Symantec tuyên bố các thử nghiệm chống vi-rút theo yêu cầu sai lệch

Tuần trước phòng thí nghiệm chống vi-rút độc lập AV-So sánh đã công bố kết quả của một thử nghiệm phát hiện chống vi-rút theo yêu cầu. Việc Microsoft đến gần đáy không phải là tin lớn; thực tế là Symantec đạt điểm thấp hơn thực sự đáng ngạc nhiên. Trong một bài đăng trên blog được phát hành ngày hôm nay, Symantec đã giải mã toàn bộ hoạt động thực hiện các bài kiểm tra quét phần mềm độc hại theo yêu cầu, gọi đó là "gây hiểu lầm".

Trong những năm đầu thử nghiệm chống vi-rút, mọi thử nghiệm là một thử nghiệm quét theo yêu cầu. Các nhà nghiên cứu sẽ tập hợp một bộ phần mềm độc hại đã biết, chạy quét toàn bộ và ghi lại tỷ lệ phần trăm mẫu được phát hiện. Các phòng thí nghiệm hiện đại làm việc chăm chỉ để đưa ra các thử nghiệm phản ánh chặt chẽ hơn trải nghiệm trong thế giới thực của người dùng, có tính đến thực tế là phần lớn các bệnh nhiễm trùng xâm nhập vào máy tính từ Internet. Symantec cho rằng chỉ có loại thử nghiệm trong thế giới thực là hợp lệ; Tôi không hoàn toàn đồng ý.

Bảo vệ tê liệt?

Alejandro Borgia, giám đốc quản lý sản phẩm của Symantec Corporation, đã tuyên bố một cách cụ thể trong bài đăng trên blog của mình rằng "tỷ lệ phát hiện được trích dẫn là sai lệch và không đại diện cho hiệu quả sản phẩm trong thế giới thực." Borgia nói, "Những loại thử nghiệm quét tệp này được chạy trong môi trường nhân tạo làm tê liệt tất cả các tính năng bảo vệ hiện đại."

Đúng là AV-So sánh đảm bảo các hệ thống kiểm tra có quyền truy cập Internet, do đó cho phép cài đặt Symantec truy cập vào hệ thống danh tiếng Norton Insight dựa trên đám mây mạnh mẽ. Khi tôi hỏi các liên hệ Symantec của tôi về điều này, họ đã giải thích rằng để Norton Insight có toàn bộ sức mạnh phụ thuộc vào thông tin đầy đủ, "cách lấy tệp, khi lấy được hoặc từ nơi lấy được (ví dụ: địa chỉ URL và IP)." Một thử nghiệm quét tệp theo yêu cầu trên các tệp mà phần mềm chống vi-rút của Symantec không quan sát được không giống như khi người dùng thực sự tải xuống các tệp. Điều đó đúng, nhưng cũng giống như khi người dùng cài đặt phần mềm chống vi-rút để dọn sạch một vấn đề về phần mềm độc hại hiện có.

Các thành phần ngăn chặn xâm nhập mạng cũng không có cơ hội để giúp đỡ, vì các mẫu tệp đã được tải xuống trước khi cài đặt phần mềm chống vi-rút. Một lần nữa, bạn sẽ gặp tình huống tương tự khi cài đặt phần mềm chống vi-rút lần đầu tiên trên một hệ thống bị nhiễm. Và tất nhiên phát hiện dựa trên hành vi không bao giờ khởi động cho đến khi một chương trình thực sự bắt đầu thực thi.

Để trả lời một truy vấn về bảo vệ dựa trên hành vi chỉ thực hiện hành động sau khi tệp độc hại được khởi chạy, các liên hệ Symantec của tôi đã chỉ ra rằng "hành vi" bao gồm nhiều hơn các hành động được thực hiện bởi chương trình. "Công nghệ hành vi của chúng tôi tính đến vị trí của chương trình, cách đăng ký trên hệ thống (ví dụ: khóa đăng ký nào đề cập đến nó) và nhiều yếu tố khác", họ giải thích. "Trong hầu hết các trường hợp, chương trình sẽ bị dừng trước khi gây ra bất kỳ tác hại nào."

Có phải là sai lầm?

Đối với tuyên bố rằng thử nghiệm là sai lệch, AV-So sánh không đồng ý. Giới thiệu về bản báo cáo rằng "tỷ lệ phát hiện tệp của sản phẩm chỉ là một khía cạnh" và chỉ ra "các báo cáo thử nghiệm khác bao gồm các khía cạnh khác nhau".

Peter Stelzhammer, đồng sáng lập của AV-So sánh cho biết: "Có một tuyên bố rõ ràng rằng chỉ có một tính năng của sản phẩm được thử nghiệm. "Nếu Symantec nghĩ rằng tính năng phát hiện tệp là vô giá trị, tại sao nó vẫn được đưa vào sản phẩm?" Stelzhammer chỉ ra rằng phát hiện tệp là cần thiết để dọn dẹp ban đầu và PC không phải lúc nào cũng có kết nối Internet. Mặc dù vậy, "thử nghiệm đã được chạy với kết nối internet đầy đủ và các tính năng đám mây Symantec đã được cấp quyền truy cập vào đám mây của họ."

