AV-Test 2024: Тестирование 31 антивируса для Windows. Как антивирусы справляются с реальными атаками

Потребительские и корпоративные решения безопасности сталкиваются с серьезными задачами: постоянная защита систем и борьба с новейшими угрозами. Иногда продукты обнаруживают атаки сразу, но порой реагируют лишь на следующем этапе защиты. Именно этот аспект проверяется в тесте Advanced Threat Protection (ATP). В ходе испытания 31 антивирус показывает, насколько хорошо он не только обнаруживает угрозы, но и эффективно защищает системы Windows 10.

Пользователи, включая тех, кто отвечает за безопасность в корпоративной среде, нередко задаются вопросом: «Сделал ли я правильный выбор с текущим решением?» или «Какое решение лучше использовать?» Эксперты AV-TEST дают точные ответы на эти вопросы. Для многих продуктов текущее длительное тестирование показывает также их стабильность в защите. В ходе теста ATP (Advanced Threat Protection) проявляются особые характеристики. Многие из тестируемых продуктов участвовали в 1, 2 или 3 тестах, что позволяет сравнить их результаты. В тесте проверяется, могут ли продукты обнаружить угрозы и, если да, то способны ли они их остановить – сразу или на следующих этапах защиты.

Тест ATP: реальные атаки, которые происходят ежедневно

Тест ATP имеет одну особенность: лаборатория не просто копирует вредоносные файлы в систему Windows. Вместо этого эксперты позволяют вредоносному ПО разворачивать свои неординарные техники атаки. Например, после атаки типа «spear-phishing» опасное вложение получает доступ к системе, встраивается в процессы и использует встроенные инструменты Windows, такие как PowerShell. Ниже приведен список методов атаки, которые использовались в тестировании. Они частично применяются отдельно или в сочетании в цепочках атак.

• Рефлективное внедрение кода: код загружается в память процесса, чтобы обойти методы обнаружения, скрывая выполнение произвольного кода в рамках легитимного и безвредного процесса.
• Бесфайловое вредоносное ПО: вредоносный код пишет себя прямо в реестр Windows, минуя файловую систему. Обычно для этого используются встроенные инструменты Windows, например PowerShell.
• Использование интерпретаторов скриптов: злоумышленники используют интерпретаторы сценариев, такие как PowerShell, для выполнения вредоносного кода. Новым вариантом является атака с использованием программных интерпретаторов, таких как AutoHotkey (AHK). Скрипт устанавливает интерпретатор, а затем выполняет сценарий AHK, который загружает программу-вымогатель или зловред для кражи информации в систему Windows. Злоумышленники скрывают вредоносный код в скриптах Lua, чтобы затем выполнить их на компьютерах жертв.
• Microsoft Software Installer (MSI): вредоносные файлы скрываются в MSI-пакетах с указанием шагов управления.
• NSIS (Nullsoft Scriptable Install System): злоумышленники внедряют вредоносные файлы в установочные пакеты Windows с помощью данного инструмента с открытым исходным кодом.
• Код в LNK-файле: скрытый код в казалось бы безобидном файле ярлыка (.LNK) извлекается через PowerShell, а затем запускает вредоносные программы на системе.

Протестирован 31 антивирус

Все продукты участвовали в 1, 2 или 3 тестах ATP. Каждый отдельный тест всегда проводится в течение 2 месяцев. При этом некоторые продукты проверялись в течение всех 6 месяцев с января по июнь 2024 года в системах Windows 10, другие решения в течение 4 месяцев, а некоторые в тесте всего в течение 2 месяцев. Тесты в течение 4–6 месяцев дают более точный обзор непрерывности защиты.

В тесте ATP отдельные шаги обнаружения и защиты регистрируются и описываются в матрице в соответствии со стандартом MITRE ATT&CK. В случае программ-вымогателей есть три ключевых шага для распознавания, в случае дата-стиллеров — четыре действия. Лаборатория присуждает половину или целый балл за каждый пресеченный шаг или отраженное действие. Это означает, что продукт может заработать 3 балла пять раз за каждый обнаруженный и ликвидированный образец программы-вымогателя и 4 балла пять раз за дата-стиллер. Таким образом, в тесте наивысшее значение защиты составляет 35 баллов. Продукты, которые участвовали в 2 тестах, могли потенциально достичь 70 баллов за защиту, а те, которые участвовали в 3 тестах, — 105 баллов.

Длительное тестирование 14 потребительских антивирусов

В тестировании принимали участие 14 потребительских антивирусов. Некоторые продукты не смогли набрать максимальные баллы, если допускали незначительные ошибки.

