Voiko virustentorjuntasi käsitellä nolla päivän haittaohjelmahyökkäyksiä?

Allekirjoituspohjaisen virustorjuntatestauksen testaaminen on helppoa. Keräät satoja tai tuhansia tunnettuja haittaohjelmanäytteitä, suoritat tarkistuksen ja kirjaat, kuinka moni virustorjuntatuotteesi havaitsi. Aivan uudelle nollapäivän virukselle (tai muun tyyppiselle haittaohjelmalle) ei kuitenkaan välttämättä ole allekirjoitusta saatavilla. Suojauksen testaaminen nollapäivän uhkilta on kovaa, mutta AV-Comparativesin tutkijat ovat kehittäneet tekniikan, joka tyydyttää heidät. Huomaa kuitenkin, että kaikki viruksentorjuntatoimittajat eivät hyväksy tätä testiä; varsin harvat ottivat pois viimeisimmän version, jonka tulokset on juuri julkaistu.

Määritelmän mukaan testiä ei ole mahdollista suorittaa todellisten nollapäivän näytteiden avulla. Siihen mennessä, kun tutkijat voisivat kaapata ja validoida näytteen, virustentorjuntatoimittajat olisivat jo valmistelemassa allekirjoitusta. AV-Comparatives simuloi nollapäivän havaitsemista "jäädyttämällä" tuotteen allekirjoitustietokannan ja käyttämällä sitten vain näytteitä, jotka ilmestyivät ensimmäisen kerran suuren pakkasen jälkeen.

Jotkut tuotteet havaitsevat uudet haittaohjelmat käyttämällä heuristisia tekniikoita, tunnistaen ne samankaltaisuuden kanssa tunnettujen haittaohjelmien tai muiden ominaisuuksien kanssa. Tutkijat käynnistivät jokaisen näytteen, jota heuristiikka ei kata, ja huomauttivat, estävätkö tuotteen käyttäytymiseen perustuva havaitseminen vai muu reaaliaikainen suojaus tartuntoja. Tuotteet ansaitsivat täyden hyvityksen haittaohjelmien estämisestä itsestään ja puolihyvityksiä tilanteissa, joissa estäminen vaati käyttäjän oikeaa päätöstä.

Erittäin hyvä havaitseminen

Pelkästään niiden havaitsemisnopeuden perusteella 16 testatusta tuotteesta 11 olisi saanut ADVANCED + -luokituksen, ylimmän arvosanan. Bitdefender ylitti tämän ryhmän havaitsemalla 97 prosenttia; Kaspersky ja Emsisoft hallitsivat 94 prosenttia. Panda ja Avast olisivat ansainneet ADVANCED. Microsoft olisi saanut myös ADVANCED-luokituksen, mutta AV-Comparatives käyttää sitä vain lähtökohtana. Alareunassa AnhLab ja Vipre olisivat läpäisseet STANDARD-luokituksen.

Ärsyttävä vääriä positiivisia

Heuristiset ja käyttäytymiseen perustuvat ilmaisujärjestelmät on viritettävä erittäin huolellisesti, jotta vältetään kelvollisten ohjelmien merkitseminen vaarallisiksi - sitä kutsumme vääriksi positiivisiksi. Melko harvat testatuista tuotteista menettivät pisteitä liian monien väärien positiivisten tulosten vuoksi. Koska havaintotesti suoritettiin viime helmikuussa jäädytetyillä allekirjoituksilla, tutkijat pystyivät käyttämään uudelleen maaliskuussa tehdyn testin väärät positiiviset tulokset.

Kuusi testatuista tuotteista menetti yhden arvosanan liian monien väärien positiivisten johdosta. Emsisoft-, eScan- ja G Data -sovelluksille tämä tarkoitti pudotusta ADVANCED + -tasosta ADVANCED-tilaan, kun taas Panda laski ADVANCED-tilasta STANDARD-tilaan. AhnLab ja Vipre olivat molemmat jo alimmillaan, joten heidän lopullisesta arvosanastaan ​​tuli vain TESTAUS; he eivät läpäisseet.

Pilvi-kiista

Myyjien, jotka toimittavat tuotteitaan testattavaksi AV-Comparativesin kanssa, on suostuttava osallistumaan kaikkiin vaadittuihin testeihin. Allekirjoituspohjainen tiedostojen havaitsemistesti on yksi vaadituista ryhmistä; Symantec ei hyväksy tätä testiä, minkä vuoksi et löydä tuloksia Nortonille AV-Comparatives -raporteista.

Ennakoiva testi on sitä vastoin valinnainen. Raportin mukaan "AVG, McAfee, Qihoo, Sophos ja Trend Micro päättivät olla osallistumatta, koska heidän tuotteensa luottavat suuresti pilveen." Nollapäivän testi sulkee välttämättä pilvipohjaisen havaitsemisen, koska pilviä ei voi "jäädyttää". Nämä myyjät pitivät tuotteidensa tulosta huonoina ilman pääsyä pilviyhteyteen.

AV-Comparatives antoi näiden valmistajien kumartua, mutta raportti hieroi niitä hiukan. "Jopa useita viikkoja myöhemmin, jotkut pilvipohjaisista tuotteista eivät vieläkään havainneet useita käytettyjä haittaohjelmanäytteitä, vaikka niiden pilvipohjaiset ominaisuudet olisivat saatavilla", se toteaa. "Pidämme sitä markkinoinnin tekosyynä, jos takautuvia testejä… kritisoidaan siitä, ettei heillä ole lupaa käyttää pilviresursseja." Raportin mukaan "Jos tiedosto on täysin uusi / tuntematon, pilvi ei yleensä pysty selvittämään onko se hyvä vai haitallinen".

Jos virustentorjuntasi on saanut parhaan arvosanan tässä testissä, se on hyvä merkki siitä, että se suojaa aivan uusilta nollapäivän uhkilta. Mutta koska testi ei kirjaimellisesti käytä reaalimaailman koskaan ennen nähtyjä näytteitä, huono pistemäärä (tai osallistumattomuus) ei välttämättä todista, että se ei tee työtä. Täydellisen ymmärryksen vuoksi sinun kannattaa tarkastella monia erilaisia ​​testejä ja PCMagin perusteellisia käytännön virustorjuntakatsauksia.