Тест антивірусів на захист від новітніх (Zero-day) вірусів, троянів, шпигунських програм

  1. Вступ
  2. Підсумкові результати тесту
  3. Коментарі партнерів Anti-Malware.ru

Багато що проводяться в світі тестові випробування антивірусів на якість захисту піддавалися критичних зауважень професійної громадськості про якусь їх синтетичної або відриву від реального життя. Перша і основна претензія зводилася до того, що коли ви запускаєте перевірку файлових колекцій тестуються лише деякі складові антивірусного захисту, такі як класичний сигнатурний детект або евристика. У той час як не враховується можливий внесок інших технологій, наприклад, поведінковий аналіз, HIPS або репутаційні сервіси, Firewall / IDS, перевірка HTTP трафіку на льоту і т.д.

Друга вагома причина полягає в тому, що реальний користувач не зберігає і не запускає старовинні шкідливі програми на своєму жорсткому диску. До нього потрапляють, як правило, зовсім нові сампли (Zero-day), від яких його антивірус може не захистити.

Від методу проникнення також в значній мірі може залежати ефективність, так як у деяких антивірусів загроза зараження може бути ліквідована ще на стадії запуску шкідливого скрипта на веб-сторінці, а у інших - тільки при активації завантаженого експлойтів програми-завантажувача, у третього ще далі - при запуску завантаженої шкідливої ​​програми.

В даному тестуванні ми вивчали комплексну ефективність антивірусів з протидії новітнім зразкам шкідливих програм, що передаються користувачам найбільш поширеним зараз способом - через заражені веб-сайти.

Ми збирали посилання на заражені сайти з різних джерел. Як правило, на такі посилання кожний з нас натикається в пошукових системах, отримує по e-mail, ICQ або інші засоби інтернет комунікації, включаючи соціальні мережі.

Методологія проведення тесту »

Аналіз результатів тесту і нагороди »


Зміст:

- Вступ
- результати тесту
- Коментарі партнерів Anti-Malware.ru

Вступ

У тесті брали участь 18 антивірусних програм від різних виробників:

  1. Avast Antivirus Professional 4.8-1335
  2. AVG Internet Security 8.5.386
  3. Avira Premium Security Suite 9.0.0.377
  4. BitDefender Internet Security 2009 (12.0.12)
  5. Comodo Internet Security 3.9.95478.509
  6. Dr.Web Security Space 5.0.1.06018
  7. Eset Smart Security 4.0.437
  8. F-Secure Internet Security 2009 (9.00 build 149, він же СТРІМ.Антівірус)
  9. G DATA Internet Security 2010 року (20.0.2)
  10. Kaspersky Internet Security 2010 (9.0.0.459)
  11. McAfee Internet Security Suite 13.11
  12. Microsoft Security Essentials 1.0.2140.0
  13. Norton Internet Security 2009 (16.5.0.135)
  14. Outpost Security Suite 2009 (6.5.5.2535.385.0692)
  15. Panda Internet Security 2010 року (15.00.00)
  16. Sophos Anti-Virus 7.6.9
  17. Trend Micro Internet Security 2009 (17.1.1250 / 8.913.1006)
  18. * VBA32 Workstation 3.12.10.10

* Антивірус VBA32 Workstation був дискваліфікований, тому що в процесі його тестування виникли технічні проблеми, продукт некоректно працював, і в підсумку частина результатів була втрачена.

Також в тесті брали участь дві спеціальні програми для проактивного захисту від нових видів загроз класу HIPS (Hosted Intrusion Prevention System):

  1. DefenseWall HIPS 2.56
  2. Safe'n'Sec Personal 3.5.0.490

згідно методології для тестування було відібрано 36 робочих посилань на новітні шкідливі програми, на яких і перевірялася ефективність захисту.

Підсумкові результати тесту

Підсумкові результати порівняльного тестування антивірусних програм і HIPS представлені нижче на малюнку і таблиці 1.


Малюнок 1: Ефективність різних програм захисту проти новітніх загроз (Zero-day)

Малюнок 1: Ефективність різних програм захисту проти новітніх загроз (Zero-day)

Таблиця 1: Ефективність антивірусних програм проти новітніх загроз (Zero-day)

Антивірус Бали% від макс. Нагорода DefenseWall * 36 100%

Нагорода DefenseWall * 36 100%

Platinum Zero-day
Protection Award

Kaspersky 33 92%

Gold Zero-day
Protection Award

Comodo 30 83% Trend Micro 30 83% Sophos 28 78%

Comodo 30 83% Trend Micro 30 83% Sophos 28 78%

Silver Zero-day
Protection Award

Safe'N'Sec * 27 75% Avira 25 69% Norton 23 64% Avast 22 61% Eset 19 53%

Bronze Zero-day
Protection Award

AVG 18 50% Microsoft 18 50% G-Data 16 44% F-Secure 14 39% Не пройшли тест McAfee 14 39% Outpost 14 39% Panda 11 31% BitDefender 10 28% Dr.Web 10 28%

За результатами тесту кращим за паливною ефективністю захисту від новітніх шкідливих програм виявився DefenseWall HIPS, зумів запобігти зараженню в 100% випадків. Він стає єдиним, який отримав найвищу нагороду Platinum Zero-day Protection Award.

