معرفی: در تست حفاظت در مقابل بدافزار، هدف اصلی، شناسایی بهترین و قویترین آنتی ویروس ها برای مقابله با بدافزارها میباشد. این مقاله برگرفته از “تست حفاظت در مقابل بدافزار AV-Comparatives March 2023” میباشد. در این تست فایل های مخرب بر روی سیستم اجرا می شوند. در حالی که در تست “حفاظت از دنیای واقعی” تست ها بیشتر بر پایه وب گرفته میشود اما در تست “حفاظت در مقابل بدافزار” تست ها عمدتا بر پایه مواردی است که بدافزار از قبل روی دیسک وجود دارد برای مثال درایوهای شبکه، USB و موارد اینچنینی.
در این تست از نسخه Internet Security نرم افزارهای مورد آزمایش قرار گرفته استفاده شده است.
Kaspersky — Bitdefender — ESET — Norton — McAfee — Panda — Avira — AVG — Avast — F-Secure — GData — K7 — Microsoft Defender — TrendMicro
همه محصولات بر روی سیستم ویندوز 10 مایکروسافت 64 بیتی کاملاً به روز نصب شده بودند. محصولات در ابتدای ماه مارس با تنظیمات پیش فرض و با استفاده از آخرین به روز رسانی های خود تست شدند.
تست حفاظت در مقابل بدافزار، با هدف شناسایی بهترین و قویترین آنتی ویروس ها برای مقابله با بدافزارها انجام میگیرد. در این تست توانایی یک برنامه امنیتی را برای محافظت از سیستم در برابر آلودگی توسط فایل های مخرب، قبل – حین یا بعد از اجرا ارزیابی می کند. روش مورد استفاده برای هر محصول آزمایش شده به شرح زیر است:
قبل از اجرا، تمام نمونههای آزمایشی توسط برنامه امنیتی، تحت اسکن های، “اسکن در زمان دسترسی” و “اسکن درخواستی” قرار میگیرند، که هر کدام از اینها به صورت آفلاین و آنلاین انجام میشوند.
هر نمونه ای که توسط هیچ یک از این اسکن ها شناسایی نشده باشد، سپس در سیستم با دسترسی اینترنت/ابر اجرا می شود و ویژگی های تشخیص رفتار وارد بازی می شوند. اگر محصولی از تمام تغییرات ایجاد شده توسط یک نمونه بدافزار خاص در یک بازه زمانی معین جلوگیری نکند، آن مورد آزمایشی “اشتباه شده” محسوب میشود. اگر از کاربر خواسته شود تصمیم بگیرد که آیا یک نمونه بدافزار باید اجرا شود یا خیر، در صورت مشاهده بدترین تصمیم گیری توسط کاربر، مورد آزمایشی به عنوان “وابسته به کاربر” رتبه بندی می شود.
تست تشخیص فایل که در سالهای گذشته انجام میشد یک تست “فقط تشخیص” بود. یعنی فقط توانایی برنامه های امنیتی را برای شناسایی فایل مخرب قبل از اجرا آزمایش می کرد. این توانایی یکی از ویژگی های مهم یک محصول آنتی ویروس است و برای هر کسی حیاتی به حساب می آید. برای مثال وقتی میخواهید قبل از ارسال آن فایل به دوستان، خانواده یا همکاران، بیضرر بودن فایل را بررسی کنید.
اما این تست محافظت از بدافزار نه تنها نرخ تشخیص، بلکه قابلیتهای حفاظتی را نیز بررسی میکند، یعنی توانایی جلوگیری از ایجاد هرگونه تغییر در سیستم توسط یک برنامه مخرب.
در برخی موارد، یک برنامه آنتی ویروس ممکن است یک نمونه بدافزار را زمانی که غیرفعال است تشخیص ندهد اما زمانی که اجرا میشود آن را تشخیص دهد.
علاوه بر این، تعدادی از محصولات آنتی ویروس از روش “تشخیص رفتاری” برای جستجو و مسدود کردن تلاشهای یک برنامه مخرب برای انجام تغییرات سیستمی استفاده میکنند.
