowdStrike, ESET, Kaspersky et Palo Alto Networks.
Le test tente de désactiver ou de modifier les composants d'espace utilisateur et noyau des solutions de point de terminaison pour évaluer leurs propriétés anti-falsification. Le test évalue s'il est possible de désactiver ou de modifier des composants ou des fonctions AV/EPP/EDR par manipulation, toutes les activités de falsification (manipulation) étant effectuées dans la zone utilisateur Windows. Les produits suivants sont inclus dans le test.
- Crowd Strike Falcon Entreprise
- Entrée ESET PROTECT
- Kaspersky Endpoint Security for Business
- Palo Alto Networks Cortex XDR Prévenir
Manipulation : contre quoi faut-il se défendre ?
Pour être approuvé par AV-Comparatives comme protection anti-effraction, toutes les tentatives d'effraction faites pendant le test doivent être empêchées. Avec divers tests, outils et procédures, les testeurs tentent de pénétrer les solutions endpoint ou de tester la sécurité de manipulation de chaque produit. Des tentatives sont faites pour désactiver les fonctions les plus importantes dans le cadre de la prévention en affectant divers composants divers du produit respectif.
- Test 1 : Protégée avec succès contre les attaques de manipulation qui pourraient conduire à une désactivation temporaire ou permanente et partielle ou complète de la fonctionnalité EDR n'était pas possible.
Les composants ou catégories suivants ont été testés contre les attaques de falsification qui pourraient entraîner une perte permanente, temporaire, partielle ou totale de la fonctionnalité du produit :
- Les processus de l'espace utilisateur, y compris les threads et les descripteurs (terminer, suspendre, etc.)
- Services en espace utilisateur (pause, arrêt, désactivation, désinstallation, etc.)
- Clés de registre (supprimer, retirer, renommer, ajouter, etc.)
- DLL (manipulation, modification, détournement, etc.)
- Intégrité de l'agent (désactiver, modifier, désinstaller, etc.)
- Système de fichiers (manipulation, modification, etc.)
- Pilotes du noyau (pilotes ELAM, pilotes de filtre, pilotes de minifiltre, etc.)
- Autres composants et fonctions (par exemple, connexion aux services de mise à jour, etc.)
Les 4 produits CrowdStrike Falcon Enterprise, ESET PROTECT Entry, Kaspersky Endpoint Security for Business et Palo Alto Networks Cortex XDR Prevent ont passé avec succès le test et ont reçu le certificat "Approved Anti Tempering 2023" d'AV-Comparatives.
Plus sur AV-Comparatives.org
À propos des comparatifs audiovisuels AV-Comparatives est un laboratoire de test AV indépendant basé à Innsbruck, en Autriche, et teste publiquement des logiciels de sécurité informatique depuis 2004. Il est certifié ISO 9001:2015 pour les tests de logiciels antivirus indépendants. Il possède également la certification EICAR en tant que "Laboratoire de test de sécurité informatique de confiance".