Отримуйте програмне забезпечення протягом декількох хвилин з моменту розміщення замовлення! Автоматична система працює цілодобово 24/7
Отримуйте програмне забезпечення протягом декількох хвилин з моменту розміщення замовлення! Автоматична система працює цілодобово 24/7
Фінальне тестування антивірусних рішень у 2016 році (частина 2)

Фінальне тестування антивірусних рішень у 2016 році (частина 2)

У першій частині нашого огляду ми розглянули можливості антивірусного програмного забезпечення, готовність його до тестування і навіть назвали переможців. Проте фінальні результати року можна побачити в цій статті. Тепер давайте розглянемо тести докладніше. 

Антивірусні продукти приймають участь у тестуванні:

     Назви продуктів брали участь    Версія     
 Avast  Antivirus 12.3
 AVG Internet Security   2017
Avira Antvirus Pro   
15.0   
Bitdefender Internet Security   
2017   
BullGuard  Internet Security 16.0   
Emsisoft Anti-Malware   
12.0   
eScan Internet Security   
14.0   
Eset Smart Security    10.0   
F-Secure Safe  2017   
Fortine FortiClient   
5.4   
Kaspersky Lab Internet Security   
2017   
Lavasoft Pro Security   
11.12   
McAfee Internet Security 19.0   
Microsoft Security Essentials   
4.10   
Quick Heal Total Security 17.0   
Sophos Endpoint Security   
10.6   
Tencen PC Manager   
11.6   
Trend Micro Internet Security   
11.0   

Процедура тестування

Перевірка десятків антивірусних продуктів з використанням сотень посилань – це складний процес, який не можна зробити вручну (так як він передбачає паралельне відвідування тисяч сайтів), так що він повинен сприйматися як щось автоматизоване.

Підготовка лабораторії

Кожен потенційний кандидат на тестування запускається і аналізується на новій машині, на якій відсутннє антивірусне програмне забезпечення. Якщо шкідливому ПЗ підходить ця перевірку, вихідне посилання додається в список на тестування. Будь-який випадок, який виявляється невідповідним, відразу виключається з тестеріровання.

Кожна захисна програма встановлюється на окремий комп'ютер. Усі вони підключені до інтернету. Кожна система оновлюється щодня вручну, кожен кандидат оновлюється перед новим етапом тестування. Кожен комп'ютер має власний постійний ip-адресу. Ми робимо спеціальні разграничувачі і всередині мережі, щоб кожен ПК отримав стабільне з'єднання, і дотримуємося заходів обережності (з допомогою спеціально налаштованих фаєрволом), щоб інші комп'ютери не могли бути заражені за допомогою локальної мережі (щоб уникнути збоїв і не змащувати результати).

Налаштування

Ми використовуємо кожну захисну сюїту з заводськими налаштуваннями. Whole-Product Dynamic ProtectionTest націлений на симуляцію щоденного користування реальними людьми. Якщо користувачеві пропонують прийняти рішення – він вибирає погодитися з запропонованою програмою варіантом. Якщо продукту вдається захистити систему ми зараховуємо всі успішні усунення загроз, навіть ті, що вимагали підтвердження користувачем. Якщо робота системи порушена – ми вважаємо, що це є відповідальністю користувача. Під захистом ми розуміємо те, що спроби порушення роботи системи були попереджені. Це означає, що все шкідливе ПЗ відключено (видалено або блоковано), і відсутні значні зміни в роботі системи. Оповіщення про те, що шкідливе ПЗ вже було запущено або завантажено ми захистом не вважаємо.

Цикл тестування кожної шкідливої посилання

Перед тим, як перейти по зараженій силки ми оновлюємо базу даних сигнатур програми (як і було описано вище). Нові великі оновлення продукту (коли змінюється перша цифра білду) ми встановлюємо раз на місяць, тому у місячних звітах враховується тільки перша цифра версії продукту. Наше тестуюче програмне забезпечення постійно моніторить ПК, так що всі шкідливі зміни записуються. Більш того, відзначаються навіть алгоритми, за якими програмі вдалося виявити шкідливе ПЗ. Після кожного етапу тестування машина повертається у вихідний стан.

Захист

Антивірусне програмне забезпечення повинно захищати ПК. Те, на якому етапі це відбувається не має особливого значення. Це може відбуватися під час перегляду веб-сайту (наприклад, захист через блокування посилань), коли шкідливе ПЗ намагається запуститься, коли файл завантажується, або коли він запущений (або відкритий користувачем). Якщо шкідливе ПЗ вже запустилося, ми чекаємо кілька хвилин, щоб виявити його мету, або, у випадку з поведінковими блокуваннями, щоб дозволити знайти загрозу, усунути її і відновити завдані збитки. Якщо шкідливій програмі вдалося порушити роботу системи, процес класифікується як «Системі завдано шкоди». Якщо користувачеві дозволяється самому визначати небезпеку програми, і він вибирає ігнорування загрози, в результаті чого системі завдано шкоди, ми класифікуємо процес як «Відповідальність». Тому стовпці жовтого кольору в остаточному звіті можуть інтерпретуватися як успішний захист, так і її провал (так як кожен користувач самостійно вирішує що він чи вона б зробив в даній ситуації).

