SE Labs: Динамическое тестирование антивирусов. 1 квартал 2017 года

Каждый антивирусный продукт проверялся с идентичным набором угроз (общее количество - 100), которые представляли собой сочетание таргетированных атак с известными вредоносными техниками и веб-угрозы, распространенные в Интернете на момент проведения тестов.

Результаты показывают, как эффективно антивирусы противостояли данным угрозам в режиме реального времени.

Подробнее ознакомиться с методикой динамического тестирования, проводимого лабораторией SE Labs (Simon Edwards Labs), вы можете на этой странице. В данном отчете мы приводим общие результаты испытаний, выполненных в 1 квартале (январь-март) 2017 года.

Введение

Антивирусная защита является важным компонентом компьютерной безопасности, независимо от того, являетесь ли вы домашним пользователем, сотрудником организации малого бизнеса или крупного предприятия. Однако, это только один из многочисленных уровней безопасности.

Использование нескольких уровней защиты, включая фаервол, системную защиту от эксплойтов и частные виртуальные сети (VPN) в общедоступных сетях является важным рецептом усиленной безопасности.

Многие пользователи не понимают, что антивирусные продукты имеют собственные уровни защиты. Угрозы могут иметь различные векторы атаки, поэтому разработчики антивирусов используют различные подходы для обнаружения опасности и блокировки зловредов.

Рассмотрим, например, вредоносный веб-сайт, который автоматически заражает пользователей при посещении. Подобные скрытые угрозы широко распространены, и в данном испытании тестовый набор примерно на треть состоял из подобных атак. Пользователь просто посещает веб-сайт, который эксплуатирует уязвимость на компьютере перед установкой вредоносной программы - вполне вероятно это может быть троян-шифровальщик. Данный тип угроз также активно использовался в тестовой коллекции.

Теперь посмотрим, как могли сработать различные уровни защиты. Веб-фильтр мог заблокировать URL-адрес, предотвратив посещение опасного сайта. Если бы данный уровень защиты сработал, то вы бы оставались в безопасности, и дальнейших действий не требовалось. В противном случае, система будет подвержена эксплойту. Может встроенная в антивирус технология защиты от эксплойтам постарается заблокировать попытку эксплуатации уязвимости? Это был бы хороший сценарий, иначе угроза может попасть в систему и попытаться запуститься.

На данном этапе могут сработать файловые сигнатуры или поведенческий анализ активности. Возможно, будет запущено предварительно тестирование в виртуализированной среде. Различные вендоры используют различные подходы. Для успешной атаки угроза должна обойти несколько уровней защиты, предусмотренные конкретным антивирусным решением.

Используемая в испытаниях SE Labs методика тестирования антивирусов является реалистичной и дает шанс всем уровням защиты.

Общая информация

Тестируемые антивирусы

Важное правило безопасности - пользоваться актуальной версией антивируса. При подготовке к тестированию, специалисты SE Labs проверили, чтобы в испытании принимали участие самые последние версии антивирусных программ на момент тестирования. Это позволяет сделать результаты оценки максимально точными.

• Kaspersky Internet Security
• Norton Security
• ESET NOD32 Smart Security
• Bitdefender Internet Security
• Trend Micro Internet Security
• Microsoft Security Essentials
• AVG AntiVirus Free Edition
• Avast Free Antivirus

Результаты тестирования

Продукты, выделенные зеленым цветом, показали наилучшую итоговую точность (рейтинг совокупной эффективности) - от 85 процентов и выше. Решения в желтой зоне продемонстрировали от 75 до 85 процентов точности. Антивирусы в красной зоне показали менее 75 процентов точности обнаружения.

Антивирусы в основном были эффективны при обработке общих угроз

Большинство антивирусных решений в смогли обработать общие веб-угрозы, которые используются злоумышленниками для организации атак на компьютеры Windows и фонового развертывания программ-шифровальщиков без взаимодействия с пользователем.

Таргетированные атаки бросили вызов инструментам защиты

Половина антивирусов смогли справиться с таргетированными атаками на базе эксплойтов. Комплексную защиту предоставили только решения от Bitdefender, ESET, Kaspersky Lab и Symantec (Norton).

Ложные срабатывания - не проблема для большинства

Все решения корректно справились с обработкой легитимных / безопасных приложений и веб-сайтов. Два из 8 продуктов не показали ни одного ложного срабатывания. Остальные показали минимальный уровень ложных срабатываний.

Какие продукты были самыми эффективными?

