セキュリティウォッチ アンチウイルスはゼロデイマルウェア攻撃に対処できますか?

アンチウイルスはゼロデイマルウェア攻撃に対処できますか?

ビデオ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (十一月 2024)

ビデオ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (十一月 2024)
Anonim

署名ベースのウイルス対策保護のテストは簡単です。 何百または何千もの既知のマルウェアサンプルを収集し、スキャンを実行して、ウイルス対策製品が検出された数を記録します。 ただし、まったく新しいゼロデイウイルス(またはその他の種類のマルウェア)の場合、署名は必ずしも利用できません。 ゼロデイの脅威に対する保護のテストは困難ですが、AV-Comparativesの研究者はそれらを満足させる技術を考案しました。 ただし、すべてのウイルス対策ベンダーがこの特定のテストを承認しているわけではありません。 かなりの数が最新版をオプトアウトし、その結果がリリースされたばかりです。

定義上、実際のゼロデイサンプルを使用してテストを実行することはできません。 研究者がサンプルをキャプチャして検証できる頃には、ウイルス対策ベンダーはすでに署名の準備を進めています。 AV-Comparativesは、製品の署名データベースを「フリーズ」し、大きなフリーズ後に最初に出現したサンプルのみを使用して、ゼロデイ検出をシミュレートします。

一部の製品は、ヒューリスティック手法を使用して新しいマルウェアを検出し、既知のマルウェアとの類似性またはその他の特性によってそれらを識別します。 研究者は、ヒューリスティックでは検出されない各サンプルを起動し、製品の動作ベースの検出またはその他のリアルタイム保護が侵入を防止したかどうかに注目しました。 製品は、マルウェアをすべて単独でブロックしたことで完全なクレジットを獲得し、ブロックがユーザーの正しい決定を必要とする状況では半分のクレジットを獲得しました。

非常に良好な検出

検出率のみに基づいて、テストされた16の製品のうち11が最高評価であるADVANCED +評価を獲得していました。 Bitdefenderがこのグループのトップで、97%が検出されました。 カスペルスキーとEmsisoftは両方とも94%を管理しました。 パンダとアバストはADVANCEDを獲得していました。 マイクロソフトもADVANCEDレーティングを取得していましたが、AV-Comparativesはそれをベースラインとしてのみ使用します。 下部では、AnhLabとVipreは標準の評価で合格しました。

厄介な誤検知

ヒューリスティックおよび動作ベースの検出システムは、有効なプログラムが危険であるとフラグ付けされないように、非常に慎重に調整する必要があります。これを誤検知と呼びます。 テストした製品のかなりの数が、誤検出が多すぎるためにポイントを失いました。 昨年2月に凍結された署名を使用して検出テストが実行されたため、研究者は3月に実行されたテストの偽陽性結果を再利用することができました。

誤検知が多すぎるため、テスト対象の製品の6つが1つの評価レベルを失いました。 Emsisoft、eScan、およびG Dataの場合、ADVANCED +からADVANCEDにドロップすることを意味し、PandaはADVANCEDからSTANDARDにドロップしました。 AhnLabとVipreについては、どちらもすでに最低合格レベルであったため、最終評価は単にテスト済みになりました。 彼らは通りませんでした。

クラウド論争

AV-Comparativesによるテストのために製品を提出するベンダーは、必要なすべてのテストに参加することに同意する必要があります。 署名ベースのファイル検出テストは必須セットの1つです。 シマンテックはそのテストを承認していません。そのため、AV-Comparativesレポートでノートンの結果を見つけることができません。

一方、プロアクティブテストはオプションです。 レポートによると、「AVG、McAfee、Qihoo、Sophos、Trend Microは、製品がクラウドに大きく依存しているため、参加しないことを決定しました。」 ゼロデイテストでは、クラウドを「フリーズ」する方法がないため、クラウドベースの検出は必ず除外されます。 これらのベンダーは、クラウド接続にアクセスしなければ製品のスコアが低いと感じました。

AV-Comparativesはこれらのベンダーが反撃することを許可していましたが、レポートはそれらを少しだけscりました。 「数週間後でも、クラウドベースの機能が利用可能であったとしても、使用されたマルウェアのサンプルのいくつかは、いくつかのクラウド依存製品によってまだ検出されませんでした」と述べています。 「遡及的テストがクラウドリソースの使用を許可されていないことで批判されている場合、マーケティングの言い訳と見なします。」 レポートは、「ファイルが完全に新規/不明である場合、クラウドは通常、それが良いか悪意があるかを判断できません」と結論付けています。

アンチウイルスがこのテストで最高の評価を得た場合、それは真新しいゼロデイ脅威から防御する良い兆候です。 しかし、テストでは文字通り実際に見たことのないサンプルを使用しないため、スコアが低い(または参加していない)ことは、必ずしも役に立たないことを証明しません。 完全に理解するには、さまざまなテスト、およびPCMagの詳細な実践的なウイルス対策レビューをご覧ください。

アンチウイルスはゼロデイマルウェア攻撃に対処できますか?