Обзор подготовлен	При поддержке

Антивирусные сертификаты

Характер компьютерных угроз постоянно меняется, и по мере того, как они становятся все более изощренными, уже ни одна технология не может гарантировать 100% защиты. Хотя пользователи сами вынуждены решать, какие средства применять, задачу выбора им существенно упрощают независимые тестирования продуктов, проводимые специализированными агентствами.

Установка антивирусного программного обеспечения сегодня обязательна для всех пользователей ПК, обеспокоенных проблемой безопасности данных. Выбирая тот или иной продукт, они стремятся сделать защиту максимально надежной. А подробную информацию о рассматриваемых антивирусных средствах могут получить из отчетов по результатам тестирований, проводимых исследовательскими агентствами.

Исследование надежности антивирусов в основном сводится к проверке эффективности ПО в реальных условиях. Однако подходы к проведению тестирования могут различаться.

Среди непрофессиональных исследователей чрезвычайно популярны попытки сравнения антивирусов путем создания собственного тестового стенда. Отчеты о результатах встречаются в разных интернет-конференциях, посвященных компьютерной безопасности. Например, некий посетитель форума пишет: «У меня есть архив из 1159 вирусов, антивирус X нашел 1128, Y — 998, а антивирус Z обнаружил 1158 вирусов из некоей скачанной из нтернета вирусной базы». На первый взгляд, такой способ не лишен здравого смысла, хотя издержки здесь существенны. Как минимум, не соблюдаются два базовых условия: во-первых, вирусная база должна содержать полный и актуальный набор вирусов, а во-вторых, не включать ничего кроме этого набора. Используя неизвестную базу, нельзя быть уверенным в том, что она содержит именно вирусы, а не код (который, вероятно, когда-то был вирусом, или может стать вирусом, если его дописать), на который реагирует та или иная антивирусная программа. Таким образом, единственный верный вывод по результатам такого тестирования может касаться лишь компетенции тестера, а не качества того или иного антивируса.

Вместе с тем, в антивирусной индустрии существует и вполне научный, признанный всеми основными игроками подход к тестированию антивирусного ПО. Базируется он на деятельности некоммерческой организации WildList (www.wildlist.org), которая сама тестированиями не занимается, а предоставляет тестерам вирусные базы.

«Дикие» вирусы

WildList (www.wildlist.org) — международная организация, созданная для сбора и обобщении информации о вирусах, атакующих компьютеры пользователей по всему миру. В проекте WildList участвует более 50 экспертов из разных стран мира, которые работают исключительно на добровольной основе. Основное понятие, используемое в проекте WildList — это термин «дикий вирус» («In the Wild», или сокращенно ITW).

«Дикие вирусы» — это вирусы, свободно распространяющиеся по всему земному шару и периодически атакующие компьютеры пользователей. Списки «диких вирусов» составляются каждый месяц уже более 10 лет. Начиная с 1996 года, список «диких вирусов» WildList предоставляется для тестирований антивирусов независимым исследовательским агентствам. На сегодняшний день их использование фактически стало индустриальным стандартом.

Список «диких вирусов» включает только те вирусы, которые, во-первых, обнаружены более чем двумя респондентами более чем в двух различных местах (сообщившие о вирусе специалисты должны принадлежать к разным компаниям и обнаружить вирус различными способами, т.е. обнаружение одним антивирусом не считается явным доказательством его «дикости»). Во-вторых, являются реальным malware, самораспространяющимся и несущим вред, либо представляющим собой угрозу информационной безопасности пользователей.

Сама организация WildList лишь собирает и анализирует информацию о вредоносных программах. Тестированием антивирусного ПО, отталкиваясь от списка «In The Wild», занимаются такие компании, как ICSA Labs, West Coast Labs и Virus Bulletin. Надо заметить, что абсолютно все известные производители антивирусного ПО тестируют свои продукты в этих исследовательских компаниях. Сегодня такие испытания стали единственным общепризнанным инструментом, позволяющим сделать объективный вывод об эффективности того или иного антивируса. Формат предоставления данных исследователями обычно позволяет хронологически проследить надежность каждого продукта от версии к версии и от платформы к платформе.

Сертификация ICSA

ICSA (www.icsalabs.com) - International Computer Security Association (Международная Компьютерная Ассоциация по Защите)—начала свою деятельность в 1992 году. В тестированиях, проводимых ICSA Labs, используется вредоносный код как из собственной «коллекции», так и из списка «In-The-Wild». По результатам исследований продуктам выдается сертификат ICSA — его удостаиваются те антивирусы, которые способны обнаружить 100% вирусов из списка «In-The-Wild», выпущенного за месяц до испытаний и не менее 90% из вирусов собственной коллекции ICSA. Дополнительно антивирусы проверяются на наличие ложных срабатываний.

Сертификацию ICSA способно пройти большинство существующих на рынке антивирусов. Данный сертификат есть практически у всех более-менее известных продуктов.

West Сoast Labs/ Checkmark

West Сoast Labs (www.check-mark.com) — один из мировых лидеров в области тестирования ПО для защиты от угроз. По результатам испытаний в West Сoast Labs антивирусным продуктам выдается сертификат CheckMark.

