Maaari bang mahawakan ng iyong antivirus ang isang zero-day malware na pag-atake?

Ang pagsubok ng proteksyon na nakabatay sa lagay ng antivirus ay isang iglap. Nagtitipon ka ng daan-daang o libu-libong mga kilalang sampol ng malware, nagpatakbo ng isang pag-scan, at tandaan kung gaano karaming nakita ang iyong produktong antivirus. Gayunpaman, para sa isang bagong-bago, zero-day virus (o iba pang uri ng malware) diyan kinakailangan na walang pirma. Ang proteksyon sa pagsubok laban sa mga bantaang zero-day ay matigas, ngunit ang mga mananaliksik sa AV-Comparatives ay nagtrabaho ng isang pamamaraan na nasiyahan sa kanila. Gayunpaman, tandaan na hindi lahat ng mga antivirus vendor ay aprubahan sa partikular na pagsubok na ito; kakaunti lamang ang napili sa pinakabagong edisyon, ang mga resulta kung saan ay pinakawalan lamang.

Sa pamamagitan ng kahulugan, hindi posible na magpatakbo ng isang pagsubok gamit ang aktwal na mga halimbawa ng zero-day. Sa oras na makuha ng mga mananaliksik at mapatunayan ang isang sample, ang mga vendor ng antivirus ay papunta na sa paghahanda ng isang pirma. Ginagaya ng AV-Comparatives ang zero-day detection sa pamamagitan ng "pagyeyelo" database ng lagda ng isang produkto at pagkatapos ay gumagamit lamang ng mga sample na unang lumitaw pagkatapos ng malaking pag-freeze.

Ang ilang mga produkto ay makakakita ng mga bagong malware gamit ang mga heuristic na pamamaraan, na kinikilala ang mga ito sa pamamagitan ng pagkakatulad sa kilalang malware o ng iba pang mga katangian. Inilunsad ng mga mananaliksik ang bawat halimbawang hindi nahuli ng heuristic, na napansin kung ang pag-uugnay sa batay sa pag-uugali ng produkto o iba pang proteksyon ng real-time na pumigil sa infestation. Ang mga produkto ay nakakuha ng buong kredito para sa pagharang ng malware sa pamamagitan ng kanyang sarili at kalahating kredito sa mga sitwasyon kung saan ang pag-block ay nangangailangan ng tamang desisyon ng gumagamit.

Napakagandang Deteksyon

Batay lamang sa kanilang mga rate ng pagtuklas, 11 sa 16 na nasubok na mga produkto ang makakakuha ng isang ADVANCED + na rating, ang nangungunang rating. Nanguna sa Bitdefender ang pangkat na ito, na may 97 porsyento na pagtuklas; Kaspersky at Emsisoft kapwa pinamamahalaan ang 94 porsyento. Ang Panda at Avast ay makakakuha ng ADVANCED. Ang Microsoft ay makakakuha din ng isang ADVANCED rating, ngunit ginagamit ito ng AV-Comparatives bilang baseline. Sa ilalim, AnhLab at Vipre sana ay pumasa sa isang rating ng STANDARD.

Maling Positibo Positibo

Ang mga sistemang detektib sa heuristic at pag-uugali ay dapat na maingat na maipalabas upang maiwasan ang pag-flag ng wastong mga programa bilang mapanganib - iyon ang tinatawag nating isang maling positibo. Medyo ilang mga nasubok na produkto na nawala ang mga puntos para sa napakaraming maling mga positibo. Dahil ang pagsusuri ng pagsubok ay isinagawa gamit ang mga lagda na nagyelo sa nakaraang Pebrero, ang mga mananaliksik ay nagamit muli ang maling mga positibong resulta mula sa isang pagsubok na isinagawa noong Marso.

Anim sa mga nasubok na produkto ang nawala sa isang antas ng rating dahil sa napakaraming maling mga positibo. Para sa Emsisoft, eScan, at G Data, na nangangahulugang bumababa mula ADVANCED + hanggang ADVANCED, habang ang Panda ay bumaba mula sa ADVANCED hanggang sa STANDARD. Tulad ng para sa AhnLab at Vipre, pareho na sila sa pinakamababang antas ng pagpasa, kaya ang kanilang pangwakas na rating ay nasubok lamang; hindi sila pumasa.

Kontrobersyal na ulap

Ang mga Vendor na nagsusumite ng kanilang mga produkto para sa pagsubok sa pamamagitan ng AV-Comparatives ay dapat sumang-ayon na lumahok sa lahat ng mga kinakailangang pagsubok. Ang pagsubok na nakabatay sa file detection test ay isa sa mga kinakailangang set; Hindi aprubahan ng Symantec ng pagsubok na iyon, kung kaya't hindi ka makakahanap ng mga resulta para sa mga ulat ng Norton sa AV-Comparatives.

Ang proactive na pagsubok, sa kabilang banda, ay opsyonal. Ayon sa ulat, "Ang AVG, McAfee, Qihoo, Sophos, at Trend Micro ay nagpasya na hindi makibahagi, dahil ang kanilang mga produkto ay nakasalalay nang malaki sa ulap." Ang pagsubok sa zero-day ay kinakailangang hindi kasama ang pagtuklas na batay sa ulap, dahil walang paraan upang "i-freeze" ang ulap. Nadama ng mga vendor na ang kanilang mga produkto ay makakakuha ng mahina na walang pag-access sa isang koneksyon sa ulap.

Habang pinapayagan ng AV-Comparatives ang mga tindahang ito na yumuko, ang ulat ay pinangungutikan sila ng kaunti. "Kahit na ilang linggo mamaya, ang isang bilang ng mga halimbawa ng malware na ginamit ay hindi pa rin napansin ng ilang mga produkto na umaasa sa ulap, kahit na magagamit ang kanilang mga tampok na batay sa ulap, " sabi nito. "Itinuturing namin ito na isang dahilan sa marketing kung ang mga pagsusuri sa retrospective … ay pinupuna dahil hindi pinapayagan na gumamit ng mga mapagkukunan ng ulap." Ang ulat ay nagtapos, "Kung ang isang file ay ganap na bago / hindi kilala, ang ulap ay karaniwang hindi matukoy kung ito ay mabuti o nakakahamak."

Kung ang iyong antivirus ay nakakuha ng isang nangungunang rating sa pagsubok na ito, magandang senyales iyon na ipagtatanggol nito laban sa mga bagong banta sa bagong araw. Ngunit dahil ang pagsusulit ay hindi literal na gumagamit ng mga halimbawa ng tunay na mundo na hindi pa nakikita, isang hindi magandang marka (o walang pakikilahok) ay hindi kinakailangang patunayan na hindi ito gagawin ang trabaho. Para sa isang buong pag-unawa, nais mong tumingin sa isang iba't ibang mga pagsubok, at sa malalim na mga kamay ng PCMag sa mga pagsusuri sa antivirus.