Перейти к содержанию
Pavel Polyanskiy

NSS Labs: динамический тест антивирусов

Recommended Posts

Pavel Polyanskiy

http://uk.trendmicro.com/uk/about/news/pr/...0925144820.html

Тестировались TMIS и Office Scan Client Server.

По результатам силы "облак" порвали всех конкурентов, включая McAfee, Kaspersky и Symantec.

В этом новом методе тестирования NSS Labs вводит 2 "новых" показателя

1) Оценка уровня обнаружения и блокировка угроз на основе URL источника

2) Время 'time-to-protect', т.е. промежуток времени между тем, как вендор узнает о новой угрозе и тем, когда появляется

сигнатура для этой угрозы и станет доступной для кастомера.

Caught Initially Caught Subsequently

Product on Download on Execution Total

--------------------------------------------------------------------------

Trend Micro 91.0% 5.5% 96.4%

Kaspersky 78.5% 9.3% 87.8%

Norton 50.5% 31.3% 81.8%

McAfee 79.8% 1.9% 81.6%

Norman 66.3% 14.9% 81.2%

F-Secure 63.7% 16.4% 80.0%

AVG 65.0% 8.3% 73.3%

Panda 64.4% 7.6% 72.0%

ESET 65.4% 2.5% 67.9%

--------------------------------------------------------------------------

Сам отчет можно посмотреть на сайте NSS labs, предварительно зарегистрировавшись.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
chk

Что такое NSS labs и почему результаты выглядят полным бредом ?

По результатам силы "облак"

И причем тут "облака" ?

Дело в том, что NSS Labs, как бы это помягче сказать, периодически "отжигает".

Вот пример, причем совсем свежий:

"По результатам исследований, проведенных компанией NSS Labs, Internet Explorer 8 занял первое место с точки зрения эффективности защиты от вредоносных программ и фишинга в Интернете.

Пять браузеров: Internet Explorer 8, Firefox 3, Google Chrome 2, Safari 4 и Opera 10 Beta были протестированы на эффективность защиты их пользователей от наиболее опасных и распространенных Интернет-угроз, таких как программы-шпионы, а также кража личных данных и паролей с компьютеров. Во время тестирования Internet Explorer 8 заблокировал 81% вредоносных программ, что на 54% больше, чем результат Firefox 3, и достиг 83% в ежедневной защите пользователей от атак фишинговых сайтов, что на 3% выше, чем Firefox 3."

Если сложить эти результаты и результаты теста, о котором пишете вы, то легко можно увидеть, что браузер IE8 предоставляет уровень защиты лучше чем антивирусные решения от Symantec, McAfee, далее по списку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Павел, как человек профессионально занимающийся ИБ уже не один год, ты удивительно эмоционально реагируешь на подобные результаты, хотя вначале должен был проанализировать несколько очевидных фактов:

1. Абсолютная бессмысленность используемой методологии тестирования.

2. Малая известность тестовой лаборатории.

3. Явно "заказной" характер тестирования.

4. Явно абсурдные "зазоры" в результатах.

5. А также тот факт, что в тестах NSS Labs Trend Micro с завидной частотой побеждает.

Ну и нужно основываться на собственном опыте также, а не только на подобных "честных в определенных условиях" тестов

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Trend Micro в США построил на этом тесте большую рекламную компанию -

Trend Micro Anti-Malware Ranked #1 in Real-World Online Testing

http://us.trendmicro.com/us/trendwatch/cor..._Hero_NSSReport

На главной странице висит большой баннер на эту тему

trend_micro___ranked_1.jpg

Можно считать, что это такое продолжение на тему Rethink Again.

По выводам во многом согласен с Кириллом - хорошо подготовленный агрессивный маркетинговый ход. NSS Lab через какое-то время скорее всего исчезнет, но это не важно, глядишь, кто-то и поведется ;)

post-4-1255179093_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

Действительно, прогуглив NSS, можно наткнуться на информацию, которая отнюдь не выставляет данную контору в хорошем свете.

