Nowy rok zaczynamy pierwszą edycją z sześciu Advanced In-The-Wild Malware Test, gdzie pod koniec 2025 r. wyłonimy najlepsze rozwiązania bezpieczeństwa dla Windows 11, tak jak zrobiliśmy to za rok ubiegły. W nowej edycji długoterminowych testów, w których sprawdzamy kompleksową skuteczność zabezpieczeń przez zagrożeniami z internetu, dołączyliśmy rozwiązania producentów i ich sztandarowe produkty: Acronic Cyber Protect, Check Point z oprogramowaniem ZoneAlarm Extreme Security NextGen, Cisco Secure Endpoint Advantage oraz WatchGuard EPDR (Endpoint Protection + Detection and Response).
W tej serii badań regularnie sprawdzamy skuteczność wczesnej detekcji i blokowania szkodliwego oprogramowania. Automatyzujemy czynności wykonywane przez użytkowników podczas codziennej pracy z programami pocztowymi, przeglądarkami internetowymi i komunikatorami, aby w realistyczny sposób dostarczać do systemu wiadomości, następnie klikanie w linki, pobieranie i uruchamianie plików, instalowanie oprogramowania. Szczegóły techniczne dostępne są w metodologii badania, a jeśli chcesz dowiedzieć się więcej, po prostu zapytaj w komentarzach.
Nasze testy są zgodne z wytycznymi Anti-Malware Testing Standards Organisation. Szczegóły na temat badania dostępne są na tej stronie, a także w naszej metodologii.
Jakie rozwiązania testowaliśmy w styczniu 2025?
Jakich używamy ustawień?
Chociaż w teście unikamy używania próbek potencjalnie niepożądanych (PUP oraz PUA), to zawsze warto aktywować taką funkcję ochrony i my też to robimy.
Zawsze konfigurujemy rozwiązanie ochronne w taki sposób, aby posiadało dedykowane rozszerzenie do przeglądarki Firefox, z której korzystamy w teście (jeżeli rozszerzenie jest dostępne). Dodatkowo ustawiamy całe oprogramowanie tak, aby automatycznie blokowało, usuwało i naprawiało występujące incydenty.
Na podstawie serii już przeprowadzonych testów opiniujemy, że ustawienia predefiniowane są dobre, lecz nie zawsze najlepsze. Dlatego dla pełnej transparentności wymieniamy te, które wprowadziliśmy dla uzyskania lepszej ochrony albo jeżeli jest to wymagane przez producenta.
- Acronis Cyber Protect – ustawienia domyślne + EDR + ochrona w przeglądarce.
- Avast Free Antivirus – ustawienia domyślne + automatyczna naprawa PUP + ochrona w przeglądarce.
- Bitdefender Total Security – ustawienia domyślne + ochrona w przeglądarce.
- Cisco Secure Endpoint Advantage – ustawienia domyślne + Exploit Prevention (Block) + Enable Event Tracing for Windows + Orbital Enabled + Block and report malicious network connections + Terminate and quarantine unknown applications connected to malicious hosts.
- Comodo Internet Security 2025 – ochrona w przeglądarce + blokuj automatycznie dla sandbox.
- Emsisoft Enterprise Security – ustawienia domyślne + automatyczna naprawa PUP + EDR + Rollback + ochrona w przeglądarce.
- F-Secure Total – ustawienia domyślne + ochrona w przeglądarce.
- K7 Total Security – ustawienia domyślne + ochrona w przeglądarce.
- Malwarebytes Premium – ustawienia domyślne + ochrona w przeglądarce.
- ThreatDown Endpoint Protection – ustawienia domyślne + EDR + ochrona w przeglądarce.
- WatchGuard EPDR (Endpoint Protection + Detection and Response) – ustawienia domyślne + EDR.
- Webroot Antivirus – ustawienia domyślne + ochrona w przeglądarce.
- Xcitium ZeroThreat Advanced – polityka „Windows – Secure Profile v.8.1” + HIPS ustawiony jako „Block requests” + EDR włączony.
- ZoneAlarm Extreme Security – ustawienia domyślne + Anti-Keylogger włączony + ochrona w przeglądarce.
Już od kolejnej edycji zamierzamy testować inne, popularne rozwiązania.
