В данном сравнительном тестировании мы изучали эффективность антивирусов и программ HIPS по противодействию новым образцам вредных программ, передаваемых юзерам более распространенным на данный момент методом – через зараженные веб-сайты.

Короткое содержание:

- Введение
- Методология сравнительного тестирования
- Результаты сравнительного тестирования

Введение

Фактически все проводимые иными лабораториями (AV-Test.org, AV-Comparatives.org) тестовые тесты антивирусов на качество защиты подвергались критическим замечаниям проф общественности о некоторой их синтетичности либо отрыву от настоящий жизни.

1-ая и основная претензия сводилась к тому, что при запуске проверки файловых коллекций тестируются лишь некие составляющие антивирусной защиты, такие как классический сигнатурный детект либо эвристика, в то время как вероятный вклад сравнимо новейших технологий, таковых как поведенческий анализ либо HIPS, никак не учитывается. Не считая этого, не учитывается работа и остальных компонент защиты входящих в современные «комбайны» (продукты класса Internet Security) кроме антивируса, к примеру, Firewall/IDS (может найти подозрительный трафик и просигнализировать о инфицирование), проверка HTTP трафика на лету и т.д.

2-ая веская причина состоит в том, что настоящий юзер не хранит не запускает старинные вредные программы на собственном твердом диске. К нему попадают, обычно, новейшие самплы, от которых его антивирус может не защитить. Важны также и способы попадания вредных программ на комп. Инфицирование может наступить при открытии приобретенной от каким-то образом ссылки (по e-mail, ICQ и т.д.) либо просто отысканной в поисковике, открытии файла прикрепленного к письму, скаченного из сети файла либо переписанного с наружного носителя.

От способа проникания может в значимой степени зависеть их эффективность, потому что у неких антивирусов угроза инфицирования быть может ликвидирована еще на стадии пробы активации вредного скрипта на веб-странице, а у остальных - лишь при активации загруженного эксплойтом программы-загрузчика, у третьего еще далее - при запуске загруженной вредной программы.

В нашем сравнительном тестировании мы изучали эффективность антивирусов по противодействию новым образцам вредных программ, передаваемых юзерам более распространенным на данный момент методом - через зараженные веб-сайты. Для этого мы собирали ссылки на зараженные сайты из разных источников (каждодневные выборки ссылок от MessageLabs + помощь нашего комьюнити). Обычно, на такие ссылки любой из нас натыкается в поисковиках, получает по e-mail, ICQ либо остальные средства веб коммуникации, включая социальные сети.

Суть сравнительного тестирования состоит в проверке комплексных способностей антивирусов в противодействии новым угрозам в виде вредных программ, распространяемым через зараженные веб-сайты.

Методология сравнительного тестирования

Тест проходил в период с 5 августа по 15 сентября 2008 года. Перед началом теста производилась подготовка среды тестирования. Для этого под управлением VMware Workstation 6.0.3 был сотворен набор незапятнанных виртуальных машин, на которые была установлена операционная система Microsoft Windows XP Pro SP2 (крайние обновления намеренно не ставились). На каждую машинку по отдельности была установлена своя программа защиты из числа приведенных ниже.

По способности мы брали в тест продукты для встроенной защиты класса Internet Security, но ежели таких в линейке вендора не было, то употребляли младшие в линейке продукты. В итоге в сопоставлении участвовали:

1. Avast Antivirus Professional 4.8-1229
2. AVG Internet Security 8.0.156
3. Avira Premium Security Suite 8.1.0.367
4. BitDefender Internet Security 2008 (11.0.17)
5. Dr.Web 4.44
6. Eset Smart Security 3.0.667
7. F-Secure Internet Security 2008 (8.00.103, он же СТРИМ.Антивирус)
8. G DATA Internet Security 2008
9. Kaspersky Internet Security 2009 (8.0.0.454)
10. McAfee Internet Security Suite 8.1
11. Microsoft Windows Live OneCare 2.5
12. Norton Internet Security 2008 (15.5.0.23)
13. Outpost Security Suite 2009 (6.5.2358)
14. Panda Internet Security 2008 (12.01.00)
15. Sophos Anti-Virus 7.3.5
16. Trend Micro Internet Security 2008 (16.10.1182)
17. VBA32 Workstation 3.12.8

Также в сопоставлении участвовали две особые программы для проактивной защиты от новейших видов угроз класса HIPS (Hosted Intrusion Prevention System):

1. DefenseWall HIPS 2.45
2. Safe'n'Sec Pro 3.12

К огорчению, в ходе проведения теста и обработке приобретенных результатов, некие вендоры выпустили обновления собственных товаров, что не могло быть отражено в итоговых результатах.

Принципиально отметить, что все антивирусы тестировались со обычными опциями по умолчанию и со всеми актуальными обновления, приобретенными в автоматическом режиме. По собственной сути моделировалась ситуация, как если б обычный юзер с установленной у себя одной из тестируемых программ защиты воспользовался Веб и переходил по интересующим его ссылкам (приобретенным тем либо другим образом, см. выше).

Отбор вредных программ

Для теста выбирались ссылки на сайты, зараженные лишь новыми эталонами вредных программ. Что значит «новейшие»? Это значит то, что эти загружаемые по ссылкам эталоны вредных программ не должны были детектироваться файловыми антивирусами наиболее чем 20% из перечня тестируемых товаров, что проверялось через сервис VirusTotal (всего на этом сервисе подключено 38 разных антивирусных движков). Ежели отобранные самплы и детектировались кем-то, то вердикты обычно были неточными (подозрение на инфецирование либо упакованный объект).

