Рисунок 1 – Количество успешно пройденных тестов VB 100%
Независимые исследовательские лаборатории, такие как AV-Comparatives, AV-Tests, дважды в год проводят тестирование антивирусных продуктов на уровень обнаружения вредоносных программ по требованию. При этом коллекции, на которых проводится тестирование, содержат до миллиона вредоносных программ и регулярно обновляются. Результаты тестов публикуются на сайтах этих организаций (www.AV-Comparatives.org, www.AV-Test.org) и в известных компьютерных журналах PC World, PC Welt. Итоги очередных тестов представлены ниже:
Рисунок 2 – Общий уровень обнаружения вредоносного программного обеспечения по мнению AV-Test
Если говорить о наиболее распространенных продуктах, то по результатам этих тестов в тройку лидеров входят только решения Лаборатории Касперского и Symantec. Отдельного внимания заслуживает лидирующая в тестах Avira.
Тесты исследовательских лабораторий AV-Comparatives и AV-Test, так же как и любые тесты, имеют свои плюсы и свои минусы. Плюсы заключаются в том, что тестирование проводится на больших коллекциях вредоносного программного обеспечения, и в том, что в этих коллекциях представлены самые разнообразные типы вредоносных программ. Минусы же в том, что в этих коллекциях содержатся не только «свежие» образцы вредоносных программ, но и относительно старые. Как правило, используются образцы, собранные за последние полгода. Кроме того, в ходе этих тестов анализируются результаты проверки жесткого диска по требованию, тогда как в реальной жизни пользователь скачивает заражённые файлы из Интернета или получает их в виде вложений по электронной почте. Важно обнаруживать такие файлы именно в момент появления их на компьютере пользователя.
Попытку выработать методику тестирования, не страдающую от этой проблемы, предпринял один из старейших британских компьютерных журналов – PC Pro. В их тесте использовалась коллекция вредоносных программ, обнаруженных за две недели до проведения теста в трафике, проходящем через серверы компании MessageLabs. MessageLabs предлагает своим клиентам сервисы по фильтрации различных видов трафика, и ее коллекция вредоносных программ реально отражает ситуацию с распространением компьютерных вирусов в Сети.
Команда журнала PC Pro не просто сканировала зараженные файлы, а моделировала действия пользователя: зараженные файлы прикреплялись к письмам в виде вложений и эти письма скачивались на компьютер с установленным антивирусом. Кроме того, при помощи специально написанных скриптов зараженные файлы скачивались с Web-сервера, то есть моделировался серфинг пользователя в Интернете. Условия, в которых проводятся подобные тесты, максимально приближены к реальным, что не могло не отразится на результатах: уровень обнаружения у большинства антивирусов оказался существенно ниже, чем при простой проверке по требованию в тестах AV-Comparatives и AV-Test. В таких тестах немаловажную роль играет то, насколько быстро разработчики антивируса реагируют на появление новых вредоносных программ, а также какие проактивные механизмы используются при обнаружении вредоносных программ.
Скорость выпуска обновлений антивируса с сигнатурами новых вредоносных программ – это одна из самых важных составляющих эффективной антивирусной защиты. Чем быстрее будет выпущено обновление баз сигнатур, тем меньшее время пользователь останется незащищенным.
Рисунок 3 – Среднее время реакции на новые угрозы
В последнее время новые вредоносные программы появляются так часто, что антивирусные лаборатории едва успевают реагировать на появление новых образцов. В подобной ситуации встает вопрос о том, как антивирус может противостоять не только уже известным вирусам, но и новым угрозам, для обнаружения которых еще не выпущена сигнатура.
Для обнаружения неизвестных угроз используются так называемые проактивные технологии. Можно разделить эти технологии на два вида: эвристики (обнаруживают вредоносные программы на основе анализа их кода) и поведенческие блокираторы (блокируют действия вредоносных программ при их запуске на компьютере, основываясь на их поведении).
Если говорить об эвристиках, то их эффективность уже давно изучает AV-Comparatives – исследовательская лаборатория под руководством Андреаса Клименти. Команда AV-Comparatives применяет особую методику: антивирусы проверяются на актуальной вирусной коллекции, но при этом используется антивирус с сигнатурами трехмесячной давности. Таким образом, антивирусу приходится противостоять вредоносным программам, о которых он ничего не знает. Антивирусы проверяются путем сканирования коллекции вредоносного программного обеспечения на жестком диске, поэтому проверяется только эффективность эвристика. Другая проактивная технология – поведенческий блокиратор – в этих тестах не задействуется. Даже самые лучшие эвристики на данный момент показывают уровень обнаружения только около 70%, а многие из них еще и болеют ложными срабатываниями на чистых файлах. Все это говорит о том, что пока этот проактивный метод обнаружения может использоваться только одновременно с сигнатурным методом.
