Может ли ваш антивирус справиться с атакой вредоносного ПО нулевого дня?

Тестирование антивирусной защиты на основе сигнатур совсем несложно. Вы собираете сотни или тысячи примеров известных вредоносных программ, запускаете сканирование и отмечаете, сколько антивирусных продуктов обнаружено. Однако для совершенно нового вируса нулевого дня (или другого типа вредоносного ПО) подпись обязательно отсутствует. Тестирование защиты от угроз нулевого дня сложно, но исследователи из AV-Comparatives разработали методику, которая их удовлетворяет. Обратите внимание, что не все производители антивирусных программ одобряют этот конкретный тест; многие отказались от последнего выпуска, результаты которого только что были опубликованы.

По определению, невозможно выполнить тест с использованием реальных выборок нулевого дня. К тому времени, когда исследователи смогут собрать и проверить образец, поставщики антивирусов уже будут на пути к подготовке подписи. AV-Comparatives моделирует обнаружение нулевого дня, «замораживая» базу данных сигнатур продукта, а затем используя только образцы, которые впервые появились после большой заморозки.

Некоторые продукты обнаруживают новые вредоносные программы, используя эвристические методы, идентифицируя их по сходству с известными вредоносными программами или по другим характеристикам. Исследователи запустили каждый образец, не обнаруженный эвристикой, отметив, предотвращает ли заражение обнаружение продукта на основе поведения или другая защита в реальном времени. Продукты получили полный кредит за блокировку вредоносного ПО самостоятельно и половину кредита в ситуациях, когда блокирование требовало от пользователя правильного решения.

Очень хорошее обнаружение

Исходя только из уровня обнаружения, 11 из 16 протестированных продуктов получили бы рейтинг ADVANCED +, самый высокий рейтинг. Bitdefender возглавил эту группу с 97-процентным обнаружением; Kaspersky и Emsisoft оба управляли 94 процентами. Панда и Аваст заработали бы РАСШИРЕННО. Microsoft также получила бы рейтинг ADVANCED, но AV-Comparatives использует его только в качестве базового уровня. Внизу AnhLab и Vipre прошли бы со СТАНДАРТНЫМ рейтингом.

Противные ложные срабатывания

Эвристические и основанные на поведении системы обнаружения должны быть очень тщательно настроены, чтобы избежать пометки действительных программ как опасных - это то, что мы называем ложным срабатыванием. Многие из протестированных продуктов потеряли очки за слишком много ложных срабатываний. Поскольку тест на обнаружение проводился с использованием подписей, замороженных в прошлом феврале, исследователи смогли повторно использовать ложноположительные результаты теста, проведенного в марте.

Шесть из протестированных продуктов потеряли один уровень рейтинга из-за слишком большого количества ложных срабатываний. Для Emsisoft, eScan и G Data это означало переход с ADVANCED + на ADVANCED, в то время как Panda переходил с ADVANCED на STANDARD. Что касается AhnLab и Vipre, они оба были уже на самом низком уровне прохождения, поэтому их итоговый рейтинг стал просто ИСПЫТАННЫМ; они не прошли.

Облачный спор

Продавцы, которые представляют свои продукты для тестирования AV-Comparatives, должны согласиться участвовать во всех необходимых тестах. Тест обнаружения файлов на основе сигнатур является одним из обязательных наборов; Symantec не одобряет этот тест, поэтому вы не найдете результатов для Norton в отчетах AV-Comparatives.

Упреждающий тест, с другой стороны, не является обязательным. Согласно отчету, «AVG, McAfee, Qihoo, Sophos и Trend Micro решили не участвовать, так как их продукты сильно зависят от облака». Тест нулевого дня обязательно исключает облачное обнаружение, поскольку нет возможности «заморозить» облако. Эти поставщики считали, что их продукты будут иметь плохие оценки без доступа к облачному соединению.

Несмотря на то, что AV-Comparatives действительно позволили этим поставщикам прекратить свою деятельность, отчет слегка их ругает. «Даже спустя несколько недель некоторые используемые образцы вредоносных программ все еще не были обнаружены некоторыми облачными продуктами, даже когда их облачные функции были доступны», - говорится в сообщении. «Мы считаем это оправданием маркетинга, если ретроспективные тесты… подвергаются критике за то, что им не разрешено использовать облачные ресурсы». В отчете делается вывод: «Если файл полностью новый / неизвестный, облако обычно не сможет определить, является ли он хорошим или вредоносным».

Если ваш антивирус получил высшую оценку в этом тесте, это хороший признак того, что он защитится от новых угроз нулевого дня. Но поскольку в тесте буквально не используются реальные, никогда ранее не замеченные образцы, плохой результат (или отсутствие участия) не обязательно доказывает, что он не будет работать. Для полного понимания вам нужно взглянуть на широкий спектр тестов и на подробные обзоры антивирусных программ PCMag.