Корпоративные сети часто являются целью атак, но их можно защитить с помощью надежного клиент-серверного решения безопасности.
В последнее время в СМИ стало появляться больше сообщений о случаях таргетированных атак на корпоративные сети. В Европе резкое увеличение числа подобных инцидентов связывают с новым общим регламентом по защите данных (EU GDPR). Данный документ обязывает организации сообщать о потере персональных данных своих клиентов. Таким образом, использование антивирусного решения является обязательным.
Оценка 18 корпоративных программ безопасности
Лаборатория AV-Test провела комплексное тестирование 18 корпоративных антивирусов по трем категориям: защита, производительность (скорость работы) и удобство использования. В каждой категории оценки лаборатория присуждает не более 6 баллов. Это означает, что, в общей сложности, продукт может максимально набрать 18 баллов.
Тестирование проводилось в период с июля по август 2018 года. В течение этого срока каждый продукт должен был пройти все тестовые испытания дважды. По результатам тестов лаборатория смогла присудить многим продуктам не только сертификат безопасности, но и звание «Лучший антивирус» (TOP PRODUCT). Эту награду получают только те продукты, которые в сумме смогли набрать от 17,5 до 18 баллов. Данный рейтинг получили по 2 продукта от Bitdefender и «Лаборатории Касперского», решения от Microsoft, Avast, Check Point, Trend Micro и две программы безопасности от Symantec.
Награда «Лучший антивирус»
- Bitdefender Enpoint Security
- Bitdefender Enpoint Security Elite
- Kaspersky Endpoint Security
- Kaspersky Small Office Security
- Microsoft Windows Defender Antivirus (Защитник Windows)
- Avast Business Antivirus
- Checkpoint SandBlast Agent
- Symantec Endpoint Protection
- Symantec Endpoint Protection Cloud
- Trend Micro OfficeScan
Отличная эффективность защиты
При оценке защитных характеристик участники тестирования должны были пройти два испытания - на идентификацию новейших угроз и на обнаружение известных вредоносных программ. В первом тестовом сегменте корпоративные программы безопасности должны были противостоять 300 новым вредоносным образцам, которые представляли собой опасные угрозы «нулевого дня». Возраст некоторых образцов не превышал нескольких часов. Во втором тестовом сегменте проверялось обнаружение и очистка около 20000 известных вредоносных программ, возрастом не более двух недель. Лаборатория обладала очень точными сведениями о возрасте и потенциальных рисках вредоносных образцов. Для сброса образцов использовались собственные инструменты лаборатории, после чего проводился их анализ, классификация и последующее добавление в базу данных. По состоянию на конец сентября 2018 года база данных AV-Test насчитывает более 830 миллионов образцов вредоносных программ.
Результаты данного теста на защиту отличаются от предыдущих испытаний - на этот раз 17 из 19 тестируемых продуктов достигли максимум 6 баллов. Если учитывать только уровень распознавания угроз в процентных пунктах, то сразу 14 тестируемых продуктов успешно завершили все 4 тестовых сегмента со 100%-ным обнаружением. Еще 3 продукта допустили незначительные ошибки, которые сказались на десятых долях результата, но они все равно получили максимальный баз в данной категории оценки.
Низкая нагрузка на систему для надежной защиты
Поскольку организации далеко не всегда используют самые высокопроизводительные компьютеры, лаборатория уделяет особое внимание анализу нагрузки на рабочие машины, оказываемую клиентским антивирусным программным обеспечением. В данном тестировании сначала проверяется выполнение типичных операций на стандартном и высокопроизводительном компьютерах: копирование данных открытие веб-сайтов и запуск программного обеспечения. Измеренные времена используются в качестве эталонных показателей для последующего сравнения. Затем в тестовые системы устанавливаются клиентские модули продуктов, после чего испытания повторяются и время снова регистрируется. В данном тесте продукты могут также получить до 6 баллов. Однако, только 9 из 18 корпоративных решений продемонстрировали максимальный результат: это по два решения от Bitdefender, Symantec и «Лаборатории Касперского», а также продукты от Microsoft, Seqrite и Trend Micro.
Решения от Avast, Carbon Black, Check Point, Palo Alto Networks и Sophos создали небольшую нагрузку на рабочие машины и получили все еще отличные 5,5 баллов. Другие продукты получили от 4,5 до 5 баллов. Исключением стал Comodo, которые заметно повлиял на производительность клиентских ПК и набрал только 3,5 балла.
Ложные срабатывания снижают продуктивность
Для оценки удобства использования AV-Test проверяет продукты на ложные срабатывания при посещении веб-сайтов, сканировании файлов программного обеспечения и при установке и запуске приложений. В испытании каждое тестируемое решение должно безошибочно обработать посещение 500 сайтов, сканирование около 1,4 миллиона безопасных файлов и запуск нескольких десятков программ.
