Весь смысл установки антивируса или пакета безопасности заключается в защите вас и ваших данных от множества угроз безопасности и неприятностей.Но как узнать, что он выполняет свою работу? Это не камера с датчиком движения. Вы не можете просто помахать ему и увидеть, как он работает. Оценивая эти продукты для обзора, мы проверяем их требования разными способами. В каждом обзоре сообщаются результаты наших тестов, а также практический опыт работы с продуктом. Эта статья объяснит, как работают эти тесты.

Конечно, не все тесты подходят для каждого продукта. Многие антивирусные утилиты включают, например, защиту от фишинга, но некоторые этого не делают.Многие пакеты включают родительский контроль, но другие опускают эту функцию. Некоторые номинально автономные антивирусные продукты добавляют в качестве бонуса брандмауэр. Какие бы функции ни предлагал тот или иной продукт, мы проверяем их.

Тестирование антивируса в реальном времени

Каждый полнофункциональный антивирусный инструмент включает две основные функции. Сканер по запросу выявляет и уничтожает существующие заражения вредоносными программами, а монитор в реальном времени отражает новые атаки. Есть только один способ убедиться, что эти защитные функции работают, — это поразить их с помощью реальных вредоносных программ.Для этого тестирования мы используем виртуальные машины, поэтому нет риска распространения пропущенных инфекций.

Каждый год весной, когда большинство поставщиков средств безопасности завершают свой годовой цикл обновления, мы собираем новую коллекцию образцов вредоносного ПО для этого теста. Мы начинаем с подачи последних URL-адресов вредоносных программ, загружаем тысячи образцов и отсеиваем их до приемлемого количества.

Мы анализируем каждый образец, используя различные инструменты с ручным кодированием. Некоторые образцы обнаруживают, когда они работают на виртуальной машине, и воздерживаются от злонамеренных действий; мы их просто не используем.Мы ищем множество различных типов и образцы, которые вносят изменения в файловую систему и реестр. После того, как мы сократили коллекцию до чего-то разумного, мы точно записываем, какие системные изменения вносит каждая выборка.

Чтобы протестировать возможности продукта по блокировке вредоносных программ, мы начинаем с открытия папки с образцами. Защита в режиме реального времени в некоторых продуктах срабатывает немедленно, уничтожая известные вредоносные программы. Если необходимо активировать защиту в реальном времени, мы щелкаем один раз каждый образец, или копируем коллекцию в новую папку, или загружаем образцы из облачного хранилища — все, что потребуется.Мы отмечаем, какие образцы антивирус удаляет сразу.

Далее мы запускаем каждый уцелевший образец и смотрим, как с ним справляется антивирус. Мы записываем общий процент обнаруженных, независимо от того, когда произошло обнаружение.

Обнаружение атаки вредоносного ПО необходимо, но недостаточно; антивирус должен активно предотвращать атаку. Небольшая внутренняя программа проверяет систему, чтобы определить, удалось ли вредоносной программе внести какие-либо изменения в реестр или установить какие-либо из своих файлов. В случае исполняемых файлов он также проверяет, запущены ли какие-либо из этих процессов.И как только измерение будет завершено, мы выключим виртуальную машину.

Если продукт предотвращает установку всех исполняемых трассировок образцом вредоносного ПО, он получает 8, 9 или 10 баллов в зависимости от того, насколько хорошо он предотвращает загромождение системы неисполняемыми трассировками. Обнаружение вредоносных программ, но неспособность предотвратить установку исполняемых компонентов получает половину кредита, 5 баллов. Наконец, если, несмотря на попытку антивируса защитить себя, мы обнаружим, что один или несколько вредоносных процессов запущены, это стоит всего 3 балла.Среднее значение всех этих оценок становится окончательной оценкой защиты продукта от вредоносных программ.

Тестирование защиты на веб-уровне

Лучшее время для уничтожения вредоносного ПО — это еще до того, как оно достигнет вашего компьютера. Многие антивирусные продукты интегрируются с вашими браузерами и уводят их от страниц, на которых размещены известные вредоносные программы. Если защита не сработает на этом уровне, всегда есть возможность уничтожить полезную нагрузку вредоносного ПО во время или сразу после загрузки.

Хотя в нашем базовом тесте защиты от вредоносных программ используется один и тот же набор образцов за сезон, URL-адреса размещения вредоносных программ, которые мы используем для тестирования веб-защиты, каждый раз различаются.Мы получаем эти ссылки из потока новейших вредоносных URL-адресов, обнаруженных лондонской MRG-Effitas, и обычно используем URL-адреса, возраст которых не превышает нескольких дней.

Используя небольшую специализированную утилиту, мы спускаемся по списку, по очереди запуская каждый URL. Мы отбрасываем все, что не указывает на загрузку вредоносного ПО, и все, что возвращает сообщения об ошибках. В остальном мы отмечаем, предотвращает ли антивирус доступ к URL-адресу, стирает загрузку или бездействует. После записи результата утилита переходит к следующему URL-адресу в списке, который не находится в том же домене.Мы пропускаем любые файлы размером более 5 МБ и пропускаем файлы, которые уже появились в том же тесте. Мы продолжаем заниматься этим до тех пор, пока не соберем данные для многих десятков проверенных URL-адресов хостинга вредоносных программ.

Оценка в этом тесте — это просто процент URL-адресов, для которых антивирус предотвратил загрузку вредоносных программ, либо полностью отключив доступ к URL-адресу, либо удалив загруженный файл. Совершенные 100% баллы не редкость, и большинство протестированных антивирусных инструментов обеспечивают защиту на уровне 90% или выше.

Тестирование обнаружения фишинга

Зачем прибегать к тщательно продуманным троянским программам для кражи данных, если можно просто обманом заставить людей отказаться от их паролей? Таково мышление злоумышленников, которые создают фишинговые сайты и управляют ими. Эти мошеннические сайты имитируют банки и другие конфиденциальные сайты. Если вы введете свои учетные данные для входа, вы только что отдали ключи от королевства. А фишинг не зависит от платформы; он работает в любой операционной системе, поддерживающей просмотр веб-страниц.

