Poate antivirusul dvs. să gestioneze un atac malware de zero zile?

Testarea protecției antivirus bazate pe semnătura este un aspect dificil. Adunați sute sau mii de mostre de malware cunoscute, executați o scanare și observați câte produse antivirus au detectat. Cu toate acestea, pentru un virus nou, zero zile (sau un alt tip de malware), nu este neapărat semnătură disponibilă. Testarea protecției împotriva amenințărilor din ziua zero este grea, dar cercetătorii de la AV-Comparatives au elaborat o tehnică care să le satisfacă. Rețineți, însă, că nu toți furnizorii de antivirus aprobă acest test special; câțiva au renunțat la ultima ediție, ale cărei rezultate tocmai au fost lansate.

Prin definiție, nu este posibil să rulați un test folosind probe de zi zero. Până când cercetătorii ar putea captura și valida un eșantion, furnizorii de antivirus ar fi deja pe cale să pregătească o semnătură. AV-Comparatives simulează detectarea zilei zero prin „înghețarea” bazei de date a semnăturilor unui produs și apoi folosind doar probe apărute pentru prima dată după înghețarea mare.

Unele produse vor detecta noi malware folosind tehnici euristice, identificându-le prin asemănare cu malware cunoscut sau prin alte caracteristici. Cercetătorii au lansat fiecare eșantion care nu a fost prins de euristică, observând dacă detecția bazată pe comportament sau o altă protecție în timp real a produsului împiedică infestarea. Produsele au obținut un credit complet pentru blocarea malware-ului singur și jumătate de credit în situațiile în care blocarea a necesitat o decizie corectă a utilizatorului.

Detectie foarte buna

Pe baza ratelor de detecție a acestora, 11 din cele 16 produse testate ar fi obținut o evaluare AVANȚATĂ +, cea mai bună notă. Bitdefender a depășit acest grup, cu 97 de procente de detectare; Kaspersky și Emsisoft au reușit amândoi 94 la sută. Panda și Avast ar fi câștigat AVANȚATE. De asemenea, Microsoft ar fi obținut un rating AVANȚAT, dar AV-Comparatives îl folosește doar ca bază. În partea de jos, AnhLab și Vipre ar fi trecut cu un rating STANDARD.

Poziții false false

Sistemele de detectare euristică și bazate pe comportament trebuie să fie atent ajustate pentru a evita marcarea unor programe valabile ca fiind periculoase - asta este ceea ce numim fals pozitiv. Câteva dintre produsele testate au pierdut puncte pentru prea multe falsuri pozitive. Deoarece testul de detectare a fost efectuat folosind semnături înghețate în februarie trecut, cercetătorii au putut reutiliza rezultatele fals pozitive ale unui test efectuat în martie.

Șase dintre produsele testate au pierdut un nivel de rating din cauza prea multor falsuri pozitive. Pentru Emsisoft, eScan și G Data, asta însemna căderea de la AVANȚAT + la AVANȚAT, în timp ce Panda a scăzut de la AVANȚAT la STANDARD. În ceea ce privește AhnLab și Vipre, amândoi erau deja la cel mai scăzut nivel de trecere, astfel încât ratingul final a devenit doar TESTAT; nu au trecut.

Controversă în cloud

Furnizorii care își prezintă produsele pentru testare de către AV-Comparatives trebuie să fie de acord să participe la toate testele necesare. Testul de detectare a fișierelor bazat pe semnături este unul dintre seturile necesare; Symantec nu acceptă acest test, motiv pentru care nu veți găsi rezultate pentru Norton în rapoartele AV-Comparatives.

În schimb, testul proactiv este opțional. Potrivit raportului, „AVG, McAfee, Qihoo, Sophos și Trend Micro au decis să nu ia parte, deoarece produsele lor se bazează foarte mult pe cloud”. Testul din ziua zero exclude în mod necesar detectarea pe bază de nor, deoarece nu există nicio modalitate de a „îngheța” norul. Acești furnizori au considerat că produsele lor vor înscrie slab fără acces la o conexiune la cloud.

În timp ce AV-Comparatives le-a permis acestor vânzători să se închidă, raportul îi sperie puțin. „Chiar și câteva săptămâni mai târziu, o serie de probe malware utilizate încă nu au fost detectate de unele produse dependente de nor, chiar și atunci când funcțiile lor bazate pe cloud erau disponibile”, afirmă acesta. "Considerăm că este o scuză de marketing dacă testele retrospective… sunt criticate pentru că nu au voie să utilizeze resurse cloud." Raportul concluzionează: „Dacă un fișier este complet nou / necunoscut, norul nu va putea, de obicei, să nu poată determina dacă este bun sau rău intenționat.”

Dacă antivirusul dvs. a obținut o notă de vârf în acest test, acesta este un semn bun că acesta se va apăra de amenințările de nouă zile. Dar, întrucât testul nu folosește literalmente probe din lumea reală niciodată văzute, un scor slab (sau nici o participare) nu dovedește neapărat că nu va face treaba. Pentru o înțelegere completă, veți dori să vă uitați la o mare varietate de teste și la recenzii detaliate despre antivirus pentru PCMag.