Что же касается другой проактивной технологии – поведенческого блокиратора, то в этой области серьезных сравнительных тестов не проводилось. Во-первых, во многих антивирусных продуктах («Доктор Веб», NOD32, Avira и других) отсутствует поведенческий блокиратор. Во-вторых, проведение таких тестов сопряжено с некоторыми трудностями. Дело в том, что для проверки эффективности поведенческого блокиратора необходимо не сканировать диск с коллекцией вредоносных программ, а запускать эти программы на компьютере и наблюдать, насколько успешно антивирус блокирует их действия. Этот процесс очень трудоемкий, и лишь немногие исследователи способны взяться за проведение таких тестов. Все, что пока доступно широкой общественности, это результаты тестирования отдельных продуктов, проведенного командой AV-Comparatives. Если в ходе тестирования антивирусы успешно блокировали действия неизвестных им вредоносных программ во время их запуска на компьютере, то продукт получал награду Proactive Protection Award. В настоящий момент такие награды получили F-Secure c поведенческой технологией DeepGuard и «Антивирус Касперского» с модулем «Проактивная защита».
Технологии предупреждения заражения, основанные на анализе поведения вредоносных программ, получают все большее распространение, и отсутствие комплексных сравнительных тестов в этой области не может не тревожить. Недавно специалисты исследовательской лаборатории AV-Test провели широкое обсуждение этого вопроса, в котором участвовали и разработчики антивирусных продуктов. Итогом этого обсуждения явилась новая методика тестирования способности антивирусных продуктов противостоять неизвестным угрозам.
Высокий уровень обнаружения вредоносных программ при помощи различных технологий является одной из важнейших характеристик антивируса. Однако не менее важной характеристикой является отсутствие ложных срабатываний. Ложные срабатывания могут нанести не меньший вред пользователю, чем вирусное заражение: заблокировать работу нужных программ, перекрыть доступ к сайтам и так далее.
В ходе своих исследований AV-Comparatives, наряду с изучением возможностей антивирусов по обнаружению вредоносного ПО, проводит и тесты на ложные срабатывания на коллекциях чистых файлов. Согласно тесту наибольшее количество ложных срабатываний обнаружено у антивирусов «Доктор Веб» и Avira.
Стопроцентной защиты от вирусов не существует. Пользователи время от времени сталкиваются с ситуацией, когда вредоносная программа проникла на компьютер и компьютер оказался заражен. Это происходит либо потому, что на компьютере вообще не было антивируса, либо потому, что антивирус не обнаружил вредоносную программу ни сигнатурными, ни проактивными методами. В такой ситуации важно, чтобы при установке антивируса со свежими базами сигнатур на компьютере антивирус смог не только обнаружить вредоносную программу, но и успешно ликвидировать все последствия ее деятельности, вылечить активное заражение. При этом важно понимать, что создатели вирусов постоянно совершенствуют свое «мастерство», и некоторые их творения достаточно трудно удалить с компьютера – вредоносные программы могут разными способами маскировать свое присутствие в системе (в том числе при помощи руткитов) и даже противодействовать работе антивирусных программ. Кроме того, не достаточно просто удалить или вылечить зараженный файл, нужно ликвидировать все изменения, произведенные вредоносным процессом в системе и полностью восстановить работоспособность системы. Команда российского портала Anti-Malware.ru провели подобный тест, его результаты представлены на рисунке 4.
Рисунок 4 – Лечение активного заражения
Выше были рассмотрены различные подходы к тестированию антивирусов, показано, какие параметры работы антивирусов рассматриваются при тестировании. Можно сделать вывод, что у одних антивирусов выигрышным оказывается один показатель, у других – другой. При этом естественно, что в своих рекламных материалах разработчики антивирусов делают упор только на те тесты, где их продукты занимают лидирующие позиции. Так, например, «Лаборатория Касперского» делает акцент на скорости реакции на появление новых угроз, Еset – на силе своих эвристических технологий, «Доктор Веб» описывает свои преимущества в лечении активного заражения.