Тестирование антивирусов и фаерволов на качество защиты от проникновения в ядро операционной системы Microsoft Windows определило лучшие продукты, предотвращающие воздействие вредоносных программ. Впрочем, как обычно, и методика тестирования, и результаты, и даже сама идея проверки отдельного компонента антивируса вызвали неоднородную реакцию вендоров.

Портал Anti-Malware.ru обнародовал результаты нового сравнительного тестирования антивирусного ПО. На этот раз софт сравнивался с целью определить продукты, наиболее эффективно справляющиеся с защитой от проникновения вредоносных программ в ядро операционной системы (ОС) Microsoft Windows XP SP3.

За осуществление защиты ПК на этом уровне отвечают компоненты антивирусов и сетевых экранов под аббревиатурой HIPS (Host Intrusion Prevention Systems) – именно их работа и тестировалась в ходе исследования. Сейчас технологии поведенческого анализа и системы предотвращения вторжения на уровне хоста HIPS набирают популярность среди производителей средств защиты компьютеров, говорится в отчете. Их основная цель - идентифицировать и блокировать вредоносные действия в системе и не допустить ее заражения.

Внедрение вредоносного кода в ядро операционной системы чревато самыми неблагоприятными последствиями для владельца ПК: код получает полный контроль над компьютером жертвы. Он может отключать защиту, скрывая свое присутствие в системе, перехватывать информацию, рассылать спам, проводить DDoS-атаки, подменять содержимое поисковых запросов, делать все-то угодно, несмотря на формально работающую антивирусная защита. Умение справляться с этой угрозой – важное качество антивируса, говорят специалисты Anti-Malware.ru.

Результаты сравнительного тестирования HIPS-компонент


Распределение блогов по основным блогохостингам

Источник: Anti-Malware.ru

В ходе тестирования для проверки софта были использованы девять вредоносных программ, которые реально встречаются в «дикой природе». Проверке были проверены шесть программных продуктов: PC Tools Firewall Plus, Jetico Personal Firewall, Online Armor Personal Firewall Premium, Kaspersky Internet Security, Agnitum Outpost Security Suite и Comodo Internet Security 3. Другой популярный софт не попал в поле внимания тестировщиков anti-malware.ru по причине отсутствия в его составе модуля HIPS.

В результате теста, лучшими продуктами по предотвращению проникновения вредоносных программ на уровень ядра ОС признаны Online Armor Personal Firewall Premium 3.0, Comodo Internet Security 3.8, Kaspersky Internet Security 2009. Первый – это. По оценке Anti-Malware.ru, «продвинутый» фаеровол, не содержащий в себе классических антивирусных компонент, в то время как два других победителя - это комплексные решения класса Internet Security.

Еще один важный аспект – «надоедливость» HIPS-компонент для пользователя, то есть количество всевозможных выводимых ими сообщений и запросов действий. Здесь наиболее «тактичными» признаны Kaspersky Internet Security 2009, PC Tools Firewall Plus 5.0 и Agnitum Outpost Security Suite 6.5.

«В данном сравнении были отобраны самые известные продукты, имеющие на борту HIPS. Как видно, только три продукта смогли достойно препятствовать проникновению в нулевое кольцо», - прокомментировал результаты теста эксперт Anti-Malware.ru Василий Бердников. Он также отметил, что поведенческий анализ более эффективный способ предупреждения заражения вредоносным ПО, чем методы, основанные на анализе кода исполняемых файлов. Однако его применение требует «подкованности» пользователей.

Сами разработчики антивирусов по-разному отзываются и об адекватности результатов тестирования, и о необходимости отдельной проверки HIPS-компонента. Так, ведущий технологический эксперт «Лаборатории Касперского» Олег Зайцев обратил внимание на то, что в новом тесте Anti-Malware.ru искусственно воспроизводилась наиболее сложная для автоматического анализа ситуация - запуск вредоносной программы из группы «слабые ограничения». «Мы рады, что продукт с ней прекрасно справился - практически все попытки проникновения в ядро были успешно пресечены», - добавил он.

Максим Коробцев, технический директор Agnitum, в свою очередь, полагает, что если бы тестирование продуктов проводилось при отключенной функции автообучения, то результаты тестирования модуля «Локальная безопасность» Outpost «соответствовали бы уровню лучших конкурирующих продуктов». А Павел Потасуев, директор по ИТ компании Eset, в интервью CNews назвал саму идею отдельного тестирования HIPS-компонента бессмысленной: «Такой тест в гораздо большей степени запутывает пользователя, чем дает возможность оценить тот или иной продукт. Целое в данном случае - это вовсе не сумма отдельных частей», - считает он.