Эти поддельные веб-сайты обычно попадают в черный список вскоре после их создания, поэтому для тестирования мы используем только самые новые фишинговые URL-адреса.Мы собираем их с веб-сайтов, ориентированных на фишинг, отдавая предпочтение тем, о которых было сообщено как о мошенничестве, но еще не подтверждено. Лучшие программы безопасности обнаруживают эти новые подделки с помощью анализа в реальном времени. Те, кто полагается только на простые черные списки, обычно получают более низкие баллы.

Мы используем четыре виртуальные машины для этого теста, одна из которых защищена тестируемым продуктом, а другая использует защиту от фишинга, встроенную в Chrome, Edge и Firefox. Небольшая служебная программа запускает каждый URL-адрес в четырех браузерах.Если какой-либо из четырех возвращает сообщение об ошибке, мы отбрасываем этот URL. Если полученная страница не пытается имитировать другой сайт или не пытается получить данные об имени пользователя и пароле, мы ее отбрасываем. В остальном отметим, обнаружил ли каждый продукт мошенничество.

Как и в случае теста защиты на веб-уровне, оценки сильно различаются. Некоторые продукты достигают 100% обнаружения, в то время как другие не могут даже превзойти защиту, встроенную в три браузера.

Тестирование фильтрации спама

В наши дни из учетных записей электронной почты большинства потребителей спам удаляется провайдером электронной почты или утилитой, работающей на почтовом сервере.Фактически, потребность среднего потребителя в фильтрации спама практически отсутствует. Австрийская тестовая лаборатория AV-Comparatives проверила функциональность защиты от спама еще в 2016 году и обнаружила, что даже один только Microsoft Outlook блокирует почти 90 процентов спама, и большинство пакетов работают лучше, некоторые из них намного лучше. Но другого такого теста лаборатория не публиковала. По словам одного из руководителей, «конечные потребители используют размещенные почтовые решения, такие как Gmail, поэтому фильтр спама больше не нужен».

Несколько лет назад мы провели собственные тесты на защиту от спама, используя реальную учетную запись, которую мы тщательно настроили так, чтобы она принимала много спама, но также и действительную электронную почту.Чтобы протестировать спам-фильтр, мы загружали тысячи сообщений и вручную проверяли, попал ли какой-либо спам в папку «Входящие» или, что еще хуже, действительная почта была помечена как спам. Этот тест потребовал больше времени и усилий, чем любой другой из наших практических тестов. Больше не имеет смысла тратить максимальные усилия на элемент минимальной важности.

Есть еще важные моменты, о которых следует сообщить о спам-фильтре в пакете. Какие почтовые клиенты он поддерживает? Можете ли вы использовать его с неподдерживаемым клиентом? Ограничен ли он учетными записями электронной почты POP3, или он также обрабатывает IMAP, Exchange или даже электронную почту через Интернет? В настоящее время мы внимательно изучаем возможности каждого пакета защиты от спама, но мы больше страдаем от загрузки и анализа тысяч электронных писем

Тестирование производительности пакета безопасности

Когда ваш пакет безопасности постоянно отслеживает атаки вредоносных программ, защищает от сетевых вторжений, предотвращает проникновение в ваш браузер. Посещая опасные веб-сайты и т. д., он явно использует часть процессора вашей системы и другие ресурсы для выполнения своей работы.Много-много лет назад комплекты безопасности заслуженно получили репутацию за то, что поглощают так много ресурсов вашей системы, что это сказывается на использовании вашего собственного компьютера. Если пользователи отключают защиту, потому что это снижает производительность, это не защита. Охранные компании усовершенствовали свою продукцию, поэтому заметного замедления роста вы почти никогда не увидите. Мы по-прежнему проводим несколько простых тестов, чтобы понять, как каждый пакет влияет на производительность системы.

Программное обеспечение безопасности необходимо загружать как можно раньше в процессе загрузки, чтобы не обнаружить вредоносное ПО, которое уже контролирует.Но пользователи не хотят ждать дольше необходимого, чтобы начать использовать Windows после перезагрузки. Наш тестовый сценарий запускается сразу после загрузки и начинает запрашивать у Windows отчет об уровне использования ЦП раз в секунду. Через 10 секунд подряд при загрузке ЦП не более 5 процентов он объявляет систему готовой к использованию. Вычитая начало процесса загрузки (по данным Windows), мы знаем, сколько времени занял процесс загрузки. Мы проводим много повторений этого теста и сравниваем среднее значение со средним значением от многих повторений, когда не было ни одного набора.

По правде говоря, вы наверное перезагружаетесь не чаще одного раза в день. Пакет безопасности, замедляющий повседневные файловые операции, может оказать более пагубное влияние на вашу деятельность. Чтобы проверить, нет ли такого замедления, мы используем сценарий, который перемещает и копирует большую коллекцию файлов большого размера между дисками. Усредняя несколько запусков без пакета и несколько запусков с активным пакетом безопасности, мы можем определить, насколько пакет замедлил эти действия с файлами. Аналогичный сценарий измеряет влияние пакета на сценарий, который архивирует и распаковывает ту же коллекцию файлов.

Есть еще несколько наборов, которые значительно замедляют один или несколько из этих тестов, но их количество сокращается. На другом конце спектра мы обнаружили несколько случаев, когда тесты выполнялись быстрее после установки пакета.