Антивирусные решения ESET, Symantec и Kaspersky Lab показали лучшие результаты, благодаря комплексному подходу к блокировке вредоносных ссылок и обработке эксплойтов, а также корректной классификации надежных программ и веб-ресурсов.

Подробная информация о защите

Результаты, показанные на графике, подробно разделяют события обработки угроз. Вы можете наглядно видеть, сколько угроз было обнаружено и какой уровень защиты был обеспечен.

• Обнаружение (Detected). Обнаружение угрозы с предоставлением определенной информацией о ней.
• Блокировка (Blocked). Угрозы, которые не смогли даже запуститься считаются заблокированными.
• Нейтрализация (Neutralised). Завершение активного вредоносного процесса.
• Заражение (Compromised). Угроза нарушила безопасность системы
• Защищено (Protected). Уровень защиты

Итоги тестирования

В данном тесте использовались атаки, нацеленные на широкую аудиторию пользователей и использующие в качестве механизма заражения инфицированные веб-сайты, включая сайты, которые автоматически атакуют пользователей или пытаются заразить компьютер без приемов социальной инженерии или других видов взаимодействия. Некоторые ресурсы пытаются обманным путем вынудить пользователя установить вредоносное ПО. Также в тестировании применялись таргетированные атаки на базе эксплойтов, которые пытались получить контроль над целевой системой.

Kaspersky Internet Security защитил от всех общедоступных веб-угроз и таргетированных атак. Продукт заблокировал 100 процентов угроз и был высоко эффективен при обработке безопасных объектов, что позволило получить 100%-ный итоговый рейтинг.

Norton Security эффективно защитил тестовую систему от таргетированных атак и общедоступных веб-угроз. Он допустил запуск всего одной угрозы, после чего успешно провел нейтрализацию. Кроме того, антивирус заблокировал одну легитимную программу.

ESET NOD32 Smart Security расположился очень близко к лидеру. Две тестовые угрозы смогли запуститься, после чего были успешно нейтрализованы. Однако, данные сценарии немного понизили итоговый результат ESET, который был округлен до 100 процентов (с 99,7%).

Bitdefender Internet Security в полном объеме справился со всеми атаками на базе эксплойтов. Антивирус пропустил одну общедоступную веб-атаку. Кроме того, Bitdefender допустил запуск пяти атак, после чего нейтрализовал активные угрозы. В одном тестовом случае продукт допустил взлом системы и выдал одно ложное срабатывание.

Microsoft Security Essentials оказался самым эффективным бесплатным антивирусным продуктом по результатам тестирования. Он допустил заражение в 5 случаях, но успешно заблокировал большинство веб-атак, проигнорировав только две атаки. Антивирус выдал одно ошибочное срабатывание на безопасное приложение.

Avast Free Antivirus оказался наименее эффективным продуктом в данном тесте, хотя все равно смог получить рейтинг AA. Он приостановил несколько таргетированных атак и все общедоступные веб-угрозы, но неточно обработал безопасные приложения, в результате чего расположился внизу итоговой таблицы.

Награды в тестировании

Продукты ESET, Kaspersky Lab, Symantec (Norton), Bitdefender и Trend Micro получили максимальный рейтинг AAA за высокую общую эффективность. Решения от Avast, AVG и Microsoft заработали рейтинг AA.

Часто задаваемые вопросы

1. Полная методика тестирования доступна на сайте лаборатории.
2. Тестируемые продукты были отобраны SE Labs.
3. Тестирование не спонсировалось. Ни один вендор не мог проконтролировать содержание отчета или его публикацию.
4. Используемая ОС: Windows 7 (64-bit) со всеми обновлениями безопасности, доступными для Service Pack 1.
5. Тестирование проходило в период с 10 января 2017 года по 3 марта 2017 года.
6. Все продукты имели полный доступ в Интернет и могли подключаться к любым внутренним сервисам и службам. Это подтверждается проверкой доступности облачных функций в рамках регламента Anti-Malware Testing Standards Organization (AMTSO).
7. Вредоносные сайты и надежные приложения были независимо собраны и проверены лабораторией SE Labs.
8. Таргетированные атаки были отобраны и проверены SE Labs. Они были созданы с помощью инструментария Metasploit Framework Edition с использование стандартных настроек. При отборе атак использовалась информация о реальных атаках, в том числе принималось во внимание исследование "2016 Data Breach Investigations Report" от Verizon.
9. Вредоносные программы и легитимные данные были отправлены партнерам сразу после завершения тестирования.
10. Тестирование выполнялось на физических компьютерах, а не на виртуальных машинах.