Trang Chủ Đồng hồ an ninh Phần mềm chống vi-rút của bạn có thể xử lý một cuộc tấn công phần mềm độc hại không ngày không?

Phần mềm chống vi-rút của bạn có thể xử lý một cuộc tấn công phần mềm độc hại không ngày không?

Video: Уязвимость нулевого дня - 0day в WinRAR (Tháng mười một 2024)

Video: Уязвимость нулевого дня - 0day в WinRAR (Tháng mười một 2024)
Anonim

Kiểm tra bảo vệ chống vi-rút dựa trên chữ ký là một snap. Bạn thu thập hàng trăm hoặc hàng ngàn mẫu phần mềm độc hại đã biết, chạy quét và lưu ý số lượng sản phẩm chống vi-rút của bạn được phát hiện. Tuy nhiên, đối với một loại virus hoàn toàn mới, không có ngày (hoặc loại phần mềm độc hại khác), nhất thiết phải không có chữ ký. Thử nghiệm bảo vệ chống lại các mối đe dọa không có ngày là khó khăn, nhưng các nhà nghiên cứu tại AV-So sánh đã tìm ra một kỹ thuật thỏa mãn chúng. Tuy nhiên, lưu ý rằng không phải tất cả các nhà cung cấp chống vi-rút đều chấp thuận thử nghiệm cụ thể này; khá nhiều lựa chọn từ phiên bản mới nhất, kết quả vừa được phát hành.

Theo định nghĩa, không thể chạy thử nghiệm bằng các mẫu zero-day thực tế. Vào thời điểm các nhà nghiên cứu có thể nắm bắt và xác nhận một mẫu, các nhà cung cấp phần mềm chống vi-rút đã sẵn sàng chuẩn bị chữ ký. AV-So sánh mô phỏng phát hiện 0 ngày bằng cách "đóng băng" cơ sở dữ liệu chữ ký của sản phẩm và sau đó chỉ sử dụng các mẫu xuất hiện đầu tiên sau khi đóng băng lớn.

Một số sản phẩm sẽ phát hiện phần mềm độc hại mới bằng cách sử dụng các kỹ thuật heuristic, xác định chúng bằng cách tương tự với phần mềm độc hại đã biết hoặc bởi các đặc điểm khác. Các nhà nghiên cứu đã đưa ra từng mẫu không bị bắt bởi heuristic, lưu ý xem việc phát hiện dựa trên hành vi của sản phẩm hoặc bảo vệ theo thời gian thực khác có ngăn chặn sự phá hoại hay không. Các sản phẩm đã kiếm được tín dụng đầy đủ cho việc tự chặn phần mềm độc hại và tín dụng một nửa trong các tình huống trong đó việc chặn yêu cầu người dùng quyết định chính xác.

Phát hiện rất tốt

Chỉ dựa vào tỷ lệ phát hiện của họ, 11 trong số 16 sản phẩm được thử nghiệm sẽ đạt được xếp hạng NÂNG CAO + xếp hạng hàng đầu. Bitdefender đứng đầu nhóm này, với 97% phát hiện; Cả Kaspersky và Emsisoft đều quản lý 94%. Panda và Avast đã kiếm được NÂNG CAO. Microsoft cũng sẽ nhận được xếp hạng NÂNG CAO, nhưng AV-So sánh chỉ sử dụng nó làm cơ sở. Ở phía dưới, AnhLab và Vipre sẽ vượt qua với xếp hạng TIÊU CHUẨN.

Tích cực sai

Các hệ thống phát hiện heuristic và dựa trên hành vi phải được điều chỉnh rất cẩn thận để tránh gắn cờ các chương trình hợp lệ vì nguy hiểm là điều mà chúng ta gọi là dương tính giả. Khá nhiều sản phẩm được thử nghiệm bị mất điểm vì quá nhiều kết quả dương tính giả. Kể từ khi thử nghiệm phát hiện được thực hiện bằng cách sử dụng chữ ký bị đóng băng vào tháng 2 năm ngoái, các nhà nghiên cứu đã có thể sử dụng lại kết quả dương tính giả từ một thử nghiệm được thực hiện vào tháng 3.

Sáu trong số các sản phẩm được thử nghiệm bị mất một mức đánh giá do có quá nhiều kết quả dương tính giả. Đối với Emsisoft, eScan và G Data, điều đó có nghĩa là giảm từ NÂNG CAO + xuống NÂNG CAO, trong khi Panda giảm từ NÂNG CAO xuống TIÊU CHUẨN. Đối với AhnLab và Vipre, cả hai đều đã ở mức vượt qua thấp nhất, vì vậy xếp hạng cuối cùng của họ chỉ đơn thuần là KIỂM TRA; họ đã không vượt qua.

Tranh cãi về đám mây

Các nhà cung cấp gửi sản phẩm của họ để thử nghiệm bởi AV-So sánh phải đồng ý tham gia vào tất cả các thử nghiệm bắt buộc. Kiểm tra phát hiện tệp dựa trên chữ ký là một trong những yêu cầu thiết lập; Symantec không chấp thuận thử nghiệm đó, đó là lý do tại sao bạn sẽ không tìm thấy kết quả cho Norton trong các báo cáo so sánh AV.

Thử nghiệm chủ động, mặt khác, là tùy chọn. Theo báo cáo, "AVG, McAfee, Qihoo, Sophos và Trend Micro đã quyết định không tham gia, vì các sản phẩm của họ phụ thuộc nhiều vào đám mây." Thử nghiệm 0 ngày nhất thiết phải loại trừ phát hiện dựa trên đám mây, vì không có cách nào để "đóng băng" đám mây. Các nhà cung cấp này cảm thấy sản phẩm của họ sẽ bị điểm kém nếu không truy cập vào kết nối đám mây.

Trong khi AV-So sánh đã cho phép các nhà cung cấp này ra ngoài, báo cáo mắng họ chỉ một chút. "Ngay cả vài tuần sau đó, một số mẫu phần mềm độc hại được sử dụng vẫn không được phát hiện bởi một số sản phẩm phụ thuộc vào đám mây, ngay cả khi các tính năng dựa trên đám mây của chúng có sẵn", nó nói. "Chúng tôi coi đó là một cái cớ tiếp thị nếu các bài kiểm tra hồi cứu … bị chỉ trích vì không được phép sử dụng tài nguyên đám mây." Báo cáo kết luận: "Nếu một tệp hoàn toàn mới / chưa biết, đám mây thường sẽ không thể xác định được nó là tốt hay độc hại."

Nếu phần mềm chống vi-rút của bạn giành được xếp hạng cao nhất trong thử nghiệm này, đó là một dấu hiệu tốt cho thấy nó sẽ bảo vệ chống lại các mối đe dọa 0 ngày hoàn toàn mới. Nhưng vì thử nghiệm không thực sự sử dụng các mẫu chưa từng thấy trong thế giới thực, nên điểm kém (hoặc không có sự tham gia) không nhất thiết chứng minh rằng nó sẽ không thực hiện được công việc. Để hiểu đầy đủ, bạn sẽ muốn xem xét rất nhiều bài kiểm tra và tại các bài đánh giá chống vi-rút chuyên sâu của PCMag.

Phần mềm chống vi-rút của bạn có thể xử lý một cuộc tấn công phần mềm độc hại không ngày không?