Тестирование защиты брандмауэра

Типичный персональный брандмауэр выполняет две функции: защищает компьютер от внешних атак и гарантирует, что программы не будут злоупотреблять сетевым подключением. Для тестирования защиты от атак мы используем физический компьютер, который подключается через порт DMZ маршрутизатора.Это дает эффект компьютера, подключенного напрямую к Интернету. Это важно для тестирования, потому что компьютер, подключенный через маршрутизатор, фактически невидим для Интернета в целом. Мы попали в тестовую систему с помощью сканирования портов и других веб-тестов. В большинстве случаев мы обнаруживаем, что брандмауэр полностью скрывает тестовую систему от этих атак, переводя все порты в скрытый режим. Встроенный брандмауэр Windows обрабатывает все порты, поэтому этот тест является лишь базовым.

Управление программами в первых персональных брандмауэрах было болезненно интерактивным.Каждый раз, когда неизвестная программа пыталась получить доступ к сети, брандмауэр выдавал запрос, спрашивая пользователя, разрешить или заблокировать доступ. Этот подход не очень эффективен, поскольку пользователь обычно не знает, какое действие является правильным. Большинство просто все позволит. Другие будут нажимать «Блокировать» каждый раз, пока не сломают какую-нибудь важную программу; после этого разрешают все.

Становится все более распространенным для межсетевых экранов наборов предлагать этот вид детального управления программами, не делая его по умолчанию.Для этих продуктов мы включаем его перед тестированием. Кроме того, многие брандмауэры предварительно настроены с разрешениями доступа для известных программ. Для практической проверки функциональности управления программой мы используем приложение, которое гарантированно неизвестно, — крошечную утилиту для браузера, написанную в нашей компании и нигде больше нигде не имеющуюся.

На другом конце спектра лучшие межсетевые экраны автоматически настраивают сетевые разрешения для известных хороших программ, удаляют известные плохие программы и усиливают наблюдение за неизвестными.Брандмауэр сработает, только если неизвестная программа попытается установить подозрительное соединение. Это не то, что мы можем протестировать, поскольку мы не пишем вредоносные программы, но мы можем наблюдать эту функциональность во время тестирования защиты от вредоносных программ.

Программное обеспечение несовершенно и не может быть совершенным, поэтому злоумышленники усердно работают над поиском дыр в безопасности в популярных операционных системах, браузерах и приложениях. Они разрабатывают эксплойты, чтобы поставить под угрозу безопасность системы, используя любые обнаруженные уязвимости. Естественно, производитель эксплуатируемого продукта выпускает исправление безопасности как можно скорее, но, пока вы не примените это исправление, вы уязвимы.

Самые умные брандмауэры перехватывают эти эксплойт-атаки на сетевом уровне, поэтому они даже не достигают вашего компьютера. Даже для тех, кто не сканирует на сетевом уровне, во многих случаях антивирусный компонент уничтожает полезную нагрузку вредоносного ПО эксплойта. Мы используем инструмент проникновения CORE Impact, чтобы поразить каждую тестовую систему примерно 30 недавними эксплойтами и записать, насколько хорошо продукт безопасности отразил их.

Наконец, мы запускаем проверку работоспособности, чтобы узнать, может ли вредоносный кодировщик легко отключить защиту.Мы ищем переключатель включения / выключения в реестре и проверяем, можно ли его использовать для отключения защиты (хотя прошло много лет с тех пор, как мы обнаружили продукт, уязвимый для этой атаки). Мы пытаемся завершить процессы безопасности с помощью диспетчера задач и сторонних утилит-убийц задач. И мы проверяем, можно ли остановить или отключить основные службы Windows продукта.

Тестирование родительского контроля

Категория родительского контроля и мониторинга охватывает широкий спектр программ и функций.Типичная утилита родительского контроля удерживает детей от сомнительных сайтов, контролирует их использование Интернета и позволяет родителям определять, когда и как долго детям разрешено пользоваться Интернетом каждый день. Другие функции варьируются от ограничения контактов в чате до патрулирования сообщений в Facebook на предмет рискованных тем.

Мы всегда проверяем работоспособность, чтобы убедиться, что фильтр содержимого правильно блокирует неприемлемые веб-сайты. Как оказалось, найти порносайты для тестирования совсем несложно. Практически любой URL-адрес, состоящий из прилагательного размера и названия обычно закрытой части тела, уже является порносайтом.Очень немногие продукты не проходят этот тест.

Мы используем небольшую внутреннюю утилиту для браузера, чтобы убедиться, что фильтрация содержимого не зависит от браузера. Мы запускаем сетевую команду из трех слов (нет, мы не публикуем ее здесь), которая отключает некоторые простые фильтры контента. И мы проверяем, можем ли мы обойти фильтр, используя безопасный анонимный прокси-сайт.

Ограничение по времени использования детьми компьютера или Интернета эффективно только в том случае, если дети не могут вмешиваться в отсчет времени. Мы проверяем, что функция расписания работает, а затем пытаемся помешать ей, сбросив системную дату и время.Лучшие продукты не полагаются на системные часы для определения даты и времени.

После этого просто нужно протестировать функции, которые, по утверждению программы, есть. Если он обещает возможность заблокировать использование определенных программ, мы включаем эту функцию и пытаемся нарушить ее, перемещая, копируя или переименовывая программу. Если он говорит, что удаляет плохие слова из электронной почты или обмена мгновенными сообщениями, мы добавляем случайное слово, например «fnord», в список блокировки и проверяем, что оно не отправляется. Если он утверждает, что может ограничивать контакты для обмена мгновенными сообщениями, мы устанавливаем разговор между двумя нашими учетными записями, а затем блокируем одну из них.Какую бы мощность контроля или мониторинга ни обещала программа, мы делаем все возможное, чтобы проверить ее.

Интерпретация тестов антивирусных лабораторий

У нас нет ресурсов для проведения исчерпывающих антивирусных тестов, проводимых независимыми лабораториями по всему миру, поэтому мы уделяем пристальное внимание их результатам. Мы следим за четырьмя лабораториями, которые регулярно публикуют результаты тестов, используя их для информирования наших обзоров.

