Чи може ваш антивірус обробляти атаку шкідливого програмного забезпечення?

Тестування антивірусного захисту на основі підписів є нескладним. Ви збираєте сотні чи тисячі відомих зразків зловмисного програмного забезпечення, проводите сканування та відзначаєте, скільки виявлено ваш антивірусний продукт. Однак для абсолютно нового, нульового дня вірусу (або іншого типу зловмисного програмного забезпечення) обов'язково немає підпису. Тестування захисту від загроз нульового дня є жорстким, але дослідники компанії AV-Comparatives розробили техніку, яка їх задовольняє. Зауважте, що не всі постачальники антивірусів схвалюють саме цей тест; в останньому виданні відмовилося досить багато, результати якого щойно були опубліковані.

За визначенням, неможливо запустити тест, використовуючи фактичні зразки нульового дня. На той час, коли дослідники зможуть взяти та перевірити зразок, антивірусні постачальники вже на шляху підготовки підпису. AV-Comparatives імітує виявлення нульового дня, "заморожуючи" базу даних підписів продукту, а потім використовуючи лише зразки, які вперше з'явилися після великої заморозки.

Деякі продукти виявлятимуть нове зловмисне програмне забезпечення за допомогою евристичних методів, ідентифікуючи їх за подібністю до відомих зловмисних програм або за іншими характеристиками. Дослідники запускали кожен зразок, не зачеплений евристикою, зазначаючи, чи виявлення продукту на основі поведінки чи інший захист у реальному часі запобігали зараженню. Продукти заробляли повний кредит за те, що блокували зловмисне програмне забезпечення самостійно та набували половину кредиту в ситуаціях, коли блокування вимагало правильного рішення користувача.

Дуже добре виявлення

Виходячи виключно із рівня їх виявлення, 11 із 16 тестованих продуктів отримали б рейтинг ADVANCED +, найвищий рейтинг. Бітдефендер очолив цю групу, виявивши 97 відсотків; І Касперський, і Емісофт управляли 94 відсотками. Panda та Avast заробили б ГОЛОВНО. Microsoft також отримала б додатковий рейтинг, але AV-Comparatives використовує його лише як базовий рівень. Внизу, AnhLab та Vipre пройшли б із стандартом STANDARD.

Пісні помилкові позитиви

Системи виявлення на основі евристики та поведінки повинні бути дуже ретельно налаштовані, щоб уникнути позначення дійсних програм як небезпечних - саме це ми називаємо помилковим позитивом. Досить багато тестованих продуктів втратили бали за занадто багато помилкових позитивних результатів. Оскільки тест на виявлення проводився з використанням підписів, заморожених у лютому минулого року, дослідники змогли повторно використати хибнопозитивні результати тесту, проведеного у березні.

Шість перевірених продуктів втратили один рейтинговий рівень через занадто багато помилкових позитивних результатів. Для даних Emsisoft, eScan та G це означало падіння з ADVANCED + на ADVANCED, тоді як Panda знизилася з ADVANCED до STANDARD. Що стосується AhnLab та Vipre, вони обидва вже на найнижчому рівні проходження, тому їх остаточний рейтинг став просто ТЕСТОВАНО; вони не пройшли.

Хмарна суперечка

Постачальники, які подають свою продукцію на тестування AV-Comparatives, повинні погодитися брати участь у всіх необхідних тестах. Тест виявлення файлів на основі підписів - один із необхідних наборів; Symantec не схвалює цей тест, тому ви не знайдете результатів для Norton у звітах AV-Comparatives.

Проактивний тест, з іншого боку, необов’язковий. Згідно з повідомленням, "AVG, McAfee, Qihoo, Sophos та Trend Micro вирішили не брати участі, оскільки їх продукція сильно покладається на хмару". Тест з нульовим днем ​​обов'язково виключає хмарне виявлення, оскільки немає способу "заморозити" хмару. Ці постачальники вважали, що їхня продукція буде слабкою, без доступу до хмарного з'єднання.

Хоча AV-Comparatives дозволили цим постачальникам кланятися, звіт їх лає трохи. "Навіть кілька тижнів пізніше деякі зразки зловмисних програм все ще не були виявлені деякими залежними від хмари продуктами, навіть коли їх хмарні функції були доступні", - йдеться у повідомленні. "Ми вважаємо це маркетинговим приводом, якщо ретроспективні тести … піддаються критиці за те, що вони не дозволяють використовувати хмарні ресурси". У звіті робиться висновок: "Якщо файл абсолютно новий / невідомий, хмара зазвичай не зможе визначити, хороший він чи шкідливий".

Якщо ваш антивірус отримав найкращу оцінку в цьому тесті, це хороший знак, що він захищатиметься від нових загроз, що стоять за нульовий день. Але оскільки тест буквально не використовує ніколи раніше не бачені зразки в реальному світі, поганий бал (або відсутність участі) не обов'язково доводить, що він не виконає справи. Для повного розуміння вам потрібно ознайомитись із найрізноманітнішими тестами та детальними оглядами антивірусу PCMag.