Постоянное развитие цифровых коммуникаций и информационных технологий неуклонно привело к тому, что число пользователей глобальной сети Интернет возросло практически в несколько раз.
На сегодняшний день, перед тем как «выйти» в мировую паутину, каждый из нас задумывается над установкой специального антивирусного программного обеспечения.
На рынке специализированных утилит и компонентов представлен широкий ассортимент антивирусного обеспечения, которое, по словам их создателей, отличается надежностью, практичностью и простотой в использовании. Именно в этом контексте особой популярности набирает процесс тестирования антивирусных программ и компонентов, с целью эффективного обнаружения наиболее приемлемого веб продукта.
Методики тестирования антивирусных программ и приложений
На сегодняшний день в сфере тестирования программного обеспечения и сопутствующих продуктов выделяют сразу четыре типа методик:
- Статическое;
- Динамическое;
- Проведение тестов на скорость реакции;
- Ретроспективное.
Давайте по порядку рассмотрим каждый из названных типов.
Статическое тестирование
Является наиболее простым и понятным способом проведения проверок работоспособности антивирусных программ и сопутствующих компонентов. Его суть основывается на обязательном сканировании по техническому требованию, которое воспроизводиться на основе доступных вредоносных программ.
Для того чтобы проведенный статический тест дал определенные результаты, нужно использовать массовую коллекцию вредоносного ПО, в структуре которого содержится более тысячи файлов и сопутствующих документов.
В сети есть специализированные коллекции подобных тестовых организаций (AV-Test и AV-Comparatives), в которых находятся более тысячи всевозможных программ и файлов, позволяющих выполнить успешные проверки. Иногда в структуру подобных компонентов могут входить до миллиона файлов.
Конечно же, предоставленные тесты имеют свои плюсы и негативные стороны.
Положительное заключается в том, что весь процесс тестирования воспроизводится на большом числе коллекций доступного «вредного» программного обеспечения, в которых предоставлены самые популярные виды вредоносного контента.
Минусы заключаются в том, что подобные совокупности коллекций, как правило, включают в себя исключительно новые релизы вредоносных файлов. Как показывает практика, активно используются образцы с периодом «жизни» не более полугода.
Дополнительно с негативного можно отметить то, что подобные проверки позволяют эмулировать жесткий диск по требованию, в то время как в реальной жизни пользователь получает вредоносные файлы и элементы через персональный электронный ящик или при прямой загрузке из глобальной сети. Очень важно находить подобные файлы как раз в тот момент, когда они появились на персональном компьютере клиента.
Динамическое исследование
Его основная суть заключается в том, чтобы с помощью максимально доступного числа всевозможных виртуальных средств, провести процесс воспроизведения реальной клиентской среды, внутри которой активно тестируется требуемый продукт, отвечающий за безопасность пользовательского окружения. Подобные проверки с каждым днем набирают все больше популярности из-за быстрого появления новых свойств и методов, которые практически невозможно на полную реализовать внутри традиционной тестируемой среды.
К примеру, для анализа текущей эффективности используемой антивирусной защиты, тестировщики PC Pro не просто воспроизводили вирусную коллекцию по требованию, а целенаправленно загружали рассылки с зараженными файлами, или на основе написанных скриптов эмулировали загрузку опасных файлов из сети Интернет.
Именно подобный тест можно рассматривать наиболее приближенным к реальной ситуации, и как стало понятно, возможность противодействовать вирусным программам и компонентам у большой части клиентских продуктов оказалась весьма ниже, чем число найденных вирусов во время проверки зараженных документов и прочих файлов по требованию.
Проверка скорости реакции
Хоть данная методика в наши дни не очень востребована и популярна, данный вид проверок также стоит детально расписать и расшифровать.
Именно тестирование скорости реакции проводилось практически каждый день во времена, когда глобальная сеть страдала от «чумы почтовых червяков». Можно даже вспомнить название подобных программ – Sobig, Bagle, Mydoom, Sober.
В отличие от проведения статического типа проверки, при тестировании скорости реакции используется совсем небольшой набор требуемых образцов.
Для точного определения скорости реакции проверяемой антивирусной программы в первую очередь обращается внимание на скорость обнаружения последней модификации и сборки вредоносного контента. К слову, при выполнении подобных проверок, в предпочтении остаются только те антивирусы, базы данных которых чаще всего обновляются и пополняются новыми сведениями и файлами защиты.
Проведение ретроспективного тестирования
В полной противоположности от классических методов и способов проверки, при ретроспективном тестировании проверке подаются разные версии антивирусной защиты по состоянию на один и тот же момент, но в прошлом.
Как правило, подобный момент очень отдален от даты тестирования, чтобы на свет вышло максимально доступное число компьютерных вирусов, с которыми нужно провести работу. То есть, итоги ретроспективного тестирования позволяют получить оценку реальной защиты проверенного антивирусного программного продукта.
Тестирование антивирусов лабораториями
Анализируя итоги проверки со стороны специализированной лаборатории, в первую очередь стоит детально изучить «прогоняемый» продукт, а также его поставщика.
Ведь, очень часто бывает так, что разные тесты могут по-разному исследовать 2 идентичных продукта, выпущенных одним разработчиком. Поэтому настоятельно рекомендуется проводить комплексное исследование технологий разработчика антивирусного контента.
Детализированный отчет таких узкоспециализированных лабораторий как ICSA и West Coast Labs о проверке продукта поставщика всегда публикует только после того, как тестирование завершилось проставлением исключительно положительной оценки.