Базирующийся в Магдебурге, Германия, AV-Test Institute постоянно проверяет антивирусные программы.Мы фокусируемся на тесте, состоящем из трех частей, который дает до 6 баллов в каждой из трех категорий: защита, производительность и удобство использования. Для получения сертификата продукт должен набрать 10 баллов и не иметь нулевых баллов ни в одной из категорий. Самые лучшие продукты получают в этом тесте безупречные 18 баллов.

Для проверки защиты исследователи подвергают каждый продукт эталонному набору AV-Test, состоящему из более чем 100 000 образцов, и нескольким тысячам чрезвычайно распространенных образцов. Продукты получают признание за предотвращение заражения на любом этапе, будь то блокирование доступа к URL-адресу, на котором размещено вредоносное ПО, обнаружение вредоносного ПО с помощью сигнатур или предотвращение запуска вредоносного ПО.Лучшие продукты часто достигают 100-процентного успеха в этом тесте.

Производительность важна — если антивирус заметно снижает производительность системы, некоторые пользователи отключат его. Исследователи AV-Test измеряют разницу во времени, необходимом для выполнения более десятка общих системных действий с и без присутствующего продукта безопасности. Среди этих действий — загрузка файлов из Интернета, копирование файлов как локально, так и по сети, а также запуск общих программ. Усредняя результаты нескольких прогонов, они могут определить, какое влияние оказывает каждый продукт.

Тест на удобство использования — это не совсем то, что вы думаете. Это не имеет ничего общего с простотой использования или дизайном пользовательского интерфейса. Скорее, он измеряет проблемы удобства использования, которые возникают, когда антивирусная программа ошибочно отмечает законную программу или веб-сайт как вредоносную или подозрительную. Исследователи активно устанавливают и запускают постоянно меняющийся набор популярных программ, отмечая любое странное поведение антивируса. Отдельный тест, предназначенный только для сканирования, позволяет убедиться, что антивирус не идентифицирует ни один из более чем 600 000 легитимных файлов как вредоносное ПО.

Мы отслеживаем результаты трех из множества тестов, которые регулярно публикуются компанией AV-Comparatives, которая находится в Австрии и тесно сотрудничает с Университетом Инсбрука. Средства безопасности, прошедшие тест, получают сертификат Standard; те, которые терпят неудачу, обозначаются как просто Протестированные. Если программа выходит за рамки необходимого минимума, она может получить сертификат Advanced или Advanced +.

Этот лабораторный тест на обнаружение файлов представляет собой простой статический тест, который проверяет каждый антивирус на соответствие примерно 100 000 образцов вредоносного ПО.Параллельный тест на ложные срабатывания обеспечивает точность — слишком много ложных срабатываний может повлиять на рейтинг программы. И тест производительности, как и AV-Test, измеряет любое влияние на производительность системы. Мы считаем наиболее важным динамическое испытание всего продукта. Этот тест призван максимально точно смоделировать реальный опыт пользователя, позволяя всем компонентам продукта безопасности участвовать в борьбе с вредоносным ПО.

Там, где AV-Test и AV-Comparatives обычно включают в тестирование несколько десятков продуктов, SE Labs обычно сообщает не более чем о 10.Во многом это связано с характером лабораторного теста. Исследователи фиксируют реальные веб-сайты, на которых размещены вредоносные программы, и используют технику воспроизведения, чтобы каждый продукт сталкивался с одной и той же скрытой загрузкой или другой атакой через Интернет. Это очень реалистично, но сложно.

Программа, полностью блокирующая одну из этих атак, приносит три очка. Если он сработал после начала атаки, но сумел удалить все следы исполняемых файлов, это принесет два очка. И если он просто прекратил атаку без полной очистки, он все равно получит одно очко.В том случае, если вредоносная программа запускается бесплатно в тестовой системе, тестируемый продукт теряет пять баллов. Из-за этого некоторые продукты (особенно ранние выпуски Защитника Windows) получили оценку ниже нуля.

В отдельном тесте исследователи оценивают, насколько хорошо каждый продукт воздерживается от ошибочной идентификации действительного программного обеспечения как вредоносного, взвешивая результаты на основе распространенности каждой действующей программы и насколько большое влияние окажет ложноположительная идентификация.Они объединяют результаты этих двух тестов и сертифицируют успешные продукты на одном из пяти уровней: AAA, AA, A, B и C.

Как отмечалось выше, мы используем набор образцов, предоставленных MRG-Effitas, в наши руки. о тесте блокировки вредоносных URL. Мы также ежеквартально следим за результатами двух текущих тестов этой лаборатории. Тест 360 Assessment & Certification имитирует реальную защиту от текущих вредоносных программ, во многом похожую на динамический реальный тест, используемый AV-Comparatives. Продукт, который полностью предотвращает заражение набором образцов, получает сертификат Уровня 1.Сертификация уровня 2 означает, что по крайней мере некоторые образцы вредоносного ПО поместили файлы или другие следы в тестовую систему, но эти следы были устранены позже. Любой продукт, не достигший одного из этих уровней, просто терпит неудачу. Сертификация онлайн-банкинга очень специфично проверяет защиту от финансовых вредоносных программ и бот-сетей на аналогичной основе.

Составить общую сводку результатов лабораторных исследований непросто, поскольку не все лаборатории тестируют один и тот же набор программ, и все они используют разные системы оценки.Мы разработали алгоритм, который нормализует оценки каждой лаборатории до значения от 0 до 10. Наша сводная диаграмма результатов лабораторных исследований показывает среднее значение этих оценок, а также количество лабораторных тестов. Наилучший возможный результат — это 10 баллов по результатам всех четырех лабораторий. Если только одна лаборатория включает продукт в тестирование, мы считаем, что это недостаточная информация для общей оценки.

