SE Labs: Динамическое тестирование антивирусов

Каждый антивирусный продукт проверялся с идентичным набором угроз (общее количество - 100), которые представляли собой сочетание таргетированных атак с известными вредоносными техниками и веб-угрозы, распространенные в Интернете на момент проведения тестов.

Результаты показывают, как эффективно антивирусы противостояли данным угрозам в режиме реального времени.

Подробнее ознакомиться с методикой динамического тестирования, проводимого лабораторией SE Labs (Simon Edwards Labs), вы можете на этой странице. В данном отчете мы приводим общие результаты испытаний, выполненных во втором квартале (апрель - июнь) 2016 года.

Введение

Трояны-вымогатели (шифровальщики) - опасная категория атак, которая доминирует по распространенности в последние месяцы. Подобные угрозы могут нанести вред любого типу компьютеров и воздействовать на домашних пользователей, малый бизнес и даже компьютерные сети крупных корпораций. Каждый пользователь, который сохраняет ценные данные на компьютере, находится в зоне риска шифровальщиков, которые зашифровывают файлы с важной информацией и предлагают приобрести ключ для восстановления доступа за существенную сумму денег.

За последние три месяца SE Labs выполняла мониторинг угроз, которые влияют на реальных пользователей и бизнес. Лаборатория применяла многие атаки на тестовых системах, защищаемых различными антивирусными продуктами, среди которых популярные решения.

Так как лаборатория сталкивается с большим количеством программ-вымогателей в Интернете, то для тестовых нужд использовался широкий набор зловредов. Результаты тестирования представлены в этом отчете.

При тестировании была выявлена интересная проблема с продуктами безопасности и угрозами, которые повреждают данные на компьютере жертвы. Иногда обнаружение и удаление угрозы может быть бесполезным, даже вредным действием, если оно выполняется слишком поздно. Остановка программ-шифровальщиков до того, как они начнут приносить ущерб, имеет решающее значение. Только таким образом можно обеспечить безопасность важной информации на вашем ПК.

В последнем отчете лаборатории была включена серия “таргетированных атак”, которые обсуждаются в прессе. SE Labs применяет интеллектуальную модель тестирования угроз, чтобы сделать испытания наиболее реалистичными – приближенными к реальным условиям использования антивирусов.

Общая информация

Тестируемые антивирусы

Важное правило безопасности - пользоваться актуальной версией антивируса. При подготовке к тестированию, специалисты SE Labs проверили, чтобы в испытании принимали участие самые последние версии антивирусных программ на момент тестирования. Это позволяет сделать результаты оценки максимально точными.

• Kaspersky Internet Security
• ESET NOD32 Smart Security
• Norton Security
• Avast Free Antivirus
• Bitdefender Internet Security
• Trend Micro Internet Security
• Microsoft Security Essentials
• AVG AntiVirus Free Edition
• McAfee Internet Security

Результаты тестирования

Продукты, выделенные зеленым цветом, показали наилучшую итоговую точность (рейтинг совокупной эффективности) - от 90 процентов и выше. Решения в желтой зоне продемонстрировали от 80 до 90 процентов точности. Антивирусы в красной зоне показали менее 80 процентов точности.

Большинство антивирусов были эффективны при обработке общих угроз

Все антивирусные решения смогли обработать общие веб-угрозы, которые используются злоумышленниками для организации атак на компьютеры Windows и фонового развертывания программ-шифровальщиков без взаимодействия с пользователем.

Таргетированные атаки бросили вызов инструментам защиты

В то время как большинство антивирусов смогли справиться с таргетированными атаками на базе эксплойтов, часть решений показали свою слабость в этой области. Результаты ниже среднего были выявлены у антивирусных программ от AVG, Microsoft и Bitdefender.

Ложные срабатывания - не проблема для большинства

За исключением антивирусов Symantec (Norton) и Trend Micro, все решения хорошо справились с обработкой легитимных приложений и веб-сайтов. 7 из 9 продуктов не выдали ни одного ложного срабатывания.

Какие продукты были самыми эффективными?