Якщо мова йде про хмарних продуктах, то ми беремо до уваги лише результати, продемонстровані на момент тестування. Іноді хмарні сервіси, що надаються постачальниками, падають з-за помилок або простоїв технічного обслуговування з боку постачальників, але подібні простої часто ховаються від кінцевого користувача. Саме з цієї причини продукти, призначені виключно на хмарні сервіси (не проводять локальної евристики, поведінкових блокувань і їм подібних) можуть бути вкрай ненадійними, так як в подібних випадках захист користувачів може значно знижуватися. Хмарні сигнатури і збори репутації можуть бути використані як доповнення до уже встановленим захисним програмами, але не як їх альтернатива, так як відключення хмарних серверів відразу ж піддає користувачів небезпеки зараження.

Тестування помилкових загроз

Тестування помилкових загроз складається з двох частин: помилково заблоковані сайти (в момент перегляду) і помилково заблоковані файли (в момент завантаження або установки). Необхідно перевіряти обидві частини, адже тестування лише одного параметра допомагає виявити продукти, сконцентровані лише на одному з двох методів: або на фільтрації посилань, або на поведінковій або репутаційній захист файлів.

Помилково заблоковані домени

Ми використовуємо близько тисячі випадково вибраних популярних доменів. Блоковані домени, не містять шкідливого програмного забезпечення, позначаються як «позитивні». Помилково блоковані домени відправляються постачальникам для того, щоб вони виключили їх з чорних списків.

Блокування домену цілком може не тільки похитнути віру в попередження антивірусної програми, але і надати фінансовий збиток (поряд з шкодою репутації сайту) власникам доменів, включаючи втрату доходів від реклами. У зв'язку з цим, ми рекомендуємо виробникам блокувати домен цілком, тільки у випадку, якщо єдиним завданням домену є поширення шкідливого коду, а в інших випадках блокувати лише заражені сторінки (до тих пір, поки вони не будуть очищені). Продукт, що блокують посиланням на основі репутації, дуже схильні до того, що було описано вище, і отримують високі оцінки в тесті, хоча вони повинні блокувати нові і непопулярні сайти.

Помилково заблоковані файли під час завантаження або установки)

Ми використовуємо близько двох тисяч різних додатків, які розміщені в розділах «Найбільш завантажувані» або «Рекомендовані завантаження» на різних порталах з програмним забезпеченням. Додатки, що завантажуються з офіційного сайту розробника (замість завантаження з серверів порталу), зберігаються на диску і встановлюються, для того, щоб дізнатися, чи будуть вони заблоковані на якомусь із цих етапів. Додатково ми додаємо кілька чистих файлів, які були виявлені за час кількох останніх місяців роботи Real-World Protection Test.

Завданням антивірусів є захист користувачів від шкідливого ПЗ, а не цензура або обмеження доступу до популярних і надійних програм та сайтів. Якщо користувач навмисно обирає високі параметри безпеки, яка попереджає, що програма може блокувати деякі законні сайти або файли, то це можна вважати прийнятним. Тим не менш, ми не вважаємо це прийнятним в якості настройки за промовчанням, якщо користувач не був попереджений. В різні моменти часу ми повідомляли портали про наявність шкідливих програм, і проблема вирішувалася за кілька годин, тому ми здивовані наявністю популярних програм в списку фільтрів. У зв'язку з цим, тести, які зроблені, наприклад, тільки з дуже популярними додатками, або які використовують тільки 50 кращих файлів з білого списку будуть марною тратою часу і ресурсів. Користувачам байдуже, націлена загроза виключно на них, або ж їх антивірус має уразливість, що дозволяє їм стати жертвою вірусу. Тому вкрай важливо усувати абсолютно всі загрози, в незалежності від того, скільки користувачів можуть постраждати. Поширеність фільтрації на основі баз даних представляє інтерес тільки для внутрішнього тестування забезпечення якості продукту, користувачам вкрай важливо знати, наскільки точно їх антивірус здатний відрізняти чисті файли від шкідливого ПЗ.

 
Результаты

av_dec_results.jpg

За результатами тестування ми можемо визначити п'ятірку лідерів:
  1. F-Secure;
  2. Bitdefender;
  3. Avira;
  4. Trend Micro;
  5. Kaspersky Lab.

Як ви бачите, F-Secure і Trend Micro значно підняли свої позиції у загальному рейтингу антивірусного програмного забезпечення в 2016 році, проте за фінальним підсумками всього року найвищих нагород і статусів Advanced+ удостоїлися такі виробники:

  • Avira 
  • Bitdefender 
  • Kaspersky Lab
  • ThreatTrack 
  • Avast
  • AVG 
  • ESET
  • Tencent 
  • Lavasoft

Ми вітаємо переможців і бажаємо щоб у наступному році всі антивірусне програмне забезпечення отримувало лише найвищі оцінки і надійно захищало користувачів від небезпек і загроз.

Інформація надана незалежною організацією AV-Comparatives.