Количество образов, удовлетворяющих таковым требованиям, было незначительно, что значительно отразилось на размере итоговой подборки и сроках тестирования. Всего наиболее чем в месяц тестирования было отобрано 34 рабочие ссылки на новые вредные программы.

Оценка результатов

При переходе по ссылкам на опасные веб-страницы фиксировались все конфигурации испытательной системы, сообщения от установленных HIPS и антивирусных программ.

При открытии опасной ссылки инфецирование системы могло быть предотвращено на одной из последующих стадий:

1. Обнаружение эксплойта на открытой веб-странице (вредного скрипта) либо блокировка открытия странички анти-фишинговым модулем.
2. Обнаружение программы загрузчика, переданной с помощью эксплойта (специальной программы, которая употребляется для загрузки на комп жертвы остальных вредных программ, к примеру, трояна) веб-антивирусом либо файловым антивирусом.
3. Обнаружение загруженной вредной программы в процессе ее установки (обычно, с помощью поведенческого анализа).

При любом из приведенных выше вариантов предотвращения инфецирования антивирусу ставился 1 балл. Различий не делалось, потому что с точки зрения юзера не имеет значения, на каком шаге, и какой конкретно компонент защиты избавил опасность инфецирования. Основное - она ликвидирована. Ежели инфецирование не было предотвращено, в том числе и отчасти, то антивирусу ставилось 0 баллов.

На самом деле таковая система оценки значит последующее. 1 балл ставился, ежели попытка инфицирования была найдена в явной форме либо было найдено подозрительное действие, и при всем этом инфицирование вполне приостановлено при условии правильного выбора юзера в диалоговом окне (о обнаружении опасного деяния, предотвращении пробы инфецирования, обнаружении пробы пуска подозрительной программы, обнаружении попытка конфигурации файлов и т.д.). Во всех других вариантах ставилось 0 баллов.

Стоит отметить, что в неких вариантах присутствие вредной программы на компе обнаруживалось опосля инфецирования с помощью файлового монитора либо firewall/IDS, но совладать с инфицированием антивирус не мог. В этом случае антивирусу все равно ставилось 0 баллов, потому что он не защитил от инфицирования.

Программы класса HIPS оценивались по такому же принципу, как и антивирусы. Им ставилось 1 балл во всех вариантах, когда было найдена вредная либо подозрительная активность и было предотвращено инфецирование.

Результаты сравнительного тестирования

Итоговые результаты сравнительного тестирования антивирусных программ и HIPS представлены ниже на рисунке 1 и таблицах 1-2.

Набросок 1: Эффективность разных программ защиты против новейших угроз

Сопоставление антивирусов на эффективности защиты от новейших вредных программ

Посреди антивирусов наилучшими оказались Kaspersky Internet Security, Avira Premium Security Suite и AVG Internet Security, которые смогли предотвратить инфецирование 70% случаев и выше. Чуток ужаснее оказались Sophos Anti-Virus, BitDefender Internet Security и F-Secure Internet Security (он же СТРИМ.Антивирус), преодолевшие барьер в 50%.

Высочайшие характеристики защиты Kaspersky Internet Security соединены в первую очередь со интегрированным компонентом HIPS , позволяющим оценивать вредные рейтинги всех приложений с помощью репутационных устройств (whitelisting).

Avira Premium Security оказался эффективен в силу высочайшего уровня обнаружения эксплойтов (см. таблицу 3 в полном отчете о тестировании) и упакованных объектов (имеется в виду детектирование вредной по используемому в ней упаковщику). Довольно эффективны оказались проактивные технологии обнаружения в продуктах AVG Internet Security, Sophos Anti-Virus, BitDefender Internet Security и F-Secure Internet Security (СТРИМ.Антивирус), которые заняли с 3 по 6 место соответственно. В работе F-Secure Internet Security был заметен модуль контроля приложений (разработка DeepGuard).

Принципиально отметить, что при обнаружении вредной программы (выводе алертов) почти все сравниваемые продукты нередко не могли предотвратить инфицирования.

Как видно из таблицы 2, из программ класса HIPS чрезвычайно высочайший итог показал DefenseWall HIPS, сумевший детектировать пробы инфицирования системы практически в 100%. Наименее эффективен оказался Safe'n'Sec, но его итог все равно еще лучше почти всех сравниваемых в данной статье антивирусов.

Продукты Safe'n'Sec и DefenceWall HIPS сильно различаются в подходах взаимодействия с юзерами. Ежели Safe'n'Sec по принципу работы похож на антивирусные продукты не просит специального обучения, то в отношении DefenceWall все не так просто. Чтоб научиться отлично применять крайний необходимо, по последней мере, иметь определенные познания и опыт, также пристально ознакомиться с управление юзера.

Нужно отметить, что приведенные выше результаты не являются истиной в крайней инстанции, свидетельствующей о супернадежности одних и беспомощности остальных товаров. Тест не претендует на абсолютную объективность - это маленькое исследование, которое обязано стать первым шагом на пути сравнительного тестирования комплексных товаров для антивирусной защиты.

Подробное результаты сравнительного тестирования вы сможете поглядеть в полном отчете в формате Excel.

Данную статью стоит разглядывать как пробный шаг в направлении комплексного тестирования настоящей эффективности защиты антивирусных программ. В предстоящем мы планируем улучшать методику такового сравнительного тестировая: применять огромную подборку вредных программ, фиксировать и проводить четкий анализ эффективности разных компонент товаров и т.д.