В первой группе с 3 тестами оказались 4 антивируса от Microsoft, Bitdefender, Avast и AVG. Неожиданный сюрприз в тесте на выносливость: Встроенный в Windows антивирус Microsoft Defender (потребительская версия) обнаружил все 30 атак в тесте, получив оценку защиты 103,5 из 105 возможных баллов. Это позволило Microsoft Defender занять первое место в таблице. Следом за ним идет Bitdefender с 29 из 30 обнаруженных атак и 99 из 105 баллов. Пакеты от Avast и AVG также обнаружили все 30 атак и набрали 94 из 105 возможных баллов за 3 теста.

• Microsoft Defender Antivirus
• Bitdefender Total Security
• Avast Free AntiVirus
• AVG Internet Security

Вторая группа с двумя тестами состояла из 8 антивирусов. В нее вошли решения от G Data, McAfee, Microworld, Norton, PC Matic, набравшие по 70 баллов из 70 возможных. Таким образом, они обнаружили и отразили все 20 атак в двух тестах.

• G Data Internet Security
• McAfee Total Protection
• eScan Internet Security Suite
• Norton 360
• PC Matic
• Avira Internet Security
• ESET Security Ultimate
• F-Secure TOTAL

В эту группу также вошли Avira, ESET и F-Secure. Хотя эти пакеты обнаружили все угрозы, у них периодически возникали проблемы с последующими защитными мерами. Это стоило им ценных баллов. Avira получила 69, ESET - 65, а F-Secure - 57 из 70 возможных баллов.

Третья группа с одним тестом состояла всего из двух продуктов: Антивирус Касперского и Surfshark. Оба продукта показали отличные результаты.

• Kaspersky Plus для Windows
• Surfshark Antivirus

Длительное тестирование 17 корпоративных антивирусов

Тестирование корпоративных решений не отличалось от испытаний потребительских продуктов. В обзоре с 1, 2 и 3 тестами было представлено 17 решений безопасности для компаний. Здесь также некоторые продукты не получили максимальные баллы из-за незначительных ошибок.

В первой группе, состоящей из 3 тестов, было представлено 4 продукта. Среди них были две разные версии Bitdefender, а также Avast и Check Point. Все они безошибочно обнаружили 30 атак. Единственным продуктом в тесте на выносливость, набравшим 105 баллов из 105 возможных, стало решение Bitdefender Endpoint Security Ultra, обеспечивающее очень надежную непрерывную защиту. За ним следует Endpoint Security от Bitdefender со 100,5 баллами из 105 возможных. Затем идут Avast со 100 баллами и Check Point с 98 баллами.

Вторая группа с двумя тестами состояла из 8 пакетов. В ходе оценки все решения обнаружили по 20 атак. Продукты от ESET, HP Security, обе версии от Касперского, Qualys, Symantec и WithSecure получили максимально возможные 70 баллов за защиту.

Только Microsoft Defender Antivirus Enterprise потерял один балл в тесте, набрав 69 баллов.

Третья группа с одним тестом была несколько более комплексной. Она состояла из 5 решений, среди которых Microworld, Sophos и Trellix набрали максимально возможные 35 баллов за защиту. Cybereason допустил ошибки и набрал только 30,5 из 35 баллов. Seqrite столкнулся с той же проблемой, набрав лишь 29 из 35 баллов.

Сильные результаты по итогам тестирования

Обычные длительные тесты ATP всегда дают четкую оценку решениям безопасности для потребительских и корпоративных пользователей. Они показывают, насколько хорошо защитные пакеты противостоят угрозам в реальных сценариях, и как они частично развертывают дополнительные модули безопасности, чтобы противостоять угрозам на последующих этапах.

Результаты тестов показывают, насколько хорошо и последовательно продукты защищают пользователей и сотрудников в корпоративной среде. Особенно это проявилось в группах с 3 тестами в течение 6 месяцев. Среди продуктов для пользователей антивирус Microsoft Defender, работающий под управлением Windows, показал неожиданный результат - 103,5 балла из 105. За ним следуют решения безопасности от Bitdefender, Avast и AVG с 99 и 94 баллами соответственно.

В группе решений для корпоративных пользователей Bitdefender Endpoint Security Ultra выделился на фоне остальных, пройдя 3 теста: он стал единственным продуктом в тесте, набравшим 105 баллов из 105. За ним последовала вторая версия Bitdefender, набравшая 100,5 балла из максимальных 105 баллов. Да и Avast и Check Point с их 100 и 98 баллами тоже показали хорошую эффективность.

Средняя группа с двумя тестами действительно продемонстрировала определенную непрерывность защиты, но не такую значительную, как результаты трех тестов. Тем не менее, большинство продуктов этой группы достигли максимальной оценки в 70 баллов. Будет интересно посмотреть в следующих тестах этих продуктов, смогут ли они удержать этот высокий уровень.