Антивирусные решения Kaspersky Lab, ESET, Symantec (Norton) и Avast показали лучшие результаты, благодаря комплексному подходу к блокировке вредоносных ссылок и обработке эксплойтов, а также корректной классификации надежных программ и веб-ресурсов.

Подробная информация о защите

Результаты, показанные на графике, подробно разделяют события обработки угроз. Вы можете наглядно видеть, сколько угроз было обнаружено и какой уровень защиты был обеспечен.

• Обнаружение (Detected). Обнаружение угрозы с предоставлением определенной информацией о ней.
• Блокировка (Blocked). Угрозы, которые не смогли даже запуститься считаются заблокированными.
• Нейтрализация (Neutralised). Завершение активного вредоносного процесса.
• Заражение (Compromised). Угроза нарушила безопасность системы

Атаки в данном тесте включали зараженные сайты, доступные для широкой аудитории, в том числе онлайн-ресурсы, которые автоматически атакуют пользователей и пытаются инфицировать машины без какого-либо взаимодействия.

Некоторые из атак подготавливались с помощью наборов эксплойтов. Эксперты лаборатории включили таргетированные атаки, которые с помощью эксплойтов пытались получить удаленные контроль над целевыми системами.

Kaspersky Internet Security смог блокировать таргетированные атаки в полном объеме, а также заблокировал все публичные атаки за исключением одной. Комплексный антивирус нейтрализовал одну оставшуюся атаку и безошибочно обработал надежные приложения и сайты.

ESET NOD32 Smart Security защитил от всех распространенных угроз и таргетированных атак. Продукт заблокировал 98 процентов угроз и нейтрализовал оставшиеся два зловреда. Данное решение эффективно обработало легитимные объекты.

Norton Security был также эффективен, как и Kaspersky и ESET при защите машины от таргетированных атак и заблокировал большое количество распространенных угроз. Несмотря на нейтрализацию 4 угроз, один раз система была скомпрометирована. Кроме того, были проблемы с обработкой легитимных объектов - два безопасных приложения были заблокированы.

Avast Free Antivirus - самый эффективный бесплатный антивирус в данном тесте. Он был скомпрометирован 6 раз, но заблокировал большинство таргетированных атак и скрытых загрузок. Продукт идеально справился с обработкой надежных ресурсов.

McAfee Internet Security - наименее эффективный продукт в данном тесте. Хотя McAfee остановил большинство таргетированных атак и скрытых загрузок, он не смог заблокировать половину загружаемых напрямую вредоносных программ. Безошибочная обработка легитимных приложений позволила получить рейтинг С.

Награды в тестировании

Продукты от Kaspersky Lab, ESET, Symantec (Norton) и Avast получили рейтинг AAA, соответствующий их высокой эффективности. BitDefender, Trend Micro и Microsoft получили рейтинг AA, AVG - рейтинг A, в то время как McAfee - рейтинг C.

Часто задаваемые вопросы

1. Полная методика тестирования доступна на сайте лаборатории.
2. Тестируемые продукты были отобраны SE Labs.
3. Тестирование не спонсировалось. Ни один вендор не мог проконтролировать содержание отчета или его публикацию.
4. Используемая ОС: Windows 7 (64-bit) со всеми обновлениями безопасности, доступными для Service Pack 1.
5. Тестирование проходило в период с 15 апреля 2016 года по 22 июня 2016 года.
6. Все продукты имели полный доступ в Интернет и могли подключаться к любым внутренним сервисам и службам. Это подтверждается проверкой доступности облачных функций в рамках регламента Anti-Malware Testing Standards Organization (AMTSO).
7. Вредоносные сайты и надежные приложения были независимо собраны и проверены лабораторией SE Labs.
8. Таргетированные атаки были отобраны и проверены SE Labs. Они были созданы с помощью инструментария Metasploit Framework Edition с использование стандартных настроек. При отборе атак использовалась информация о реальных атаках, в том числе принималось во внимание исследование "2016 Data Breach Investigations Report" от Verizon.
9. Вредоносные программы и легитимные данные были отправлены партнерам сразу после завершения тестирования.
10. Тестирование выполнялось на физических компьютерах, а не на виртуальных машинах.