تست “حفاظت در مقابل بدافزار” ما، توانایی کلی محصولات امنیتی را برای محافظت از سیستم در برابر برنامههای مخرب، چه قبل، حین یا بعد از اجرا، اندازهگیری میکند. این تست، “تست حفاظت از دنیای واقعی” ما را تکمیل میکند، که نمونههای بدافزار خود را از URLهای زنده تهیه میکند و به ویژگیهایی مانند مسدودکنندههای URL اجازه میدهد تا وارد عمل شوند. هر دو آزمایش شامل اجرای هر بدافزاری است که توسط ویژگی های دیگر شناسایی نشده است، بنابراین به ویژگی های “آخرین خط دفاعی” اجازه می دهد تا وارد بازی شود.
یکی از مهمترین مکانیسمهای “تشخیص ابری” این است: نویسندگان بدافزار دائماً به دنبال روشهای جدید برای دور زدن مکانیسمهای شناسایی و امنیتی هستند. استفاده از تشخیص ابری، سازندگان محصولات امنیتی را قادر میسازد تا فایلهای مشکوک را به صورت آنی شناسایی و طبقهبندی کنند تا از کاربر در برابر بدافزارهایی که در حال حاضر ناشناخته هستند محافظت کنند. نگه داشتن برخی از بخشهای فناوری حفاظت، در فضای ابری، مانع از تطبیق سریع نویسندگان بدافزارها با قوانین جدید تشخیص میشود.
مجموعه آزمایشی مورد استفاده برای این آزمایش، شامل 10015 نمونه بدافزار بود که پس از مشورت با دادههای تله متری با هدف گنجاندن نمونههای رایج اخیر که کاربران را در این زمینه به خطر میاندازند جمعآوری شدند. روند جمع آوری نمونه در اواسط فوریه 2023 متوقف شد.
نرخهای حفاظت از بدافزار با روش خوشهبندی سلسله مراتبی توسط آزمایشکنندگان گروهبندی میشوند. با این حال، در مواردی که منطقی نیست، تسترها خیلی به این موضوع پایبند نیستند. به عنوان مثال، در سناریویی که همه محصولات به نرخ حفاظت پایین دست مییابند محصولاتی که بالاترین امتیاز را دارند، لزوماً بالاترین جایزه ممکن را دریافت نمیکنند.
تعداد موارد “مثبت غلط” نیز می تواند بر رتبه یک محصول تأثیر بگذارد. آزمایشکنندهها روشهای آماری را هنگام تعریف محدودههای مثبت غلط در نظر میگیرند. محدودههای FP برای دستههای مختلف نشان داده شده در زیر ممکن است در صورت لزوم تطبیق داده شوند (مثلاً اگر اندازه مجموعه فایلهای تمیز را تغییر دهیم).
بسیاری از محصولات آزمایش شده از فناوریهای ابری یا امضاهای مبتنی بر ابر استفاده میکنند که تنها در صورت وجود اتصال اینترنتی قابل دسترسی هستند.
با انجام “اسکن در زمان دسترسی” و “اسکن درخواستی” به صورت آفلاین و آنلاین، مشخص میشود که هر محصول چقدر به ابر وابسته است، و در نتیجه در صورت در دسترس نبودن اتصال به اینترنت، چقدر از سیستم محافظت میکند.
ما پیشنهاد می کنیم که تولیدکنندگان محصولات امنیتی که به میزان زیادی وابسته به فناوری ابر هستند باید در صورت قطع اتصال به ابر به طور مناسب به کاربران هشدار دهند، زیرا ممکن است به طور قابل توجهی بر حفاظت ارائه شده تأثیر بگذارد.
در حالی که ما در آزمایش خود بررسی میکنیم که سرویسهای ابری تولید کنندگان محصولات امنیتی قابل دسترسی باشند، کاربران باید بدانند که صرف آنلاین بودن لزوماً به این معنی نیست که سرویس ابری محصول آنها در دسترس است و به درستی کار میکند.
برای اطلاع خوانندگان و به دلیل درخواستهای مکرر از مجلات و تحلیلگران، ما همچنین نشان میدهیم که چه تعداد از نمونهها توسط هر برنامه امنیتی در اسکنهای تشخیص آفلاین و آنلاین شناسایی شدهاند.
