تعلن شركة سيمانتك أن اختبارات مكافحة الفيروسات عند الطلب مضللة

في الأسبوع الماضي ، أصدر مختبر AV المستقل لمكافحة الفيروسات نتائج اختبار الكشف عن الفيروسات عند الطلب. حقيقة أن مايكروسوفت جاءت في القاع لم تكن أخباراً كبيرة ؛ حقيقة أن سجل سيمانتيك أقل حتى كان مفاجأة في الواقع. في منشور نشرته اليوم ، شجبت سيمانتك الممارسة الكاملة لأداء اختبارات مسح البرامج الضارة عند الطلب ، واصفة إياها بأنها "مضللة".

في السنوات الأولى من اختبار مكافحة الفيروسات ، كان كل اختبار اختبار مسح على الطلب. سيقوم الباحثون بتجميع مجموعة من البرامج الضارة المعروفة وإجراء مسح كامل وتسجيل النسبة المئوية للعينات المكتشفة. تعمل المختبرات الحديثة جاهدة على ابتكار اختبارات تعكس بشكل أوثق تجربة المستخدم الواقعية ، مع الأخذ في الاعتبار حقيقة أن الغالبية العظمى من الإصابات تدخل الكمبيوتر من الإنترنت. تؤكد سيمانتيك أن نوع الاختبار الواقعي فقط هو الصحيح ؛ أنا لا أتفق تماما.

حماية بالشلل؟

صرح Alejandro Borgia ، المدير الأول لإدارة المنتجات في شركة Symantec Corporation ، بشكل قاطع في مدونته أن "معدلات الكشف المذكورة مضللة وليست ممثلة لفعالية المنتج في العالم الحقيقي." وقال بورجيا: "يتم تشغيل هذه الأنواع من اختبارات فحص الملفات في بيئات اصطناعية تشل جميع ميزات الحماية الحديثة."

صحيح أن AV-Comparatives قد حرصت على وصول أنظمة الاختبار إلى الإنترنت ، وبالتالي منح تثبيت Symantec الوصول إلى نظام سمعة Norton Insight القوي القائم على السحابة. عندما سألت جهات اتصال سيمانتيك حول هذا الموضوع ، أوضحوا أنه للحصول على الطاقة الكاملة ، تعتمد Norton Insight على المعلومات الكاملة ، "كيفية الحصول على الملف ، أو متى تم الحصول عليه ، أو من حيث تم الحصول عليه (مثل عنوان URL وعنوان IP)." اختبار الماسح الضوئي عند الطلب على الملفات التي لم يلاحظها برنامج مكافحة الفيروسات سيمانتيك لا يختلف عن الوقت الذي يقوم فيه المستخدم بالفعل بتنزيل الملفات. هذا صحيح ، لكنه يختلف عن تثبيت أحد برامج مكافحة الفيروسات لتنظيف مشكلة البرامج الضارة الحالية.

لم تحصل مكونات منع اقتحام الشبكة أيضًا على فرصة للمساعدة ، حيث تم تنزيل عينات الملفات قبل تثبيت برنامج مكافحة الفيروسات. مرة أخرى ، ستكون في وضع مشابه عند تثبيت برنامج مكافحة الفيروسات لأول مرة على نظام مصاب. وبالطبع لا يبدأ الكشف المستند إلى السلوك حتى يبدأ تنفيذ البرنامج فعليًا.

استجابةً لاستعلام حول الحماية المستندة إلى السلوك واتخاذ الإجراء فقط بعد بدء تشغيل ملف ضار ، أوضحت جهات اتصال Symantec أن "السلوك" يشمل أكثر من الإجراءات التي يتخذها البرنامج. "إن تقنية السلوك لدينا تأخذ في الاعتبار موقع البرنامج ، وكيف يتم تسجيله على النظام (على سبيل المثال ، ما هي مفاتيح التسجيل التي تشير إليه) ، والعديد من العوامل الأخرى ،" أوضحوا. "في معظم الحالات ، سيتم إيقاف البرنامج قبل أن يسبب أي ضرر."

هل هي مضللة؟

بالنسبة للادعاء بأن الاختبار مضلل ، لا توافق AV-Comparatives. مقدمة للتقرير نفسه أن "معدل الكشف عن ملف منتج هو جانب واحد فقط" ، ويشير إلى "تقارير اختبار أخرى تغطي جوانب مختلفة."

وقال بيتر ستيلزهامر ، الشريك المؤسس لشركة AV-Comparatives: "من الواضح أنه تم اختبار ميزة واحدة فقط للمنتج". "إذا كانت سيمانتك تفكر في أن ميزة الكشف عن الملفات لا قيمة لها ، فلماذا لا تزال مدرجة في المنتج؟" أشار Stelzhammer إلى أن الكشف عن الملفات ضروري للتنظيف الأولي ، وأن أجهزة الكمبيوتر الشخصية لا تحتوي دائمًا على اتصال بالإنترنت. ومع ذلك ، "تم تشغيل الاختبار باستخدام اتصال إنترنت كامل وتم منح ميزات سحابة Symantec الوصول إلى السحابة الخاصة بهم."