Вы могли заметить, что этот список методов тестирования не распространяется на виртуальные частные сети или VPN.Тестирование VPN сильно отличается от тестирования любой другой части пакета безопасности, поэтому мы предоставили отдельное объяснение того, как мы тестируем службы VPN.

Нравится то, что вы читаете?

Подпишитесь на информационный бюллетень Security Watch , чтобы получать наши главные новости о конфиденциальности и безопасности прямо на ваш почтовый ящик.

Этот информационный бюллетень может содержать рекламу, предложения или партнерские ссылки. Подписка на информационный бюллетень означает ваше согласие с нашими Условиями использования и Политикой конфиденциальности.Вы можете отказаться от подписки на информационные бюллетени в любое время.

Какое антивирусное программное обеспечение замедляет работу вашего ПК? На этот вопрос отвечает последний тест на удар скорости AV-Comparatives

Протестированные потребительские продукты 2020 Windows — от AV-Comparatives

AV-Comparatives Performance Test 2020 High-End

AV-Comparatives Performance Test 2020 High End Impact Score

Логотип AV-Comparatives

Тест производительности AV-Comparatives 2020 Featured Image

Независимая ISO-сертифицированная лаборатория тестирования безопасности AV-Comparatives опубликовала результаты теста производительности (скорости) 2020 h3 для потребительских товаров.

— Питер Стельцхаммер, соучредитель, AV-Comparatives

Прочтите полный отчет о тестировании производительности здесь: https://www.av-comparatives.org/tests/performance-test-october-2020/

Протестированные продукты были проверены, чтобы увидеть, насколько они замедляют работу тестовой системы по сравнению на ПК без запущенного антивирусного программного обеспечения.Им была назначена одна из четырех возможных категорий награды в зависимости от того, насколько хорошо они выполнили тест. Ниже перечислены категории от низшего к высшему: «Протестировано», «Стандартный», «Продвинутый» и «Продвинутый +».

Тест производительности проверяет влияние каждой тестируемой программы на скорость работы компьютера. В прошлом антивирусные программы критиковали за то, что они слишком сильно замедляли работу компьютера пользователя. Этот тест показывает, насколько успешно производители предотвращают это. Он использует ресурсоемкие задачи, такие как копирование и архивирование файлов, а также профессиональное программное обеспечение для тестирования производительности, чтобы определить влияние каждого продукта на скорость.

Тест производительности является частью основной серии тестов AV-Comparatives для потребительских товаров. Серия потребительских тестов также включает в себя тест защиты в реальных условиях и тест защиты от вредоносных программ. Первый проверяет способность антивирусных продуктов защищать от вредоносных программ, передаваемых через Интернет. Тест защиты от вредоносных программ проверяет способность продукта защищать от вредоносных файлов, уже находящихся в системе, на внешнем диске или скопированных по локальной сети. Вместе с тестом производительности эти тесты предоставляют всестороннее представление о технических возможностях продукта безопасности.

Как и все публичные отчеты AV-Comparatives, отчет о тестировании производительности потребительских товаров 2020 года можно бесплатно загрузить с веб-сайта института www.av-comparatives.org. AV-Comparatives — это независимая лаборатория тестирования, расположенная в Инсбруке, Австрия, которая проводит публичное тестирование программного обеспечения для компьютерной безопасности с 2004 года. Она сертифицирована по стандарту ISO 9001: 2015 в области «Независимые тесты антивирусного программного обеспечения». Он также имеет сертификат EICAR как «Надежная лаборатория тестирования ИТ-безопасности».

Peter Stelzhammer
AV-Comparatives
+43 720 115542
напишите нам сюда

Вы только что прочитали:

Новости предоставлены

21 ноября 2020 г., 17:25 мск

EIN Presswire приоритетом является прозрачность источника.Мы не допускаем непрозрачных клиентов, и наши редакторы стараются избегать ложных и вводящих в заблуждение материалов. Если вы как пользователь видите что-то, что мы упустили, сообщите нам об этом. Ваша помощь приветствуется. EIN Presswire, Все новости Интернета Presswire ™, пытается определить некоторые разумные границы в сегодняшнем мире. Пожалуйста, посмотрите наш Редакционные правила для дополнительной информации.

Лучшие результаты отраслевых тестов — Microsoft 365 Defender

• 06.10.2021
• 6 минут на чтение

В этой статье

Важно

Теперь доступен улучшенный центр безопасности Microsoft 365.Этот новый интерфейс включает Защитник для конечной точки, Защитник для Office 365, Защитник Microsoft 365 и другие возможности в центр безопасности Microsoft 365. Узнай, что нового.

Хотите испытать Microsoft 365 Defender? Вы можете оценить его в лабораторной среде или запустить пилотный проект в производственной среде.

Технологии Microsoft 365 Defender неизменно получают высокие баллы в независимых тестах, демонстрируя мощь его возможностей защиты от корпоративных угроз.Корпорация Майкрософт стремится к тому, чтобы эти результаты тестов были прозрачными. На этой странице представлены результаты и анализ.

Защитник Microsoft 365

Microsoft 365 Defender — это единый комплекс корпоративной защиты до и после взлома. Он изначально координирует обнаружение, предотвращение, расследование и реагирование между конечными точками, удостоверениями, электронной почтой и приложениями, чтобы обеспечить интегрированную защиту от изощренных атак.

Microsoft 365 Defender объединяет возможности Microsoft Defender для конечной точки, Microsoft Defender для Office 365, Microsoft Defender for Identity, Azure Active Directory Identity Protection и Microsoft Cloud App Security в одном решении.

MITER: Продемонстрированное в реальных условиях обнаружение, реагирование и защита от сложных атак

Core к тестированию MITRE имитирует реальные атаки, чтобы понять, могут ли решения адекватно обнаруживать их и реагировать на них. В то время как тест был сосредоточен на обнаружении конечных точек и реагировании на них, смоделированная атака APT29 MITRE охватывает несколько доменов атаки, создавая возможности для расширения возможностей защитников, помимо защиты конечных точек. Microsoft расширила видимость защитников за пределы конечной точки с помощью Microsoft 365 Defender.

