Acasă Securitywatch Symantec declară că testele antivirus la cerere sunt înșelătoare

Symantec declară că testele antivirus la cerere sunt înșelătoare

Video: AVG Antivirus Free | Review and Ransomware Test (Noiembrie 2024)

Video: AVG Antivirus Free | Review and Ransomware Test (Noiembrie 2024)
Anonim

Săptămâna trecută, laboratorul antivirus independent AV-Comparatives a lansat rezultatele unui test de detectare a antivirusului la cerere. Faptul că Microsoft a venit aproape de fund nu a fost o veste importantă; faptul că Symantec a marcat și mai jos a fost surprinzător. Într-o postare pe blog lansată astăzi, Symantec a decretat întreaga practică de a efectua teste de scanare a malware-ului la cerere, numindu-l „înșelător”.

În primii ani de testare antivirus, fiecare test a fost un test de scanare la cerere. Cercetătorii ar asambla o colecție de malware cunoscute, ar efectua o scanare completă și ar înregistra procentul de probe detectate. Laboratoarele moderne lucrează din greu pentru a crea teste care reflectă mai îndeaproape experiența utilizatorului din lumea reală, ținând cont de faptul că marea majoritate a infecțiilor intră pe computer de pe Internet. Symantec susține că numai un fel de test real este valabil; Nu sunt în totalitate de acord.

Protecție infirmă?

Alejandro Borgia, director principal al managementului de produs pentru Symantec Corporation, a declarat categoric în postarea sa pe blog că „ratele de detectare citate sunt înșelătoare și nu reprezintă reprezentativ pentru eficacitatea produsului din lume”. Borgia a spus: "Aceste tipuri de teste de scanare a fișierelor sunt efectuate în medii artificiale care strică toate caracteristicile moderne de protecție."

Este adevărat că AV-Comparatives s-a asigurat că sistemele de test au acces la Internet, oferind astfel instalării Symantec acces la sistemul puternic de reputație Norton Insight bazat pe cloud. Când am întrebat contactele mele de la Symantec despre acest lucru, ei au explicat că pentru puterea maximă, Norton Insight se bazează pe informații complete, „cum a fost obținut fișierul, când a fost obținut sau de unde a fost obținut (de exemplu, adresa URL și adresa IP)”. Un test de scanare a fișierelor la cerere pe fișiere a căror sosire antivirusul Symantec nu a observat-o nu este același cu cel în care utilizatorul descarcă fișierele. Este adevărat, dar este la fel ca atunci când un utilizator instalează antivirus pentru a curăța o problemă malware existentă.

Componentele de prevenire a intruziunilor din rețea nu au avut nici o șansă de ajutor, deoarece eșantioanele de fișiere au fost descărcate înainte de instalarea software antivirus. Încă o dată, ați fi într-o situație similară atunci când instalați antivirus pentru prima dată pe un sistem infestat. Și, desigur, detectarea bazată pe comportament nu începe niciodată până când un program începe de fapt să se execute.

Ca răspuns la o întrebare privind protecția bazată pe comportament, luând măsuri numai după lansarea unui fișier rău intenționat, contactele mele Symantec au subliniat că „comportamentul” include mai mult decât acțiunile întreprinse de program. "Tehnologia noastră comportamentală ia în considerare locația unui program, modul în care este înregistrat pe sistem (de exemplu, ce chei de registru se referă la acesta) și mulți alți factori", au explicat ei. "În cele mai multe cazuri, programul va fi oprit înainte ca acesta să producă vreun rău."

Este înșelător?

În ceea ce privește afirmația că testul este înșelător, AV-Comparatives nu este de acord. Introducerea în raport în sine că „rata de detectare a fișierelor unui produs este doar un aspect” și indică „alte rapoarte de test care acoperă diferite aspecte”.

