Końcowe testowanie rozwiązań antywirusowych w 2016 roku (część 2)
23 Stycznia 2017
W pierwszej części naszego przeglądu omówiliśmy możliwości oprogramowania antywirusowego, gotowość do testowania i nawet nazwali zwycięzców. Jednak końcowe wyniki roku można zobaczyć w tym artykule. Teraz przyjrzyjmy się testy więcej.
Produkty antywirusowe biorące udział w testowaniu:
Produkt | Wersja |
---|---|
Avast Antivirus | 12.3 |
AVG Internet Security | 2017 |
Avira Antvirus Pro |
15.0 |
Bitdefender Internet Security |
2017 |
BullGuard Internet Security | 16.0 |
Emsisoft Anti-Malware |
12.0 |
eScan Internet Security |
14.0 |
Eset Smart Security | 10.0 |
F-Secure Safe | 2017 |
Fortine FortiClient |
5.4 |
Kaspersky Lab Internet Security |
2017 |
Lavasoft Pro Security |
11.12 |
McAfee Internet Security | 19.0 |
Microsoft Security Essentials |
4.10 |
Quick Heal Total Security | 17.0 |
Sophos Endpoint Security |
10.6 |
Tencen PC Manager |
11.6 |
Trend Micro Internet Security |
11.0 |
Procedura testowania
Sprawdzanie dziesiątek produktów antywirusowych, z użyciem setek linków – to skomplikowany proces, który można zrobić ręcznie (ponieważ zakłada równoległe korzystanie tysięcy stron), więc musi być postrzegane jako coś zautomatyzowane.
Przygotowanie laboratorium
Każdy potencjalny kandydat na testy uruchamia się i analizowany na nowej maszynie, na której brakuje oprogramowanie antywirusowe. Jeśli złośliwe oprogramowanie nadaje się ten test, oryginalny link zostanie dodany do listy na testy. Każdy przypadek, który okazuje się nieodpowiednie, jest wykluczone z procesu testowania.
Każdy ochronny program jest zainstalowany przy oddzielnym komputerze. Wszystkie są podłączone do internetu. Każdy system jest aktualizowana codziennie ręcznie, każdy kandydat jest aktualizowany przed nowym etapem testowania. Każdy komputer ma stały adres ip. Robimy specjalne urządzenie do ograniczenia wewnątrz sieci, aby każdy komputer otrzymał stabilne połączenie, i przestrzegamy środki ostrożności (za pomocą specjalnie dostosowanych firewall) aby inne komputery nie mogli być zainfekowane za pośrednictwem sieci lokalnej (aby uniknąć awarii i nie utracić wyniki).
Ustawienia
Wykorzystujemy każdą ochronną wersję z fabrycznymi ustawieniami. Whole-Product Dynamic ProtectionTest ma na celu symulację codziennego użytku prawdziwymi ludźmi. Jeśli oferują użytkownikowi podjąć decyzję – wybiera się zgodzić z proponowanego programu rozwiązaniem. Jeśli produktu można chronić system możemy zafiksować wszystkie udane usuwania zagrożeń, nawet tych, które wymagały potwierdzenia przez użytkownika. Jeśli praca systemu jest uszkodzony – uważamy, że to jest odpowiedzialnością użytkownika. Pod ochroną mamy na uwagę to, że próby zakłócenia działania systemu zostały wyeliminowane. To znaczy, że złośliwe oprogramowanie jest wyłączone (usunięte lub zablokowane), i brak znaczących zmian w pracy systemu. Powiadomienie o tym, że złośliwe oprogramowanie zostało już uruchomione lub pobrane poprostu nie fiksujemy
Cykl testowania każdego złośliwego linka
Przed przejściem do zainfekowanego linka aktualizujemy bazę sygnatur programu (jak opisano powyżej). Nowe duże aktualizacje produktu (gdy zmienia się pierwsza cyfra budowy) ustawiamy raz w miesiącu, więc w miesięcznych raportach liczy się tylko pierwsza cyfra wersji produktu. Nasza testuje oprogramowanie stale monitoruje komputer, tak że wszystkie złośliwe zmiany są zapisywane. Co więcej, są nawet algorytmy, w których programie udało się wykryć złośliwe oprogramowanie. Po każdym etapie testów urządzenie powraca do stanu początkowego.
Ochrona
Oprogramowanie antywirusowe musi chronić komputer. To, na jakim etapie to się dzieje nie ma znaczenia. Ten problem może wystąpić podczas przeglądania strony internetowej (np. zabezpieczenie przez blokowanie linków), kiedy złośliwe oprogramowanie próbuje zostanie uruchomiony, gdy plik jest pobierany, lub gdy jest on uruchomiony (lub otwarty przez użytkownika). W przypadku gdy złośliwe oprogramowanie jest już uruchomione, czekamy kilka minut, aby sprawdzić jego cel, lub w przypadku behawioralnego blokowania, aby umożliwić znalezienie zagrożenia, rozwiązać i naprawić wyrządzone szkody. Jeśli złośliwego programu udało się zakłócić pracę systemu, proces jest klasyfikowany jako "System jest uszkodzone". Jeśli użytkownik ma możliwość ustalać ryzyky programy samodzielnie, i gdy on wybiera ignorowanie zagrożenia, dlaczego system został uszkodzony, klasyfikujemy proces jako "Odpowiedzialność użytkownika". Dlatego kolumny żółty w raporcie końcowym mogą być interpretowane jako skuteczna ochrona, jak i jej porażkę (poniweważ każdy użytkownik decyduje, co on by zrobił w tej sytuacji).
