Imperva: Оценка эффективности антивирусных решений

В 1988 году "Antivir" стал первым антивирусным продуктом, который появился на рынке, и был предназначен для защиты против более чем одного вируса. Развитие Интернета привело к широкому распространения вирусов, совершенствованию их способов заражения и методов доставки до пользователей. Впоследствии, антивирусные компаний были вынуждены интенсивнее бороться с этими угрозами. Они начали выпускать новые версии антивирусов гораздо чаще, а также обновлять базы данных сигнатур своих продуктов через Интернет.

На современном антивирусном рынке существует широкий выбор антивирусов, некоторые из которых являются бесплатными, а другие платными. Исследования показывают, что большинство пользователей предпочитают устанавливать бесплатные антивирусы. Кроме того, популярность того или иного антивирусного решения не отражает его эффективность. В таблице ниже показаны наиболее популярные антивирусные продукты с наибольшей долей рынка. Хотя, как уже отмечалось, процент в этой таблице не обязательно отражает возможности антивируса. По данным исследования OPSWAT наиболее популярные антивирусные программы:

• Avast - 17.4% на мировом рынке
• Microsoft - 13.2%
• ESET - 11.1%
• Symantec - 10.3%
• AVG - 10.1%
• Avira - 9.6%
• Kaspersky - 6.7%
• McAfee - 4.9%
• Panda - 2.9%
• Trend Micro - 2.8%
• Другие антивирусы - 11.1%

Методика исследования

В 2012 году компания Imperva совместно с группой студентов Технион (Израильский технологический институт) провели исследование для оценки эффективности антивирусных продуктов.

Используя прокси-клиент Onion Router (TOR), исследователи получили на подпольных сайтах (хакерских форумах) 82 вредоносные программы и проверили их с использованием сервиса Virustotal по базам данных сигнатур более 40 антивирусных решений, чтобы убедиться, что они не были ранее известны.

Применяя открытое API сервиса Virustotal, был создан автоматизированный процесс проверки этих образцов на постоянной основе, для выявления времени определения вредоносной программы антивирусами после первоначального сканирования. Эксперимент длился в течении 6 недель, в результате чего было создано в общей сложности 13000 записей в базе данных, которые содержали информацию о проверке каждого вредоносного образца отдельной антивирусной программой.

Анализ результатов

В своем анализе исследователи рассматривали два типа измерений: статическое и динамическое. Статическое измерение показывало обнаружение антивирусов независимо от времени. Динамические измерение показывали эволюцию обнаружения антивирусов с течением времени.

Первое измерение охватывает наиболее популярные антивирусные программы (см. выше). Для этого статического измерения были взяты как коммерческие, так и бесплатные антивирусные продукты, при этом рассматривались только те вредоносные образцы, которые в конце периода тестирования были выявлены, по крайней мере, 50% оцениваемых антивирусов (данный критерий был принят для снижения возможных претензий).

Результаты представлены в таблице 1, где синяя область соответствует уровню обнаружения антивируса.

Таблица 1. Обнаруженные и необнаруженные вирусы по вендорам

Таблица 2 показывает уровень обнаружения 6 наименее эффективных антивирусных программ, используемых в данном исследовании по отношению к группе вредоносных образцов, которые были определены как вирусы более чем 50% антивирусов после последнего сканирования. Обратите внимание, что некоторые решения в этой группе являются коммерческими продуктами, за лицензии которых на самом деле платят клиенты.

Таблица 2: Наименее эффективные антивирусные продукты

Динамическое измерение, в первую очередь, сравнивает способность обнаружения каждого антивируса в начале теста (при первой проверке, показатели окрашены в синий цвет) с его уровнем обнаружения в конце теста (последняя проверка, показатели окрашены в красный цвет). Результаты показывают, насколько хорошо антивирусные продукты обрабатывают поступающие новые образцы в целом. На диаграмме ниже включены только те продукты, для которых было показано улучшение.

Таблица 3: Уровень обнаружения при первом и последнем сканировании по антивирусным вендорам

Самый интересный вопрос: как долго занимает у антивирусных программ добавление в сигнатуры для обнаружения ранее незамеченных образцов - рассмотрен в следующем графике. Этот график показывает среднее время по вендорам, необходимое для обнаружения образцов, которые не были признаны как вредоносные при первом сканирование. Исследователи показали результаты только для самых известных антивирусов: с наибольшей долей на рынке (Avast) и 4 коммерческих продукта от крупнейших антивирусных разработчиков.

Таблица 4: Количество недель, необходимых для обнаружения образцов, пропущенных при первом сканировании

Выводы и итоги исследования

На основании полученной информации были сделаны следующие выводы:

1. Начальный уровень обнаружения новых, только что созданных вирусов составляет менее 5%. Хотя разработчики антивирусного ПО стараются постоянно обновлять свои методы обнаружения, первоначальный уровень обнаружения новых вирусов практически равен нулю. Исследователи считают, что большинство антивирусных продуктов на современном рынке не могут идти в ногу с темпами распространения вирусов в сети Интернет.

2. Для некоторых разработчиков антивирусов необходимо до четырех недель, чтобы обнаружить новые вирусы с момента первоначального сканирования.

3. Антивирусы с лучшими возможностями обнаружения, имеют также высокий процент ложных срабатываний.

На основании данных выводов, можно выделит следующее

1. Коммерческие компании и пользователи тратят на антивирусы не пропорционально их эффективности. В 2011 году Gartner сообщила, что домашние пользователи потратили 4.5 миллиарда долларов на антивирусы, в то время как компании потратили 2.9 миллиарда, что в общей сложности составляет 7.4 миллиарда долларов. Это составляет более чем треть от общего объема (17.7 миллиарда), потраченных на программное обеспечение для обеспечения ИТ-безопасности. В Imperva считают, что как потребители, так и компании должны использовать бесплатные антивирусы, а также искать новые модели для осуществления защиты.

2. Доля использования антивирусов может снизиться, благодаря данным обстоятельствам. Одна из причин - для защиты выделяется слишком много денег, но эффективность антивирусов не соответствует затратам. Снижение необходимости использования антивирусов может освободить деньги для более эффективных мер безопасности.

3. Отделы безопасности должны сосредоточиться на выявлении аномального поведения для обнаружения угроз. Хотя компания Imperva не рекомендует удалять антивирус вообще, большая часть методов защиты должна быть сосредоточена на использовании технологий, которые обнаруживают ненормальное поведение в системах, например, такое как необычно быстрый сторонний доступ к данным или большой объем загрузки.

О компании Imperva

Компания Imperva (штаб-квартира в США) является пионером и лидером новой категории бизнес-решений ИТ-безопасности, которые защищают критически важные приложения и данные от кражи, предупреждают и предотвращают неправомерное использования инсайдерской информации, а также мошенничество, при этом упрощают соблюдение нормативных требований. Компания предлагает комплексные решения для мониторинга и управления всеми используемыми данными и бизнес-операциями через дата-центры, от хранения в базах данных или на файловых серверах до использования в приложениях.

Полный отчет исследования эффективности антивирусов от Imperva