В рамках сертификации CheckMark продукты тестируются по категориям. Сегодня это 4 типа испытаний и, соответственно, 4 типа сертификатов:

• Anti-Virus Level 1. Испытываемый продукт должен распознать все вирусы из списка «In the Wild», выпущенного за два месяца до даты тестирования.
• Anti-Virus Level 2. Антивирус, получивший этот сертификат должен не только обнаружить, но и вылечить систему от всех вирусов, найденных в Level 1.
• Trojan. Проверяется возможность антивируса бороться с вредоносным кодом категории «трояны». Тестирование проводится на базе образцов, отобранных специалистами West Coast Labs.
• Spyware. Антивирусы тестируются на способность противостоять «шпионским программам» (spyware). Тестирование проводится на базе образцов, отобранных специалистами West Coast Labs.

Сертификатами Anti-Virus Level 1 и Anti-Virus Level 2 обладает очень большое количество антивирусов. Прежде всего, это говорит о том, что большинству антивирусов не составляет труда обнаружить и обезвредить вирусы из списка «In the Wild», выпущенного за 2 месяца до даты тестирования. Список антивирусного ПО, имеющего сертификат CheckMark категории «Trojan», существенно короче—пройти это тестирование оказывается для многих компаний уже сложнее. А сертификатами CheckMark в категории «Spyware» обладает совсем небольшое количество продуктов.

Важно отметить, что список компаний, обладающих сертификатом CheckMark, постоянно пополняется: антивирусы совершенствуются и рано или поздно получают сертификат CheckMark. Например, если еще совсем недавно только 2 компании могли похвастаться сертификатом CheckMark «Anti-Spyware», то сегодня им обладают уже 4 антивируса.

Британский «бюллетень»

Virus Bulletin (www.virusbulletin.com) — наиболее известный и авторитетный в мире британский журнал, посвященный антивирусам. С 1989 года Virus Bulletin информирует пользователей о компьютерных вирусах, методах их обнаружения и ситуации в антивирусной индустрии. Тестирования, которые проводятся журналом Virus Bulletin, также основываются на списке вирусов «ln the Wild». Успешно прошедшие испытания продукты получают награду “VB100%”. Тестирования проводятся регулярно, несколько раз в год для разных платформ.

Особенность Virus Bulletin в том, что в испытаниях используется список, выпущенный лишь за две недели до даты испытаний. Параллельно при этом антивирус тестируется на заведомо чистых от вирусов файлах — на наличие ложных срабатываний. Компании, предоставившие свой продукт для тестирования, никогда заведомо не знают, пройдет ли их антивирус испытания успешно. В отличие от других исследователей, Virus Bulletin обязательно информирует своих читателей не только об успехах, но также и о неудачах антивирусных программ. В последнем случае они получают специальный значок, свидетельствующий о том, что антивирус тест не прошел.

Virus Bulletin дает возможность увидеть историю успехов и неудач любого продукта за всю историю тестирований: на разных платформах и в разное время. Сами антивирусные компании обычно в своих презентациях и маркетинговых материалах используют логотипы VB100%. Информацию об их неудачах можно посмотреть на сайте Virus Bulletin. Результаты сравнительных испытаний могут быть отсортированы как по вендорам (производителям), так и по платформам, на которых проводилось тестирование.

Важная особенность методики Virus Bulletin состоит в том, что награда VB100% присуждается продукту не обязательно в случае обнаружения им 100% угроз: допускается возможность пропустить некоторый процент вредоносных программ. Например, если антивирус нашел 98%, то награду он все равно получит. Сегодня многие производители антивирусного ПО заявляют, что смогут гарантированно обнаружить угрозу через один или два часа после ее появления. Но как показывают тестирования Virus Bulletin, огромное количество вирусов пропускается и через 2 недели после их обнаружения.

Известное неизвестное

В последнее время антивирусная индустрия сталкивается с необходимостью противостоять не только уже обнаруженным вирусам, но также и еще не известным угрозам. Чтобы оценить надежность защиты от еще не существующих угроз, требуются особые методики тестирования. Традиционные испытания здесь бессильны, так как в них исследуется способность антивируса противостоять угрозам, которые уже обнаружены и включены в вирусную базу.

С одной стороны, можно просто попробовать отключить у тестируемого антивирусного продукта сигнатурные базы и посмотреть, как он без них сможет обнаружить вирусы из актуального списка «In The Wild». Но этот путь не приведет к получению полезного и значимого результата: сама технология работы антивирусных программ не предполагает отключения сигнатурных баз. Антивирус с отключенными сигнатурными базами — уже совсем другой продукт, тестировать который не имеет смысла.

С другой стороны, возможность антивируса противостоять еще не существующим угрозам можно проверить, использовав в тестировании актуальную вирусную базу, но испытывая антивирус с сигнатурной базой, скажем, полугодовой давности. Ведь те вирусы, которые есть в актуальном списке ITW, полгода назад еще не существовали. Продукту, таким образом, придется противостоять несуществующим угрозам. Ресурс Андреаса Клименти www.av-comparatives.org специализируется именно на таких тестированиях. На сайте можно познакомиться с результатами ретроспективных тестов, которые могут оказаться не только полезны при выборе антивируса, но и просто любопытны.

На сайте Virus Bulletin говорится: «Если какой-либо антивирус не прошел наш тест, то это еще не значит, что он неэффективен. Он неэффективен только в руках неподготовленного пользователя. Специалист же сможет его использовать совершенно по-иному». Один из выводов, который можно сделать после изучения разных методик тестирования и результатов испытаний, состоит в том, что, к сожалению, сегодня ни один продукт не способен гарантировать 100%-защиту от связанных с вредоносным кодом угроз. Однако полное представление о существующей опасности и правильный выбор методов защиты способны свести возможность заражения к минимуму.

Алексей Курских, Дмитрий Попович / CNews Analytics