האם האנטי-וירוס שלך יכול להתמודד עם התקף תוכנה זדונית באפס יום?

בדיקת הגנת אנטי-וירוס מבוססת חתימה היא הצמד. אתה אוסף מאות או אלפי דגימות תוכנות זדוניות ידועות, מבצע סריקה ומציין כמה מוצר האנטי-וירוס שלך זיהה. עם זאת, לגבי וירוס חדש ואפס יום (או סוג אחר של תוכנה זדונית) אין בהכרח שום חתימה זמינה. בדיקת ההגנה מפני איומי יום אפס היא קשה, אך החוקרים בחברת AV-Comparatives פיתחו טכניקה המספקת אותם. עם זאת, שים לב שלא כל ספקי האנטי-וירוס מאשרים את הבדיקה הספציפית הזו; לא מעטים ביטלו את הסכמתם למהדורה האחרונה שתוצאותיה שוחררו זה עתה.

בהגדרה, לא ניתן לבצע מבחן באמצעות דגימות בפועל של יום אפס. עד שהחוקרים יכלו ללכוד מדגם מדגם, ספקי האנטי-וירוס כבר היו בדרך להכנת חתימה. AV-Comparatives מדמה גילוי של אפס יום על ידי "הקפאת" מאגר החתימות של המוצר ולאחר מכן שימוש רק בדגימות שהופיעו לראשונה לאחר ההקפאה הגדולה.

מוצרים מסוימים יאתרו תוכנות זדוניות חדשות בטכניקות היוריסטיות, ויזהו אותם לפי דמיון לתוכנות זדוניות ידועות או לפי מאפיינים אחרים. החוקרים השיקו כל מדגם שלא נתפס על ידי היוריסטיקה, וציין אם זיהוי מבוסס התנהגות או הגנה אחרת בזמן אמת מונע התפשטות. מוצרים הרוויחו אשראי מלא בגין חסימת התוכנה הזדונית בפני עצמה וחצי אשראי במצבים בהם החסימה דרשה החלטה נכונה על ידי המשתמש.

גילוי טוב מאוד

בהתבסס רק על שיעורי הגילוי שלהם, 11 מתוך 16 המוצרים שנבדקו היו זוכים לדירוג ADVANCED +, הדירוג הגבוה ביותר. ביטדפנדר הגיע לקבוצה זו עם זיהוי של 97 אחוזים; קספרסקי ואמסיסופט הצליחו שניהם 94 אחוזים. פנדה ואווסט היו מרוויחים את ההתקדמות. מיקרוסופט גם הייתה מקבלת דירוג מתקדם, אך AV-Comparatives משתמשת בו רק כבסיס. בתחתית, AnhLab ו- Vipre היו עוברים עם דירוג STANDARD.

תנועות שווא

יש להתאים בזהירות מערכות איתור מבוססות היוריסטיות והתנהגותיות כדי להימנע מסימון תוכניות תקפות כמסוכנות - זה מה שאנחנו מכנים חיובי כוזב. לא מעט מהמוצרים שנבדקו איבדו נקודות בגלל יותר מדי חיובי שווא. מכיוון שבדיקת הגילוי בוצעה באמצעות חתימות שהוקפאו בפברואר האחרון, החוקרים הצליחו להשתמש מחדש בתוצאות החיוביות השגויות מבדיקה שנערכה במרץ.

שישה מהמוצרים שנבדקו איבדו דרגת דירוג אחת בגלל יותר מדי חיובי כוזב. עבור Emsisoft, eScan ו- G Data, פירוש הדבר היה ירידה מ- ADVANCED + ל- ADVANCED, בעוד פנדה צנחה מ- ADVANCED ל- STANDARD. באשר ל- AhnLab ו- Vipre, שניהם כבר היו בדרגה הנמוכה ביותר, ולכן הדירוג הסופי שלהם נעשה TESTED בלבד; הם לא עברו.

מחלוקת בענן

ספקים שמגישים את מוצריהם לבדיקה על ידי AV-Comparatives חייבים להסכים להשתתף בכל הבדיקות הנדרשות. מבחן זיהוי הקבצים מבוסס החתימה הוא אחת מהסטים הנדרשים; סימנטק לא מאשר את הבדיקה הזו, וזו הסיבה שלא תמצאו תוצאות עבור נורטון בדוחות AV-Comparatives.

המבחן הפרואקטיבי לעומת זאת הוא לא חובה. על פי הדיווח, "AVG, McAfee, Qihoo, Sophos ו- Trend Micro החליטו שלא לקחת חלק, מכיוון שמוצריהם נשענים מאוד על הענן." מבחן אפס הימים אינו כולל בהכרח איתור מבוסס ענן, מכיוון שאין דרך "להקפיא" את הענן. ספקים אלה הרגישו שהמוצרים שלהם יבקשו בצורה גרועה ללא גישה לחיבור ענן.

בעוד ש- AV-Comparatives אפשרה לספקים האלה להתפרץ, הדו"ח נוזף בהם רק מעט. "אפילו מספר שבועות לאחר מכן, מספר דגימות התוכנה הזדונית ששימשו עדיין לא אותרו על ידי כמה מוצרים תלויים בענן, אפילו כאשר התכונות שלהם מבוססות ענן היו זמינות", נכתב. "אנו רואים בזה תירוץ שיווקי אם מבקרים רטרוספקטיבים… מותחים ביקורת על כך שהם לא מורשים להשתמש במשאבי ענן." הדוח מסכם, "אם קובץ חדש / לא ידוע לחלוטין, הענן בדרך כלל לא יוכל לקבוע אם הוא טוב או זדוני."

אם האנטי-וירוס שלך השיג דירוג עליון במבחן זה, זה סימן טוב שהוא יתגונן מפני איומים חדשים לחלוטין באפס יום. אך מכיוון שהמבחן אינו משתמש ממש במדגמים מעולם שלא נראו מעולם, ציון גרוע (או ללא השתתפות) אינו בהכרח מוכיח שהוא לא יעשה את העבודה. להבנה מלאה, תרצה לבדוק מגוון רחב של בדיקות, ובסקירות אנטי-וירוס מעמיקות של PCMag.