Дуже високі результати показали відразу три антивірусних продукту: Kaspersky Internet Security, Comodo Internet Security і Trend Micro Internet Security, які змогли запобігти зараженню більш ніж в 80% випадків і отримали високу нагороду Gold Zero-day Protection Award. Якщо результат першого з них після аналогічного пілотного тесту в минулому році цілком очікуємо, то результати двох інших виявилися досить несподіваними.

Хорошу ефективність захисту від новітніх шкідливих програм продемонстрували Sophos Anti-Virus, Safe'n'Sec Personal, Avira Premium Security Suite, Norton Internet Security і Avast Antivirus Professional. Вони отримали нагороду Silver Zero-day Protection Award. З цієї групи істотний прогрес в запобіганні новітніх загроз в порівнянні з торішнім пілотним тестуванням помітний у антивірусів Norton і Avast.

Трохи гірше виявилися антивіруси Eset Smart Security, AVG Internet Security, Microsoft Security Essentials і G-DATA Internet Security, які подолали бар'єр в 40% і отримали нагороду Bronze Zero-day Protection Award. Важливо відзначити, що новий безкоштовний антивірус від Microsoft досить непогано дебютував, випередивши багатьох платних конкурентів.

Всі інші антивіруси провалили тест, серед них: F-Secure Internet Security (він же СТРІМ.Антівірус), McAfee Internet Security Suite, Outpost Security Suite, Panda Internet Security, BitDefender Internet Security і Dr.Web Security Space. На жаль, ці продукти не можна вважати ефективними проти новітніх шкідливих програм. Результати BitDefender і Dr. Web серйозно знизилися в порівнянні з торішнім пілотним тестуванням .

Сергій Ільїн, керуючий партнер Ant-Malware.ru:

«Цей повноцінний динамічний тест антивірусних і HIPS-програм на захист від новітніх загроз (Zero-day) наочно показав виник останнім часом значний технологічний розрив між лідерами індустрії і відстаючими гравцями. Просто неможливо було б побачити цей розрив на старих, що зжили себе тестах на мільйонних колекціях старовинних шкідливих програм, переважна частина яких давно стала історією. Вони вже давно не відображали реальності і, дивлячись на результати даного тесту, ми це чітко бачимо.

Багатокомпонентна захист, розвинені проактивні і репутаційні технології - ось, що відрізняє дійсно класні і надійні засоби антивірусного захисту. Ті вендори, що вчасно усвідомили важливість цих технологій, знаходяться серед лідерів даного тесту або показали в ньому істотний прогрес. А невдахи, як ми сподіваємося, зроблять з його результатів належні висновки, і в наступному році ми побачимо загальне підвищення ефективності захисту ».

Василь Бердников, керівник тестової лабораторії Anti-Malware.ru:

«На поточний момент основна маса заражень користувача шкідливими програмами відбувається при веб-серфінгу. Це може бути не тільки посилання на інфікований сайт, що прийшла по email, ICQ, повідомлення в соціальних мережах, або відвідування потенційно небезпечних сайтів, але через цілком легітимні сайти, які були зламані і заражені зловмисниками. Зараження в даному випадку відбувається через уразливості браузера, його компонентів і плагінів, таких як Adobe Acrobat Reader, Flash Player і т.д.

Перешкоджати зараження захисний продукт може на самих ранніх етапах. На початку - за допомогою блокування сайту, що знаходиться в чорному списку поширюють шкідливі програми, сигнатурного або евристичного детектування скрипта-експлойта до його виконання в браузері.

Далі - за допомогою блокування виконання shell-коду в ході роботи експлойта; виявлення самого виконуваного файлу, збереженого експлойтів на диск; поведінковий детектування активності шкідливої ​​програми, запущеної експлойтів, яке може бути автоматичним або ж інтерактивним; застосування технології "пісочниця", коли браузер і все породжувані їм процеси запускаються в середовищі з обмеженим правами, що не дозволяє шкідливому коду заразити систему.

Всі ці технології зустрічаються в тестованих продуктах. І як показую результати, найбільш ефективною і надійним захистом від веб-загроз є технологія sandbox (пісочниця), поведінковий аналіз, а також сукупність інших технологій детектування атаки на ранніх її етапах ».

