Protection du poste de travail : dans les coulisses des tests de NSS Labs

Plus tôt ce mois-ci, NSS Labs a dévoilé les résultats de sa première campagne de tests de produits de protection des hôtes de l’infrastructure, postes de travail et serveurs, (EPP) depuis l’action qu’il a engagé en justice à l’automne dernier contre plusieurs éditeurs. L’AMTSO, Crowdstrike et Symantec avaient répondu à la plainte, mais cela n’a pas empêché ce dernier de participer à la campagne, ni sa suite d’EPP d’en ressortir recommandée.

Cette nouvelle campagne de tests marque des changements significatifs dans la méthodologie et la présentation des résultats. Jason Brvenik, directeur technique de NSS Labs, a indiqué avoir dû adopter une approche différente pour tester cette fois-ci, en raison de l'évolution des produits. De plus, NSS Labs a apporté un changement mineur, mais important, à son rapport final en l’expurgeant des noms de trois éditeurs pour lesquels il revendique la « prudence ». Une interview menée et éditée par nos confrères de searchsecurity, du groupe TechTarget également propriétaire du MagIT.

LeMagIT / Groupe Techtarget : En quoi cette nouvelle campagne de tests est-elle différente des précédentes ?

Jason Brvenik : Le monde de l’EPP est devenu très efficace pour le partage d’information – au moins pour ce qui est du renseignement et de la connaissance sur les menaces. Ainsi, au cours de cette campagne, nous avons constaté que nous devions faire des tests en parallèle en moins d'une minute et demie avant que les résultats ne soient faussés.

LeMagIT / Groupe Techtarget : Si vite que ça ?

Oui. Nous devions en fait obtenir rapidement des résultats avant que d'autres éditeurs ne puissent mettre à profit le travail d’un premier.

LeMagIT / Groupe Techtarget : Est-ce parce que les éditeurs passent par des plateformes comme VirusTotal, notamment ?

Oui, c'est par le biais de services comme VirusTotal, ainsi que d’autres services et canaux parallèles. Et l’on ne peut pas dire aux éditeurs de désactiver cette fonctionnalité, car c'est un avantage pour le marché en général. Tout le monde gagne à obtenir ce genre de résultats plus rapidement.

LeMagIT / Groupe Techtarget : Qu'y a-t-il d'autre de différent dans cette campagne de tests ?

La rapidité et le parallélisme du test en constituent un élément. Un autre est la profondeur à laquelle nous sommes allés dans un certain nombre d'autres cas où nous avons examiné les techniques d'exploitation, de mouvement latéral et d'évasion.

Ce qui est fascinant pour moi, c'est qu'il y a une amélioration continue des résultats. La barre est clairement relevée ; le marché réagit et s'efforce de faire mieux. Il n'y a pas de ligne de démarcation claire pour moi quant à savoir si une approche présente un avantage significatif sur une autre.

Il semble que les produits qui conviennent le mieux [aux entreprises] adoptent chacune des approches envisageables et les utilisent en conséquence. Chaque approche présente ses forces et ses faiblesses, et les produits qui sont le mieux intégrés entre eux semblent être ceux qui réussissent vraiment bien.

LeMagIT / Groupe Techtarget : Quelles sont certaines des choses que ceux qui ressortent en tête de ces tests ont bien faites ?

Dans l'ensemble, ils ont présenté des résultats meilleurs et plus rapides. Un bon blocage, une bonne détection, une grande rapidité d'exécution et de bonnes analyses – tout cela se conjugue pour produire un résultat.

LeMagIT / Groupe Techtarget : Avez-vous vu certains produits clairement aux antipodes ou n’étaient-ils tout simplement pas assez rapides ?

Il y a clairement des produits présents sur le marché de longue date qui ont une bonne occasion d’appréhender les choses différemment. Mais il y a aussi eu des améliorations.

La grande amélioration que nous avons constatée cette année est la gestion des rançongiciels et les différentes méthodes de détection de ceux-ci. Naturellement, on s'attendrait à ce que le marché produise une solution beaucoup plus efficace, compte tenu des dégâts causés au cours des années passées.

