Kuidas testime viirusetõrjet ja turvatarkvara

Anonim
Kuidas testime viirusetõrjet ja turvatarkvara

Iga viirusetõrje või turvakomplekti toode lubab kaitsta teid paljude turvariskide ja tüütuste eest. Kuid kas nad täidavad tegelikult oma lubadusi? Nende toodete ülevaatamisel hindamisel panime nende väited proovile mitmel erineval viisil. Iga ülevaade sisaldab meie testide tulemusi ja tootega seotud praktilisi kogemusi. See artikkel kaevab sügavamalt, selgitades, kuidas need testid toimivad.

Muidugi ei ole iga test iga toote jaoks sobiv. Paljud viirusetõrje utiliidid sisaldavad kaitset andmepüügi vastu, kuid mõned mitte. Enamik sviite sisaldab rämpsposti filtreerimist, kuid mõned jätavad selle funktsiooni välja ja mõned viirusetõrjetooted lisavad selle boonusena. Ükskõik, mida antud toode pakub, proovime neid.

Reaalajas viirusetõrje testimine

Kõik täisjõulised viirusetõrjevahendid sisaldavad tellitavat skannerit olemasolevate õelvara levikute otsimiseks ja hävitamiseks ning reaalajas monitori uute rünnakute tõkestamiseks. Varem oleme tegelikult hallanud pahavaraga nakatunud virtuaalmasinate kollektsiooni, et testida iga toote võimet olemasolevat pahavara eemaldada. Edusammud ründevara kodeerimisel tegid elava pahavaraga testimise liiga ohtlikuks, kuid siiski saame kasutada iga toote kaitset reaalajas.

Igal aastal varakevadel, kui enamik turbetootjaid on oma iga-aastase värskendustsükli lõpetanud, kogume selle testi jaoks uut pahavaraproovide kollektsiooni. Alustame viimaste pahavara majutamise URL-ide vooguga, laadime alla sadu näidiseid ja paneme need hallatavale arvule alla.

Analüüsime iga proovi mitmesuguste käsitsi kodeeritud tööriistade abil. Mõned proovid tuvastavad, kui nad töötavad virtuaalmasinas, ja hoiduvad pahatahtlikust tegevusest; me lihtsalt ei kasuta neid. Otsime erinevaid tüüpe ja proove, mis muudavad failisüsteemi ja registrit. Mõne pingutusega täpsustame kogu hallatavaks numbriks ja registreerime täpselt, milliseid süsteemi muudatusi iga proov teeb.

Toote pahavara blokeerimise võimete testimiseks laadime pilvehoidlast alla proovide kausta. Mõne toote reaalajas kaitse käivitub kohe, pühkides teadaoleva pahavara. Kui vajate reaalajas kaitse vallandamist, siis klõpsame igal proovil ükskord või kopeerime kogu uude kausta. Võtame teadmiseks, kui palju proove viirusetõrje kõrvaldab nägemise korral.

Järgmisena käivitame iga järelejäänud proovi ja paneme tähele, kas viirusetõrje tuvastas selle. Salvestame tuvastatud protsendimäära, sõltumata tuvastamise ajast.

Pahavara rünnaku tuvastamine ei ole piisav; viirusetõrje peab rünnaku tegelikult ära hoidma. Väike ettevõttesisene programm kontrollib süsteemi, et teha kindlaks, kas pahavara suutis registrisse muudatusi teha või mõnda faili installida. Käivitatavate failide puhul kontrollib see ka seda, kas mõni neist protsessidest tegelikult töötab. Ja niipea, kui mõõtmine on lõpule jõudnud, suleme virtuaalse masina.

Kui toode takistab õelvaravalimi abil kõigi käivitatavate jälgede installimist, teenib see 8, 9 või 10 punkti, sõltuvalt sellest, kui hästi on see takistanud süsteemi taltsutamatute jälgedega risustamist. Pahavara tuvastamine, kuid käivitatavate komponentide installimise tõkestamine ei õnnestu, 5 punkti. Ja kui viirusetõrje kaitsekatsest hoolimata üks või mitu pahavaraprotsessi tegelikult töötab, on see kõigest 3 punkti väärt. Kõigi nende skooride keskmine saab toote lõplikuks pahavara blokeerimise skooriks.

Pahatahtliku URL-i blokeerimise testimine

Parim aeg pahavara hävitamiseks on enne, kui see kunagi teie arvutisse jõuab. Paljud viirusetõrjetooted integreeruvad teie brauseritega ja suunavad nad eemale teadaolevatest pahavara hostimise URL-idest. Kui kaitse sellel tasemel ei käivitu, on alati võimalus pahavara kasulik koormus pühkida allalaadimise ajal või kohe pärast seda.

Ehkki põhilises pahavara blokeerimise testis kasutatakse hooaja jooksul samu proove, on pahavara hostimise URL-id, mida veebipõhise kaitse testimiseks kasutame, erinevad. Saame Londoni MRG-Effitasest voo väga uusimatest pahatahtlikest URLidest ja tavaliselt kasutame URL-e, mis pole vanemad kui päev.

Kasutades väikest sihtotstarbelist utiliiti, läheme loendist allapoole, käivitades iga URL-i kordamööda. Kõrvaldame kõik, mis tegelikult ei viita pahavara allalaadimisele, ja kõik, mis tagastavad tõrketeateid. Ülejäänud osas paneme tähele, kas viirusetõrje takistab juurdepääsu URL-ile, kustutab allalaaditud faili või ei tee midagi. Pärast tulemuse salvestamist hüppab utiliit loendis järgmisele URL-ile, mis pole samas domeenis. Jätame vahele kõik failid, mis on suuremad kui 5 MB, ja jätame vahele ka samas testis juba ilmunud failid. Hoiame seda seni, kuni oleme kogunud andmeid vähemalt 100 kinnitatud õelvara hostimise URL-i kohta.

Selle testi tulemus on lihtsalt nende URL-ide protsent, mille puhul viirusetõrje takistas pahavara allalaadimist, katkestades täielikult juurdepääsu URL-ile või pühkides alla laaditud faili. Skoorid on väga erinevad, kuid parimad turbevahendid haldavad 90 protsenti või rohkem.

Andmepüügi tuvastamise testimine

Miks pöörduda keerukama poole

Varem tegime oma rämpspostitõrjeteste reaalainete konto abil, mis võtab vastu nii rämpsposti kui ka kehtivaid e-kirju. Tuhandete sõnumite allalaadimine ning sisendkausta ja rämpsposti kausta sisu käsitsi analüüsimine võttis rohkem aega ja vaeva kui ükski teine ​​praktiline test. Minimaalse tähtsusega funktsiooni maksimaalse pingutuse kulutamine pole enam mõttekas.

Sviidi rämpsfiltri kohta on veel olulisi punkte. Milliseid e-posti kliente see toetab? Kas saate seda kasutada toetamata kliendiga? Kas see piirdub POP3 e-posti kontodega või tegeleb see ka IMAP-, Exchange- või isegi veebipõhiste e-posti kontodega? Edaspidi kaalume hoolikalt iga komplekti rämpspostitõrje võimalusi, kuid me ei laadi enam alla tuhandeid e-kirju ega analüüsi neid.

Turvakomplekti jõudluse testimine

Kui teie turvakomplekt jälgib tihedalt pahavara rünnakuid, kaitseb võrgu sissetungide eest, takistab teie brauseril ohtlike veebisaitide külastamist jne, kasutab ta oma tööks selgelt mõnda teie süsteemi protsessorit ja muid ressursse. Mõni aasta tagasi sai turvakomplekt maine, et ta imes nii palju teie süsteemi ressursse, et see mõjutas teie enda arvuti kasutamist. Tänapäeval on asjad palju paremad, kuid siiski viime läbi mõned lihtsad testid, et saada ülevaade iga komplekti mõjust süsteemi jõudlusele.

Turvatarkvara peab laadima võimalikult alglaadimise ajal, et see ei leia juba kontrolli all olevat pahavara. Kuid kasutajad ei taha oodata kauem, kui on vaja Windowsi pärast taaskäivitamist kasutama hakata. Meie testiskript käivitub kohe pärast alglaadimist ja hakkab Windowsilt küsima CPU kasutamise taset üks kord sekundis. Pärast 10 sekundit järjest, kui protsessori kasutamine ei ületa 5 protsenti, kuulutab see süsteemi kasutamiseks valmis. Alglaadimisel alglaadimisprotsessist (nagu teatas Windows) saame teada, kui kaua alglaadimisprotsess võttis. Teeme selle testi palju kordusi ja võrdleme paljude korduste keskmist, kui ühtegi komplekti polnud.

Tõsi, taaskäivitate tõenäoliselt mitte rohkem kui üks kord päevas. Turvakomplekt, mis aeglustas igapäevaseid failitoiminguid, võib teie tegevusele märkimisväärsemalt mõjuda. Sellise aeglustumise kontrollimiseks suuname skripti, mis teisaldab ja kopeerib draivide vahel suure kogumi suurtest tohututesse failidesse. Keskmiselt mitu käitamist ilma sviidita ja mitu käitust aktiivse turvakomplekti korral saame kindlaks teha, kui palju komplekt aeglustas neid failitegevusi. Sarnane skript mõõdab komplekti mõju skriptile, mis tõmbub ja lahti pakkib sama failikogu.

Nendes kolmes testis võib kõige kergema puudutusega sviitide keskmine aeglustumine olla alla 1 protsendi. Spektri teises otsas on väga vähesed sviidid keskmiselt 25 protsenti või isegi rohkem. Võite tõesti märgata raskemate kätega sviitide mõju.

Tulemüüri kaitse testimine

Tulemüüri edu kvantifitseerida pole nii lihtne, kuna erinevatel müüjatel on erinevad ideed selle kohta, mida tulemüür peaks tegema. Isegi nii on olemas mitmeid teste, mida saame enamiku neist rakendada.

Tavaliselt on tulemüüril kaks tööd, mis kaitsevad arvutit välise rünnaku eest ja tagavad, et programmid ei väärkasutaks võrguühendust. Rünnakuvastase kaitse testimiseks kasutame füüsilist arvutit, mis loob ühenduse ruuteri DMZ-pordi kaudu. See annab otse Internetti ühendatud arvuti efekti. See on testimisel oluline, kuna ruuteri kaudu ühendatud arvuti on Internetis laiemalt nähtamatu. Me tabasime testimissüsteemi pordi skaneerimise ja muude veebipõhiste testidega. Enamikul juhtudest leiame, et tulemüür varjab testisüsteemi nende rünnakute eest täielikult, seades kõik pordid varjatud režiimi.

Sisseehitatud Windowsi tulemüür tegeleb kõigi sadamate varjamisega, seega on see test vaid lähtealus. Kuid isegi siin on erinevaid arvamusi. Kaspersky disainerid ei näe salajastes sadamates väärtust, kui need on suletud ja tulemüür hoiab aktiivselt rünnaku ära.

Programmi juhtimine kõige varasemates isiklikes tulemüürides oli äärmiselt praktiline. Iga kord, kui tundmatu programm üritas võrku pääseda, hüppas tulemüür kasutajalt päringut, kas ta lubas juurdepääsu või mitte. See lähenemisviis pole eriti efektiivne, kuna kasutajal pole üldjuhul aimugi, mis toiming on õige. Enamik lubab lihtsalt kõike. Teised klõpsavad iga kord Blokeeri, kuni nad murravad mõne olulise programmi; pärast seda lubavad nad kõike. Me kontrollime selle funktsionaalsust praktiliselt, kasutades väikest tunnis kodeeritud brauseri utiliiti, mis kvalifitseerub alati tundmatu programmina.

Mõned pahatahtlikud programmid proovivad sellist lihtsat programmi juhtimist vältida, manipuleerides või maskeerides neid usaldusväärsete programmidena. Kui puutume kokku vana kooli tulemüüriga, proovime selle oskusi utiliitide abil, mida nimetatakse lekketestideks. Need programmid kasutavad programmi juhtimisest kõrvalehoidmiseks samu tehnikaid, kuid ilma pahatahtliku koormuseta. Leiame üha vähem lekketeste, mis endiselt töötavad tänapäevaste Windowsi versioonide korral.

Spektri teises otsas konfigureerivad parimad tulemüürid teadaolevate heade programmide võrguõigused automaatselt, kõrvaldavad teadaolevad halvad programmid ja suurendavad tundmatute järelevalvet. Kui tundmatu programm proovib kahtlast ühendust, lööb tulemüür selle peatamiseks sisse.

Tarkvara pole ega saagi olla täiuslik, seetõttu teevad pahad poisid vaeva, et leida turvaauke populaarsetes opsüsteemides, brauserites ja rakendustes. Nad kavandavad süsteemi turvalisuse kompromiteerimiseks kõiki leitud turvaauke. Loomulikult väljastab kasutatud toote tegija turvaparanduse nii kiiresti kui võimalik, kuid seni, kuni te seda plaastrit tegelikult rakendate, olete haavatav.

Nutikamad tulemüürid võtavad neid rünnakuid võrgutasandil kinni, nii et nad ei jõua kunagi isegi teie arvutisse. Isegi nende jaoks, kes võrgu tasemel ei skaneeri, pühib viirusetõrjekomponent pahavara kasulikku koormust paljudel juhtudel. Kasutame tööriista CORE Impact, et tabada iga katsesüsteemi umbes 30 hiljutise kasutusega ja registreerida, kui hästi turbetoode nende eest kaitses.

Lõpuks viime läbi mõistlikkuse kontrolli, et kontrollida, kas pahavara kodeerija võib turvakaitse hõlpsalt keelata. Otsime registrist sisse / välja lülitit ja katsetame, kas seda saab kasutada kaitse väljalülitamiseks (ehkki on möödunud aastaid, kui leidsime selle rünnaku suhtes haavatava toote). Proovime turvaprotsessid Task Manager abil lõpetada. Ja kontrollime, kas toote olulisi Windowsi teenuseid on võimalik peatada või keelata.

Vanemakontrolli testimine

Vanemlik kontroll ja jälgimine hõlmab väga erinevaid programme ja funktsioone. Tüüpiline vanemliku kontrolli utiliit hoiab lapsed eemal kahjulikest saitidest, jälgib nende Interneti kasutamist ja laseb vanematel otsustada, millal ja kui kaua lastel on lubatud iga päev Internetti kasutada. Muud funktsioonid ulatuvad vestluskontaktide piiramisest kuni riskantsete teemade Facebooki postituste patrullimiseni.

Teeme alati mõistlikkuse kontrolli, et veenduda, kas sisufilter tegelikult töötab. Nagu selgub, on pornosaitide leidmine testimiseks napisõnaline. Peaaegu iga URL, mis koosneb omadussõnast ja normaalselt kaetud kehaosa nimest, on juba pornosait. Väga vähesed tooted ei täida seda testi.

Kasutame pisikest ettevõttesisest brauseri utiliiti, et kontrollida, kas sisu filtreerimine on brauserist sõltumatu. Väljastame kolmesõnalise võrgukäsu (ei, me ei avalda seda siin), mis keelab mõned lihtsameelsed sisufiltrid. Ja kontrollime, kas me saame filtrist kõrvale hoida, kasutades puhverserveri turvalist anonüümset veebisaiti.

Tähtaegade kehtestamine laste arvuti või Interneti kasutamisel on efektiivne ainult siis, kui lapsed ei saa segada ajaarvestust. Kontrollime, kas ajagraafiku funktsioon töötab, ja proovige sellest kõrvale hoida, lähtestades süsteemi kuupäeva ja kellaaja. Parimad tooted ei sõltu kuupäeva ja kellaaja jaoks süsteemi kellast.

Pärast seda on lihtsalt vaja testida funktsioone, mis programmis väidetavalt olemas on. Kui see tõotab võime teatud programmide kasutamist blokeerida, lülitame selle funktsiooni sisse ja proovime selle programmi teisaldamise, kopeerimise või ümbernimetamise abil lahti saada. Kui see ütleb, et see eemaldab halvad sõnad e-posti või kiirsõnumite kaudu, lisame juhusliku sõna blokeerimisloendisse ja kontrollime, kas seda ei saadeta. Kui ta väidab, et see võib kiirsõnumikontakte piirata, loome vestluse kahe oma konto vahel ja keelame ühe neist seejärel. Ükskõik, millist kontrolli- või jälgimisjõudu programm lubab, anname oma parima, et see proovile panna.

Antivirus Lab Testide tõlgendamine

Meil ei ole ressursse selliste põhjalike viirusetõrjetestide käitamiseks, mida viivad läbi sõltumatud laborid kogu maailmas, seetõttu pöörame nende leidudele suurt tähelepanu. Jälgime kahte laborit, mis väljastavad sertifikaate, ja nelja laborit, mis väljastavad regulaarselt testide tulemusi, kasutades nende tulemusi meie arvustuste teavitamiseks.

ICSA Labs ja West Coast Labs pakuvad laias valikus turbesertifitseerimise teste. Jälgime spetsiaalselt nende sertifikaate pahavara tuvastamise ja pahavara eemaldamise osas. Turvalisuse müüjad maksavad selle eest, et nende tooteid katsetatakse, ja protsess sisaldab labori abi sertifitseerimist takistavate probleemide lahendamiseks. Mida me siin vaatame, on see, et labor leidis toote testimiseks piisavalt olulise ja müüja oli nõus katsetamise eest maksma.

Saksamaal Magdeburgis asuv AV-Test Institute pakub viirusetõrjeprogramme pidevalt mitmesuguste testide abil. Keskendume kolmeosalisele testile, mis annab kuni 6 punkti igas kolmes kategoorias: kaitse, jõudlus ja kasutatavus. Sertifikaadi saamiseks peab toode teenima nullideta kokku 10 punkti. Parimad tooted viivad selles testis koju suurepärase 18 punkti.

Kaitse testimiseks paljastavad teadlased iga toote AV-Testi võrdluskomplekti, mis koosneb enam kui 100 000 proovist, ja mitme tuhande äärmiselt laialt levinud proovi. Tooted saavad krediiti nakatumise vältimiseks mis tahes etapis, olgu see siis pahavara hostimise URL-ile juurdepääsu blokeerimine, pahavara tuvastamine allkirjade abil või pahavara käitamise takistamine. Parimad tooted saavutavad selles testis sageli 100-protsendilise edu.

Toimivus on oluline - kui viirusetõrje vähendab märgatavalt süsteemi jõudlust, lülitavad mõned kasutajad selle välja. AV-Testi teadlased mõõdavad aja erinevust, mis kulub 13 tavapärase süsteemitoimingu tegemiseks koos turbetootega ja ilma. Nende toimingute hulka kuulub failide allalaadimine Internetist, failide kopeerimine nii kohapeal kui ka kogu võrgus ning tavaliste programmide käitamine. Mitme käigu keskmisena saavad nad tuvastada, kui suurt mõju igal tootel on.

Kasutatavuse test pole tingimata see, mida te arvate. Sellel pole midagi pistmist kasutusmugavuse või kasutajaliidese kujundamisega. Pigem mõõdab see kasutatavusprobleeme, mis tekivad siis, kui viirusetõrjeprogramm tähistab õigustatud programmi või veebisaiti ekslikult pahatahtlikuks või kahtlaseks. Teadlased installivad ja juhivad aktiivselt pidevalt muutuvat populaarsete programmide kollektsiooni, märkides viirusetõrje veidrat käitumist. Eraldi skannimisega test kontrollib, kas viirusetõrje ei tuvasta enam kui 600 000 õigustatud faili pahavarana.

Kogume tulemusi neljast (varem viiest) paljudest testidest, mida regulaarselt laseb välja AV-Comparatives, mis asub Austrias ja teeb tihedat koostööd Innsbrucki ülikooliga. Testi läbinud turvavahendid saavad standardsertifikaadi; need, mis ebaõnnestuvad, on määratletud kui lihtsalt testitud. Kui programm läheb vajalikust miinimumist kaugemale, võib see teenida Advanced või Advanced + sertifikaadi.

AV-Comparativesi faili tuvastamise test on lihtne ja staatiline test, mis kontrollib kõiki viirusetõrjeid umbes 100 000 pahavaraproovi vastu, täpsuse tagamiseks valepositiivsete testidega. Ja jõudlustesti, sarnaselt AV-testiga, mõõdab süsteemi toimimisele avaldatavat mõju. Varem hõlmasime heuristilist / käitumuslikku testi; see test on ära jäetud.

