Динамическое тестирование антивирусов на противостояние новейшим угрозам определило продукты, способные защитить рядового пользователя интернета. В то же время, эксперты отмечают, что такое тестирование весьма трудоемко и требует качественной методологии - по мнению некоторых вендоров, более «внятной», чем представленная Anti-Malware.
Портал Anti-Malware.ru обнародовал результаты нового тестирования комплексной эффективности антивирусов по противодействию новейшим образцам вредоносных программ (так называемым угрозам Zero-day), передаваемым пользователям наиболее распространенным сейчас способом - через зараженные веб-сайты.
При тестировании ссылки на зараженные сайты собирались из различных источников. Как правило, на такие ссылки каждый из нас натыкается в поисковиках, получает по e-mail, ICQ или через другие средства интернет-коммуникаций, включая социальные сети. Для теста выбирались ссылки на сайты, зараженные только новейшими образцами вредоносных программ (которые не детектировались файловыми антивирусами более чем 20% из списка тестируемых продуктов, что проверялось через сервис VirusTotal).
Тест проводился в период с 7 июля по 22 октября 2009 г. Под управлением VMware Workstation 6.0 был создан набор «чистых» виртуальных машин, на которые была установлена операционная система Microsoft Windows XP Pro SP3 (последние обновления намеренно не ставились). На каждую машину по отдельности была установлена своя программа защиты (в тесте сравнивались 18 различных продуктов, см. ниже). По возможности испытывались продукты для интегрированной защиты класса Internet Security, но если таковых в линейке вендора не было, то использовали младшие в линейке продукты. Также в тесте участвовали две специальные программы для проактивной защиты от новейших видов угроз класса HIPS (Hosted Intrusion Prevention System).
Все антивирусы тестировались со стандартными настройками по умолчанию и со всеми актуальными обновления, полученными в автоматическом режиме. Моделировалась ситуация, при которой обычный пользователь с одной из установленных программ защиты загружал интересующие его ссылки (на зараженные сайты).
Эффективность различных программ защиты против новейших угроз (Zero-day)
По результатам теста лучшим оказался DefenseWall HIPS, сумевший предотвратить заражение в 100% случаев (платиновая награда). Очень высокие результаты показали три антивирусных продукта: Kaspersky Internet Security, Comodo Internet Security и Trend Micro Internet Security, которые смогли предотвратить заражение более чем в 80% случаев. Им досталось «золото».
Хорошую эффективность защиты от новейших вредоносных программ продемонстрировали Sophos Anti-Virus, Safe'n'Sec Personal, Avira Premium Security Suite, Norton Internet Security и Avast Antivirus Professional (серебряная награда). Из этой группы существенный прогресс в сравнении с прошлогодним пилотным тестированием заметен у антивирусов Norton и Avast.
Бронзовая награда досталась антивирусам Eset Smart Security, AVG Internet Security, Microsoft Security Essential и G-DATA Internet Security, преодолевшим барьер в 40%. «Важно отметить, что новый бесплатный антивирус от Microsoft весьма неплохо дебютировал, опередив многих платных конкурентов», - отмечают в Anti-Malware.
Все остальные антивирусы не прошли тест. Среди них: F-Secure Internet Security (он же «СТРИМ.Антивирус»), McAfee Internet Security Suite, Outpost Security Suite, Panda Internet Security, BitDefender Internet Security и Dr.Web Security Space. Результаты BitDefender и Dr. Web серьезно снизились в сравнении с прошлогодним тестированием.
По словам Ильи Шабанова, руководителя проекта Anti-Malware.ru, тест наглядно показал возникший за последнее время значительный технологический разрыв между лидерами индустрии и отстающими игроками. «Просто невозможно было бы увидеть этот разрыв на старых, изживших себя тестах на миллионных коллекциях старинных вредоносных программ, подавляющая часть которых давно стала историей, - говорит он. - Многокомпонентная защита, развитые проактивные и репутационные технологии – вот что отличает действительно надежные средства антивирусной защиты».
