Независимые состряпали очередной "независимый" тест.
#1
Отправлено 03 Ноябрь 2009 - 02:12
#2
Отправлено 03 Ноябрь 2009 - 02:48
#3
Отправлено 03 Ноябрь 2009 - 07:56
#4
Отправлено 03 Ноябрь 2009 - 08:18
#5
Отправлено 03 Ноябрь 2009 - 08:27
хттп://www.anti-malware.ru/antivirus_test_zero-day_protection#part2Эм... Про какое именно тестирование речь?
#6
Отправлено 03 Ноябрь 2009 - 08:32
А это еще что такое?репутационные технологии
#7
Отправлено 03 Ноябрь 2009 - 08:40
Regards, ezzo.
#8
Отправлено 03 Ноябрь 2009 - 09:09
#9
Отправлено 03 Ноябрь 2009 - 09:31
Для начала интересно, каким образом выбирались zero-day-сэмплы, каковы источники. В методологии об этом ни слова.
Я, например, вижу, что каждый день идёт куча новых сэмплов в почте Trojan.Botnetlog.11, Trojan.BhoSpy.97, Trojan.PWS.Panda.122, сейчас попёрли новые модификации Trojan.Proxy, Trojan.Muldrop.
Знаете - отсылаю по десятку новых сэмплов ежедневно к нам в лабораторию, перед отсылкой смотрю на вирустотале. Не вижу такого отличия в детекте Dr.Web и Касперского. 93% и 10%... ну, скажем, это неправда. Проактивные технологии? Про диалоговые окна по крайней мере в результате Касперского написано мало.
Детект Симантека и Майкрософта, ИМХО, сильно занижен - у них на новые сэмплы хорошие дженерики.
Кроме того, каждого типа вредоноса было по одному экземпляру, если правильно понимаю. В реальности во вредоносном трафике идёт обычно много (80-90%) сэмплов одного-двух типов и незначительная часть всех остальных. Тест этого не отражает. Думается, что большинство zero-day-сэмплов, отобранных для тестирования, не являлись определяющими на момент тестирования во вредоносном трафике.
Поэтому мне результаты этого теста кажутся некоторым конём в сферическом вакууме, как любит выражаться один из руководителей глобального центра исследований и анализа угроз
Ну, возможно, вот она, разгадка:
Для теста выбирались ссылки на сайты, зараженные только новейшими образцами вредоносных программ. Что означает «новейшие»? Это означает, что эти загружаемые по ссылкам образцы вредоносных программ не должны были детектироваться файловыми антивирусами более чем 20% из списка тестируемых продуктов, что проверялось через сервис VirusTotal...
Это слишком неестественное условие для тестирования. Если сэмпл появился только что, но определяется более чем 20% антивирусов (например, эвристиками), то это уже не Зеро-дэй? Сомнительно, очень сомнительно. Кроме того, те 41 антивирусов, которые на Вирустотале расположены - они из очень разных весовых категорий, и поэтому порог в 20% любых антивирусов из этих 41 - это похоже на русскую рулетку.
Т.е., друзья мои, тест совсем не отвечает на вопрос, сколько процентов новых сэмплов ловит или пропускает тот или иной антивирус в актуальном "живом" "диком" вредоносном трафике. Моделирования работы реального пользователя с реальным Интернетом не получается.
А на какой вопрос тест отвечает - придумать не получается.
"Если сон - это про не сон, то про не сон - это не сон" (с) "Волшебная лампа Алладина" (1966).
#10
Отправлено 03 Ноябрь 2009 - 09:33
Regards, ezzo.
#11
Отправлено 03 Ноябрь 2009 - 09:36
Наладьте для начала хотя бы скорость обработки vms , а потом говорить уже о не правильных тестах.
Большинство zero-day-сэмплов давно добавляются в базу на автомате, и в последнее время достаточно быстро.
Но, работать, конечно, надо, враги не дремлют.
Эвристик в тестируемых движках снова стал гораздо лучше того, что находится в релизе. Как раз на зеро-дэй-сэмплах хорошо заметно.
Насчет Спайдер Гейта согласен, уж больно долго он проверяет, сравнивая с другими продуктами.
Но к теме теста это не имеет никакого отношения.
#12
Отправлено 03 Ноябрь 2009 - 09:44
Что означает «новейшие»? Это означает, что эти загружаемые по ссылкам образцы вредоносных программ...
