MRG Effitas: Время обнаружения угроз (Q2-Q3 2013)

2013-10-22 8364 комментарии
Тестовая лаборатория MRG Effitas опубликовала результаты тестирования времени обнаружения угроз для 17 решений безопасности. В данном испытании проверялись два вектора распространения вредоносного ПО - через активные URL-ссылки и USB-носители данных

MRG Effitas: Время обнаружения угроз (Q2-Q3 2013)

Вторая часть теста MRG Effitas: Время обнаружения и устранения угроз (Q2 2013)

Содержание

- Методология тестирования
- Тестируемые решения безопасности
- Используемые вредоносные образцы
- Результаты тестирования
- Выводы

Методология тестирования

1. Операционная система Windows 7 Ultimate Service Pack 1 64 bit установлена на виртуальную машину со всеми обновлениями, и все сторонние приложения установлены и обновлены в соответствии со спецификацией MRG Effitas "Average Endpoint Specification".

"Average Endpoint Specification" включает Adobe Flash, Adobe Reader, Java, Microsoft Office 2007 & Mozilla Firefox - полностью обновленные.

2. Создается образ операционной системы.

3. Копия образа системы создается для каждого защитного решения, которое используются в данном тесте.

4. Отдельные приложения безопасности установлены с настройками по умолчанию на каждой системе, созданной на шаге 3, а затем при необходимости обновляются.

5. Создается копия системы, после завершения шага 4.

6. Каждая активная URL-ссылка проверяется следующим образом:

a) Загрузка одного вредоносного образца с использованием Internet Explorer на рабочий стол, закрывается Internet Explorer, а затем выполняется запуск образца.

b) Защитное приложение блокирует URL-ссылку, по которой расположен вредоносный образец.

c) Защитное приложение обнаруживает и блокирует вредоносный образец, пока он загружается на компьютер.

d) Защитное приложение обнаруживает вредоносный образец при ее выполнении в соответствии со следующим критерием:

i. Он определяет файл как вредоносный и либо автоматически блокирует его, или откладывает его выполнение и предупреждает пользователя о вредоносном файле, ожидая решения пользователя.

7. Каждый вредоносный образец на USB-носителе проверяется следующим образом:

a) Загрузка одного вредоносного образца с использованием системы, не участвующей в тестировании, а затем копирование его на USB-флешку.

b) USB-флешка подключается к тестируемой системе, содержимое копируется на рабочий стол через проводник и запускается.

c) Тестируемая система считается изначально защищенной по следующими критериям:

d) Защитное приложение обнаруживает вредоносный образец при подключении USB-флешки.

e) Защитное приложение обнаруживает вредоносный образец при копировании на рабочий стол.

f) Защитное приложение обнаруживает вредоносный образец при выполнении по следующему критерию:

i. Оно определяет файл как вредоносный и либо автоматически блокирует его, или откладывает его выполнение и предупреждает пользователя о вредоносном файле, ожидая решения пользователя.

8. Система, используемая в тесте, считается зараженной по следующему критерию:

a) Защитное приложение не в состоянии обнаружить или блокировать вредоносный образец на любой стадии пункта 6 или 7 и позволяет ему запуститься.

9. Тестирование на зараженной системе продолжается в течение 24 часов с помощью следующего процесса:

a) Быстрое сканирование выполняется каждые 30 минут, чтобы дать возможность решению безопасности обнаружить заражение.

10. Тестирование проводится с системами, имеющими доступ в Интернет.

11. Каждое отдельное испытание для каждого защитного приложения ведется с уникальным IP-адресом.

12. Все защитные приложения использовались с полностью работоспособными незарегистрированными версиями или версиями зарегистрированными анонимно, без связи с MRG Effitas.

13. Все испытания проводились в течение второго и третьего квартала (Q2-Q3) 2013 года.

Тестируемые решения безопасности

1. Avast Internet Security 8.0
2. AVG Internet Security 2013-2014
3. BitDefender Internet Security 2013-2014
4. Emsisoft Anti-Malware 8.0-8.1
5. ESET Smart Security 6.0
6. GFI Vipre Internet Security 2013-2014
7. Kaspersky Internet Security 2013-2014
8. Malwarebytes Anti-Malware 1.74-1.75
9. McAfee Internet Security 2013
10. Microsoft Security Essentials 4.3
11. Panda Internet Security 2013-2014
12. SourceFire Immunet Protect Plus 3.1
13. SUPERAntiSpyware 5.5-5.6
14. Symantec Norton Internet Security 2013-2014
15. Trend Micro Titanium Internet Security 2013
16. SoftSphere DefenseWall 3.22*
17. Webroot SecureAnywhere Internet Security Plus 2013

* Программа SoftSphere DefenseWall тестировалась на 32-разрядной системе.

Используемые вредоносные образцы

Используемые образцы

Используемые вредоносные образцы

- Трояны (115)
- Финансовое вредоносное ПО (95)
- Backdoors (42)
- Потенциально нежелательные приложения (26)
- Руткиты (12)
- Другие (10)

Векторы заражения

Векторы заражения

- Live URL's (активные URL-ссылки)
- USB Flash Drive (USB-носитель данных)

Результаты тестирования

Уровень обнаружения

Приведенный ниже график и таблица показывают первоначальный уровень обнаружения для тестируемых приложений безопасности:

Первоначальный уровень обнаружения
нажмите на изображение, чтобы увеличить

Таблица: Первоначальный уровень обнаружения

Время обнаружения

Приведенный ниже график показывает время обнаружения (в часах) для всех решений безопасности в данном тесте:

Время обнаружения
нажмите на изображение, чтобы увеличить

Выводы

Avast, BitDefender, Emsisoft, Kaspersky и SoftSphere обнаружили/заблокировали все 300 вредоносных файлов и таким образом защитили тестируемую систему от заражения.

Следует отметить, что оба решения Malwarebytes Anti-Malware и SUPERAntiSpyware являются дополнительными инструментами. Однако, эти инструменты предназначены для защиты от угроз, используемых в данном тесте.

SUPERAntiSpyware был единственным тестируемым приложением, которое не смогло обнаружить все образцы в течении 24 часов, он пропустил в общей сложности 28 образцов.

В настоящее время подавляющее большинство случаев заражения компьютера происходит, когда пользователи переходят по вредоносным URL-ссылкам, но съемные носители (USB-устройства) также используются как очень эффективные системы доставки вредоносных программ на систему. В прошлом это проявлялось в высокой доле вредоносного ПО, распространяющегося подобными методами, среди них - скандально известный червь Conficker и его различные модификации. Именно из-за этого в данном тесте для проверки был выбран второй вектор заражения.

Полный отчет (English, pdf).

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте