pobierz

Porównanie
możliwości
ochrony
proaktywnej
Przy coraz szybciej przeprowadzanych atakach wirusów, tradycyjne
podejście opierające się na sygnaturach nie jest wystarczające. Każda
minuta oczekiwania na aktualizację sygnatur niesie ryzyko zainfekowania
przez rozprzestrzeniającą się epidemię. Analiza heurystyczna silnika
ThreatSense zamyka tę lukę bezpieczeństwa poprzez zdolność blokowania
nowych, nieznanych ataków.
NOD32 jest regularnie oceniany jako najlepsze rozwiązanie zapewniające
ochronę
typu
„zero-day”
przez
uznane
organizacje
testujące
oprogramowanie antywirusowe.
•
•
www.av-comparatives.org
jest
austriackim
laboratorium
przeprowadzającym regularne testy typu „retrospective” (badanie
reakcji programów na nieznane ataki)
www.virustotal.com wydaje newsletter uwzględniający programy
antywirusowe najszybciej wykrywające nowe ataki
AV-Comparatives
Niezależny projekt badawczy AV-Comparatives koordynowany jest przez
Andreasa Clementi przy wsparciu Innsbrucker Kompetenzzentrum /
Computernotdienst. AV-Comparatives przeprowadza testy „retrospective/
proactive” porównując zdolności 11 różnych antywirusów do wykrywania
ataków typu „zero day”. Próbki użyte do testów zawierają najnowsze wirusy z
listy in-the-wild oraz szereg dodatkowych zagrożeń infekujących Windows i
inne systemy operacyjne. By najlepiej sprawdzić proaktywne możliwości
wykrywania programów antywirusowych, organizacja używa najnowszych
próbek wirusów i testuje je na programach antywirusowych bez
aktualizowania ich baz sygnatur. Jest to dokładna symulacja przypadku,
kiedy komputer atakowany jest przez nowe, nieznane jeszcze zagrożenie.
1172 Orange Avenue • Coronado, CA 92118
619.319.3000 or 866.343.ESET (3738)
Listopadowe badania pokazały, iż spośród ośmiu nowych wirusów, które
pojawiły się na wolności w poprzedzających trzech miesiącach, użytkownicy
Symanteca i Kasperskiego nie byli chronieni proaktywnie przed żadnym z
nich. Byli tym samym bezbronni do czasu, kiedy producent dostarczył nową
szczepionkę. Użytkownicy McAfee chronieni byli przed jednym wirusem bez
konieczności aktualizacji sygnatur. Użytkownicy NOD32 posiadali tym samym
cztery razy częściej proaktywną ochronę przed nowymi wirusami i 95%
częściej jeśli uwzględnimy wszystkie nowe próbki w teście – wirusy in-the-wild,
backdoory, trojany i inne zagrożenia. Jest to już drugi test „retrospective”
przeprowadzany przez AV-Comparatives w roku 2005. W ramach obu testów
NOD32 proaktywnie wykrył 50 z 59 użytych próbek in-the-wild. Więcej
szczegółów dostępnych na www.av-comparatives.org
Powyższy wykres ilustruje efektywność wykrywania heurystycznego
programów kilku producentów. O pozytywnym zaliczeniu testu decyduje fakt,
czy dany antywirus wykrywa czy nie nowe zagrożenie, bez konieczności
aktualizacji bazy sygnatur. Jeśli zagrożenie jest wykryte, przyjęto, iż
wykrywanie heurystyczne było skuteczne (uwaga: w niektórych przypadkach
dobrze napisane sygnatury mogą wykrywać przyszłe warianty wirusa).
VirusTotal.com
Niezależna firma konsultingowa z siedzibą w Hiszpanii przeprowadza analizy
wykrywania epidemii wirusowych w czasie rzeczywistym przez rozwiązania
wielu producentów. Jak widać z wykresu poniżej, NOD32 cechuje się
najwyższą wykrywalnością z użyciem analizy heurystycznej i najwyższą
szybkością skanowania (osobne testy VirusBulletin). NOD32 jest zwykle 2-10
razy szybszy niż konkurencyjne rozwiązania.
Źródło: www.VirusTotal.com, zagregowane statystyki do 29 sierpnia 2005r.
Dane na temat szybkości skanowania pochodzą z testów miesięcznika
VirusBulletin na platformie Windows 2003 Advanced Server (VirusBulletin,
październik 2005).
1172 Orange Avenue • Coronado, CA 92118
619.319.3000 or 866.343.ESET (3738)
Tabela ilustruje jaki procent największych zagrożeń wykrywany był proaktywnie (bez konieczności aktualizacji bazy sygnatur), dane za ww.VirusTotal.com:
NOD32
Kaspersky
87%
13%
33%
Ilość wykrytych
z 15
13
2
5
Win32/Bagle.AH
(2004-07-19)
X
Win32/Bagle.AI
(2004-08-09)
X
Win32/MyDoom
.T (2004-08-16)
X
Epidemie
wirusów
Wykrytych
proaktywnie
(%)
X Wykryte
heurystycznie
(globalne
zagrożenie)
X1 Zatrzymane
przez Behaviour
Blocker (nie może
być stosowany na
serwerach
pocztowych)
NA Produkt
nieuwzględniony
w raporcie
(*) Panda
TruPrevent
uwzględniana w
testach od
grudnia 2004
X
Win32/Bagle.AS
(2004-10-29)
X
Win32/Bagle.AU
(2004-10-29)
X
Symantec
60%
53%
7%
9
8
1
X
NA
X
X
X1
NA
X
NA
Win32/Bagle.AJ
(2004-09-01)
Win32/Netsky.B1
(2004-10-13)
Panda
McAfee Norman
X
X
X
X
X
X
X
X
Win32/Sober.I
(2004-11-19)
Win32/Pawur.A
(2004-11-22)
X
Win32/Zafi.D
(2004-12-14)
X
Win32/Bagle.A
W (2005-01-27)
X
X
X1
Win32/Bagle.AX
(2005-01-27)
X
X
X1
Win32/MyDoom
.R.MEW (200502-16)
X
X
X1
Win32/Sober.O
(2005-05-02)
X
X
X1
Win32/Zotob
(2005-8-29)
X
X
X
X
1172 Orange Avenue • Coronado, CA 92118
619.319.3000 or 866.343.ESET (3738)
X
NA