يشبه Borgia اختبار الكشف عن الملفات بمفرده باختبار أنظمة أمان السيارة عن طريق تعطيل كل شيء أولاً باستثناء حزام اللفة ، مشيرًا إلى أن مثل هذا الاختبار سيكون "معيبًا تمامًا". ومع ذلك ، فإن اختبارًا كهذا قد يحدد المشكلات في حزام اللفة الضعيف ، لذلك "معيبة تمامًا" تبدو مبالغة.

اختبارات العالم الحقيقي فقط؟

يلاحظ بورجيا أن سيمانتك تدعم بقوة اختبارات العالم الحقيقي ، والاختبارات "التي تمثل بشكل وثيق بيئة التهديد وتستخدم جميع التقنيات الاستباقية المقدمة مع المنتج". لا أستطيع الاختلاف ، لكن هذه الاختبارات تتطلب قدراً كبيراً من الوقت والجهد. يحمل منشور المدونة الاختبار الذي أجرته Dennis Labs كمثال ساطع. تقوم Dennis Labs بتسجيل عملية الإصابة من عناوين URL في العالم الحقيقي ثم تستخدم نظامًا لإعادة الويب لتكرار نفس العملية تحت حماية كل منتج من منتجات مكافحة الفيروسات. رائع حقًا ، لكنه يتطلب الكثير من الوقت والجهد.

تقوم AV-Comparatives نفسها بإجراء اختبارات في العالم الحقيقي كل يوم ، وتتحدى مجموعة من منتجات مكافحة الفيروسات المثبتة في منصات اختبار مماثلة للدفاع ضد البرامج الضارة من مئات من عناوين URL الخبيثة الجديدة في العالم الحقيقي. كل شهر يقومون بتلخيص البيانات ، وكل ثلاثة أشهر يقومون بإصدار تقرير Real World Protection. العملية كثيفة العمالة بدرجة كافية بحيث تعتمد على مساعدة من جامعة إنسبروك وعلى تمويل جزئي من الحكومة النمساوية.

كنت تتوقع أن تتألق سيمانتيك في هذا الاختبار الواقعي بواسطة AV-Comparatives. "للأسف ،" لاحظ ستيلزهامر ، "سيمانتيك لا تريد الانضمام إلى سلسلة الاختبارات الرئيسية لدينا." وقالوا إن سيمانتك اختارت عدم المشاركة ، لأن "AV-Comparatives لا تقدم للبائعين اشتراكًا يركز فقط على الاختبارات في العالم الحقيقي ، مع إلغاء الاشتراك في اختبار فحص الملفات." ومع ذلك ، يبدو أن هذه الاستراتيجية قد جاءت بنتائج عكسية. على الرغم من أن الشركة لم تشترك ، إلا أن AV-Comparatives وضعت سيمانتك في الاختبار حسب الطلب "لأن النتائج كانت مطلوبة بشدة من قرائنا والصحافة".

اختبارات متعددة لها قيمة

ويخلص منشور مدونة سيمانتيك إلى "أننا نتطلع إلى اليوم الذي تكون فيه جميع الاختبارات المنشورة اختبارات في العالم الحقيقي. في غضون ذلك ، يحتاج القراء إلى توخي الحذر من الاختبارات المصطنعة التي تعرض مقارنات مضللة للمنتج". أنا أيضًا ، سأشعر بسعادة غامرة لرؤية المزيد من الاختبارات التي تتوافق مع تجربة المستخدم الواقعية ، لكنني لا أعتقد أننا نستطيع تجاهل اختبارات الكشف عن الملفات.

النظر في هذا. إذا قمت بشراء برنامج مكافحة فيروسات لنظام لا يتمتع بأي حماية على الإطلاق ، فستتوقع أن يقوم بتنظيف أي وجميع البرامج الضارة ، دون أن يدرك أنه لم يعط فرصة لاستخدام منع اختراق الشبكة. في حالة كهذه ، من المحتمل أن تبحث عن نتائج عالية في اختبار مثل اختبار AV-Comparatives عند الطلب ، وهو اختبار يتطابق مع الموقف إلى حد ما.

للحماية المستمرة ، نعم ، ستحتاج إلى منتج يحصل على أعلى الدرجات في اختبارات العالم الحقيقي أيضًا. لذا اختر منتجًا يحرز درجات عالية في كلا المجالين وفي الاختبارات من مختبرات متعددة. وبهذه الطريقة ، ستحصل على حماية يمكنها التعامل مع أي مشاكل موجودة عند التثبيت وأيضًا صد هجمات البرامج الضارة في المستقبل.