Докладні результати порівняльного тестування ви можете подивитися в повному звіті в форматі Excel .

Коментарі партнерів Anti-Malware.ru

Ілля Рабинович, генеральний директор і засновник SoftSphere Technologies:

«Протягом багатьох років виробники засобів безпеки (в основному, антивірусні компанії) через засоби масової інформації запевняли нас, що ті програмні продукти, які вони виробляють, дійсно захищають. Результати цього тесту показують, що багато технологій і підходи до побудови захищених середовищ був спочатку невірними, мало хто з них забезпечує близький до 100% рівень безпеки. DefenseWall, побудований на нових, інноваційних принципах, написаний по суті однією людиною, в першому в світі і найважливішому для всіх споживачів тесті на запобігання зараженню випередила всю так звану "індустрію безпеки" з багатьма тисячами інженерів і менеджерів, за ними наглядають ».


Олександр Гостєв, керівник глобального центру досліджень і аналізу загроз "Лабораторії Касперського":

«Проведений тест являє собою виняткову цінність - не тільки для користувачів антивірусних продуктів, але і для всієї антивірусної індустрії. Подібне тестування в динаміці, повністю відтворює реальну ситуацію роботи користувача в Інтернет, є, з нашої точки зору, найбільш адекватним відображенням здатності різних антивірусних рішень протистояти сьогоднішнім загрозам. Таке тестування досить трудомістким і вимагає якісної методики. Необхідно відзначити, що такі «динамічні тести» поки тільки починають входити в арсенал незалежних тестових лабораторій. Інші тестові лабораторії планують впровадження таких тестів в найближчому майбутньому. Веде роботу в цьому напрямку і організація AMTSO.
Коментуючи результати, показані нашими продуктом в тесті Anti-Malware.ru, ми раді відзначити не тільки черговий вищий результат серед антивірусів, але і те, що в порівнянні з тестом минулого року (і минулого року) наш показник виріс з 88% до 92% , при цьому кількість шкідливих програм, на яких тест проводився - збільшилася. Це показує, що технології, реалізовані в версії 2010, дійсно зробили крок вперед. Обраний нами кілька років тому шлях розвитку технологій HIPS / PDM - повністю виправдався і показує не тільки наш дійсно комплексний підхід до захисту, але традиційне технологічне лідерство ».

Кирило Керценбаум, керівник напрямку інформаційної безпеки Symantec в Росії і СНД:

«Не дивлячись на те, що в тесті брав участь старий Norton Internet Security 2009 ми бачимо значний приріст в функціоналі Norton Internet Security, направленому на протидію динамічним загрозам: з 12% у 2008 році до 64% ​​в 2009 році. Також варто зауважити, що такого гарного результату наш продукт домігся навіть без таких проактивних технологій як Sonar 2, SafeWeb та інших.

З огляду на той факт, що переважна більшість шкідливих програм на даний момент поширюється через різні веб-ресурси, веб-сервіси, основні удосконалення антивірусних продуктів спрямовані саме на ефективну боротьбу з подібними "швидкими" погрозами і як ми бачимо фактично жоден продукт з цим не справляється на 100%. Сподіваюся, що наступний тест, в якому візьме участь Norton Internet Security 2010 або навіть 2011, в яких реалізований новий унікальний підхід репутаційного аналізу Quorum, змінить уявлення про те, наскільки здавалося б прості методи можуть бути ефективні проти сучасних загроз ».

Володимир Мамикіна, директор з інформаційної безпеки Microsoft в Росії:

«Ми дуже задоволені результатом, показаним однієї з ранніх версій Microsoft Security Essentials (MSE). Не дивлячись на те що для цих тривалих тестів, які почалися ще в липні 2009, була обрана имевшаяся тоді попередня версія 1.0.2140.0 MSE, результат її тестування виявився навіть краще багатьох платних антивірусів. Я впевнений, що після виходу офіційної російської версії MSE і її тестування вона покаже ще більш сильні результати ».

Катерина Синиця, маркетинг менеджер Trend Micro в Росії і СНД:

«Ми дуже зраділи високими оцінками, які отримало рішення Trend Micro Internet Security в тесті на захист від шкідливих програм, проведеного фахівцями Anti-malware.ru. Результати дослідження, проведеного російськими фахівцями, збіглися з результатами, отриманими в вересні цього року компанією NSS Labs.
Така стабільність показників досягається за рахунок унікальної технології Smart Protection Network, яка лежить в основі всіх антивірусних продуктів Trend Micro і забезпечує взаємопов'язану захист від загроз на рівні файлів, пошти і інтернет-контенту. Наша нова версія рішення Trend Micro Internet Security 2010 мають показати ще більш високі результати ».

автори:
Deja_Vu
,
Василь Бердников ,
Сергій Ільїн

IRC (Internet Relay Chat)