Многие продукты не справились с этой задачей. Всего 8 из 18 продуктов заработали максимальные 6 баллов: по два продукта от Bitdefender и «Лаборатории Касперского», а также решения от Avast, Check Point, McAfee и Microsoft. Большинство других корпоративных антивирусов решения набрали 5,5 баллов. Seqrite совершил больше ошибок и получил 5,0 балла, а Carbon Black ошибался чаще остальных и собрал всего 4,0 балла.
Качественные продукты
В общей сложности 10 из 18 тестируемых продуктов завершили тест с общим результатом от 17,5 до 18 баллов и получили звание «Лучший антивирус». В предыдущих раундах тестирования AV-Test таких триумфаторов было меньше. Максимальных 18 баллов смогли достичь по два решения от Bitdefender и «Лаборатории Касперского», а также программа безопасности Microsoft. Решения защиты от Avast, Check Point, Symantec (оба продукта) и Trend Micro следуют в итоговой таблице с 17,5 баллами.
Корпоративные решения защиты от McAfee, Seqrite и Sophos финишировали с достойными 17 баллами. Продукты на последних 5 строчках итоговой таблицы смогли заработать от 15 до 16,5 баллов. Это все еще очень высокий уровень.
Тест демонстрирует высокое качество тестируемых решений. Даже Защитник Windows, выступающий в роли клиента для серверного модуля защиты смог показать впечатляющий результат в данном раунде тестирования.
Корпоративные программы безопасности нового поколения
Комментарий эксперта
Технический директор AV-TEST GmbH Майк Моргенштерн (Maik Morgenstern)
Начиная примерно с 2012 года, многие вендоры очень мощно зашли на рынок Endpoint Security с так называемыми «решениями нового поколения». Среди таких игроков: Cylance, CrowdStrike, SentinelOne, Ensilo, DeepInstinct, Carbon Black, Palo Alto, FireEye и другие компании.
Что у них общего? Прежде всего, их объединяет цель сделать много улучшений по сравнению с традиционными антивирусными продуктами:
- Эффективное обнаружение без сигнатурных определений, в частности без регулярных обновлений сигнатур
- Обнаружение даже новейших, неизвестных образцов вредоносных программ без предварительного анализа
- Низкое влияние на производительность клиентской системы
- Частично автономное обнаружение (без подключения к Интернету)
Для достижения этой цели развертываются различные инновационные технологии, в частности искусственный интеллект и машинное обучение, которые служат для обнаружения вредоносных образцов исключительно на основе «внешнего вида», еще до их запуска.
Проще говоря, алгоритм совершенствуется с каждой новой тренировкой - с каждым случаем четко подтвержденного вредоносного ПО и безопасного программного обеспечения, чтобы различать добро и зло. Алгоритм питается постоянно новыми раундами обучения и в, конечном итоге, может самостоятельно обрабатывать файлы.
Преимущества:
Как только алгоритм провел определенное количество тренировок и вычислил модель того, как выглядит конкретный вид вредоносного ПО, он легко сможет обнаружить все новые варианты угрозы и без обновлений. Для сравнения, сигнатура позволяет обнаруживать только один файл или некоторые немного измененные варианты вредоносного ПО.
Недостатки:
На практике это приводит к увеличению количества ложных срабатываний, что регулярно подтверждается тестами.
Испытания также показывают, что эффективность алгоритма напрямую зависит от количества сеансов тренировок. Уже встречались продукты, которые очень хорошо справлялись с обнаружением вредоносных 32-битных файлов Windows PE, но полностью игнорировали 64-битные файлы. Это связано с тем, что 99 процентов всех образцов вредоносных программ для Windows PE представляют собой 32-разрядные версии, и алгоритм не имел возможности изучать поведение и внешние признаки 64-битных вредоносных программ.
Еще одним недостатком является тот факт, что продукты следующего поколения концентрируются на определенных типах файлов, таких как файлы Windows PE. Скрипты, например, не учитываются алгоритмом машинного обучения. Это, в свою очередь, требует дополнительных модулей защиты, которые отдельно анализируют выполнение скриптов.
Тесты AV-Test подтверждают, что продукты нового поколения действительно способны предлагать защиту, эквивалентную традиционному антивирусному программному обеспечению. Из особенностей данных решений можно выделить увеличенное число ложных срабатываний и незначительную нагрузку на систему.
Последние обзоры и тесты
• AV-Test: Тестирование 26 антивирусов для Windows против шифровальщиков и ПО для кражи данных
• Лучший антивирус 2024: Тестирование антивирусов для Windows 11 на максимальных настройках защиты
• AV-Test 2025: Лучшие антивирусы для защиты от шифровальщиков и инфостилеров в Windows 11
• AV-Comparatives 2024: ESET — «Антивирус года», Avast, AVG, Bitdefender и Kaspersky — «Лучшие антивирусы»
• AV-Test 2024: Лучшие антивирусы для защиты от шифровальщиков и инфостилеров
• AV-Comparatives 2024: Лучшие антивирусы для защиты от целевых атак