Komentarz do edycji styczniowej 2025
Badanie Advanced In-The-Wild Malware Test
Przetestowaliśmy skuteczność zabezpieczeń 14 rozwiązań w systemie Windows 11, które znajdują zastosowanie zarówno w środowiskach domowych, jak i biznesowych. Po dokładnej analizie wyników oraz konsultacjach z producentami udało się wyłonić liderów, którzy skutecznie i bezbłędnie wykrywają oraz blokują złośliwe oprogramowanie stanowiące realne zagrożenie pochodzące z Internetu.
Nowe próbki malware zawsze dobieramy w taki sposób, aby faktycznie dokonywały czegoś złośliwego w Windows. Dzięki temu znacząco minimalizujemy włączenie do testu plików, które nie są szkodliwe, nie działają, są stare lub zdezaktualizowane.
Każda próbka, która przed testem jest pobierana z adresu URL przechodzi szybką selekcję na podstawie 5 kroków. Adresy URL z potencjalnym szkodliwym oprogramowaniem zbieramy z grup na komunikatorze Telegram, honeypotów oraz z publicznych i prywatnych feedów.
Każdy adres URL z plikiem, zanim trafi do testu, uczestniczy w szybkim cyklu weryfikacji:
- Czy plik jest online? Zagrożenie musi być dostępne online do pobrania.
- Czy plik jest unikalny? Porównujemy plik SHA256 z hashami w bazie danych, aby wyeliminować duplikaty zagrożeń. Dzięki temu nigdy nie testujemy dwóch identycznych zagrożeń.
- Czy plik pasuje do testu? Korzystając z narzędzi w konsoli Linux, sprawdzamy oryginalne rozszerzenie pliku, które musi być zgodne z typem pliku uruchomionego w systemie Windows.
- Skanowanie statyczne. Używamy reguł Yara i skanera partnera technologicznego, aby dowiedzieć się więcej o zagrożeniu: uzyskujemy lepsze informacje zwrotne na temat pliku i rodziny złośliwego oprogramowania; eliminujemy próbki, które nie pasują do środowiska Windows.
- Skanowanie dynamiczne z analizą OCR. Plik jest uruchamiany w systemie Windows 11, gdzie sprawdzamy, czy wykazuje złośliwą aktywność. W tym kroku używamy także narzędzia do rozpoznawania obrazów, które pomaga wychwytywać oprogramowanie uszkodzone, instalatory, oprogramowanie Adware oraz inne, nie będące malware, które zdoła przejść aż do tego etapu.
Dopiero po przejściu przez te 5 kroków adres URL z plikiem nadaje się do testu i jest natychmiast przekazywany do wszystkich maszyn jednocześnie z zainstalowanymi rozwiązaniami bezpieczeństwa. Więcej informacji temat dobierania adresów URL z plikami opisujemy w metodologii w punkcie 4 (dobieranie próbek do testów).
Jak oceniamy ochronę i tzw. parametr Remediation Time w systemie Windows 11?
Testowane rozwiązania bezpieczeństwa oceniamy na podstawie aż 3 parametrów
- PRE_EXECUTION: czy plik malware jest skutecznie wykrywany oraz blokowany na wczesnym etapie? Może to być blokada strony internetowej albo pliku podczas zapisywania, podczas próby dostępu do pliku.
- POST_EXECUTION: czy szkodliwe oprogramowanie zostało pobrane do systemu, uruchomione i na etapie zaawansowanej analizy zostało zablokowane? Ten etap odzwierciedla najbardziej niebezpieczną sytuację i pokazuje realną skuteczność oprogramowania ochronnego z zagrożeniem 0-day, które jest już aktywne w systemie.
- REMEDIATION TIME: czy zagrożenie lub jego część zostało skutecznie wyeliminowane? Parametr ten jest powiązany z poprzednimi punktami i określa czas przebywania złośliwego oprogramowania w systemie do wykrycia i naprawę skutków incydentu bezpieczeństwa.
O badaniu z cyklu Advanced In-The-Wild Malware Test
Badanie przeprowadzane jest sześć razy w ciągu toku. Dotyczy testowania w Windows 11 rozwiązań ochronnych pod kątem skuteczności w blokowaniu złośliwego oprogramowania.
Testowane rozwiązania oceniane są na podstawie trzech parametrów: PRE_EXECUTION (wczesne wykrywanie i blokowanie), POST_EXECUTION (zaawansowana analiza i blokowanie po uruchomieniu) oraz REMEDIATION TIME (czas eliminacji zagrożenia). Wszystkie te etapy mają na celu wskazać mocne strony produktu w wykrywaniu i neutralizowaniu złośliwego oprogramowania.