А почему только загружаемые по ссылкам? Сейчас много и в аттачах в почтовом трафике идёт.
#13
Отправлено 03 Ноябрь 2009 - 10:11
А это еще что такое?репутационные технологии
симантек ввели, точно принцип не вспомню, но суть в том что при детекте используются не сигнатуры, а репутации чтото наподобии если у милиона людей этот файл чистый, то он чистый, а если у полумилиона из милиона он заражен то у него плохая репутация
#14
Отправлено 03 Ноябрь 2009 - 10:15
а если у полумилиона из милиона он заражен то у него плохая репутация
#15
Отправлено 03 Ноябрь 2009 - 10:22
http://www.repcom.ru/content/view/207/83/
Для решения ключевых проблем социальный коммуникационный менеджмент располагает набором социальных технологий, применение которых ориентировано на формирование общественного сознания. Среди технологий, наиболее отвечающих задачам СКМ в области PR-деятельности, рассматривают репутационные технологии, спрос на которые непрерывно возрастает.
В общем, PR-технологии, позволяющие влиять на общественное сознание.
#16
Отправлено 03 Ноябрь 2009 - 10:30
Отбор вредоносных программ
Что означает «новейшие»? Это означает, что эти загружаемые по ссылкам образцы вредоносных программ не должны были детектироваться файловыми антивирусами более чем 20% из списка тестируемых продуктов, что проверялось через сервис VirusTotal (всего на этом сервисе подключено 41 различный антивирусный движок). Если отобранные самплы и детектировались кем-то, то вердикты как правило были неточными (подозрение на заражение или упакованный объект).
А мы с вами тут знаем, что у drweb из несигнатурных методов детектирования реализованы эвристики различного толка и уровня. Пока это все. Но так ли этого мало?
Держим в уме, что авторы теста отобрали именно те образцы, которые мы НЕ детектируем. Прекрасно. Смотрим дальше - в ходе проведения тестирования drweb предотвратил заражения в трети случаев. Учитывая, что образцы отбирались заведомо провальным для drweb (наверное, не только, конечно!) образом, это хороший результат, по-моему.
Ну и в очередной раз это демонстрация ущербности лабораторных тестов. Те, кто пользовались нортоном и drweb, пандой и drweb, трендом и drweb и имеют шанс сравнить их эффективность в предотвращении инфицирования системы не дадут мне соврать.
R&D www.drweb.com
#17
Отправлено 03 Ноябрь 2009 - 11:45
#18
Отправлено 03 Ноябрь 2009 - 12:44
ха, лидер, естественно, Нортон. так, в отличии от PR-подразделения ЛК, говорит Dennis Labs, точно такой же PR от Симантека
Да, собственно, и Symantec - один из ближайших партнеров AM))) Но, конечно, радостнее всего они внимают воле ЛК.
И до сих пор думают, что им кто-то верит.
#19
Отправлено 03 Ноябрь 2009 - 13:04
Я смотрел в "полевых условиях" нортон 2010 и тренд 2010.Те, кто пользовались нортоном и drweb, пандой и drweb, трендом и drweb и имеют шанс сравнить их эффективность в предотвращении инфицирования системы не дадут мне соврать.
У первого очень действенный сонар 2.
У второго очень хорошая работа с вредоносными ссылками.
И то и другое реально работает.
И тот и другой малоглючны, незаметны, легки.
Есть приятные фичи, типа сканирования во время простоя, автоматической дефрагментации, контроля за антивирусной защитой других компов в сети с установленными аналогичными продуктами.
Подопытные не заразились ничем.
Но это, конечно, только мой опыт.
#20
Отправлено 03 Ноябрь 2009 - 13:50
То есть этим постом вы хотите сказать что:А что тут удивлятся я не понимаю? Или Вы занимаетесь самоутешением? Всё так и есть, правильное место Ноду, правильное место Вебу, правильное место Касперу... Наладьте для начала хотя бы скорость обработки vms , а потом говорить уже о не правильных тестах. Как будто нам это нужно, а ждать неделю пока вирус добавят в базу это как то не для меня например. Работа СпайдерГейта, отдавающего кусками файлы, считается нормой, хотя во всех остальных компаниях работает как положено. Вообщем работать и работать над продуктом, а если никто не пишет на форуме, это не значит что все довольны. У меня всё.
какой то DefenceWall о котором я вообще первый раз слышу все намного лучше и оперативней? Так давайте все на него перейдем
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых