Kan uw antivirus een zero-day malware-aanval aan?

Het testen van op handtekeningen gebaseerde antivirusbescherming is in een handomdraai. U verzamelt honderden of duizenden bekende malwarevoorbeelden, voert een scan uit en noteert hoeveel uw antivirusproduct heeft gedetecteerd. Voor een gloednieuw zero-day virus (of ander type malware) is er echter geen handtekening beschikbaar. Het testen van bescherming tegen zero-day-bedreigingen is moeilijk, maar de onderzoekers van AV-Comparatives hebben een techniek uitgewerkt die hen bevalt. Merk echter op dat niet alle antivirusleveranciers deze specifieke test goedkeuren; een flink aantal opt-out voor de nieuwste editie, waarvan de resultaten net zijn vrijgegeven.

Het is per definitie niet mogelijk om een ​​test uit te voeren met behulp van echte nuldagmonsters. Tegen de tijd dat de onderzoekers een monster konden vangen en valideren, waren de antivirusverkopers al op weg om een ​​handtekening voor te bereiden. AV-Comparatives simuleert zero-day detectie door de handtekeningdatabase van een product te "bevriezen" en vervolgens alleen monsters te gebruiken die voor het eerst verschenen na de grote bevriezing.

Sommige producten detecteren nieuwe malware met behulp van heuristische technieken en identificeren ze op basis van gelijkenis met bekende malware of op basis van andere kenmerken. De onderzoekers lanceerden elk monster dat niet onder de heuristiek viel en merkten op of de gedragsgebaseerde detectie van het product of andere realtime bescherming besmetting heeft voorkomen. Producten verdienden het volledige krediet voor het blokkeren van de malware zelf en half krediet in situaties waarin het blokkeren een juiste beslissing van de gebruiker vereiste.

Zeer goede detectie

Alleen op basis van hun detectiepercentages zouden 11 van de 16 geteste producten een ADVANCED + -beoordeling hebben gekregen, de hoogste beoordeling. Bitdefender stond bovenaan deze groep, met 97 procent detectie; Kaspersky en Emsisoft wisten beide 94 procent te beheren. Panda en Avast zouden ADVANCED hebben verdiend. Microsoft zou ook een GEAVANCEERDE beoordeling hebben gekregen, maar AV-Comparatives gebruikt het alleen als basislijn. Onderaan zouden AnhLab en Vipre zijn geslaagd met een STANDAARD-rating.

Vervelende valse positieven

Heuristische en op gedrag gebaseerde detectiesystemen moeten zeer zorgvuldig worden afgestemd om te voorkomen dat geldige programma's als gevaarlijk worden gemarkeerd - dat noemen we een vals positief. Veel van de geteste producten verloren punten voor te veel valse positieven. Omdat de detectietest werd uitgevoerd met behulp van handtekeningen die afgelopen februari waren bevroren, konden de onderzoekers de vals-positieve resultaten van een in maart uitgevoerde test hergebruiken.

Zes van de geteste producten verloren één beoordelingsniveau vanwege te veel valse positieven. Voor Emsisoft, eScan en G Data betekende dit dat we van GEAVANCEERD + naar GEAVANCEERD gingen, terwijl Panda van GEAVANCEERD naar STANDAARD ging. Wat AhnLab en Vipre betreft, ze waren allebei al op het laagste passerende niveau, dus hun eindbeoordeling werd slechts GETEST; ze zijn niet geslaagd.

Cloud controverse

Verkopers die hun producten indienen voor testen door AV-Comparatives moeten ermee instemmen aan alle vereiste tests deel te nemen. De op handtekeningen gebaseerde bestandsdetectietest is een van de vereiste sets; Symantec keurt die test niet goed, daarom zult u geen resultaten voor Norton vinden in AV-Comparatives-rapporten.

De proactieve test is daarentegen optioneel. Volgens het rapport: "AVG, McAfee, Qihoo, Sophos en Trend Micro besloten niet deel te nemen, omdat hun producten sterk afhankelijk zijn van de cloud." De zero-day test sluit noodzakelijkerwijs cloudgebaseerde detectie uit, omdat er geen manier is om de cloud te "bevriezen". Deze leveranciers vonden dat hun producten slecht zouden scoren zonder toegang tot een cloudverbinding.

Hoewel AV-Comparatives deze leveranciers toestond uit te buigen, scheldt het rapport hen een beetje uit. "Zelfs enkele weken later werd een aantal van de gebruikte malwarevoorbeelden nog steeds niet gedetecteerd door sommige cloudafhankelijke producten, zelfs wanneer hun cloudfuncties beschikbaar waren, " stelt het. "We beschouwen het als een excuus voor marketing als tests achteraf… worden bekritiseerd omdat ze geen toestemming hebben om cloudbronnen te gebruiken." Het rapport concludeert: "Als een bestand volledig nieuw / onbekend is, kan de cloud meestal niet bepalen of het goed of kwaadaardig is."

Als uw antivirus een topscore heeft behaald in deze test, is dat een goed teken dat het zich zal verdedigen tegen gloednieuwe zero-day bedreigingen. Maar omdat de test niet letterlijk echte, nooit eerder geziene monsters gebruikt, bewijst een slechte score (of geen deelname) niet noodzakelijk dat het niet het werk zal doen. Voor een volledig begrip wilt u kijken naar een breed scala aan tests en naar de diepgaande praktische antivirusbeoordelingen van PCMag.