Може ли антивирусът ви да се справи с атака на злонамерен софтуер с нулев ден?

Тестването на антивирусна защита на базата на подписи е леко. Вие събирате стотици или хиляди известни проби от зловреден софтуер, пускате сканиране и отбелязвате колко антивирусен продукт е открит. За чисто нов вирус с нулев ден (или друг вид злонамерен софтуер) обаче задължително няма подпис. Тестовата защита срещу заплахите от нулев ден е трудна, но изследователите от AV-Comparatives са разработили техника, която ги удовлетворява. Имайте предвид обаче, че не всички доставчици на антивирусни програми одобряват този конкретен тест; доста от тях се отказаха от последното издание, резултатите от което току-що бяха публикувани.

По дефиниция не е възможно да стартирате тест с действителни проби от нулев ден. Докато изследователите успеят да вземат и валидират извадка, антивирусните доставчици вече са на път да подготвят подпис. AV-Comparatives симулира откриване на нулев ден чрез „замразяване“ на базата данни за подписи на продукта и след това използвайки само проби, които се появяват за първи път след голямото замразяване.

Някои продукти ще открият нов злонамерен софтуер, използвайки евристични техники, идентифицирайки ги по подобие на известен зловреден софтуер или по други характеристики. Изследователите пуснаха всяка проба, която не е хваната от евристиката, отбелязвайки дали откриването, основано на поведението на продукта или друга защита в реално време, предотвратява заразяването. Продуктите спечелиха пълен кредит за блокиране на всички зловреден софтуер и полукредит в ситуации, когато блокирането изисква правилно решение от страна на потребителя.

Много добро разпознаване

Въз основа само на степента им на откриване, 11 от 16-те тествани продукта биха спечелили ADVANCED + рейтинг, най-високата оценка. Bitdefender оглави тази група с 97 процента откриваемост; Касперски и Емисофт управляваха 94 процента. Panda и Avast щяха да спечелят НАПЪЛНО. Microsoft също щеше да получи ДОПЪЛНИТЕЛЕН рейтинг, но AV-Comparatives го използва само като базова линия. Най-долу, AnhLab и Vipre биха преминали със STANDARD рейтинг.

Пески фалшиви позитиви

Евристичните и базирани на поведението системи за откриване трябва да бъдат много внимателно настроени, за да се избегне маркирането на валидни програми като опасни - това наричаме фалшиво положително. Доста част от тестваните продукти загубиха точки за твърде много фалшиви положителни резултати. Тъй като тестът за откриване е извършен с подписи, замразени миналия февруари, изследователите успяха да използват отново фалшивите положителни резултати от тест, извършен през март.

Шест от тестваните продукти загубиха едно ниво на оценка поради твърде много фалшиви положителни резултати. За Emsisoft, eScan и G Data това означаваше отпадане от ADVANCED + на ADVANCED, докато Panda спадна от ADVANCED до STANDARD. Що се отнася до AhnLab и Vipre, и двамата вече бяха на най-ниското ниво на преминаване, така че окончателният им рейтинг стана просто ТЕСТИРАН; не минаха.

Облачен спор

Продавачите, които представят своите продукти за тестване от AV-Comparatives, трябва да се съгласят да участват във всички необходими тестове. Тестът за откриване на файлове на базата на подпис е един от необходимия набор; Symantec не одобрява този тест, поради което няма да намерите резултати за Norton в отчетите за AV-Comparatives.

Проактивният тест, от друга страна, не е задължителен. Според доклада "AVG, McAfee, Qihoo, Sophos и Trend Micro решиха да не участват, тъй като техните продукти разчитат силно на облака." Тестът с нулев ден задължително изключва базираното в облака откриване, тъй като няма начин да „замразите“ облака. Тези доставчици смятаха, че техните продукти ще получат лоши резултати без достъп до облачна връзка.

Докато AV-Comparatives са позволявали на тези доставчици да се поклонят, докладът ги разкайва малко. „Дори няколко седмици по-късно, някои от използваните зловредни проби все още не бяха открити от някои продукти, зависими от облака, дори когато бяха налични функциите им, базирани на облак“, се посочва. „Считаме това за маркетингово извинение, ако ретроспективните тестове… бъдат критикувани за това, че не им е позволено да използват облачни ресурси.“ Докладът заключава: "Ако файлът е напълно нов / непознат, облакът обикновено няма да може да определи дали е добър или злонамерен."

Ако вашият антивирус спечели най-висок рейтинг в този тест, това е добър знак, че той ще се защитава от чисто нови заплахи за нулев ден. Но тъй като тестът не използва буквално проби, които никога не са виждали, лошият резултат (или никакво участие) не означава непременно, че няма да свърши работа. За пълно разбиране ще искате да разгледате голямо разнообразие от тестове и подробни антивирусни рецензии на PCMag.