Microsoft 365 Defender обеспечил почти 100-процентное покрытие всех этапов цепочки атак. Он обеспечивал прозрачную прозрачность действий злоумышленников. Видимость значительно сокращает объем ручной работы для центра управления безопасностью и решений поставщиков, которые полагались на определенные изменения конфигурации. У Microsoft 365 Defender также было меньше всего пропусков в видимости, что уменьшало способность злоумышленников действовать незамеченным.

Защита нового поколения

Microsoft Defender Antivirus стабильно показывает высокие результаты в независимых тестах, показывая, что это лучший выбор на рынке антивирусов.Имейте в виду, что эти тесты предоставляют результаты только для антивируса и не проверяют наличие дополнительных средств защиты.

Microsoft Defender Antivirus — это средство защиты нового поколения в стеке безопасности Windows для конечных точек Microsoft Defender, которое устраняет самые современные и самые сложные угрозы. В некоторых случаях клиенты могут даже не знать, что они защищены, потому что кибератака останавливается через миллисекунды после начала кампании. Это потому, что антивирус Microsoft Defender и другие возможности платформы защиты конечных точек (EPP) в Defender for Endpoint обнаруживают и останавливают вредоносное ПО с первого взгляда.Они используют машинное обучение, искусственный интеллект, поведенческий анализ и другие передовые технологии.

AV-TEST: оценка защиты 6.0 / 6.0 в последнем тесте

Отчет об обзоре продукта и сертификации AV-TEST тестирует три категории: защита, производительность и удобство использования. Следующие оценки относятся к категории «Защита», в которой есть две оценки: «Тестирование в реальных условиях» и эталонный набор AV-TEST (известный как «Распространенное вредоносное ПО»).

AV-Comparatives: Рейтинг защиты 99.8% в последнем тесте

Business Security Test состоит из трех основных частей: теста защиты в реальном мире, который имитирует онлайн-атаки вредоносных программ, теста защиты от вредоносных программ, когда вредоносное ПО входит в систему из-за пределов Интернета (например, через USB), и теста производительности, который рассматривает влияние на производительность системы.

SE Labs: награда AAA в последнем тесте

SE Labs тестирует ряд решений, используемых продуктами и услугами для обнаружения и / или защиты от атак.Он включает программное обеспечение для конечных точек, сетевые устройства и облачные сервисы.

• Enterprise Endpoint Protection Октябрь — декабрь 2020 г .: награда AAA ^{Последняя версия}

  Продукт Microsoft для защиты нового поколения остановил все публичные и целевые атаки. Антивирус Microsoft Defender достиг таких хороших результатов благодаря своей способности блокировать вредоносные URL-адреса, обрабатывать эксплойты и правильно классифицировать легитимные приложения и веб-сайты.

• Enterprise Endpoint Protection июль — сентябрь 2020 г .: награда AAA

• Enterprise Endpoint Protection Апрель — июнь 2020 г .: награда AAA

• Enterprise Endpoint Protection Январь — март 2020 г .: награда AAA ^pdf | Анализ

Обнаружение и ответ конечной точки

Microsoft Defender for Endpoint для обнаружения конечных точек и возможностей реагирования обеспечивает расширенное обнаружение атак, которое практически в реальном времени и требует принятия мер.Аналитики безопасности могут эффективно расставлять приоритеты для предупреждений, видеть полную картину нарушения и принимать ответные меры для устранения угроз.

Microsoft Defender для возможностей EDR и защиты конечных точек получил положительные результаты отраслевых тестов и публикаций. SC Labs оценила инструменты безопасности конечных точек в июне 2020 года и поставила Microsoft Defender для конечных точек 5/5 звезд. Они отметили способность Microsoft Defender for Endpoint защищать организации от современного ландшафта угроз, используя полный набор функций безопасности.SC Labs также определила решение для обеспечения безопасности конечных точек как целостное и унифицированное. Они также признали конвергенцию защиты конечных точек с функциями обнаружения конечных точек и реагирования, поскольку цепочка атак теперь полностью покрывается решениями.

MITRE: лучшая в отрасли оптика и возможности обнаружения

MITER проверил способность продуктов обнаруживать методы, обычно используемые целевой группой атак APT3 (также известной как Boron или UPS). Чтобы изолировать возможности обнаружения, все функции защиты и предотвращения были отключены.Microsoft рада быть одним из первых поставщиков EDR, подписавшихся на оценку MITER на основе платформы ATT & CK. Сегодня этот фреймворк считается наиболее полным каталогом техник и тактик злоумышленников.

• Оценка Microsoft Defender для конечных точек на основе ATT и CK — декабрь 2018 г .: Ведущие возможности оптики и обнаружения | Анализ

  Microsoft Defender для конечных точек обеспечил исчерпывающий охват методов злоумышленников по всей цепочке атак.Основные моменты включали широту охвата телеметрии, эффективность анализа угроз и расширенное автоматическое обнаружение с помощью машинного обучения, эвристики и мониторинга поведения.

Насколько тесты репрезентативны для защиты в реальном мире?

Независимые отраслевые тесты безопасности направлены на объективную оценку лучших антивирусов и продуктов безопасности. Однако Microsoft видит более широкий и широкий набор угроз, выходящих за рамки того, что было проверено в оценках, выделенных в этой статье.В среднем в месяц продукты безопасности Microsoft выявляют более 100 миллионов новых угроз. Даже если независимый тестировщик сможет выявить и протестировать 1% этих угроз, это будет миллион тестов для 20 или 30 продуктов. Другими словами, обширный ландшафт вредоносного ПО затрудняет оценку качества защиты от реальных угроз.

