EN
EN

Jak zaawansowane oprogramowanie ochronne radziło sobie z zagrożeniami? Edycja listopad 2024

20 grudnia, 2024

Miesiąc listopad był ostatnim w 2024 r., w którym przeprowadziliśmy 6. serię testu, kończąc długoterminowe badania z cyklu „Advanced In-The-Wild Malware Test”. Polega ono na tym, że wykorzystujemy takie same zasady poruszania się po Internecie, jak podczas codziennego korzystania z programów pocztowych, przeglądarki oraz komunikatorów, by realnie odwzorować dostarczanie wiadomości, klikanie w linki, pobieranie i uruchamianie plików, instalowanie programów.

Nasze testy są zgodne z wytycznymi Anti-Malware Testing Standards Organisation. Szczegóły na temat badania dostępne są na tej stronie, a także w naszej metodologii.

Testowane rozwiązania

  1. Avast Free Antivirus
  2. Bitdefender Total Security
  3. Comodo Internet Security 2025
  4. Emsisoft Enterprise Security
  5. Eset Smart Security Premium
  6. F-Secure Total
  7. Microsoft Defender
  8. Malwarebytes Premium
  9. ThreatDown Endpoint Protection
  10. Quick Heal Total Protection
  11. Panda Dome Advanced
  12. Webroot Antivirus
  13. Xcitium ZeroThreat Advanced

Advanced In-The-Wild Malware Test na próbkach z Internetu

Podczas tej edycji przetestowaliśmy 14 rozwiązań ochronnych i po szczegółowej analizie okazało się, że możemy wyłonić liderów, którzy bezbłędnie poradzili sobie wykrywaniem i blokowaniem złośliwego oprogramowania.

Zawsze w taki sposób dobieramy nowe próbki malware, aby faktycznie dokonywały czegoś złośliwego w Windows 11. Dzięki temu znacząco minimalizujemy przypadek włączenia do testu plików, które nie są szkodliwe, nie działają, są stare lub zdezaktualizowane. Każda próbka, która przed testem jest pobierana z adresu URL, przechodzi szybką selekcję na podstawie 5 kroków. Adresy URL z potencjalnym szkodliwym oprogramowaniem zbieramy z grup na komunikatorze Telegram, honeypotów oraz z publicznych i prywatnych feedów.

Zatem każda próbka, zanim trafi do testu, musi przejść szybki cykl sprawdzania:

  1. Czy plik jest online? Zagrożenie musi być dostępne online do pobrania.
  2. Czy plik jest unikalny? Porównujemy plik SHA256 z hashami w bazie danych, aby wyeliminować duplikaty zagrożeń. Dzięki temu nigdy nie testujemy dwóch identycznych zagrożeń.
  3. Czy plik pasuje do testu? Korzystając z narzędzi w konsoli Linux, sprawdzamy oryginalne rozszerzenie pliku, które musi być zgodne z typem pliku uruchomionego w systemie Windows.
  4. Skanowanie statyczne. Używamy reguł Yara i skanera partnera technologicznego, aby dowiedzieć się więcej o zagrożeniu: uzyskujemy lepsze informacje zwrotne na temat pliku i rodziny złośliwego oprogramowania; eliminujemy próbki, które nie pasują do środowiska Windows.
  5. Skanowanie dynamiczne. Plik jest uruchamiany w systemie Windows 11, gdzie sprawdzamy, czy wykazuje złośliwą aktywność. W tym kroku używamy także narzędzia do rozpoznawania obrazów, które pomaga wychwytywać oprogramowanie uszkodzone, instalatory, oprogramowanie Adware oraz inne, nie będące malware, które zdoła przejść aż do tego etapu.

Więcej informacji na ten temat opisujemy w metodologii w punkcie 4 (dobieranie próbek do testów).

Jak oceniamy ochronę i neutralizację zagrożeń w Windows 11?

