Seu antivírus pode lidar com um ataque de malware de dia zero?

Testar a proteção antivírus baseada em assinatura é muito fácil. Você reúne centenas ou milhares de amostras de malware conhecidas, executa uma varredura e observa quantos detectaram seu produto antivírus. No entanto, para um vírus novo em dia zero (ou outro tipo de malware), não há necessariamente nenhuma assinatura disponível. Testar a proteção contra ameaças de dia zero é difícil, mas os pesquisadores da AV-Comparatives desenvolveram uma técnica que as satisfaz. Observe, porém, que nem todos os fornecedores de antivírus aprovam esse teste específico; muitos optaram por sair da última edição, cujos resultados acabam de ser lançados.

Por definição, não é possível executar um teste usando amostras reais de dia zero. Quando os pesquisadores pudessem capturar e validar uma amostra, os fornecedores de antivírus já estavam a caminho de preparar uma assinatura. O AV-Comparatives simula a detecção de dia zero "congelando" o banco de dados de assinaturas de um produto e, em seguida, usando apenas amostras que apareceram após o grande congelamento.

Alguns produtos detectam novos malwares usando técnicas heurísticas, identificando-os por similaridade com malware conhecido ou por outras características. Os pesquisadores lançaram cada amostra não capturada pelas heurísticas, observando se a detecção baseada em comportamento do produto ou outra proteção em tempo real impedia a infestação. Os produtos obtiveram crédito total por bloquear o malware por si só e meio crédito em situações em que o bloqueio exigia uma decisão correta do usuário.

Very Good Detection

Com base apenas nas taxas de detecção, 11 dos 16 produtos testados teriam recebido uma classificação AVANÇADA +, a classificação mais alta. O Bitdefender liderou este grupo, com 97% de detecção; Kaspersky e Emsisoft gerenciaram 94%. Panda e Avast teriam ganho AVANÇADO. A Microsoft também teria obtido uma classificação AVANÇADA, mas a AV-Comparatives a utiliza apenas como linha de base. No fundo, o AnhLab e o Vipre teriam passado com uma classificação STANDARD.

Positivos falsos traquinas

Os sistemas de detecção heurística e baseada em comportamento devem ser ajustados com muito cuidado para evitar que programas válidos sejam considerados perigosos - é o que chamamos de falso positivo. Muitos dos produtos testados perderam pontos por muitos falsos positivos. Como o teste de detecção foi realizado com assinaturas congeladas em fevereiro passado, os pesquisadores puderam reutilizar os resultados falso-positivos de um teste realizado em março.

Seis dos produtos testados perderam um nível de classificação devido a muitos falsos positivos. Para a Emsisoft, o eScan e o G Data, isso significava passar de ADVANCED + para ADVANCED, enquanto o Panda passava de ADVANCED para STANDARD. Quanto ao AhnLab e ao Vipre, ambos já estavam no nível mais baixo de aprovação, portanto sua classificação final tornou-se meramente TESTADA; eles não passaram.

Controvérsia na nuvem

Os fornecedores que enviam seus produtos para teste pela AV-Comparatives devem concordar em participar de todos os testes necessários. O teste de detecção de arquivos baseado em assinatura é um dos conjuntos necessários; A Symantec não aprova esse teste, e é por isso que você não encontrará resultados para o Norton nos relatórios do AV-Comparatives.

O teste proativo, por outro lado, é opcional. De acordo com o relatório, "AVG, McAfee, Qihoo, Sophos e Trend Micro decidiram não participar, pois seus produtos dependem muito da nuvem". O teste de dia zero necessariamente exclui a detecção baseada em nuvem, pois não há como "congelar" a nuvem. Esses fornecedores consideraram que seus produtos teriam uma pontuação ruim sem acesso a uma conexão em nuvem.

Embora a AV-Comparatives tenha permitido que esses fornecedores desistissem, o relatório os repreende um pouco. "Mesmo várias semanas depois, várias amostras de malware usadas ainda não foram detectadas por alguns produtos dependentes da nuvem, mesmo quando seus recursos baseados na nuvem estavam disponíveis", afirma. "Consideramos uma desculpa de marketing se testes retrospectivos… são criticados por não serem autorizados a usar os recursos da nuvem". O relatório conclui: "Se um arquivo for completamente novo / desconhecido, a nuvem geralmente não poderá determinar se é bom ou malicioso".

Se o seu antivírus obteve uma classificação máxima neste teste, é um bom sinal de que ele se defenderá contra novas ameaças de dia zero. Mas como o teste não usa literalmente amostras nunca antes vistas no mundo real, uma pontuação baixa (ou nenhuma participação) não prova necessariamente que não funcionará. Para um entendimento completo, você deve examinar uma ampla variedade de testes e as análises detalhadas e detalhadas do antivírus da PCMag.