Wyniki ochrony blokowania zagrożeń z listy CERT Polska

23 grudnia, 2021

Od listopadowej edycji długoterminowych testów Advanced In The Wild Malware Test wprowadziliśmy kilka znaczących zmian. Jako obserwatorzy wirtualnego świata, wiemy już, że cyberzagrożenia z roku na rok są coraz bardziej złożone. Wymagają nowego podejścia do ochrony, dlatego to, co było skuteczne 5 lat temu, dzisiaj nie przynosi oczekiwanych rezultatów. Jako Fundacja AVLab dla Cyberbezpieczeństwa także musimy się zmieniać, abyśmy mogli wydawać rzetelne opinie i przyznawać rekomendacje dobrym produktom bezpieczeństwa, czyniąc przestrzeń internetu przyjazną i wolną od zagrożeń.

Przeprowadzając test ochrony w listopadzie 2021 r. skorzystaliśmy z dodatkowych źródeł szkodliwego oprogramowania. Oprócz naszych honeypotów współpracujemy teraz m.in. z CERT Polska w zakresie dostarczania próbek wirusów do testu (zobacz szczegóły w metodologii).

Do systemu testującego dodaliśmy obsługę reguł Yara, aby automatycznie odrzucać niepoprawne próbki malware, ponadto by szybciej je klasyfikować i mieć po prostu mniej fałszywych alarmów. W następnych edycjach będziemy ulepszać nasze narzędzia, jak również metody testowania. Każda kolejna edycja uczy nas współpracy z producentami, jak i nowych rzeczy, które możemy wdrażyć do naszej metodologii.

Przechodząc do meritum – od 1 do 30 listopada, 24 godziny na dobę, nasz system testował następujące rozwiązania:

  • Avast Free Antivirus
  • Avira Antivirus Pro
  • Comodo Advanced Endpoint Protection
  • Comodo Internet Security
  • Emsisoft Business Security
  • F-Secure Total (nowość!)
  • Malwarebytes Premium (nowość!)
  • SecureAPlus Pro
  • Webroot Antivirus

Poziomy blokowania próbek złośliwego oprogramowania

Dla entuzjastów i miłośników bezpieczeństwa udostępniamy sumy kontrolne szkodliwego oprogramowania z podziałem na technologie ochronne, które przyczyniły się do wykrycia i zablokowania zagrożenia. Według niezależnych ekspertów tego typu podejście do porównywania zabezpieczeń pomaga lepiej zrozumieć rozbieżności pomiędzy dostępnymi produktami na rynku.

Blokowanie każdej próbki szkodliwego oprogramowania przez testowane rozwiązanie ochronne zostało podzielone na kilka poziomów:

  • Poziom 1 (L1): Poziom przeglądarki, czyli wirus został zatrzymany przed albo tuż po pobraniu na dysk.
  • Poziom 2 (L2): Poziom systemu, czyli wirus został pobrany, ale nie dopuszczono do uruchomienia.
  • Poziom 3 (L3): Poziom analizy, czyli wirus został uruchomiony i zablokowany przez testowany produkt.
  • Niepowodzenie (F): Niepowodzenie, czyli wirus nie został zablokowany i zainfekował system.

Złośliwe oprogramowanie

W listopadzie do testu wykorzystaliśmy 1773 próbki złośliwego oprogramowania, na które składały się m.in.: trojany, ransomware, backdoory, downloadery. W przeciwieństwie do pozostałych laboratoriów badawczych nasze testy są transparentne — udostępniamy publicznie pełną listę próbek szkodliwego oprogramowania.

Najnowsze wyniki zablokowania każdej próbki są dostępne na stronie https://avlab.pl/en/recent-results w tabelce:

Podsumowanie listopadowej edycji testu

Testy przeprowadzaliśmy w systemie Windows 10. Z naszych obserwacji wynika, że w obecnej fazie Windows 10 jest bardziej stabilny niż Windows 11, dlatego dobrze, że nie zdecydowaliśmy się na natychmiastową migrację. Ponadto zauważyliśmy, że o ile wynik ochrony dla Microsoft Defender w Windows 10 vs. Windows 11 nie będzie się różnił, to przy okazji innego rodzaju testów,, zaobserwowaliśmy, że w niektórych programach zabezpieczających, nie wszystkie funkcje działają tak, jak powinny. Nie wiemy, czy to wynika z niedopracowanego jeszcze Windows 11, czy problemem są niewystarczająco przetestowane produkty ochronne.

W teście odnotowaliśmy takie próbki malware, które sprawiły problem badanym rozwiązaniom ochronnym. Mając na uwadze dobro społeczne, jakim jest bezpieczeństwo w internecie, odpowiednie dane techniczne zgłosiliśmy producentom, co zaowocowało poprawą wykrytych błędów i wydaniem aktualizacji.

Ponadto prawie wszystkie programy uzyskały 100% ochrony przed tak zwanymi próbkami in the wild, czyli spotykanymi w sieci w prawdziwym życiu. Często są to próbki podobne do siebie, wykrywane sygnaturami generycznie. Zdarzają się i takie, które podczas testu nie są rozpoznawalne dla danego producenta. Najlepiej pokazuje to tzw. Level 3, ponieważ podczas tej analizy wirus jest już uruchomiony i oczekujemy prawidłowej reakcji testowanego programu. Obrazując to inaczej – jeżeli próbka nie została zablokowana skanowaniem w przeglądarce, ani w momencie przenoszenia z miejsca A do miejsca B na dysku systemowym, to po jej uruchomieniu, bez wątpienia można uznać, że plik nie był znany dla producenta. Z tego powodu malware nie mogło zostać wykryte bez uprzedniego, dokładnego skanowania, a więc ochrona sygnaturowa nie była wystarczająca. Nie każdy produkt anty-malware potrafi analizować plik, zanim dotrze on na dysk komputera, dlatego czasami musi być uruchomiony lokalnie lub w chmurze dla wykonania automatycznej analizy.

Warto zwracać uwagę na poziom analizy Level 3, który pokazuje realną ochronę przed próbkami zero-day. Ale uwaga! Niektóre programy anty-malware nie posiadają ochrony w przeglądarce, albo nawet ochrony sygnaturowej, co bez odpowiedniej interpretacji testu skazywałoby taki program na gorszy wynik.

W naszych testach nie przyznajemy ujemnych punktów ani dodatnich za wczesną blokadę zagrożenia. Po prostu rozwiązanie anty-malware powinno zablokować zagrożenie w dowolny sposób – przewidziany przez producenta. Wynikiem końcowym jest to, czy udało się to zrobić poprawnie.

Czy ten artykuł był pomocny?

Oceniono: 2 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]