Ложь, большая ложь и антивирусы. «Ересь вселенская»

Средства безопасности — это чёрные ящики для их пользователей. Простой обыватель не способен понять, какова эффективность той защиты, которую он купил или собирается. Нужны тесты. Тесты, организуемые профессионалами.

До последнего времени, было всего два вида тестов средств защиты от заражений– прямой и ретроспективный тест сканирующего антивирусного движка. Больше ничего. Вообще.

Прямой тест — когда берётся коллекция из, примерно, миллиона образцов, непонятно как и где собранные, с неизвестным количеством мусора, который вообще не запускается, и на всё это безобразие напускают сканирующий движок. Дёшево и сердито. Ретроспективный тест — это тест с «замороженными» сигнатурными базами. Они перестают обновляться несколько недель, а потом на свежепоступившее мясо натравливают тот же антивирусный сканер.

Как видите, в таких тестах нет места для инновационных подходов к предотвращения заражения. Тестируется только сканирующий движок, как будто ничего другого вообще не существует. Однако у большинства современных антивирусов появился поведенческий блокиратор и фильтр URL, тестировать которые старыми методами невозможно.

И тогда появилась организация AMTSO, которая занимается выработкой подходов для кардинально нового, так называемого динамического, тестирования. То есть, собираются ссылки на зловредные приложения и запускаются на тестовом стенде. Тут уже могут сработать и ссылочные фильтры, и поведенческий блокиратор, а сам тест становится более приближенным к реальности.

Динамические тесты технически значительно сложнее, чем простой прогон движка-сканера по коллекции зловредных модулей. Фактически, ни одна из тестирующих организаций не делает данный тест на регулярной основе, некоторые пока только находятся на этапе подготовки. Динамические тесты на предотвращение заражения, видимо, плотно войдут в нашу жизни лишь в 2011-2012 годах, становясь основным мерилом эффективности средств защиты.

Полагаю, что многие производители постараются замолчать либо исказить результаты подобных тестов, плотно сосредоточившись на устаревших «сигнатурных», поскольку результаты будут отнюдь не в их пользу. В ноябре 2009 вышел первый динамический тест, произведённый российским порталом в области безопасности Anti-Malware. Вот его результаты.

Как видно, старые подходы к обеспечению защищённости компьютеров с треском проиграли новым, пробивающим себе дорогу в жизнь. А теперь посмотрим на реакцию производителей средств защиты. Откликнулась только Лаборатория Касперского, маркетологи которой лёгким движением руки превратили второе место Kaspersky Internet Security в... первое! Не верите — вот вам ссылка. Все остальные просто проигнорировали тест, как будто его вообще не существует.

Ну и правильно — виллане не должны знать факты, смущающие ум, они должны верить и работать, а главное — кормить хозяина. Чтобы одна только мысль о том, что существуют альтернативные подходы к защите от заражения компьютера, воспринималась ими как ересь вселенская!



Напомню, что это четвёртая часть серию статей автора Илья Рабинович, посвящённую некоторым аспектам так называемой «антивирусной индустрии»:

1. Ложь, большая ложь и антивирусы. «А они первыми начали!»
2. Ложь, большая ложь и антивирусы. «Уважаемая редакция!»
3. Ложь, большая ложь и антивирусы. «Это бизнес, детка!»