Borgia thích kiểm tra phát hiện tập tin một mình để kiểm tra các hệ thống an toàn của xe hơi bằng cách trước tiên vô hiệu hóa mọi thứ trừ vành đai, nói rằng thử nghiệm như vậy sẽ "hoàn toàn thiếu sót". Tuy nhiên, một bài kiểm tra như thế có thể xác định rõ các vấn đề với vành đai yếu, vì vậy "hoàn toàn không hoàn hảo" dường như là một lời nói quá.

Thử nghiệm thế giới thực chỉ?

Borgia lưu ý rằng Symantec hỗ trợ mạnh mẽ các thử nghiệm trong thế giới thực, các thử nghiệm "đại diện gần nhất cho môi trường mối đe dọa và sử dụng tất cả các công nghệ chủ động được cung cấp cùng với một sản phẩm." Tôi khó có thể không đồng ý, nhưng những bài kiểm tra như vậy đòi hỏi một lượng lớn thời gian và công sức. Bài đăng trên blog giữ thử nghiệm được thực hiện bởi Dennis Labs là một ví dụ sáng chói. Dennis Labs ghi lại quá trình lây nhiễm từ các URL trong thế giới thực và sau đó sử dụng hệ thống phát lại Web để lặp lại quy trình chính xác dưới sự bảo vệ của mỗi sản phẩm chống vi-rút. Thật đáng ngưỡng mộ, nhưng nó tốn rất nhiều thời gian và công sức.

Bản thân AV-So sánh chạy thử nghiệm trong thế giới thực mỗi ngày, thách thức bộ sưu tập các sản phẩm chống vi-rút được cài đặt trong các giàn kiểm tra giống hệt nhau để bảo vệ chống phần mềm độc hại khỏi hàng trăm URL độc hại trong thế giới thực mới. Hàng tháng họ tóm tắt dữ liệu và mỗi quý họ phát hành một báo cáo Bảo vệ Thế giới Thực đầy đủ. Quá trình này đủ thâm dụng lao động để họ dựa vào sự giúp đỡ của Đại học Innsbruck và dựa vào tài trợ một phần của chính phủ Áo.

Bạn mong muốn Symantec tỏa sáng trong thử nghiệm thế giới thực này của AV-So sánh. "Thật không may, " Stelzhammer lưu ý, "Symantec không muốn tham gia loạt thử nghiệm chính của chúng tôi." Symantec đã chọn không tham gia, họ nói, vì "AV-So sánh không cung cấp cho các nhà cung cấp một thuê bao chỉ tập trung vào các thử nghiệm trong thế giới thực, trong khi từ chối kiểm tra quét tệp." Tuy nhiên, chiến lược này dường như đã phản tác dụng. Mặc dù công ty đã không đăng ký, AV-So sánh đã đưa Symantec vào thử nghiệm theo yêu cầu "vì kết quả đã được độc giả và báo chí của chúng tôi yêu cầu cao."

Nhiều bài kiểm tra có giá trị

Bài đăng trên blog của Symantec kết luận: "Chúng tôi mong đến ngày khi tất cả các bài kiểm tra được công bố là bài kiểm tra trong thế giới thực. Trong khi đó, độc giả cần cẩn thận với các bài kiểm tra nhân tạo cho thấy sự so sánh sản phẩm sai lệch." Tôi cũng sẽ vui mừng khi thấy nhiều bài kiểm tra phù hợp với trải nghiệm thực tế của người dùng, nhưng tôi không nghĩ chúng ta có thể loại bỏ các bài kiểm tra phát hiện tệp.

Xem xét điều này. Nếu bạn mua phần mềm chống vi-rút cho một hệ thống không bao giờ được bảo vệ, bạn sẽ hy vọng phần mềm này sẽ dọn sạch mọi phần mềm độc hại, mà không cần nắm bắt rằng nó không có cơ hội sử dụng phòng chống xâm nhập mạng. Trong trường hợp như vậy, có thể bạn sẽ tìm kiếm điểm cao trong bài kiểm tra như bài kiểm tra theo yêu cầu AV-So sánh theo yêu cầu, bài kiểm tra khá phù hợp với tình huống của bạn.

Để bảo vệ liên tục, vâng, bạn sẽ muốn một sản phẩm đạt điểm cao nhất trong các bài kiểm tra trong thế giới thực. Vì vậy, chọn một sản phẩm đạt điểm cao trong cả hai lĩnh vực và trong các thử nghiệm từ nhiều phòng thí nghiệm. Bằng cách đó, bạn sẽ nhận được sự bảo vệ có thể xử lý mọi sự cố hiện có khi cài đặt và cũng chống lại các cuộc tấn công phần mềm độc hại trong tương lai.