Может ли ваш антивирус противостоять атакам «нулевого дня»?

Тестирование защиты, основанной на сигнатуре образов вредоносных программ, не представляет сложностей. Для тестовых нужд собираются сотни и тысячи образцов угроз, запускается сканирование и выполняется анализ результатов. Как бы то ни было для новейших атак так называемого «нулевого дня» (zero-day) не существует вирусных сигнатур.

Тестировать проактивные механизмы очень трудно, но специалисты из AV-Comparatives разработали специальную технику, которая сможет объективно оценить эффективность такой защиты. Следует отметить, что не все вендоры антивирусного ПО принимают эту методику, поэтому только шестнадцать продуктов участвовали в недавнем тестировании (AV-Comparatives: Тестирование проактивной защиты: Август 2013).

По определению, невозможно запустить тест с использованием атак «нулевого дня» на антивирусе с актуальной базой угроз. К тому времени, как исследователи смогли обнаружить и утвердить образец, антивирусный вендор мог уже подготовить соответствующую сигнатуру.  В лаборатории AV-Comparatives из этой ситуации выходят за счет использования устаревшей базы сигнатур продукта и тестирования с вредоносными программами, которые появились значительно позже.

Некоторые продукты будут обнаруживать новейшие вредоносное ПО с помощью эвристических механизмов, оценивая сходство поведения с известными угрозами и анализируя различные характеристики.  Если эвристика не реагировала на образец угрозы, вредоносный файл запускался чтобы проверить действие защиты реального времени и поведенческого контроля. Продукт получал максимальные баллы за самостоятельное блокирование угрозы и лишь половину возможных очков в случаях, когда требуется решение пользователя для блокировки.

Очень хорошее обнаружение

Принимая во внимание исключительно показатель эффективности обнаружения вирусов, 11 из 16 тестируемых продуктов получили бы наивысший рейтинг ADVANCED+. Bitdefender возглавил эту группу с уровнем обнаружения – 97 процентов. Kaspersky и Emsisoft детектировали 94 процента угроз, Panda и Avast также могли заработать ADVANCED. Microsoft также мог бы получить ADVANCED, но лаборатория AV-Comparatives учитывала продукт, как стандартную линию защиты, включенную в ОС. Внизу таблицы расположились AnhLab и Vipre, которые могли получить рейтинг STANDARD.

Надоедливые ложные срабатывания

Эвристический и основанный на поведенческом анализе механизмы обнаружения должны быть тщательно настроены для исключения ложных срабатываний, т.е. блокировки надежных и безопасных программ. Всего несколько тестируемых продуктов потеряли баллы за большое количество ложных срабатываний. Тестирование антивирусов проводилось с использованием базы сигнатур февраля 2013 года. Анализ ложных срабатываний проводился также и с мартовской базой для оценки изменений.

Шесть тестируемых решений потеряли уровень рейтинга из-за большого количества ложных срабатываний. Emsisoft, eScan, и G Data вместо ADVANCED+ получили только ADVANCED, а Panda – вместо ADVANCED только STANDARD. AhnLab и Vipre уже находились на пороге прохождения сертификации, а ложные срабатывания отбросили их вниз. В итоге они не прошли сертификацию.

Споры вокруг «облака»

Разработчики антивирусного ПО, которые направляют свои продукты для тестирования в AV-Comparatives должны давать официальное согласие на проведение всех тестов. Тестирование сигнатурной защиты является необходимым испытанием. Компания Symantec не одобряет этот тест, поэтому в отчете австрийской лаборатории вы не найдете результатов Norton.

Проактивный тест является опциональным и необязательным. Согласно отчету AVG, McAfee, Qihoo, Sophos, и Trend Micro решили не принимать участие в этом тестировании, т.к. их решения в основном используют облачные технологии. Тест защиты к атакам «нулевого дня» исключает облачное обнаружение, т.к. невозможно «зафиксировать облачную защиту на одном месте». Эти вендоры сразу осознали тот факт, что их продукты получат небольшой балл без активного подключения к облачному серверу.

AV-Comparatives разрешила продуктам вендоров выйти из игры, но в отчете замечена критика в их адрес. В отчете отмечается:  «Даже спустя несколько недель после появления угрозы, несколько вредоносных образцов не были обнаружены зависимыми от «облака» продуктами, даже когда подключение к удаленным сервисам было активно. Это в очередной раз доказывает уязвимости защит, несмотря на ярко выраженную критику ретроспективных тестов за то, что они не поддерживают облачные технологии. Если файл абсолютно неизвестен, облачный механизм защиты, как правило, не может определить является он опасным или не является».

Если ваш антивирус заработал максимальные баллы в этом тесте – это хороший знак. Ваша защита сможет противостоять новейшим атакам «нулевого дня». Но даже плохой результат в тесте не означает, что в конкретном случае продукт не сможет справиться с угрозой.

По материалам интернет-портала PC Magazine