Результатам, конечно же, не стоит доверять. Интересно, бывают ли в природе хоть немного "честные" тестировщики и правильные методики тестирования?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yen-Jasker
Действительно, прогуглив NSS, можно наткнуться на информацию, которая отнюдь не выставляет данную контору в хорошем свете.

Результатам, конечно же, не стоит доверять. Интересно, бывают ли в природе хоть немного "честные" тестировщики и правильные методики тестирования?

Зависимость от спонсоров тестлаба всегда накладывает ограничения на степень объективности тестирования.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Михаил Кондрашин
Что такое NSS labs и почему результаты выглядят полным бредом ?

На первый вопрос у нас есть развернутый ответ Раймунда Генеса. Мы его сейчас переведем и выложим. Что же касается второго вопроса, то "бред" потому, что ЛК не на первом месте. Был бы на первом, все было бы привычно.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
На первый вопрос у нас есть развернутый ответ Раймунда Генеса. Мы его сейчас переведем и выложим. Что же касается второго вопроса, то "бред" потому, что ЛК не на первом месте. Был бы на первом, все было бы привычно.

Михаил, не лохматьте бабушку

как выдумаете, вот эти слова представителя Symantec

Павел, как человек профессионально занимающийся ИБ уже не один год, ты удивительно эмоционально реагируешь на подобные результаты, хотя вначале должен был проанализировать несколько очевидных фактов:

1. Абсолютная бессмысленность используемой методологии тестирования.

2. Малая известность тестовой лаборатории.

3. Явно "заказной" характер тестирования.

4. Явно абсурдные "зазоры" в результатах.

5. А также тот факт, что в тестах NSS Labs Trend Micro с завидной частотой побеждает.

также вызваны тем, что ЛК не на первом месте? :P

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Алёна

Жаль, что так и не видно высказываний по существу, конструктивных.

Не думаю, что Symantec и другие маститые вендоры стали бы тестировать свои продукты в малоизвестной тестовой лаборатории. Зачем?

А результаты теста лежат в свободном доступе, это к вопросу "немного погуглив" :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
chk
Жаль, что так и не видно высказываний по существу, конструктивных.

Не думаю, что Symantec и другие маститые вендоры стали бы тестировать свои продукты в малоизвестной тестовой лаборатории. Зачем?

А результаты теста лежат в свободном доступе, это к вопросу "немного погуглив" :)

Алёна, Вы подумали серьезно о Вашем экспертном уровне в данном вопросе, перед тем как ввязываться в эту дисскуссию ?

Think again.

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy
Не думаю, что Symantec и другие маститые вендоры стали бы тестировать свои продукты в малоизвестной тестовой лаборатории. Зачем?

Я согласен абсолютно. Не стали бы. Все зависит от "бюджета" тестирования, которым располагает компания.

Например, те же VB 100. Про них уже столько на этом форуме обсуждали, что даже говорить смешно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мальцев Тимофей
Алёна, Вы подумали серьезно о Вашем экспертном уровне в данном вопросе, перед тем как ввязываться в эту дисскуссию ?

А зачем ограничивать человека?

Считает нужным - вступила.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Алёна, Вы подумали серьезно о Вашем экспертном уровне в данном вопросе, перед тем как ввязываться в эту дисскуссию ?

Think again.

Экспертный статус - не критерий, а Вы не среди фанатиков.

Что-то не так рьяно товарищем chk обсуждался же здесь мега-тест Cascadia, где "2010" версия одного вендора "порвала" версии "2009" главных конкурентов.

Нелегко нынче менеджерам продуктов на Руси, скажете? ;)

Тесты NSS-Labs вполне могут быть из той же серии, что и Cascadia Labs, и тесты Passmark, CheckMark - делаются "под вендора" или с таким расчетом, чтобы можно было интерпретировать "под себя".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван
Тесты NSS-Labs вполне могут быть из той же серии, что и Cascadia Labs, и тесты Passmark, CheckMark - делаются "под вендора" или с таким расчетом, чтобы можно было интерпретировать "под себя".

