Video: Тестирование Symantec Endpoint Protection 14.2 (Novembre 2024)
Nei primi anni di test antivirus, ogni test era un test di scansione su richiesta. I ricercatori avrebbero assemblato una raccolta di malware noti, eseguito una scansione completa e registrato la percentuale di campioni rilevati. I moderni laboratori lavorano duramente per elaborare test che riflettano più da vicino l'esperienza del mondo reale di un utente, tenendo conto del fatto che la stragrande maggioranza delle infezioni entra nel computer da Internet. Symantec sostiene che è valido solo il tipo di test del mondo reale; Non sono completamente d'accordo.
Protezione paralizzata?
Alejandro Borgia, direttore senior della gestione dei prodotti di Symantec Corporation, ha dichiarato categoricamente nel suo post sul blog che "i tassi di rilevamento citati sono fuorvianti e non rappresentativi dell'efficacia del prodotto nel mondo reale". Borgia ha dichiarato: "Questi tipi di test di scansione dei file vengono eseguiti in ambienti artificiali che paralizzano tutte le moderne funzionalità di protezione".
È vero che AV-Comparatives si è assicurato che i sistemi di test avessero accesso a Internet, offrendo così all'installazione di Symantec l'accesso al potente sistema di reputazione Norton Insight basato su cloud. Quando chiesi ai miei contatti Symantec di questo, mi spiegarono che Norton Insight si basava su informazioni complete, "come il file è stato ottenuto, quando è stato ottenuto o da dove è stato ottenuto (ad es. URL e indirizzo IP)". Un test dello scanner di file su richiesta su file il cui arrivo non ha osservato l'antivirus di Symantec non è lo stesso di quando l'utente scarica effettivamente i file. È vero, ma è lo stesso di quando un utente installa un antivirus per ripulire un problema di malware esistente.
Anche i componenti di prevenzione delle intrusioni di rete non hanno avuto la possibilità di dare una mano, poiché i file di esempio sono stati scaricati prima dell'installazione del software antivirus. Ancora una volta, ti troverai in una situazione simile quando installi l'antivirus per la prima volta su un sistema infestato. E, naturalmente, il rilevamento basato sul comportamento non interviene mai fino a quando un programma non inizia effettivamente a essere eseguito.
In risposta a una domanda sulla protezione basata sul comportamento che agisce solo dopo l'avvio di un file dannoso, i miei contatti Symantec hanno sottolineato che il "comportamento" comprende più delle azioni intraprese dal programma. "La nostra tecnologia comportamentale tiene conto della posizione di un programma, del modo in cui è registrato nel sistema (ad esempio, quali chiavi di registro si riferiscono ad esso) e di molti altri fattori", hanno spiegato. "Nella maggior parte dei casi, il programma verrà interrotto prima che causi danni."
È fuorviante?
Per quanto riguarda l'affermazione secondo cui il test è fuorviante, AV-Comparatives non è d'accordo. L'introduzione al rapporto stesso che "il tasso di rilevamento dei file di un prodotto è solo un aspetto" e indica "altri rapporti di prova che coprono aspetti diversi".
"Si afferma chiaramente che viene testata solo una caratteristica del prodotto", ha affermato Peter Stelzhammer, co-fondatore di AV-Comparatives. "Se Symantec ritiene che la funzione di rilevamento dei file sia inutile, perché è ancora inclusa nel prodotto?" Stelzhammer ha sottolineato che il rilevamento dei file è necessario per la pulizia iniziale e che i PC non hanno sempre una connessione a Internet. Tuttavia, "il test è stato eseguito con una connessione Internet completa e le funzionalità cloud di Symantec hanno ottenuto l'accesso al loro cloud".
Borgia paragona il test del rilevamento dei file da solo al test dei sistemi di sicurezza di un'auto disabilitando prima tutto tranne la cintura subaddominale, affermando che tale test sarebbe "completamente imperfetto". Eppure, un test del genere potrebbe benissimo identificare problemi con una cintura addominale debole, quindi "del tutto imperfetto" sembra un'esagerazione.
Solo test del mondo reale?
Borgia osserva che Symantec supporta fortemente test del mondo reale, test "che rappresentano più da vicino l'ambiente di minaccia e utilizzano tutte le tecnologie proattive fornite con un prodotto". Non posso essere in disaccordo, ma tali test richiedono un'enorme quantità di tempo e fatica. Il post sul blog sostiene i test eseguiti da Dennis Labs come un esempio lampante. Dennis Labs registra il processo di infezione dagli URL del mondo reale e quindi utilizza un sistema di riproduzione Web per ripetere lo stesso identico processo sotto la protezione di ciascun prodotto antivirus. Davvero ammirevole, ma ci vuole molto tempo e fatica.
AV-Comparatives stesso esegue test del mondo reale ogni giorno, sfidando una raccolta di prodotti antivirus installati in banchi di prova identici per difendersi dal malware proveniente da centinaia di nuovissimi URL dannosi del mondo reale. Ogni mese riepilogano i dati e ogni trimestre rilasciano un rapporto completo sulla protezione del mondo reale. Il processo è abbastanza laborioso da fare affidamento sull'aiuto dell'Università di Innsbruck e su finanziamenti parziali da parte del governo austriaco.
Ti aspetteresti che Symantec brillasse in questo test del mondo reale di AV-Comparatives. "Sfortunatamente", ha osservato Stelzhammer, "Symantec non voleva unirsi alle nostre principali serie di test". Symantec ha scelto di non partecipare, hanno affermato, perché "AV-Comparatives non offre ai fornitori un abbonamento incentrato esclusivamente sui test del mondo reale, annullando il test di scansione dei file". Tuttavia, questa strategia sembra essere fallita. Anche se la società non ha sottoscritto l'abbonamento, AV-Comparatives ha messo Symantec alla prova su richiesta "poiché i risultati sono stati molto richiesti dai nostri lettori e dalla stampa".
Test multipli hanno valore
Il post del blog di Symantec conclude: "Attendiamo con impazienza il giorno in cui tutti i test pubblicati saranno test del mondo reale. Nel frattempo, i lettori devono fare attenzione ai test artificiali che mostrano confronti di prodotti fuorvianti". Anch'io sarei entusiasta di vedere altri test che corrispondono all'esperienza reale di un utente, ma non credo che possiamo scartare i test di rilevamento dei file.
Considera questo. Se acquisti software antivirus per un sistema che non ha mai avuto protezione, ti aspetti che ripulisca tutti i malware, senza accorgerti che non gli è stata data la possibilità di utilizzare la prevenzione delle intrusioni nella rete. In un caso del genere, probabilmente cercherai i punteggi più alti in un test come il test su richiesta AV-Comparatives, un test che si adatta abbastanza da vicino alla tua situazione.
Per una protezione continua, sì, vorrai un prodotto che guadagni i punteggi migliori anche nei test del mondo reale. Quindi scegli un prodotto con un punteggio elevato in entrambe le aree e nei test di più laboratori. In questo modo otterrai protezione in grado di risolvere eventuali problemi esistenti durante l'installazione e anche di respingere futuri attacchi di malware.