Video: Тестирование Symantec Endpoint Protection 14.2 (November 2024)
In de beginjaren van antivirus testen was elke test een scantest op aanvraag. Onderzoekers zouden een verzameling bekende malware verzamelen, een volledige scan uitvoeren en het percentage gedetecteerde monsters registreren. Moderne laboratoria werken hard om tests te bedenken die een betere afspiegeling zijn van de praktijkervaring van een gebruiker, rekening houdend met het feit dat de overgrote meerderheid van de infecties de computer binnenkomt via internet. Symantec betoogt dat alleen de praktijktest geldig is; Ik ben het er niet helemaal mee eens.
Kreupele bescherming?
Alejandro Borgia, senior directeur productbeheer voor Symantec Corporation, verklaarde categorisch in zijn blogpost dat "de genoemde detectiegraad misleidend is en niet representatief voor de producteffectiviteit in de praktijk." Borgia zei: "Dit soort bestandstests worden uitgevoerd in kunstmatige omgevingen die alle moderne beveiligingsfuncties verlammen."
Het klopt dat AV-Comparatives ervoor zorgde dat de testsystemen internettoegang hadden, waardoor de installatie van Symantec toegang kreeg tot het krachtige cloud-gebaseerde Norton Insight reputatiesysteem. Toen ik mijn Symantec-contactpersonen hierom vroeg, legden ze uit dat Norton voor volledige kracht afhankelijk is van volledige informatie, "hoe het bestand werd verkregen, wanneer het werd verkregen of waar het werd verkregen (bijv. URL en IP-adres)." Een on-demand bestandsscannertest op bestanden waarvan de antivirus door Symantec niet is waargenomen, is niet hetzelfde als wanneer de gebruiker daadwerkelijk bestanden downloadt. Dat is waar, maar het is hetzelfde als wanneer een gebruiker antivirus installeert om een bestaand malwareprobleem op te ruimen.
De componenten voor netwerkinbraakpreventie kregen ook geen kans om te helpen, omdat de bestandsvoorbeelden werden gedownload vóór de installatie van antivirussoftware. Nogmaals, u bevindt zich in een vergelijkbare situatie wanneer u voor het eerst antivirus op een besmet systeem installeert. En natuurlijk start gedragsgebaseerde detectie pas wanneer een programma daadwerkelijk begint uit te voeren.
In antwoord op een vraag over gedragsgebaseerde bescherming die pas actie onderneemt nadat een schadelijk bestand is gestart, hebben mijn Symantec-contactpersonen erop gewezen dat "gedrag" meer is dan acties die door het programma worden ondernomen. "Onze gedragstechnologie houdt rekening met de locatie van een programma, hoe het op het systeem wordt geregistreerd (bijvoorbeeld waar registersleutels naar verwijzen) en met vele andere factoren, " legden ze uit. "In de meeste gevallen wordt het programma gestopt voordat het schade veroorzaakt."
Is het misleidend?
Wat betreft de bewering dat de test misleidend is, is AV-Comparatives het daar niet mee eens. De inleiding van het rapport zelf dat "de bestandsdetectiesnelheid van een product slechts één aspect is" en verwijst naar "andere testrapporten die verschillende aspecten bestrijken".
"Er wordt duidelijk vermeld dat slechts één functie van het product is getest", zegt Peter Stelzhammer, mede-oprichter van AV-Comparatives. "Als Symantec denkt dat de bestandsdetectiefunctie waardeloos is, waarom is deze dan nog in het product opgenomen?" Stelzhammer wees erop dat bestandsdetectie nodig is voor de eerste opschoning en dat pc's niet altijd een internetverbinding hebben. Maar toch, "de test werd uitgevoerd met volledige internetverbinding en Symantec cloud-functies hebben toegang gekregen tot hun cloud."
Borgia vergelijkt het testen van bestandsdetectie alleen met het testen van de veiligheidssystemen van een auto door eerst alles behalve de heupgordel uit te schakelen, waarin staat dat een dergelijke test "volledig gebrekkig" zou zijn. En toch kan een dergelijke test heel goed problemen met een zwakke heupgordel identificeren, dus "volledig gebrekkig" lijkt een overdrijving.
Alleen echte wereldtests?
Borgia merkt op dat Symantec krachtige tests in de echte wereld ondersteunt, tests "die de bedreigingsomgeving het beste weergeven en alle proactieve technologieën gebruiken die bij een product worden geleverd." Ik kan het bijna niet oneens zijn, maar dergelijke tests vereisen een enorme hoeveelheid tijd en moeite. De blogpost houdt de testen van Dennis Labs op als een lichtend voorbeeld. Dennis Labs registreert het infectieproces van echte URL's en gebruikt vervolgens een Web replay-systeem om exact hetzelfde proces te herhalen onder de bescherming van elk antivirusproduct. Bewonderlijk inderdaad, maar het kost veel tijd en moeite.
AV-Comparatives zelf voert elke dag realistische tests uit en daagt een verzameling antivirusproducten uit die zijn geïnstalleerd in identieke testplatforms om zich te verdedigen tegen malware van honderden zeer nieuwe, realistische kwaadaardige URL's. Elke maand vatten ze de gegevens samen, en elk kwartaal brengen ze een volledig Real World Protection-rapport uit. Het proces is arbeidsintensief genoeg dat ze afhankelijk zijn van de hulp van de Universiteit van Innsbruck en van gedeeltelijke financiering door de Oostenrijkse regering.
Je zou verwachten dat Symantec schittert in deze real-world test van AV-Comparatives. "Helaas, " merkte Stelzhammer op, "wilde Symantec niet deelnemen aan onze hoofdtestserie." Symantec koos ervoor om niet deel te nemen, zeiden ze, "omdat AV-Comparatives leveranciers geen abonnement biedt dat uitsluitend is gericht op praktijktests, terwijl ze zich afmelden voor de bestandsscan." Deze strategie lijkt echter een averechts effect te hebben gehad. Hoewel het bedrijf niet heeft geabonneerd, hebben AV-Comparatives Symantec aan de on-demand-test onderworpen "omdat de resultaten van onze lezers en de pers veel hebben geëist".
Meerdere tests hebben waarde
De blogpost van Symantec concludeert: "We kijken uit naar de dag waarop alle gepubliceerde tests echte tests zijn. In de tussentijd moeten lezers oppassen voor kunstmatige tests die misleidende productvergelijkingen laten zien." Ik zou ook heel blij zijn om meer tests te zien die overeenkomen met de praktijkervaring van een gebruiker, maar ik denk niet dat we bestandsdetectietests kunnen negeren.
Overweeg dit. Als u antivirussoftware aanschaft voor een systeem dat nooit bescherming heeft gehad, verwacht u dat het alle malware opruimt, zonder te beseffen dat het geen kans heeft gekregen om netwerkintrusie te voorkomen. In zo'n geval zul je waarschijnlijk op zoek gaan naar hoge scores in een test zoals de AV-Comparatives on-demand-test, een test die redelijk nauw aansluit bij jouw situatie.
Voor voortdurende bescherming, ja, wilt u een product dat ook in de echte wereld topscores scoort. Dus kies een product dat hoog scoort op beide gebieden, en in tests van meerdere laboratoria. Op die manier krijgt u bescherming die eventuele problemen bij de installatie kan oplossen en ook toekomstige malware-aanvallen kan afweren.
