Vídeo: Тестирование Symantec Endpoint Protection 14.2 (De novembre 2024)
En els primers anys de les proves antivirus, totes les proves eren una prova d’exploració a demanda. Els investigadors muntarien una col·lecció de programari maliciós conegut, ferien una exploració completa i registrarien el percentatge de mostres detectades. Els laboratoris moderns treballen de valent per elaborar proves que reflecteixen més de prop l’experiència d’un usuari real, tenint en compte que la gran majoria de les infeccions entren a l’ordinador des d’Internet. Symantec sosté que només és vàlida la mena de proves del món real; No estic del tot d'acord.
Protecció paral·lela?
Alejandro Borgia, director general de gestió de productes de Symantec Corporation, va declarar categòricament a la seva publicació al bloc que "les taxes de detecció citades són enganyoses i no representatives de l'eficàcia del producte real". Borgia va dir: "Aquest tipus de proves d'exploració de fitxers s'executen en entorns artificials que paralitzen totes les funcions de protecció modernes".
És cert que AV-Comparatives es va assegurar que els sistemes de prova tinguessin accés a Internet, donant així a la instal·lació de Symantec accés al potent sistema de reputació de Norton Insight basat en núvol. Quan vaig preguntar als meus contactes de Symantec sobre això, em van explicar que Norton Insight es basa en la informació completa, "com es va obtenir el fitxer, quan es va obtenir o on es va obtenir (per exemple, URL i adreça IP)". Una prova d’escàner d’arxius a demanda sobre fitxers que l’antivirus de Symantec no va observar a l’arribada no és el mateix que quan l’usuari descarregui realment fitxers. És cert, però és el mateix que quan un usuari instal·la antivirus per netejar un problema de malware existent.
Els components de prevenció d’intrusions de xarxa tampoc van tenir ocasió de resoldre’s, ja que les mostres de fitxers es van descarregar abans de la instal·lació de programari antivirus. Un cop més, us trobareu en una situació similar en instal·lar antivirus per primera vegada en un sistema infestat. I, per descomptat, la detecció basada en el comportament no comença mai fins que un programa es comenci a executar.
Com a resposta a una consulta sobre la protecció basada en el comportament, que només s’acciona després que s’iniciés un fitxer maliciós, els meus contactes de Symantec van assenyalar que el "comportament" inclou més que les accions del programa. "La nostra tecnologia comportamental té en compte la ubicació d'un programa, com es registra al sistema (per exemple, quines claus de registre hi fan referència) i molts altres factors", van explicar. "En la majoria dels casos, el programa s'aturarà abans que causi cap mal."
És enganyós?
Quant a l’afirmació que la prova és enganyosa, AV-Comparatives no està d’acord. La introducció a l'informe, que "la taxa de detecció d'un fitxer d'un producte és només un aspecte", i apunta a "altres informes de prova que cobreixen aspectes diferents".
"Es diu clarament que només es prova una característica del producte", va dir Peter Stelzhammer, cofundador d'AV-Comparatives. "Si Symantec creu que la funció de detecció de fitxers no serveix per a res, per què continua inclosa en el producte?" Stelzhammer va assenyalar que la detecció de fitxers és necessària per a la neteja inicial i que els ordinadors no sempre tenen connexió a Internet. Tot i així, "la prova es va executar amb connexió a Internet completa i les funcions de núvol de Symantec han obtingut accés al seu núvol".
Borgia s’assembla a provar la detecció del fitxer només per provar els sistemes de seguretat d’un cotxe desactivant primer tot el cinturó de volta, afirmant que aquesta prova estaria "totalment defectuosa". I, tanmateix, una prova com aquesta podria identificar problemes amb un cinturó a la part dèbil, de manera que "completament defectuosa" sembla una sobreestimació.
Només proves del món real?
Borgia assenyala que Symantec suporta fortament proves del món real, proves "que representen més de prop l'entorn de l'amenaça i utilitzen totes les tecnologies proactives que s'ofereixen amb un producte". Difícilment en puc estar d’acord, però aquestes proves requereixen un gran esforç de temps i temps. El post del bloc recull les proves realitzades per Dennis Labs com un exemple brillant. Dennis Labs registra el procés d’infecció des d’URL del món real i després utilitza un sistema de reproducció web per repetir el mateix procés sota la protecció de cada producte antivirus. És admirable, però cal molt temps i esforç.
AV-Comparatives realitza proves del món real cada dia, desafiant una col·lecció de productes antivirus instal·lats a idèntiques plataformes de prova per defensar-se de programari maliciós de centenars d’URL maliciosos del món real. Cada mes en fan un resum de les dades i cada trimestre publiquen un informe complet sobre la protecció del món real. El procés és prou intensiu en la mà d’obra que depenen de l’ajuda de la Universitat d’Innsbruck i del finançament parcial del govern austríac.
Vostè espera que Symantec brilli en aquesta prova del món real per part de AV-Comparatives. "Desafortunadament", va assenyalar Stelzhammer, "Symantec no volia unir-se a la nostra sèrie de proves principal." Symantec va optar per no participar-hi, perquè "AV-Comparatives no ofereix als venedors una subscripció centrada només en proves del món real, mentre que opta per la prova d'exploració de fitxers". Tanmateix, sembla que aquesta estratègia s'ha retrocedit. Tot i que la companyia no es va subscriure, AV-Comparatives va posar Symantec a la prova sota demanda "ja que els lectors i la premsa han estat molt exigits".
Les proves múltiples tenen valor
La publicació al bloc de Symantec conclou: "Esperem el dia en què totes les proves publicades siguin proves del món real. Mentrestant, els lectors han de tenir compte amb les proves artificials que mostren comparacions enganyoses de productes". Jo també estaria encantat de veure més proves que coincideixin amb l’experiència d’un usuari, però no crec que puguem descartar proves de detecció de fitxers.
Considereu-ho. Si compres programari antivirus per a un sistema que no hagi tingut mai protecció, hauríeu de netejar qualsevol programari maliciós, sense que no se li hagi ocorregut la possibilitat d’utilitzar la seva prevenció d’intrusions a la xarxa. En un cas com aquest, probablement busqueu puntuacions altes en una prova com la prova a demanda comparativa AV-Comparatives, una prova que s’ajusta bastant a la vostra situació.
Per a la protecció contínua, sí, també voldreu un producte que obtingui les millors puntuacions a les proves del món real. Trieu un producte que obtingui un punt més alt en ambdues àrees i en proves de múltiples laboratoris. D’aquesta manera obtindreu una protecció que pugui atendre els problemes existents a la instal·lació i a més evitar els futurs atacs de programari maliciós.