Именно оценки этих лабораторий, в последнее время начали играть важную роль при выборе протестированного антивирусного программного обеспечения, но и их отсутствие не говорит о том, что продукт некачественный или второсортный. Просто разработчики не захотели участвовать в процессе тестирования.
Тестирование антивирусов от Virus Bulletin
Лаборатория Virus Bulletin использует оригинальную методику прогона работоспособности антивирусных программ на основе логики обнаружения вредоносных компонентов из всемирно популярной коллекции WildList.
Причем проводится проверка не только способности утилиты найти вирус, но и комплексное функционирование всего программного обеспечения, особенно его быстродействие и воздействие на скрытые угрозы.
Дополнительно, вычисляется сумма ложных обнаружений, что является очень важным компонентом для любой антивирусной программы.
Все антивирусы, которые удачно проходят тестирование и получают балы от 95 до 100% из предлагаемого списка критериев и при условии нулевого ложного срабатывания, получают корпоративное право пользоваться специальным логотипом VB100%.
Отличительная черта этой лаборатории в том, что при испытаниях используется исключительно список вирусных компонентов, выпущенных в период за 2-3 недели до даты начала проверки. Параллельно с работой по нахождению вирусов, компоненты дополнительно прогоняются на чистых файлах и данных для отображения возможности ложного срабатывания защиты.
Все компании, отправившие свои программные компоненты на тестирование, заведомо точно не знают, пройдет ли продукт тестирование успешно или нет.
Актуальность тестирования антивирусов
За последние несколько лет значительным образом выросла актуальность противостояния угрозам, которые еще не были обнаружены. Для того чтобы спрогнозировать уровень защищенности программного обеспечения от еще не вышедших вирусов, нужно использовать определенные методики тестирования. Классические испытания тут вряд ли помогут, ведь они все без исключения направлены на способность противостоять угрозам, которые уже были обнаружены кем-то ранее.
С одной стороны, можно провести полное отключение у проверяемого продукта сигнатурных баз и проанализировать, как без них он в состоянии обнаружить вредоносные компоненты из современного перечня «In The Wild».
Но нужно сразу же оговориться, что подобная методика не приведет к получению желаемого итога: сама природа любого антивируса предполагает работу вместе с сигнатурной базой.
Защитный компонент, с отключенными подобными базами – это совершенно другой продукт, тестировать и прогонять который нет никакого смысла.
Конечно, можно протестировать работоспособность антивируса находить в будущем выходящие вирусы путем проверки текущей вирусной базы, но исключительно в случае работы с сигнатурной базой, срок которой равен не менее полугодичной давности.
Логично предположить, что те вирусы, которые на данный момент значатся в перечне ITW, полгода или год назад точно не существовали. Антивирусному компоненту придется справляться с угрозами, которых пока нет на просторах глобальной сети.
К слову, с подобными проверками работает специализированный ресурс av-comparatives.com, где каждый пользователь может самостоятельно познакомиться с итогами проведенных ретроспективных проверок, которые помогают подобрать наиболее подходящий антивирус, а также проследить тенденцию в развитии защитных программ и компонентов.
Универсальный тест-план (тест-кейс) проверки антивирусных программ
Базовые критерии проверки:
- Показатель детектирования вирусной базы;
- Показатель детектирования по списку «in the wild»;
- Число ложных срабатываний;
- Эвристический анализ;
- Процесс эмуляции;
- Лечение зараженного компонента.
Теперь разберем все по порядку.
Показатель детектирования вирусной базы. При тестировании антивируса, проводится запуск сканирования по требованию с большим числом зараженных видов. Уровень зараженности напрямую определяется в процентном соотношении числа зараженных компонентов к общему числу протестированных файлов.
Показатель детектирования по списку «in the wild» подразумевает под собой проверку файлов и компонентов, взятых из пресловутого списка ITW. Определяется процентным соотношением найденных вредоносных программ к суммарному числу объектов.
Число ложных срабатываний. Для теста используется большое число всевозможных файлов, которые по своей сути не считаются вредоносными. При проверке определяется число ложных срабатываний к суммарному числу элементов.
Эвристический анализ – специальный метод, всецело основанный на сигнатурах и эвристике, позволяющий эффективно находить модифицированные версии вирусов, когда сигнатура абсолютно идентична с телом неизвестной утилиты не на 100%, и в подозрительной программе есть все признаки вирусного компонента.
Эта технология, к слову, используется очень редко в современных тестах, так как может запросто повысить процент ложных срабатываний при прогоне.
Эмулятор – масштабное исследование компонента сигнатурным сканером на подозрение в содержании вредоносного элемента.
Лечение – метод определения возможностей антивирусных компонентов «лечить» объекты, когда вредоносная среда уже добралась к файлам пользователя и активно препятствует своему прямому удалению.
В завершение можно сделать весьма точный вывод касательно того, что на сегодняшний день нет на 100% эффективного программного компонента, который бы максимально быстро и точно убивал и обезвреживал вирусные компоненты и данные.
Но исключительно полное представление о возможных угрозах и верный подбор методов антивирусной защиты может позволить понизить уровень потенциального заражения на минимум и правильно выстроить процесс тестирования и анализа определенного защитного продукта. Это значит, что ваша команда контроля качества должна подходить к вопросам тестирования антивирусных компонентов со всей ответственностью и ясным представлением выполняемых действий.
Оставить комментарий