"Se spune clar că o singură caracteristică a produsului este testată", a declarat Peter Stelzhammer, co-fondator al AV-Comparatives. "Dacă Symantec consideră că funcția de detectare a fișierelor nu are valoare, de ce este încă inclusă în produs?" Stelzhammer a subliniat că detectarea fișierelor este necesară pentru curățarea inițială și că calculatoarele nu au întotdeauna o conexiune la Internet. Chiar și așa, „testul a fost rulat cu conexiune completă la internet, iar funcțiile cloud Symantec au primit acces la cloud-ul lor."

Borgia pare să testeze singur detecția dosarului pentru a testa sistemele de siguranță ale unei mașini, dezactivând mai întâi totul, cu excepția centurii de tură, precizând că un astfel de test ar fi "complet defect". Și totuși, un test de genul acesta ar putea foarte bine să identifice problemele cu o centură slabă în poală, așa că „complet defectuos” pare o supraestimare.

Doar teste din lumea reală?

Borgia observă că Symantec susține cu tărie testele din lumea reală, teste „care reprezintă cel mai îndeaproape mediul amenințător și utilizează toate tehnologiile proactive furnizate cu un produs”. Cu greu nu pot fi de acord, dar astfel de teste necesită o cantitate mare de timp și efort. Postarea pe blog susține testarea efectuată de Dennis Labs ca un exemplu strălucitor. Dennis Labs înregistrează procesul de infecție de pe adresele URL din lumea reală și apoi folosește un sistem de redare Web pentru a repeta exact același proces sub protecția fiecărui produs antivirus. Admirabil într-adevăr, dar este nevoie de mult timp și efort.

AV-Comparatives efectuează teste din lumea reală în fiecare zi, provocând o colecție de produse antivirus instalate în platforme de test identice, pentru a se apăra de malware împotriva sutelor de URL-uri rău-intenționate din lumea reală. În fiecare lună rezumă datele și în fiecare trimestru lansează un raport complet de protecție reală. Procesul este suficient de intensiv în muncă încât se bazează pe ajutorul de la Universitatea din Innsbruck și pe finanțarea parțială a guvernului austriac.

Te-ai aștepta ca Symantec să strălucească în acest test real din partea AV-Comparatives. „Din păcate, ” a remarcat Stelzhammer, „Symantec nu a dorit să se alăture seriei noastre de teste principale”. Symantec a ales să nu participe, au spus ei, pentru că „AV-Comparatives nu oferă vânzătorilor un abonament axat doar pe teste din lumea reală, în timp ce optează pentru testarea scanării fișierelor”. Cu toate acestea, această strategie pare să fi fost retrocedată. Chiar dacă compania nu s-a abonat, AV-Comparatives a pus Symantec în testul la cerere „deoarece rezultatele au fost foarte solicitate de cititorii și presa”.

Testele multiple au valoare

Postarea de pe blogul lui Symantec concluzionează: "Așteptăm cu nerăbdare ziua în care toate testele publicate sunt teste reale. Între timp, cititorii trebuie să se ferească de testele artificiale care arată comparații înșelătoare ale produselor". Și eu aș fi încântat să văd mai multe teste care se potrivesc cu experiența reală a unui utilizator, dar nu cred că putem renunța la testele de detectare a fișierelor.

Gandeste-te la asta. Dacă achiziționați software antivirus pentru un sistem care nu a avut niciodată protecție, vă așteptați să curețe orice și toate malware-urile, fără a înțelege că nu i s-a oferit șansa de a utiliza prevenirea intruziunilor în rețea. În acest caz, probabil că veți căuta scoruri mari la un test precum testul la cerere Comparative AV, un test care se potrivește destul de mult cu situația dvs.

Pentru protecție continuă, da, veți dori un produs care obține scoruri de top în testele din lumea reală. Așadar, alegeți un produs cu un punctaj ridicat în ambele zone și în teste din mai multe laboratoare. În acest fel veți obține o protecție care poate avea grijă de orice probleme existente la instalare și, de asemenea, va putea preveni atacurile malware viitoare.

Symantec declară că testele antivirus la cerere sunt înșelătoare