именно так

всё идёт к тому, что те антивирусные вендоры у кого есть деньги нашли себе по "независимому" тестеру и каждый на этом пиарится

а те у кого денег нет, публикуют самопальные видео на тему "мы круче, чем конкуренты"

дела обстоят именно так

но имхо среди этих "независимых" тестеров мне кажется есть 2 категории

1. абсолютно продажные мухлёвщики

2. те кто проводит нормальные тесты, но просто так выбирают критерии тестирования, что побеждает нужный продукт

вот как раз кого к какой категории отнести - это интересный вопрос, достойный обсуждения

имхо, например, тесты PassMark, работающие на Symantec, относятся именно ко второй категории. там важные и показательные замеры ловко смешаны с полной туфтой, что выводит наверх Symantec

но в тоже время понимающему человеку изучать результаты PassMark полезно

чтож касается тестов NSS Labs, то для меня вопрос к какой их категории отнести открыт

я гляжу на описание теста, который у них висит на главной

он называется Corporate Endpoint Protection Products

а ниже список протестированного

AVG Internet Security, version 8.5.364

Eset Smart Security 4, version 4.0.437

F-Secure Client Security version 8.01

Kaspersky Internet Security 2010, version 9.0.0.459

McAfee VirusScan Enterprise:8.7.0 + McAfee Site Advisor Enterprise:2.0.0

Norman Endpoint protection for Small Business and Enterprise

Sophos Endpoint Protection for Enterprise - Anti-Virus version 7.6.8

Symantec Endpoint Protection (for Enterprise), version 11

Panda Internet Security 2009, version 14.00.00

Trend Micro Office Scan Enterprise, version 10

и у меня вопрос, а ничего что 3 протестированных продукта к Corporate Endpoint Protection не имеют ни малейшего отношения?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Шабанов
Тесты NSS-Labs вполне могут быть из той же серии, что и Cascadia Labs, и тесты Passmark, CheckMark - делаются "под вендора" или с таким расчетом, чтобы можно было интерпретировать "под себя".

У меня логика следующая, NSS Labs это компания, которая занимается только тестированием (сертфикацией и т.п.), то есть это их коммерческая деятельность (продукт), впрочем аналогично другим лабораториям. Следовательно любое исследование (тест, сертификация) инициируется заказчиком (вендором), и оплачивается им же. Делается это обычно, как правильно заметил Виталий, чтобы отстроится от конкурентов и показать свои сильные стороны. Грубо говоря, этот тест все равно кем то инициирован и оплачен, в противном случае лаборатория будет убыточной и не сможет существовать самостоятельно.

P.S. Конечно, есть и второй вариант, сама лаборатория является финансово подконтрольной дочкой :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
chk
Экспертный статус - не критерий, а Вы не среди фанатиков.

Я не среди фанатиков, я надеюсь что я среди людей, разбирающихся в темах, которые обсуждаются в конкретном топике.

А не среди пиар девиц, работающих практически по оутсорсу на российские филиалы. Тратить свое время на чтение их потуг отработать контракт, а уж тем более что-то с ними обсуждать, не хочется.

Рассказали бы лучше, почему Тренд ушел из тестов всех других компаний, включая VB 100, и когда собирается возвращаться ?

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dav

Ранее по крайней мере тесты NSS Labs, в части касающихся методик тестирования IPS, IDS, UTM, были достаточно объективны (IMHO).

Время вносит наверное коррективы :( .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anden

обещанное переведенное письмо Раймунда Генеса (CTO - Trend Micro):

Сентябрь 2009 г.

Тема: Устаревшая методология тестирования в VB100 и сертификация ICSA

Ландшафт угроз компьютерной безопасности за последние годы изменился, поэтому методологию тестирования нужно изменить. Теперь киберпреступники создают вредоносное программное обеспечение (ПО) с целью наживы, а не ради славы, пусть и дурной. Раньше вредоносное и нежелательное ПО создавали не группы, а отдельные люди, обычно не очень хорошо разбирающиеся в программировании, а теперь этим занимаются банды профессионалов, которые нанимают лучших разработчиков ПО. В результате появляется огромное количество вредоносных программ – более 2000 новых угроз в час. Это миллион новых угроз в месяц. Исследования лаборатории TrendLabsSM компании Trend Micro показали, что в 2008 году 92 % всех обнаруженных угроз пришли из Интернета.

К сожалению, такие организации как VB100 и ICSA не обновили свои методологии тестирования, чтобы учесть те функции защитных продуктов, которые защищают подключенные к Интернету конечные точки (компьютеры и другие устройства) от угроз, исходящих из Интернета. Эти организации тестируют продукты в закрытой среде, то есть отключают компьютеры от Интернета во время тестирования. Кроме того, эти организации тестируют только возможность продукта обнаруживать инфицированные файлы, которые находятся в компьютере, методами сканирования, основанными на сигнатурах вирусов. При этом не проверяются возможности новых технологий блокировать угрозы, не тестируются новые методы защиты. Вот почему компания Trend Micro решила не допускать свои продукты к тестированию и сертификации упомянутыми организациями до тех пор, пока эти организации не обновят свои методологии тестирования с целью учесть реалии современного Интернета.

Чтобы защитить своих заказчиков от большинства современных угроз, компания Trend Micro разработала дополнительные методы защиты, которые, в отличие от применяемых организациями VB100 и ICSA методов, не ограничиваются простым сканированием и обнаружением, основанным на сигнатурах вирусов. Мы разработали технологии защиты угроз, связанных с Интернетом, электронной почтой и файлами. Наши технологии блокируют вредоносные URL-адреса, спам и другую нежелательную почту. В нашем «облаке» (то есть на наших серверах) есть множество сигнатур вредоносного ПО. Инфраструктура Trend MicroTM Smart Protection NetworkTM с архитектурой «облако-клиент» предназначена для блокирования угроз, исходящих из Интернета. Эта инфраструктура защищает от новых угроз, не допуская их к конечным точкам.

Нас очень обнадеживает работа, которую ведёт независимая тестирующая компания NSS Labs, потому что эта организация проверяет защиту от реальных угроз. NSS Labs применяет методологию и среду тестирования, которые свободны от недостатков традиционных методов тестирования, всё ещё используемых некоторыми другими организациями. Эта новая методология учитывает реальные условия сетевых сред. NSS Labs тестирует продукты регулярно, через определённые промежутки времени, добавляя каждый раз новые вредоносные URL-адреса с целью определить, какие продукты способны блокировать доступ к этим URL-адресам и обнаруживать те вредоносные URL-адреса, которые уже проникли в компьютер. В своих недавних отчётах о продуктах, защищающих конечные точки частных лиц и организаций, компания NSS Labs пришла к следующим выводам.

В среднем «облачные» (In-the-Cloud) системы безопасности значительно усилили защиту.

---NSS Labs

Самую лучшую защиту при загрузке и выполнении файлов имеет компания Trend Micro.

---NSS Labs

Результаты исследований компании NSS Labs опубликованы по адресу:

http://nsslabs.com/reprints/9b/EndpointProtection-3Q2009

Мы также рады тому, что многие игроки на рынке безопасности поддерживают некоммерческую ассоциацию Anti-Malware Testing Standards Organization (Организация по стандартизации тестирования защиты от вредоносных программ, www.amtso.org), в которую входят поставщики защищающих продуктов, тестирующие дома и обозреватели, понимающие необходимость новых методов тестирования. По всем вопросам обращайтесь к местным торговым представителям компании Trend Micro.

С уважением,

Раймунд Генес (Raimund Genes)

Технический директор

Trend Micro, Inc.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мальцев Тимофей
Следовательно любое исследование (тест, сертификация) инициируется заказчиком (вендором), и оплачивается им же.

Александр, очень сомнительная фраза.

Не сочтите за наезд.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Шабанов
Александр, очень сомнительная фраза. Не сочтите за наезд.

Тимофей, согласен, что с любым я может и погорячился, бывают и демонстрационные. Тем более эта фраза не может быть рассмотрена отдельно без контекста, я говорил о компаниях, занимающихся только тестами и сертификацией. Возможен еще вариант с получением средств от закрытых (не публикуемых) тестов. Как иначе такие компании могут себе содержать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мальцев Тимофей

Она и в контексте была не до конца хороша. Я и докопался. Проехали. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • PR55.RP55
      https://www.comss.ru/page.php?id=586 При проверке ЭЦП  flash_player uVS выдаёт ошибку. ( в версии для firefox ) https://www.virustotal.com/ru/file/f3fc32449dccf88aed8a7d1f4bf35deb3064a03966f1223bcb1363d56e744b33/analysis/ Это происходит при пополнении базы SHA1 " Добавить хэши исполняемых файлов каталога в базу проверенных..." Но, не всегда.
    • Лукин Вадим
      Пришла мне в голову идея организовать самостоятельное путешествие по некоторым сказочным местам нашей Родины! Было бы здорово, если бы кто-то подсказал, где можно найти нормальные отели? Может есть какая-то прога?
    • Липковский Борис
      Моё отношение к казино вполне положительное, я уже больше полугода играю в слоты на сайте Play Fortuna Уже неоднократно поднимал там приличные деньги и не жалуюсь. Естественно и несколько раз проигрывал, но в каждой игре бывают проигрыши и это вполне нормально. На этом сайте есть разные слоты, их около двухсот штук, можно выбрать любой и на каждом из них высокий шанс выиграть.
    • Dima2_90
      Об особенностях сканирования исполняемых файлов антивирусами и доверии результатам VirusTotal - https://habr.com/post/346480/ Цитаты из статьи "Забавно, детект уменьшился с 60 для неупакованного файла и 41 для архива до 17 — при этом ни один из антивирусных движков не обнаружил Eicar, детекты явно имеют эвристический характер, а в ряде случаев напоминают ложное срабатывание (DrWeb, Baidu и др.)" "6 детектов из 67. Шесть, Карл! Все — эвристические. И скорее всего ничего не подозревающий пользователь посчитает файл безопасным." "современные антивирусные сканеры так и остались барахлом, которым были десяток-два лет назад, абсолютно пасующим перед простейшими видами упаковки кода. Решения в виде тестовых сред — «песочниц», эвристических анализаторов и т.д. только добавили неразберихи, ложных срабатываний, но по сути не защищают от реальной угрозы. Со старым, открытым и разжёванным до потрохов UPX как был бардак — так он и остался. А ведь я вполне мог упаковать не файл, вызывающий вредоносную активность, а непосредственно код, работать не с файлами на диске в %temp%, а в памяти, использовать не свободно доступные утилиты, а собственные или закрытые разработки — и таким образом обойти срабатывание резидентной защиты. Я вполне мог добавить интересные элементы интерфейса или скопировать таковой из распространённой программы — и обойти проактивку у неискушённого пользователя, который просто будет соглашаться с любыми запросами, доверяя тому, что запустил.

      То, что мы сделали выше — примитивный способ обмануть антивирус, который может понять и реализовать практически любой. И он сработал. Что говорить про искушённых специалистов!"
    • Dima2_90
      Ad-Aware --------- https://www.adaware.com/support/securitycenter/report_false_positives.php  Antiy-AVL --------- [email protected] Avast --------------- https://www.avast.ru/false-positive-file-form.php AVG ---------------- https://www.avg.com/ru-ru/false-positive-file-form Avira --------------- https://analysis.avira.com/en/submit BitDefender -------- https://www.bitdefender.com/submit/ ClamAV ------------ http://www.clamav.net/reports/fp DrWeb ------------- https://vms.drweb.ua/sendvirus ESET-NOD32 ------- https://www.esetnod32.ru/support/knowledge_base/new_virus/ Kaspersky --------- https://virusdesk.kaspersky.ru/ Microsoft ---------- https://www.microsoft.com/en-us/wdsi/filesubmission NANO-Antivirus ---- http://nanoav.ru/index.php?option=com_content&view=article&id=15&Itemid=83&lang=ru Symantec ---------- https://submit.symantec.com/false_positive/
×