LeMagIT / Groupe Techtarget : Compte tenu de la quantité de données partagées si vite entre éditeurs, observez-vous une homogénéisation des résultats ?

Non, nous obtenons des résultats très différents. Et c'est pourquoi la fenêtre temporelle est si importante. Il vous permet en fait d'évaluer les mérites de la technologie en soi, et non la capacité collective de l'industrie. Nous constatons de bonnes variations à cet égard, surtout lorsqu'on commence à examiner la quantité d'information que ces produits glanent et qu'ils sont capables de fournir dans ces délais très courts.

Nous avons évalué un certain nombre d'éléments, comme les capacités d’investigation, celles de prévention d’attaques, ou celles de détection de techniques variées. Certains sont plus forts que d'autres en réputation qu'en apprentissage automatique, par exemple. C'est intéressant – il n'y a pas une seule technologie qui résiste à l'attaque directe. Elles ont toutes des faiblesses que l'on peut trouver, mais les capacités de détection et de réaction s'améliorent continuellement.

LeMagIT / Groupe Techtarget : Quelle est l'importance de la détection basée sur les signatures maintenant alors que tant d’éditeurs ont opté pour l'apprentissage automatique ? Est-ce quelque chose qui distingue encore les éditeurs d’EPP ?

C'est toujours d'actualité. Et elle fait une différence à certains égards. Dans l'un de nos cas de test, il s'agit d’éprouver les fonctionnalités hors connexion lorsque ces systèmes n'ont pas d’accès à Internet. Et il y a des cas pratiques où l’attaquant contrôle les choses, et l’on ne profite pas nécessairement de l'analyse en cloud et d’autre fonctionnalités avancées.

Il y a des jeux de données intéressants à voir là. Les signatures sont toujours très pertinentes, tout comme l’est la réputation. La réponse rapide est très spécifique, mais elle n'est pas durable contre les mutations. Je ne pense donc pas que les signatures vont disparaître. La rapidité de l'intervention a de la valeur ; il n'est pas nécessaire d'effectuer des analyses approfondies. En réservant celles-ci aux cas où les signatures ne suffisent pas.

LeMagIT / Groupe Techtarget : Avez-vous le sentiment que les produits d’EPP s'améliorent dans l'identification des nouvelles menaces ?

J'ai l'impression qu'ils s'améliorent pour conclure rapidement que de nouvelles choses sont menaçantes. Je ne sais pas si je dirais qu'ils réussissent de mieux en mieux à stopper les menaces, mais la capacité de ces produits à arriver à une conclusion et à partager [les données] largement est une chose assez puissante.

LeMagIT / Groupe Techtarget : Le marché de l’EPP semble être devenu très encombré et compétitif, et certains éditeurs y voient trop de conflits internes en ce moment.

C'est en fait l'une des raisons pour lesquelles pour lesquels nous avons décidé de supprimer les noms de trois éditeurs. Je voulais reprendre la conversation, parce que le marché a ce problème : ils se tirent dessus en coulisses et je ne veux tout simplement pas [contribuer à cela]. Je veux parler des gens qui travaillent bien, qui se soucient de leurs clients, qui se soucient de leurs produits et qui veulent vraiment comprendre les possibilités qui s'offrent à eux.

Je ne veux pas parler de toutes ces autres choses. Et je ne pense pas qu'un éditeur qui veut bien faire mais qui n'est pas encore tout à fait au point devrait nécessairement être pénalisé. Il ne devrait pas y avoir une tonne de requins qui attendent pour sauter dessus.

Nous essayons d'adopter une approche différente en nous concentrant davantage sur les éditeurs qui réussissent bien et en ayant les bonnes conversations sur les possibilités qui s'offrent à eux. Les éditeurs ne figurant pas parmi ceux qui sont recommandés ont une chance de progresser.

En fin de compte, ce qui m'importe, c'est que les entreprises puissent avoir entre leurs mains les meilleurs outils. Les données de nos tests sont disponibles, vous pouvez tout y voir. Nous ne nous contentons pas d'afficher des noms sur un tableau pour que tout le monde puisse commencer à se tirer dessus.