Po raz 12. testujemy na próbkach z Internetu

20 kwietnia, 2021

Za nami marzec 2021 roku, w którym przez cały miesiąc testowaliśmy produkty bezpieczeństwa w ramach systematycznie przeprowadzanych testów o nazwie „Advanced In The Wild Malware Test”, które są zgodne z procedurami i technikami cyberataków opisanymi w bazach MITRE ATT&CK.

Te modele zagrożeń, które zostały przedstawione w postaci macierzy, zawierają informacje na temat technik cyberprzestępczych, i są wykorzystywane do opracowywania konkretnych metod zapobiegawczych przed atakami ukierunkowanymi ATP. Baza MITRE jest uzywana do celów badawczych i rozwojowych przez rządy i korporacje związane z usługami cyberbezpieczeństwa, a także przez naszą organizację AVLab – zgromadzoną w bazie MITRE wiedzę na temat technik hakerów przekładamy na praktykę podczas testowania produktów ochronnych.

Marcowa analiza 10 produktów zabezpieczających trwała nieprzerwanie przez cały miesiąc, 24 godziny na dobę. Jest to możliwe dzięki zaprogramowanemu systemowi, który za człowieka wykonuje żmudne obliczenia i wyznaczone zadania w systemie Windows, automatyzując całą procedurę testów (agregowania logów, analizowania logów, wydawania werdyktu). Budowę i działanie tego systemu opisaliśmy w tym artykule oraz w metodologii.

W teście wzięliśmy pod uwagę te wersje programów, które zostały zaproponowane przez ich producentów. Oto pełna lista testowanych rozwiązań (w kolejności alfabetycznej):

  1. Avast Free Antivirus
  2. Avira Antivirus Pro
  3. Comodo Advanced Endpoint Protection
  4. Comodo Internet Security
  5. Emsisoft Business Security
  6. Microsoft Defender
  7. NortonLifeLock Security
  8. Panda Dome
  9. SecureAPlus Pro
  10. Webroot Antivirus

Ustawienia produktów i Windows 10: codzienny cykl testów

Testy przeprowadzane są w systemie Windows 10 Pro x64. Kontrola konta użytkownika (UAC) jest wyłączona, ponieważ celem testów jest sprawdzenie skuteczności ochrony produktu przed szkodliwym oprogramowaniem, a nie reagowanie systemu testującego na komunikaty Windows. Pozostałe ustawienia Windows są bez zmian.

System Windows 10 zawiera zainstalowane oprogramowanie: pakiet biurowy, przeglądarkę dokumentów, klient poczty oraz inne narzędzia i pliki, stwarzające pozory zwykłego środowiska roboczego.

Automatyczne aktualizacje systemu Windows 10 są wyłączone w danym miesiącu testów. Ze względu na możliwość awarii aktualizacje Windows 10 są dokonywane co kilka miesięcy pod ścisłą kontrolą.

Produkty zabezpieczające są aktualizowane jeden raz w ciągu doby. Zanim testy zostaną uruchomione następuje aktualizacja bazy danych wirusów i plików produktu ochronnego. Oznacza to, że każdego dnia testowane są zawsze najnowsze wersje oprogramowania. Podczas testów wszystkie programy antywirusowe zawsze mają dostęp do Internetu.

Złośliwe oprogramowanie

W marcu do testu wykorzystaliśmy 1155 próbek złośliwego oprogramowania, na które składały się m.in.: trojany, ransomware, backdoory, downloadery i makrowirusy. W przeciwieństwie do dużych instytucji badawczych nasze testy są transparentne — udostępniamy publicznie pełną listę próbek szkodliwego oprogramowania.

VirusTotal vs prawdziwe środowisko robocze

Korzystamy z prawdziwych środowisk roboczych Windows 10 w trybie graficznym, dlatego wyniki dla poszczególnych próbek mogą się różnić od tych zaprezentowanych przez serwis VirusTotal. Zwracamy na to uwagę, ponieważ dociekliwi użytkownicy mogą porównywać nasze testy z wynikami skanowania na portalu VirusTotal. Okazuje się, że różnice są znaczne pomiędzy rzeczywistymi produktami zainstalowanymi w Windows 10, a silnikami skanującymi w VirusTotal.

Poziomy blokowania próbek złośliwego oprogramowania

Dla badaczy i miłośników bezpieczeństwa udostępniamy sumy kontrolne szkodliwego oprogramowania z podziałem na technologie ochronne, które przyczyniły się do wykrycia i zablokowania zagrożenia. Według niezależnych ekspertów tego typu podejście do porównywania zabezpieczeń pomaga lepiej zrozumieć rozbieżności pomiędzy dostępnymi produktami na rynku.

Blokowanie każdej próbki szkodliwego oprogramowania przez testowane rozwiązanie ochronne zostało podzielone na kilka poziomów:

  • Poziom 1 (L1): Poziom przeglądarki, czyli wirus został zatrzymany przed albo tuż po pobraniu na dysk.
  • Poziom 2 (L2): Poziom systemu, czyli wirus został pobrany, ale nie dopuszczono do uruchomienia.
  • Poziom 3 (L3): Poziom analizy, czyli wirus został uruchomiony i zablokowany przez testowany produkt.
  • Niepowodzenie (F): Niepowodzenie, czyli wirus nie został zablokowany i zainfekował system.

Najnowsze wyniki zablokowania każdej próbki są dostępne na stronie https://avlab.pl/en/recent-results w tabelce:

Advanced In The Wild Malware Test – March 2021
Wyniki za marzec 2021 z podziałem na poziom zatrzymania każdej próbki malware.

Podsumowanie

W marcu 2021 roku tylko jedno rozwiązanie, Panda Dome, nie uzyskało maksymalnego wyniku ochrony. Według naszej metodologii ten antywirus dla Windows 10 nie zdołał zablokować 2 próbek złośliwego oprogramowania. Pozostałe produkty do ochrony stacji roboczych charakteryzowały się maksymalnym poziomem wykrywania i blokowania szkodliwego oprogramowania.

Niekiedy różnice pomiędzy technologiami prewencyjnymi i behawioralnymi w produktach są na tyle znaczące, że musieliśmy je pokazać w tabelkach, oznaczając odpowiednio poziomami L1, L2 i L3.

Chcemy podziękować wszystkim zainteresowanym producentom za współpracę na zgłaszane szczegóły techniczne oraz pomoc w bezproblemowym zautomatyzowaniu naszych testów z produktami ochronnymi.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]