【AV-C】3-6月商用版测试

whisper6336

包含真实世界防护、恶意软件防护、误报、性能测试

虫虫退散

每每看到这种测试都感叹卡巴真是标杆一样的存在啊，高检测低误报

神龟Turmi

虫虫退散 发表于 2023-7-15 10:05
每每看到这种测试都感叹卡巴真是标杆一样的存在啊，高检测低误报

这句话只适用于个人产品
企业产品不止需要EPP 而卡巴只在EPP方面很强
现在一个完整的企业产品应该有EPP（保护）+EDR（检测和响应）+DLP（数据外泄控制）
卡巴在EDR方面完全不行 在DLP方面是根本没做
看企业级产品不完全要看AVC/AVTest/VB100，还需要看SElabs和MITRE做的EDR的测试
（很遗憾 卡巴在2021年以“测试方法不符合实际”为理由退出了MITRE）

作为对比 随便截取了一些MITRE2020年（卡巴斯基最后一次参加）的数据
卡巴斯基  分析范围：74/134（55.2%）  可见性：83/134（60.6%）
Cylance  分析范围：75/134（56.0%）  可见性：110/134（82.1%）
CrowdStrike  分析范围：34/134（25.4%）  可见性：115/134（85.8%）
SentinelOne  分析范围：123/134（91.8%）  可见性：127/134（94.8%）
这样就可以看出为什么后三者是企业级（特别是大公司）的主流而不是卡巴斯基了吧

whisper6336

神龟Turmi 发表于 2023-7-15 13:50
这句话只适用于个人产品
企业产品不止需要EPP 而卡巴只在EPP方面很强
现在一个完整的企业产品应该有EPP ...

其实我觉得av-c企业版和消费者版测试唯一区别性的看点，就是看大家都把设置拉满在“真实世界”和恶意软件防护会有什么不同，仅仅是和个人版本做区别，也仅此而已

隔山打空气

whisper6336 发表于 2023-7-15 15:40
其实我觉得av-c企业版和消费者版测试唯一区别性的看点，就是看大家都把设置拉满在“真实世界”和恶意软件 ...

其实AV-C测评都是有个product settings的，那里显示了供应商参测产品的设置，不会是拉满，这点还请多加注意
例如：
Bitdefender: “Sandbox Analyzer” (for Applications and Documents) enabled. “Analysis mode” set to “Monitoring”. “Scan SSL” enabled for HTTP and RDP. “HyperDetect” and “Device Control” disabled. “Update ring” changed to “Fast ring”. “Web Traffic Scan” and “Email Traffic Scan” enabled for Incoming emails (POP3). “Ransomware Mitigation” enabled. “Process memory Scan” for “On-Access scanning” enabled. All “AMSI Command-Line Scanner” settings enabled for “Fileless Attack Protection”.
（“沙盒分析器”（提交应用程序和文档）已启用。“分析模式”设置为“监控”。启用“网络流量扫描”，“扫描加密流量”及“扫描RDP”，扫描“HTTPS”。“HyperDetect机器学习”和“设备控制”已禁用。“更新环”更改为“快速环”。启用“流量邮件扫描”中的“传入电子邮件（POP3）”。已启用“勒索软件缓解”。启用“实时防护”的“进程内存”扫描选项。为“无文件攻击防护”启用“命令行扫描器”“反恶意软件扫描接口安全提供程序”“向反恶意软件扫描接口报告分析结果”设置。）

Kaspersky: “Adaptive Anomaly Control” disabled; “Detect other software that can be used by criminals to damage your computer or personal data” enabled;
（禁用“自适应异常控制”，启用“检测可能被犯罪分子用来破坏您的计算机或个人数据的其他软件”选项。）

LeeHS

总感觉cs成绩一直都不怎么耀眼，但却能拿到魔力象限的头位。。不知道怎么做到的

风雷max

Bitdefender这是开挂了吗...怎么性能测试排在K7前面去了

神龟Turmi

LeeHS 发表于 2023-7-15 22:53
总感觉cs成绩一直都不怎么耀眼，但却能拿到魔力象限的头位。。不知道怎么做到的

CS的初见杀不一定很强 毕竟机器学习是NGAV中倒数的 但是他们的威胁猎人效率非常高
基本你传一个初见样本到VT 如果一开始报了D杀（机器学习）在两个小时之内就会变成W杀（情报）或者加白
这个响应速度放在别家都是不可能的事情（卡巴UDS这种不算，这是自动化）

LeeHS

神龟Turmi 发表于 2023-7-16 10:26
CS的初见杀不一定很强 毕竟机器学习是NGAV中倒数的 但是他们的威胁猎人效率非常高
基本你传一个初见样本 ...

公司那边我在想是继续CS还是试试Cybereason，没太大区别就懒得试了

神龟Turmi

LeeHS 发表于 2023-7-16 13:26
公司那边我在想是继续CS还是试试Cybereason，没太大区别就懒得试了

那必然是Cybereason
毕竟Crowdstrike连我都能买到 多没逼格
Cybereason那300u起步的门槛 我这辈子都买不了