بيت Securitywatch يمكن مكافحة الفيروسات الخاص بك التعامل مع هجوم البرمجيات الخبيثة في اليوم صفر؟

يمكن مكافحة الفيروسات الخاص بك التعامل مع هجوم البرمجيات الخبيثة في اليوم صفر؟

فيديو: الفضاء - علوم الفلك للقرن الØادي والعشرين (شهر نوفمبر 2024)

فيديو: الفضاء - علوم الفلك للقرن الØادي والعشرين (شهر نوفمبر 2024)
Anonim

يعد اختبار الحماية من الفيروسات المستند إلى التوقيع بمثابة أداة مبكرة. تقوم بتجميع مئات أو الآلاف من عينات البرامج الضارة المعروفة ، وتقوم بإجراء مسح ، ولاحظ عدد منتجات مكافحة الفيروسات التي تم اكتشافها. ومع ذلك ، لا يوجد توقيع متاح لفيروس جديد تمامًا أو أي نوع آخر من البرامج الضارة. يعد اختبار الحماية من تهديدات اليوم صفر صعباً ، لكن الباحثين في AV-Comparatives قد توصلوا إلى أسلوب يرضيهم. لاحظ ، رغم ذلك ، أن جميع موردي برامج مكافحة الفيروسات لا يوافقون على هذا الاختبار المحدد ؛ لقد تم اختيار عدد غير قليل من الإصدار الأخير ، الذي تم إصدار نتائجه للتو.

بحكم التعريف ، لا يمكن إجراء اختبار باستخدام عينات اليوم صفر الفعلية. بحلول الوقت الذي يمكن فيه للباحثين التقاط عينة والتحقق من صحتها ، سيكون بائعو برامج مكافحة الفيروسات في طريقهم بالفعل لإعداد توقيع. تحاكي AV-Comparatives اكتشاف اليوم صفر من خلال "تجميد" قاعدة بيانات توقيع المنتج ثم استخدام العينات التي ظهرت لأول مرة بعد التجميد الكبير.

سوف تكتشف بعض المنتجات برامج ضارة جديدة باستخدام تقنيات مجريات الأمور ، وتحديدها عن طريق التشابه مع البرامج الضارة المعروفة أو غيرها من الخصائص. أطلق الباحثون كل عينة لم يتم اكتشافها من قبل الاستدلال ، مشيرين إلى ما إذا كان الكشف القائم على سلوك المنتج أو غيره من أشكال الحماية في الوقت الحقيقي يمنع الإصابة. نالت المنتجات رصيدًا كاملاً لحظر البرامج الضارة جميعها بنفسها ونصف رصيد في المواقف التي تتطلب فيها عملية الحظر قرارًا صحيحًا من قبل المستخدم.

كشف جيد جدا

استنادًا إلى معدلات الكشف الخاصة بهم فقط ، كان 11 من 16 منتجًا تم اختباره قد حصل على تصنيف ADVANCED + ، وهو أعلى تصنيف. بيتدفندر تصدرت هذه المجموعة ، مع الكشف عن 97 في المئة ؛ تمكنت كل من Kaspersky و Emsisoft 94 في المئة. كان باندا وأفاست قد حصلا على جائزة متقدمة. حصلت Microsoft أيضًا على تصنيف متقدم ، لكن AV-Comparatives تستخدمه فقط كخط أساس. في الجزء السفلي ، كان AnhLab و Vipre قد حصلوا على تصنيف قياسي.

ايجابيات الغش المزيفة

يجب ضبط أنظمة الكشف عن مجريات الأمور وقواعد السلوك بعناية فائقة لتجنب وضع علامة على البرامج الصالحة بأنها خطيرة - وهذا ما نسميه إيجابيًا خاطئًا. لقد خسر عدد قليل من المنتجات المختبرة نقاطًا للعديد من الإيجابيات الخاطئة. منذ إجراء اختبار الكشف باستخدام التواقيع المجمدة في فبراير الماضي ، تمكن الباحثون من إعادة استخدام النتائج الإيجابية الخاطئة من اختبار تم إجراؤه في مارس.

فقدت ستة من المنتجات التي تم اختبارها مستوى تصنيف واحد نظرًا لوجود عدد كبير جدًا من الإيجابيات الخاطئة. بالنسبة لـ Emsisoft و eScan و G Data ، كان هذا يعني الانخفاض من ADVANCED + إلى ADVANCED ، بينما انخفض Panda من ADVANCED إلى STANDARD. بالنسبة إلى AhnLab و Vipre ، فقد كان كلاهما في أدنى مستويات النجاح ، لذلك أصبح تصنيفهم النهائي مجرد اختبار ؛ هم لم ينجحوا.

سحابة الجدل

يجب أن يوافق البائعون الذين يقدمون منتجاتهم للاختبار بواسطة AV-Comparatives على المشاركة في جميع الاختبارات المطلوبة. يعد اختبار الكشف عن الملفات المستند إلى التوقيع أحد المجموعات المطلوبة ؛ لا توافق Symantec على هذا الاختبار ، ولهذا السبب لن تجد نتائج لـ Norton في تقارير AV-Comparatives.

الاختبار الاستباقي ، من ناحية أخرى ، هو اختياري. وفقًا للتقرير ، "قررت AVG و McAfee و Qihoo و Sophos و Trend Micro عدم المشاركة ، حيث تعتمد منتجاتها بشكل كبير على السحابة." يستبعد اختبار اليوم صفر بالضرورة الكشف المستند إلى مجموعة النظراء ، حيث لا توجد طريقة "لتجميد" السحابة. شعر هؤلاء البائعون أن منتجاتهم ستحقق نتائج سيئة دون الوصول إلى اتصال سحابي.

على الرغم من أن AV-Comparatives سمحت لهؤلاء البائعين بالانحناء ، إلا أن التقرير وبخهم قليلاً. "حتى بعد عدة أسابيع ، لم يتم اكتشاف عدد من عينات البرامج الضارة المستخدمة من قبل بعض المنتجات التي تعتمد على السحابة ، حتى عندما كانت ميزاتها المستندة إلى مجموعة النظراء متوفرة" ، وفقًا لما جاء في التقرير. "نحن نعتبر ذلك عذرًا للتسويق إذا تم اختبار الاختبارات بأثر رجعي… لعدم السماح لها باستخدام الموارد السحابية." يخلص التقرير إلى أنه "إذا كان الملف جديدًا / غير معروف تمامًا ، فلن تتمكن السحابة عادة من تحديد ما إذا كان ملفًا جيدًا أو ضارًا."

إذا حصلت مكافحة الفيروسات على أعلى تصنيف في هذا الاختبار ، فهذا مؤشر جيد على أنها ستدافع عن تهديدات اليوم صفر الجديدة تمامًا. ولكن نظرًا لأن الاختبار لا يستخدم حرفيًا عينات من العالم الحقيقي لم يسبق له مثيل ، فإن النتيجة الضعيفة (أو عدم المشاركة) لا تثبت بالضرورة أنها لن تؤدي المهمة. للحصول على فهم كامل ، ستحتاج إلى إلقاء نظرة على مجموعة واسعة من الاختبارات ، وعلى مراجعات PCMag العميقة لمكافحة الفيروسات.

يمكن مكافحة الفيروسات الخاص بك التعامل مع هجوم البرمجيات الخبيثة في اليوم صفر؟