Testowane rozwiązania bezpieczeństwa oceniamy na podstawie aż 3 parametrów:

  1. PRE_EXECUTION: czy plik malware jest skutecznie wykrywany oraz blokowany na wczesnym etapie? Może to być blokada strony internetowej albo pliku podczas zapisywania, podczas próby dostępu do pliku.
  2. POST_EXECUTION: czy szkodliwe oprogramowanie zostało pobrane do systemu, uruchomione i na etapie zaawansowanej analizy zostało zablokowane? Ten etap odzwierciedla najbardziej niebezpieczną sytuację i pokazuje realną skuteczność oprogramowania ochronnego z zagrożeniem, które jest już aktywne w systemie.
  3. REMEDIATION TIME: czy zagrożenie lub jego część zostało skutecznie wyeliminowane? Parametr ten jest powiązany z poprzednimi punktami i określa czas wyrażony w sekundach przebywania złośliwego oprogramowania w systemie do wykrycia i naprawy skutków incydentu bezpieczeństwa.
remediation time results november 2024

Jakich ustawień ochrony używamy?

Chociaż w teście unikamy używania próbek potencjalnie niepożądanych (PUP oraz PUA), to zawsze warto aktywować taką funkcję ochrony i my też to robimy.

Dodatkowo ustawienia predefiniowane są dobre, lecz nie zawsze najlepsze. Dlatego dla pełnej transparentności wymieniamy te, które wprowadziliśmy dla uzyskania lepszej ochrony albo jeżeli jest to wymagane przez producenta.

Zawsze konfigurujemy rozwiązanie w taki sposób, aby posiadało dedykowane rozszerzenie do przeglądarki Firefox, z której korzystamy w testach (jeżeli rozszerzenie jest dostępne). Całe oprogramowanie konfigurujemy w taki sposób, aby automatycznie blokowało, usuwało i naprawiało incydenty.

  • Avast Free Antivirus - ustawienia domyślne + automatyczna naprawa PUP + ochrona przeglądarki.
  • Bitdefender Total Security - ustawienia domyślne + ochrona przeglądarki.
  • Comodo Internet Security 2025 - ustawienia domyślne + automatycznie uruchamiaj w piaskownicy (nie pokazuj alertów).
  • Emsisoft Enterprise Security 2025 - ustawienia domyślne + automatycznie naprawiaj PUP + EDR + Rollback + ochrona przeglądarki.
  • Eset Smart Security - ustawienia domyślne + automatycznie naprawiaj PUP/PUA + ochrona przeglądarki.
  • F-Secure Total - ustawienia domyślne + ochrona przeglądarki.
  • Malwarebytes Premium - ustawienia domyślne + ochrona przeglądarki.
  • Microsoft Defender - ustawienia domyślne.
  • Panda Dome Advanced - ustawienia domyślne + ochrona przeglądarki.
  • Quick Heal Total Security - ustawienia domyślne + ochrona przeglądarki.
  • ThreatDown Endpoint Protection - ustawienia domyślne + EDR + ochrona przeglądarki.
  • Webroot Antivirus - ustawienia domyślne + ochrona przeglądarki.
  • Xcitium ZeroThreat Advanced - predefiniowana polityka "Windows - Secure Profile v.8.1" + HIPS z domyślną akcją "Blokuj żądania" + EDR włączony.

Sprawdź Najnowsze Wyniki

Advanced In-The-Wild Malware Test - listopad 2024
Przejdź do wyników

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
2 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Polecane rozwiązania

Nie musisz już szukać dobrych ofert! Znaleźliśmy je dla Ciebie!
oferty
specjalne

Zobacz podobne

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

tak! Chcę poradnik

Inne z kategorii PORADNIKI

ARTYKUŁY

Treść serwisu prawnie chroniona © 2024 | Fundacja AVLab dla Cyberbezpieczeństwa | Polityka prywatności

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]

najnowsze artykuły

Ze świata cyber

testy bezpieczeństwa

produkty ochronne

informacje o atakach

wydarzenia online

statystyki i raporty

od redakcji

polecane rozwiązania

wszyscy producenci