Jeśli chodzi o cloud produktach, to bierzemy pod uwagę tylko wyniki, demonstrujący w momencie testowania. Czasami chmurze dostarczane przez dostawców spadają z powodu błędów instalowania lub pauzy technicznej ze strony dostawców, ale takie pauzy często są ukrywane od użytkownika końcowego. Właśnie z tego powodu produkty, należne wyłącznie na usługi w chmurze (nie przewodzące lokalnej heurystyki, behawioralnych blokad i inne) mogą być bardzo niebezpieczne, ponieważ w takich przypadkach ochrona użytkowników może się znacznie zmniejszoną. Cloud sygnatury i ocena produktu mogą być wykorzystane jako dodatek do zainstalowanych ochronnych programów, nie alternatywnie, ponieważ wyłączenie serwerów w chmurze natychmiast naraża użytkowników na niebezpieczeństwo zakażenia.
Testy fałszywych zagrożeń
Testy fałszywych zagrożeń składa się z dwóch części: błędnie zablokowane strony internetowe (w czasie odtwarzania) i błędnie zablokowanych plików (w momencie pobierania lub instalacji). Należy sprawdzić obie części, bo badania jednego parametru pomaga zidentyfikować produkty, skoncentrowani tylko na jednym z dwóch metod: albo na filtrowania linków, lub na behawioralnej lub ochrony reputacji plików.
Błędnie zablokowane domeny
Używamy około tysiąca wybranych na bieżąco popularnych domen. Zablokowane domeny, które nie zawierają złośliwego oprogramowania, oznaczone jako "fałszywie dodatnie". Błędnie zablokowane domeny są wysyłane do dostawców po to, aby wyeliminować je z czarnych list.
Blokada domeny w całości może nie tylko naruszyć wiarę w ostrzeżenia programu antywirusowego, ale i mieć straty finansowe (wraz z szkodą reputacji strony) właścicieli domen, w tym utratę przychodów z reklam. W związku z tym, zaleca producentom zablokować domenę w całości, tylko w przypadku, gdy jedynym zadaniem domeny jest rozpowszechnianie złośliwego kodu, a w innych przypadkach blokować tylko zainfekowane strony (tak długo, dopóki nie zostaną usunięte). Produkt blokujące link na podstawie reputacji, bardzo skłonni do tego, co zostało opisane powyżej, i otrzymują wysokie oceny w teście, choć powinny blokować nowe i niepopularne strony.
Błędnie zablokowane pliki (podczas zainstalowania lub uruchamiania)
Używamy około dwóch tysięcy różnych aplikacji, które są dostępne w sekcji "Najczęściej pobierane" lub "Zalecane pobrania" w różnych portalach z oprogramowaniem. Aplikacje pobrane z oficjalnej strony internetowej dewelopera (zamiast pobierania z serwera portalu), są zapisywane na dysku i są instalowane, aby dowiedzieć się czy będą one zablokowane na którymś z tych etapów. Dodatkowo dodajemy kilka pustych plików, które zostały wykryte w czasie kilku ostatnich miesięcy pracy Real-World Protection Test.
Zadaniem programów antywirusowych jest ochrona użytkowników przed złośliwym oprogramowaniem, a nie cenzura lub ograniczenie dostępu do popularnych i wiarygodnych programów i stron internetowych. Jeśli użytkownik celowo wybiera wysokie parametry bezpieczeństwa, który ostrzega, że program może blokować niektóre legalnych stron internetowych lub plików, to można to uznać za dopuszczalne. Jednak nie uważamy, że jest to dopuszczalne, jako ustawienie domyślne, jeśli użytkownik nie został ostrzeżony. W różnych momentach czasu musimy zawiadomić portale o obecności złośliwego oprogramowania i problem zostanie rozwiązany w ciągu kilku godzin, dlatego jesteśmy zaskoczeni obecnością popularnych aplikacji na liście filtrów. W związku z tym, że testy, które są wykonane, na przykład, tylko z bardzo popularnymi aplikacjami, lub które korzystają tylko z 50 najlepszych plików z białej listy będą stratą czasu i zasobów. Nie ma znaczenia, czy koncentruje się zagrożenie wyłącznie na użytkownikach lub ich antivirus ma lukę, która pozwala im zostać się ofiarą wirusa. Dlatego bardzo ważne jest, aby całkowicie wyeliminować wszystkie zagrożenia, niezależnie od tego, ilu użytkowników mogą ucierpieć. Częstość występowania filtrowania na podstawie baz danych jest przedmiotem zainteresowania wyłącznie do wewnętrznych testów oprogramowania, jakości produktu, użytkownicy samym bardzo ważne jest, aby wiedzieć, ile dokładnie ich antivirus jest w stanie odróżnić czyste pliki przed złośliwym oprogramowaniem.
Na podstawie wyników badania możemy określić piątce najlepszych:
- F-Secure;
- Bitdefender;
- Avira;
- Trend Micro;
- Kaspersky Lab.
Jak widać, F-Secure i Trend Micro znacznie podnieśli swoją pozycję w rankingu oprogramowania antywirusowego w 2016 roku, jednak w ostatnim wyników całego roku najwyższych nagród i statusów Advanced+ przyznano takich producentów:
- Avira
- Bitdefender
- Kaspersky Lab
- ThreatTrack
- Avast
- AVG
- ESET
- Tencent
- Lavasoft
Gratulujemy zwycięzcom i życzymy, aby w przyszłym roku wszystkie oprogramowanie antywirusowe otrzymywali oceny najwyższe i bezpiecznie chronili użytkowników przed niebezpieczeństwami i zagrożeniami.
Informacje dostarczone przez niezależną organizację AV-Comparatives.