Peame kõige olulisemaks AV-Comparativesi dünaamilist kogu toote testi. Selle testi eesmärk on võimalikult täpselt simuleerida kasutaja tegelikku kogemust, võimaldades kõigil turbetoote komponentidel õelvara vastu tegutseda. Lõpuks algab parandustesti pahavara kogumisega, mille abil kõik testitud tooted tuvastavad teadaolevalt turbetooted ja proovivad neid nakatatud süsteemi taastamiseks, eemaldades pahavara täielikult.

Kui AV-test ja AV-Comparatives hõlmavad testimisel tavaliselt 20–24 toodet, siis SE Labs teatab tavaliselt mitte rohkem kui 10. See on suuresti selle labori testi olemuse tõttu. Teadlased lüüavad reaalse maailma pahavara majutamise veebisaidid ja kasutavad kordustehnikat, nii et iga toode kohtub täpselt sama draivipõhise allalaadimise või muu veebipõhise rünnakuga. See on äärmiselt realistlik, kuid vaevaline.

Programm, mis täielikult blokeerib ühe neist rünnakutest, teenib kolm punkti. Kui pärast rünnaku algust ta asus tegutsema, kuid suutis kõik teostatavad jäljed eemaldada, on see kahe punkti väärt. Ja kui see rünnaku lihtsalt lõpetas ilma täieliku puhastamiseta, saab ta ikkagi ühe punkti. Õnnetu juhtumi korral, kui pahavara töötab testsüsteemis tasuta, kaotab testitav toode viis punkti. Seetõttu on mõne toote hinded tegelikult alla nulli.

Eraldi testis hindavad teadlased, kui hästi iga toode hoiab kehtivat tarkvara ekslikult tuvastamast pahatahtlikuna, kaaludes tulemusi iga kehtiva programmi levimuse põhjal ja selle, kui suurt mõju avaldaks valepositiivne tuvastamine. Nad ühendavad nende kahe testi tulemused ja sertifitseerivad tooteid ühel viiest tasemest: AAA, AA, A, B ja C.

Seotud

  • Parimad turismikomplektid 2019. aastaks Parimad turismikomplektid 2019. aastaks
  • Parim viirusetõrje 2019 Parim viirusetõrje 2019
  • Parim tasuta viirusetõrjekaitse 2019. aastaks Parim tasuta viirusetõrjekaitse 2019. aastaks

Juba mõnda aega oleme oma praktilises pahatahtliku URL-i blokeerimise testis kasutanud MRG-Effitase tarnitud proovivoogu. See labor annab välja ka kahe konkreetse testi, mida me järgime, kvartalitulemused. Test 360 - hindamis- ja sertifitseerimistest simuleerib reaalajas kaitset praeguse pahavara eest, sarnaselt dünaamilise reaalainete testiga, mida kasutab AV-Comparatives. Toode, mis hoiab täielikult ära proovi komplekti mis tahes nakatumise, saab 1. taseme sertifikaadi. 2. taseme sertifitseerimine tähendab, et vähemalt mõned pahavaraproovid istutasid testimissüsteemile faile ja muid jälgi, kuid need jäljed kõrvaldati järgmise taaskäivituse ajaks. Internetipanga sertifitseerimine testib spetsiaalselt kaitset rahalise pahavara ja robotivõrkude eest.

Labori tulemuste üldkokkuvõtte koostamine pole lihtne, kuna kõik laborid ei testi sama programmikogu. Oleme välja töötanud süsteemi, mis normaliseerib iga labori hinded väärtusele 0 kuni 10. Meie laborite tulemuste koondtabel näitab nende tulemuste keskmist, laborite testide arvu ja saadud sertifikaatide arvu. Kui ainult üks labor hõlmab toote testimist, siis arvame, et see on koondhinde saamiseks ebapiisav teave.

Võib-olla olete märganud, et see testimismeetodite loend ei hõlma virtuaalseid privaatvõrke ega VPN-e. VPN-i testimine erineb turvakomplekti mis tahes muu osa testimisest väga palju, nii et oleme VPN-teenuste testimise kohta eraldi selgituse andnud.