Il tuo antivirus può gestire un attacco malware zero-day?

Testare la protezione antivirus basata su firma è un gioco da ragazzi. Raccogli centinaia o migliaia di campioni di malware noti, esegui una scansione e annoti quanti prodotti antivirus hanno rilevato. Tuttavia, per un nuovissimo virus zero-day (o altro tipo di malware) non è necessariamente disponibile una firma. Testare la protezione contro le minacce del giorno zero è difficile, ma i ricercatori di AV-Comparatives hanno elaborato una tecnica che li soddisfa. Si noti, tuttavia, che non tutti i fornitori di antivirus approvano questo particolare test; alcuni hanno rinunciato all'ultima edizione, i cui risultati sono stati appena pubblicati.

Per definizione, non è possibile eseguire un test utilizzando campioni zero-day effettivi. Prima che i ricercatori potessero acquisire e validare un campione, i fornitori di antivirus sarebbero già sulla buona strada per preparare una firma. AV-Comparatives simula il rilevamento zero-day "congelando" il database delle firme di un prodotto e quindi utilizzando solo campioni che sono apparsi per la prima volta dopo il grande congelamento.

Alcuni prodotti rileveranno nuovi malware utilizzando tecniche euristiche, identificandoli per somiglianza con malware noti o per altre caratteristiche. I ricercatori hanno lanciato ogni campione non catturato dall'euristica, osservando se il rilevamento basato sul comportamento del prodotto o altra protezione in tempo reale ha impedito l'infestazione. I prodotti hanno ottenuto pieno credito per il blocco del malware da soli e per metà credito in situazioni in cui il blocco richiedeva una decisione corretta da parte dell'utente.

Rilevazione molto buona

Basandosi esclusivamente sulle loro percentuali di rilevazione, 11 dei 16 prodotti testati avrebbero ottenuto una valutazione ADVANCED +, la massima. Bitdefender ha superato questo gruppo, con il rilevamento del 97 percento; Kaspersky ed Emsisoft hanno entrambi gestito il 94 percento. Panda e Avast avrebbero guadagnato AVANZATO. Anche Microsoft avrebbe ottenuto un punteggio AVANZATO, ma AV-Comparatives lo utilizza solo come base. In fondo, AnhLab e Vipre sarebbero passati con un punteggio STANDARD.

Pesanti falsi positivi

I sistemi di rilevamento euristico e basato sul comportamento devono essere attentamente calibrati per evitare che i programmi validi vengano contrassegnati come pericolosi: questo è ciò che chiamiamo falso positivo. Alcuni dei prodotti testati hanno perso punti per troppi falsi positivi. Da quando il test di rilevamento è stato eseguito utilizzando firme congelate lo scorso febbraio, i ricercatori sono stati in grado di riutilizzare i risultati falsi positivi di un test effettuato a marzo.

Sei dei prodotti testati hanno perso un livello di classificazione a causa di troppi falsi positivi. Per Emsisoft, eScan e G Data, ciò significava passare da ADVANCED + a ADVANCED, mentre Panda è passato da ADVANCED a STANDARD. Per quanto riguarda AhnLab e Vipre, entrambi erano già al livello di passaggio più basso, quindi il loro voto finale è diventato semplicemente TESTATO; non sono passati.

Polemica sul cloud

I venditori che sottopongono i loro prodotti ai test di AV-Comparatives devono accettare di partecipare a tutti i test richiesti. Il test di rilevamento file basato su firma è uno dei set richiesti; Symantec non approva quel test, motivo per cui non troverai risultati per Norton nei rapporti AV-Comparatives.

Il test proattivo, d'altra parte, è facoltativo. Secondo il rapporto, "AVG, McAfee, Qihoo, Sophos e Trend Micro hanno deciso di non partecipare, poiché i loro prodotti fanno molto affidamento sul cloud". Il test zero-day esclude necessariamente il rilevamento basato su cloud, poiché non c'è modo di "congelare" il cloud. Questi fornitori ritenevano che i loro prodotti avrebbero ottenuto un punteggio scarso senza l'accesso a una connessione cloud.

Mentre AV-Comparatives ha permesso a questi venditori di uscire, il rapporto li rimprovera solo un po '. "Anche diverse settimane dopo, alcuni dei campioni di malware utilizzati non venivano ancora rilevati da alcuni prodotti dipendenti dal cloud, anche quando erano disponibili le loro funzionalità basate sul cloud", afferma. "Lo consideriamo una scusa di marketing se i test retrospettivi… vengono criticati per non essere autorizzati a utilizzare le risorse cloud." Il rapporto conclude: "Se un file è completamente nuovo / sconosciuto, il cloud di solito non sarà in grado di determinare se è buono o dannoso".

Se il tuo antivirus ha ottenuto il massimo dei voti in questo test, è un buon segno che si difenderà dalle nuove minacce zero-day. Ma poiché il test non utilizza letteralmente campioni mai visti prima nel mondo reale, un punteggio scarso (o nessuna partecipazione) non dimostra necessariamente che non farà il lavoro. Per una comprensione completa, ti consigliamo di esaminare un'ampia varietà di test e le approfondite recensioni pratiche sugli antivirus di PCMag.