Rumah Jam keamanan Bisakah antivirus Anda menangani serangan malware zero-day?

Bisakah antivirus Anda menangani serangan malware zero-day?

Video: Kena VIRUS ? Cara Mengatasi Virus Pada PC ! (Desember 2024)

Video: Kena VIRUS ? Cara Mengatasi Virus Pada PC ! (Desember 2024)
Anonim

Menguji perlindungan antivirus berbasis tanda tangan sangat mudah. Anda mengumpulkan ratusan atau ribuan sampel malware yang diketahui, menjalankan pemindaian, dan perhatikan berapa banyak produk antivirus Anda terdeteksi. Namun, untuk virus yang baru, zero-day (atau jenis malware lainnya) belum tentu ada tanda tangan. Menguji perlindungan terhadap ancaman zero-day itu sulit, tetapi para peneliti di AV-Comparatives telah menemukan teknik yang memuaskan mereka. Namun, perlu diketahui bahwa tidak semua vendor antivirus menyetujui tes khusus ini; cukup banyak yang memilih keluar dari edisi terbaru, yang hasilnya baru saja dirilis.

Menurut definisi, tidak mungkin menjalankan tes menggunakan sampel nol hari yang sebenarnya. Pada saat para peneliti dapat menangkap dan memvalidasi sampel, vendor antivirus sudah berada di jalan untuk menyiapkan tanda tangan. AV-Comparatives mensimulasikan deteksi nol hari dengan "membekukan" basis data tanda tangan produk dan kemudian hanya menggunakan sampel yang pertama kali muncul setelah pembekuan besar.

Beberapa produk akan mendeteksi malware baru menggunakan teknik heuristik, mengidentifikasinya dengan kemiripan dengan malware yang diketahui atau dengan karakteristik lain. Para peneliti meluncurkan setiap sampel yang tidak tertangkap oleh heuristik, mencatat apakah deteksi berbasis perilaku produk atau perlindungan waktu-nyata lainnya mencegah infestasi. Produk mendapatkan kredit penuh untuk memblokir malware dengan sendirinya dan setengah-kredit dalam situasi di mana pemblokiran membutuhkan keputusan yang benar oleh pengguna.

Deteksi Sangat Baik

Hanya berdasarkan pada tingkat deteksi mereka, 11 dari 16 produk yang diuji akan mendapatkan peringkat ADVANCED +, peringkat teratas. Bitdefender menduduki puncak grup ini, dengan deteksi 97 persen; Kaspersky dan Emsisoft keduanya berhasil 94 persen. Panda dan Avast akan mendapatkan ADVANCED. Microsoft juga akan mendapatkan peringkat ADVANCED, tetapi AV-Comparatives hanya menggunakannya sebagai data dasar. Di bagian bawah, AnhLab dan Vipre akan lulus dengan peringkat STANDARD.

Positif Palsu sial

Sistem deteksi heuristik dan berbasis perilaku harus sangat hati-hati disetel untuk menghindari penandaan program yang valid sebagai berbahaya - itulah yang kami sebut false positive. Cukup banyak produk yang diuji kehilangan poin karena terlalu banyak positif palsu. Karena tes deteksi dilakukan menggunakan tanda tangan yang dibekukan Februari lalu, para peneliti dapat menggunakan kembali hasil positif palsu dari tes yang dilakukan pada bulan Maret.

Enam dari produk yang diuji kehilangan satu tingkat peringkat karena terlalu banyak kesalahan positif. Untuk Emsisoft, eScan, dan G Data, itu berarti turun dari ADVANCED + ke ADVANCED, sementara Panda turun dari ADVANCED ke STANDARD. Adapun AhnLab dan Vipre, mereka berdua sudah berada di level kelulusan terendah, sehingga peringkat akhir mereka menjadi hanya DIUJI; mereka tidak lulus.

Kontroversi Awan

Vendor yang mengirimkan produk mereka untuk pengujian oleh AV-Comparatives harus setuju untuk berpartisipasi dalam semua pengujian yang diperlukan. Tes deteksi file berbasis tanda tangan adalah salah satu set yang diperlukan; Symantec tidak menyetujui tes itu, itulah sebabnya Anda tidak akan menemukan hasil untuk Norton dalam laporan AV-Comparatives.

Tes proaktif, di sisi lain, adalah opsional. Menurut laporan itu, "AVG, McAfee, Qihoo, Sophos, dan Trend Micro memutuskan untuk tidak ambil bagian, karena produk mereka sangat bergantung pada cloud." Tes zero-day tentu tidak termasuk deteksi berbasis cloud, karena tidak ada cara untuk "membekukan" cloud. Vendor-vendor ini merasa produk mereka akan mendapat skor buruk tanpa akses ke koneksi cloud.

Sementara AV-Comparatives memang memungkinkan vendor ini untuk mundur, laporan tersebut memarahi mereka sedikit. "Bahkan beberapa minggu kemudian, sejumlah sampel malware yang digunakan masih belum terdeteksi oleh beberapa produk yang bergantung pada cloud, bahkan ketika fitur berbasis cloud mereka tersedia, " katanya. "Kami menganggapnya sebagai alasan pemasaran jika tes retrospektif… dikritik karena tidak diizinkan menggunakan sumber daya cloud." Laporan itu menyimpulkan, "Jika suatu file benar-benar baru / tidak dikenal, cloud biasanya tidak akan dapat menentukan apakah itu baik atau jahat."

Jika antivirus Anda mendapatkan peringkat teratas dalam tes ini, itu pertanda baik bahwa ia akan bertahan terhadap ancaman zero-day baru. Tetapi karena tes tersebut tidak benar-benar menggunakan sampel dunia nyata yang belum pernah dilihat sebelumnya, skor yang buruk (atau tidak ada partisipasi) tidak selalu membuktikan bahwa itu tidak akan berhasil. Untuk pemahaman penuh, Anda akan ingin melihat berbagai tes, dan pada tinjauan antivirus mendalam PCMag.

Bisakah antivirus Anda menangani serangan malware zero-day?