Результаты тестирования антивирусных продуктов неутешительны. Разработчики не успевают за новыми угрозами. Надежная защита обеспечивается только от известных вирусов, для которых можно написать сигнатуры. Поэтому сейчас даже не стоит пытаться защититься от вредоносного ПО при помощи одной антивирусной программы.
В апрельском номере журнала c’t от 2008 года опубликован тест 15 антивирусных программ, результаты которого, на мой взгляд, очень показательны. Состав участников теста весьма представителен и включает как бесплатный, так и коммерческий софт: Antivir, avast!, AVG, BitDefender, CA Antivirus, ClamWin, Dr.Web, F-Secure, Kaspersky, McAfee, MS OneCare, Nod32, Norton, Panda, Trend Micro. Надежной защиты не смог обеспечить ни один из этих продуктов. Nod32 оказался единственным участником, которому удалось обнаружить более двух третей новых вредоносных программ (чего тоже явно недостаточно), на втором месте расположился BitDefender с результатом всего 41%, а остальные антивирусы распознали каждую третью угрозу или даже меньше. Поведенческий анализатор на данный момент хорошо реализован только в программе F-Secure, которая в том же самое время показала свое бессилие против шпионских программ и повышенную требовательность к системным ресурсам. Кроме того, мы прекрасно понимаем к каким неудобствам для пользователя приводит использование поведенческих анализаторов.
Пока основным видом вредоносного ПО были компьютерные вирусы и распространялись они относительно медлено, мне все было понятно с антивирсными продуктами. Оперативность выпуска новых антивирусных сигнатур – вот что с основном отличало одного разработчика антивирусного движка от другого. Вторым отличием являлось “обкатанность” и согласованность работы продуктов корпоративного уровня. Существуют независимые тестовые лаборатории типа Virus Bulletin, AV-Comparatives и многие другие, которые регулярно проводят испытания новых продуктов на предмет полноты детектирования вирусов. По результатам этих испытаний обычно демонстрировалась точность обнаружения вирусов от 95% до 100% и это успокаивало.
Теперь ситуация совершенно иная. Нет, с обнаружением вирусов то дела обстоят более менее хорошо. Их по прежнему успешно можно детектировать по сигнатурам, применяя, правда с меньшим успехом, эвристический и поведенческий анализ для zero-day угроз. Обновления теперь разработчикам приходится выпускать чуть ли не каждый час, а так все ничего. Значительно хуже обстоят дела с защитой от других видов вредоносного ПО, которые сейчас намного более активны нежели вирусы, а именно: шпионское ПО, черви, трояны, боты и руткиты. Индустрия вредоносного ПО идет на два шага впереди антивирусной индустрии. Уже созданы даже процессорные руткиты, способные маскироваться под аппаратные команды комплектующих компьютера.
Таким образом, надежно обнаружить и тем более нейтрализовывать современное вредоносное ПО сегодня фактически не представляется возможным, даже при использовании комбинации из нескольких антивирусов. Для защиты следует использовать программные комплексы класса Internet Security Suite, в которых anti-malware дополняется персональным межсетевым экраном, IPS, антифишинг и антиспам фильтрами, identity и privacy protection и т.п. Другими словами, полный комплекс средств, используемых прежде для защиты периметра сети, теперь надо применять и на уровне каждой отдельной системы и даже виртуальной машины.