«На протяжении многих лет производители средств безопасности (в основном, антивирусные компании) через СМИ уверяли нас, что те программные продукты, которые они производят, действительно защищают, - говорит Илья Рабинович, гендиректор и основатель SoftSphere Technologies. - Результаты этого теста показывают, что многие технологии и подходы к построению защищённых сред был изначально неверными, мало кто из них обеспечивает близкий к 100% уровень безопасности». Рабинович подчеркивает, что DefenseWall, построенный на инновационных принципах и написанный, по сути, одним человеком, в наиболее важном для рядового пользователя тесте на предотвращение заражения опередил всю так называемую «индустрию безопасности» со «многими тысячами инженеров и менеджеров, за ними надзирающими».
Александр Гостев, руководитель глобального центра исследований и анализа угроз «Лаборатории Касперского», подтверждает, что подобное тестирование, полностью воспроизводящее реальную ситуацию работы пользователя в интернете, является наиболее адекватным отражением способности разных антивирусных решений противостоять сегодняшним угрозам. Тем не менее, он подчеркивает, что такое тестирование весьма трудоемко и требует качественной методики. «Необходимо отметить, что такие «динамические тесты» пока только начинают входить в арсенал независимых тестовых лабораторий, - отмечает Гостев. - Другие тестовые лаборатории планируют внедрение таких тестов в ближайшем будущем. Ведет работу в этом направлении и организация AMTSO».
«Учитывая тот факт, что основное количество вредоносных программ на данный момент распространяется через различные веб-ресурсы, веб-сервисы, основные усовершенствования антивирусных продуктов направлены именно на эффективную борьбу с подобными «быстрыми» угрозами, и, как мы видим, фактически ни один продукт с этим не справляется на 100%, - комментирует Кирилл Керценбаум, руководитель направления информационной безопасности Symantec в России и СНГ. - Несмотря на то, что в тесте участвовал старый Norton Internet Security 2009, мы видим значительный прирост в функционале Norton Internet Security, направленном на противодействии динамическим угрозам: с 12% в 2008 г. до 64% в 2009 г. Также стоит заметить, что такого результата наш продукт добился даже без таких проактивных технологий, как Sonar 2, SafeWeb и других». Керценбаум надеется, что следующий тест, в котором примет участие Norton Internet Security 2010 или даже 2011, в которых реализован новый метод репутационного анализа Quorum, изменит представление о том, насколько, казалось бы, простые методы могут быть эффективны против современных угроз.
Григорий Васильев, технический директор Eset, в то же время, недоумевает, как можно делать выводы о работе продуктов на основании «теста с невнятной методологией». «Авторы теста указывают только количественные показатели обнаруженных угроз тем или иным продуктом, но при этом нет ни описания самих выбранных угроз, ни методологии их отбора, - указывает он. - Уже одно это ставит под сомнение независимость и непредвзятость проведенного тестирования. Кроме того, остается непонятным, каким образом осуществлялось взаимодействие тестового компьютера с вредоносным веб-ресурсом. Если для его посещения использовался веб-браузер, то в описании тестирования логично было бы указать его версию и производителя. Помимо этого, подменено и само понятие угроз Zero-day. По определению Zero-day, угроза не должна быть известна ни одному из проверяемых продуктов, и добиться этого можно, используя ретроспективные технологии тестирования. Здесь же современные угрозы тестировались на современных же по состоянию обновления продуктах. При этом критерием «новизны» образца являлось странное условие его узнаваемости не более чем двумя продуктами. То есть более новые, но детектируемые тремя решениями угрозы автоматически в обзор не попадают».
Еще большую путаницу, по мнению эксперта, вносит вопрос об обновлении продуктов в процессе тестирования или непосредственно перед ним. «Были ли одномоментно отключены все решения от серверов обновлений? В какой момент это произошло? - спрашивает он. - Пренебрежение такими деталями, замена описания методологии тестирования общими словами, что моделировалась ситуация типичного веб-серфинга, - все это свидетельствует о незрелости ресурса в качестве независимой тестовой площадки и абсолютной невозможности серьезно относиться к результатам подобных тестов».
