Skuteczność oprogramowania antywirusowego zależy od mechanizmów bezpieczeństwa poszczególnych warstw oprogramowania, które zapewniają optymalną ochronę. Zaawansowana heurystyka, to znacznie więcej niż wysoki odsetek zablokowanych ataków. Niewielkie różnice w skuteczności poszczególnych modułów, są decydujące dla bezpieczeństwa internautów.
Polityka testowania to skomplikowany proces technologiczny, polegającyna infekowaniu systemu za pomocą „próbek” złośliwego oprogramowania,rzeczywiście występującego w sieci. Baza malware na bieżącoaktualizowana jest przez niezależne instytuty badawcze, które za pomocąróżnych narzędzi dokonują symulacji potencjalnych ataków. Metodykastosowana przez różne organizacje i instytuty badawcze różni się odsiebie w niektórych aspektach. Niemniej jednak niemal zawsze, kryteriumoceny poszczególnych etapów skupia się na odsetku skuteczniezablokowanych adresów URL oraz powiązanych z nim plików, a także naustaleniu wartości procentowej wykrytych i zneutralizowanych ataków wstosunku do wszystkich poddanych badaniu próbek wirusów. „Testydynamiczne, opierając się między innymi na systemie behawioralnym,wykorzystują w badaniu najbardziej popularne formy ataku, jak naprzykład drive – by – download, phishing czy rozsyłanie wiadomościSPAM” wyjaśnia Tomasz Zamarlik z G Data Software dostarczającejoprogramowanie antywirusowe. Pod uwagę bierze się również tak zwanetesty retrospektywne, weryfikujące zdolność ochrony przed nieznanymiatakami (zero-day attack) na niezaktualizowanym produkcie. Test pozwalasprawdzić skuteczność pakietów działających w modelu cloud computing napodstawie analizy wektorów infekcji.
Rozpoznawanie zagrożenia zanim nastąpi infekcja ma kluczowe znaczeniedla bezpieczeństwa systemu. Jeżeli szkodnikom udało się przedostać dosieci lokalnej, a antywirus zablokował skażony plik dopiero wtedy, gdyzostał on pobrany na komputer, to ryzyko związane z zainstalowaniemmalware wzrasta. „Ma to szczególne znaczenie w dobie polimorficznychzagrożeń, coraz więcej Trojanów jest w stanie obejść mechanizmy służącedo blokowania zachowań nowej generacji. Poddana badaniu próbka malware,w ‘naturalnych warunkach’ podlega rekompilacji kodu nawet cokilkanaście minut, a sam proces infekcji rozbity jest na kilka etapów,których celem jest uśpić czujność antywirusa. Dlatego w przypadkuoceniania skuteczności programu, błędne jest koncentrowanie się jedyniena współczynnikach wykrywalności ataków, pomijając przy tym systemybezpieczeństwa samego antywirusa” zauważa Łukasz Nowatkowski z G DataSoftware.
Nie mniej kontrowersji wzbudzały również badania nad skutecznościąoprogramowania, którego szkielet opierał się na wykorzystywaniu takzwanej chmury. W tym przypadku zakładając „naturalne warunki” pracyoprogramowania, bazy sygnatur są stale aktualizowane, dzięki czemu nowezagrożenia są identyfikowane niemal natychmiast. Jak wskazująorganizacje zajmujące się testowaniem oprogramowania, miesięczniepojawia się w sieci około 100 milionów nowych próbek skażonego kodu.Oznacza to, że co godzinę baza wirusów wzbogaca się o kilkaset tysięcyaktualnie występujących zagrożeń. Rzeczywisty problem pojawia się wmomencie, gdy dany antywirus posiada tylko kilka mechanizmówbezpieczeństwa. W tym przypadku, wysoce prawdopodobne jest, ze ukryciesię polimorficznego malware przed mechanizmami wykrywania, będzieoznaczało obejście systemu ochrony całego produktu.
Dla użytkowników Internetu rankingi antywirusów to obecnie jedynewiarygodne źródło informacji o faktycznym poziomie skutecznościoprogramowania. O niezależności wyników decyduje filozofia instytutówdokonujących testów, jak również skomplikowana metodologiawykorzystywana podczas prowadzonych badań. Do tej pory zasadą było, żeorganizacje zajmujące się testowaniem antywirusów nie ujawniały sumkontrolnych plików ani kilkuset tysięcy próbek szkodliwegooprogramowania, które wykorzystywano podczas testów. Dzięki temu,końcowy wynik analizy każdego pojedynczego produktu był rzetelny iniezależny od jego producenta.
Źródło: G Data Software