Возможности Microsoft Defender для конечных точек обеспечивают дополнительные уровни защиты, которые не учитываются в отраслевых антивирусных тестах, и устраняют некоторые из последних и наиболее сложных угроз.Изоляция антивирусной защиты от остальной части Defender for Endpoint создает частичную картину того, как стек безопасности Microsoft работает в реальном мире. Например, уменьшение поверхности атаки и возможности обнаружения и реагирования конечных точек могут в первую очередь помочь предотвратить попадание вредоносных программ на устройства. Мы доказали, что компоненты Microsoft Defender for Endpoint улавливают образцы, которые антивирус Microsoft Defender пропустил в этих отраслевых тестах. Это больше показывает, насколько эффективно пакет безопасности Microsoft защищает клиентов в реальном мире.

Узнайте больше о Microsoft Defender for Endpoint и оцените его в своей собственной сети, подписавшись на 90-дневную пробную версию или включив функции предварительного просмотра на существующих клиентах.

Узнайте больше о Microsoft 365 Defender или начните использовать службу.

Как протестировать антивирус и программное обеспечение EDR: полное руководство

В Blumira мы регулярно внедряем новые технологии, чтобы помочь нашим клиентам интегрировать существующие решения безопасности с нашим облачным SIEM.Это означает, что нам часто необходимо тестировать новые инструменты конечных точек, такие как антивирус и EDR, чтобы искать действенные предупреждения, генерируемые исходным инструментом.

Вот несколько способов проверить антивирус и программное обеспечение EDR.

Почему вам следует тестировать антивирусное программное обеспечение и EDR

Как профессионалы в области безопасности, которым поручено прикоснуться к такому множеству технологий, у нас есть возможность протестировать и увидеть, какие инструменты конечных точек обнаруживают или предотвращают. По нашему опыту, некоторые из них, к сожалению, сильно отстают от всех, когда дело доходит до предоставления действенных предупреждений, глубины обнаружения или просто эффективности предотвращения.

Тестирование также помогает подтвердить, есть ли у инструмента конечной точки некоторые функции EDR, которые рассматривают поведение злоумышленников, например, активность процессов, сетевые соединения и содержимое реестра, а не только проверку необработанных файлов.

Мы также рекомендуем вам развернуть средство ведения журнала Sysinternals, Sysmon, в дополнение к EDR и антивирусному программному обеспечению. Blumira предлагает множество вариантов поведения злоумышленников, сопоставленных с обнаружениями на основе журналов Sysmon, которые обеспечивают своего рода обзор всех действий системы в бортовом самописце.

Узнайте, как развернуть Sysmon здесь>

Обзор антивируса и тестирования EDR

Чтобы протестировать антивирус и инструменты EDR, хорошей отправной точкой является проверка, может ли инструмент по крайней мере конкурировать с установкой Windows 10 по умолчанию с использованием Защитника Windows с защитой в реальном времени, поскольку он установлен и бесплатен во всех системах Windows.

Основная цель тестирования — подтолкнуть наше программное обеспечение к конечным точкам, чтобы увидеть, может ли оно обнаруживать какие-либо из этих действий и позволяет нам писать значимые обнаружения, которые могут предотвратить взлом или инцидент с вымогательством.

Окружающая среда

Для полного тестирования среде требуются три хоста, система злоумышленников, начальная конечная точка пользователя и сервер контроллера домена. Если вы хотите имитировать только тесты первого этапа, то вам нужны только система злоумышленников и начальная конечная точка пользователя.

Требования к начальной конфигурации

Для этого режима тестирования мы будем использовать Metasploit Framework, испытанную платформу противников и красных команд, которая до сих пор используется как тестировщиками на проникновение, так и реальными злоумышленниками.Мы будем выполнять некоторую начальную конфигурацию, которая будет немного больше, чем конфигурация по умолчанию, чтобы убедиться, что есть хотя бы небольшая полоса, которую должен пройти тестируемый инструмент. Но мы воздержимся от более продвинутых методов, так как наша цель — быть обнаруженными, если это возможно.

Для начальной настройки вам понадобится хост с Kali. Его можно разместить в локальной сети вашей лаборатории или создать в облачной среде, такой как AWS.

Документы по установке Kali:

https: // www.kali.org/docs/installation/

AWS Market Kali Изображение:

После установки или запуска Kali и подключения либо через SSH, либо через графический интерфейс (в зависимости от среды установки), запустите консоль Metasploit и выполните несколько задач сбора, чтобы изменить сертификат SSL, используемый фреймворком.

См. Пошаговые инструкции здесь.

Для целей настройте сервер, который вы хотите сделать контроллером домена, и конечную точку для присоединения к тестируемому домену.

После того, как вы настроили хосты, пришло время сгенерировать полезные данные для тестирования. Это может лучше помочь судить о том, как инструмент конечной точки обрабатывает неизвестное вредоносное ПО. Защита от старых угроз хоть и полезна, но менее действенна. Мы хотим генерировать предупреждения, требующие вмешательства безопасности.

Мы дадим фору и создадим несколько полезных нагрузок на различных итерациях сложности кодирования с использованием MSFvenom и кодировщика shikata ga nai. Это сделает полезные данные уникальными для нашего теста.Кодировщик shikata ga nai раньше был очень эффективным методом обхода, но этот метод кодирования должен быть легко обнаружен большинством антивирусных программ сегодня.

См. Этапы создания полезной нагрузки здесь.

Первый этап

Этот первый этап тестирования помогает установить базовый уровень того, как конкретный инструмент конечной точки обрабатывает общие инструменты и методологии атак.

Таким образом, важно предоставить множество препятствий для тестирующего агента угрозы — такие вещи, как права локального администратора на начальном хосте и администратора домена позже для бокового перемещения.Вы хотите применить методологию «предполагаемого нарушения», а не проверять каждую минуту требования цепочки атак. Если инструмент окажется достаточно опытным, вы можете вернуться с более тонкой гребенкой, чтобы посмотреть на обходные пути и более глубокие возможности обнаружения.

Начальный доступ

Первый тест предназначен для имитации простой фишинг-ссылки, которая направляет пользователя на плохо настроенный stager веб-сайт злоумышленника. Мы ищем, проверяет ли инструмент трафик на хост или подключается к браузеру, чтобы заблокировать вредоносные файлы.

Пошаговая инструкция здесь.

Для нашей методологии «предположить нарушение» в этом примере мы отключили защиту в реальном времени Microsoft Defender, чтобы продолжить остальную часть тестирования.

Исполнение

Для следующего теста нам нужно будет выполнить загруженные файлы. На этом этапе вы можете попробовать как с повторно включенными всеми обнаружениями, так и с отключенными элементами управления блокировкой, если это препятствует дальнейшему тестированию. (Но отметьте это как хороший результат.)

Перед тем, как начать выполнение, запустите прослушиватель meterpreter на нашем хосте Kali.Эти инструкции можно найти здесь.

После выполнения файлов запишите, какие генерируются предупреждения или журналы, если таковые имеются.

Открытие

После выполнения большинство злоумышленников будут запускать различные команды для получения информации о локальной системе и подключенных доменах, поэтому далее мы будем имитировать это и искать любые предупреждения или журналы, которые генерирует технология конечных точек.

Пошаговые инструкции можно найти здесь.

Администратор Windows может заметить, что все выполняемые здесь команды встроены в служебные программы Windows, которые используются обычными пользователями и системными администраторами.Хотя это правда, злоумышленники предпочитают их именно по этой причине, но современное требование состоит в том, чтобы иметь возможность запускаться при подозрительном вызове этих утилит, которые выходят за рамки базового использования.

Повышение локальных привилегий

Следующим этапом в нашей цепочке вторжений является повышение привилегий, которое позволяет злоумышленнику собирать конфиденциальные данные в дальнейшем по пути атаки. Здесь мы хотим увидеть, может ли технология конечных точек обнаруживать обычное олицетворение Named Pipe и внедрение процесса.

Пошаговые инструкции можно найти здесь.

Доступ к учетным данным

В заключительной части первого этапа мы сбросим учетные данные с помощью оболочки meterpreter. Для большинства инструментов конечных точек это может быть сложно определить, поскольку все это будет происходить в памяти, но это обычный шаг при вторжении.

Здесь вы можете найти пошаговое руководство.

На этом завершается первый раунд тестирования, локализованного для одной конечной точки, на следующем этапе мы начнем горизонтальное перемещение и будем искать меры против контроллера домена.

Вторая фаза

После того, как вы завершили тесты для одной системы, вы захотите пойти немного дальше и посмотреть на боковое смещение и некоторые действия на более поздних этапах, которые может предпринять злоумышленник. Итак, для второго этапа тестирования смоделируйте боковое движение к контроллеру домена (DC) и активность злоумышленников на DC.

Как и в первой фазе, вы должны создать несколько препятствий, используя методологию предполагаемого взлома, и не требовать некоторых утомительных действий, которые были бы необходимы для полноценного реального вторжения; это будет включать в себя такие вещи, как предоставление пользователю достаточно высоких привилегий для перехода на наш сервер, а также пароль или хэш-материал для аутентификации.

Боковое смещение

Как только злоумышленник закрепится в среде и соберет достаточно исходной информации о целевой среде, он захочет двигаться в боковом направлении. В полноценной живой среде субъекту угрозы может потребоваться много шагов по горизонтали, чтобы достичь своих целей. Для нашего теста мы собираемся ускорить и использовать учетные данные администратора домена, чтобы перейти к нашему серверу контроллера домена и посмотреть, сможет ли наш инструмент конечной точки реагировать на удаленное выполнение службы, которая используется во многих фреймворках после эксплуатации.

Пошаговые инструкции см. Здесь.

Технологическая закачка

При любом вторжении никогда не бывает прямого пути следования традиционной модели «kill-chain»; вы часто видите круговой узор, когда субъекты угрозы повторяют определенные шаги по мере продвижения к своим целям. Здесь мы повторим внедрение процесса на сервере и посмотрим, может ли инструмент, который мы тестируем, обнаружить его.

См. Пошаговые инструкции здесь.

Доступ к учетным данным домена

Попав на контроллер домена, большинство злоумышленников хотят получить доступ ко всем учетным данным домена, что дает им множество способов вернуться в домен позже или продать доступ другим.Это одна из жемчужин любой корпоративной сети, и мы хотим увидеть, будет ли тестируемый инструмент конечной точки наблюдать необычный доступ на контроллере домена к файлам, в которых хранятся учетные данные домена.

См. Пошаговые инструкции здесь.

Уклонение от защиты

Теперь мы подходим к заключительным этапам моделируемого вторжения. Некоторые злоумышленники попытаются очистить доказательства своих действий перед тем, как покинуть среду, поэтому мы смоделируем это, очистив журналы Windows на нашем контроллере домена.

Пошаговые инструкции по тесту находятся здесь.

Удар

Для последнего теста мы запустим еще одну встроенную утилиту Windows, которую группы программ-вымогателей часто запускают для блокировки систем в обмен на оплату. Если к этому моменту вы не обнаружили или не остановили злоумышленника, то уже слишком поздно, но в большой среде решительные меры могут ограничить некоторые последствия. Здесь мы хотим увидеть, может ли технология конечных точек обнаруживать необычный доступ и использование этой административной утилиты.

Пошаговые инструкции можно найти здесь.

Заключение

С помощью этих тестов вы теперь должны иметь представление об основных возможностях тестируемой технологии конечных точек. Вы также можете создать действенные средства обнаружения, которые должна предпринять группа безопасности, отдавая приоритет высокоточным предупреждениям от основного шума рекламного ПО.