لطفاً هنگام مشاهده نرخهای حفاظتی زیر، نرخهای “هشدار غلط” را نیز در نظر بگیرید.
هشدارهای غلط | نرخ حفاظت آنلاین | نرخ تشخیص آنلاین | نرخ تشخیص آفلاین | |
2 | 99.97% | 99.5% | 96.9% | Avast |
2 | 99.97% | 99.5% | 96.9% | AVG |
2 | 99.96% | 99.1% | 97.0% | Avira |
6 | 99.94% | 98.1% | 98.1% | Bitdefender |
0 | 99.94% | 97.4% | 97.4% | ESET |
14 | 99.96% | 98.7% | 96.9% | F-Secure |
2 | 99.95% | 98.8% | 98.8% | G DATA |
67 | 99.87% | 96.6% | 96.6% | K7 |
2 | 99.96% | 97.9% | 90.0% | Kaspersky |
9 | 99.99% | 99.7% | 89.6% | McAfee |
32 | 99.98% | 99.3% | 83.1% | Microsoft |
3 | 99.99% | 99.7% | 91.1% | Norton |
102 | 99.97% | 95.5% | 72.2% | Panda |
0 | 99.97% | 98.8% | 96.8% | TotalAV |
6 | 99.91% | 98.1% | 98.1% | Total Defense |
10 | 97.19% | 91.8% | 60.9% | Trend Micro |
میزان حفاظت | در معرض خطر | وابسته به کاربر | مسدود سازی | |
99.99% | 1 | – | 10014 | McAfee / Norton |
99.98% | 2 | – | 10013 | Microsoft |
99.97% | 3 | – | 10012 | Panda / TotalAV |
99.97% | 2 | 2 | 10011 | Avast / AVG |
99.96% | 4 | – | 10011 | Avira / F-Secure / Kaspersky |
99.95% | 5 | – | 10010 | G Data |
99.94% | 6 | – | 10009 | Bitdefender / ESET |
99.91% | 9 | – | 10006 | Total Defense |
99.87% | 13 | – | 10002 | K7 |
97.19% | 281 | – | 9734 | Trend Micro |
به منظور ارزیابی بهتر کیفیت محصولات آنتی ویروس در قابلیت تشخیص فایل های تمیز از فایل های مخرب، تست هشدار غلط را ارائه می دهیم. هشدارهای غلط گاهی اوقات می توانند دردسر زیادی ایجاد کنند. لطفاً هنگام بررسی نرخهای تشخیص، نرخ هشدار غلط را نیز در نظر بگیرید زیرا محصولی که مستعد هشدارهای غلط است ممکن است در نتیجه آزمایش بتواند به نرخ تشخیص بالاتری دست یابد اما هشدارهای غلط چنین آنتی ویروسی میتواند دردسرهای زیادی برای کاربران خود درست کند. در این آزمایش، مجموعه ای از فایل های تمیز اسکن و اجرا شد (همانطور که با بدافزار انجام شد و نتایج زیر بدست آمد).
با توجه به نمودار فوق، میزان هشدارهای غلط محصول ESET بسیار پایین است و تا محصول Kaspersky و همچنین Norton هم مشکلی که باعث به دردسر افتادن کاربر شود وجود ندارد. اما در محصول Bitdefender میزان هشدارهای غلط 3 برابر Kaspersky میشود که این موضوع میتواند باعث اذیت کاربران Bitdefender شود.
در انتهای لیست هم میزان هشدارهای K7 و Panda وحشتناک بالاست و دردسرهای بسیاری برای کاربران خود ایجاد میکنند.
نباید فقط به نرخ شناسایی و مسدودسازی آنها توجه کرد زیرا محصولی که در شناسایی درصد بالایی از فایلهای مخرب موفق است اما از هشدارهای غلط رنج میبرد، ممکن است لزوماً بهتر از محصولی نباشد که فایلهای مخرب کمتری را شناسایی میکند، اما هشدارهای نادرست کمتری تولید میکند.