¿Puede su antivirus manejar un ataque de malware de día cero?

Probar la protección antivirus basada en firmas es muy fácil. Recopila cientos o miles de muestras de malware conocidas, ejecuta un análisis y observa cuántos detectó su producto antivirus. Sin embargo, para un virus nuevo de día cero (u otro tipo de malware) no hay necesariamente una firma disponible. Probar la protección contra amenazas de día cero es difícil, pero los investigadores de AV-Comparatives han desarrollado una técnica que los satisface. Sin embargo, tenga en cuenta que no todos los proveedores de antivirus aprueban esta prueba en particular; Muchos optaron por no participar en la última edición, cuyos resultados acaban de ser lanzados.

Por definición, no es posible ejecutar una prueba usando muestras reales de día cero. Para cuando los investigadores pudieran capturar y validar una muestra, los proveedores de antivirus ya estarían en camino de preparar una firma. AV-Comparatives simula la detección de día cero "congelando" la base de datos de firmas de un producto y luego usando solo muestras que aparecieron por primera vez después del gran congelamiento.

Algunos productos detectarán nuevo malware utilizando técnicas heurísticas, identificándolos por similitud con malware conocido u otras características. Los investigadores lanzaron cada muestra no capturada por la heurística, observando si la detección basada en el comportamiento del producto u otra protección en tiempo real previno la infestación. Los productos obtuvieron crédito total por bloquear el malware por sí mismo y medio crédito en situaciones en las que el bloqueo requería una decisión correcta del usuario.

Muy buena detección

Basado únicamente en sus tasas de detección, 11 de los 16 productos probados habrían obtenido una calificación ADVANCED +, la calificación más alta. Bitdefender encabezó este grupo, con un 97 por ciento de detección; Kaspersky y Emsisoft lograron el 94 por ciento. Panda y Avast habrían ganado AVANZADO. Microsoft también habría obtenido una calificación AVANZADA, pero AV-Comparatives la usa solo como referencia. En la parte inferior, AnhLab y Vipre habrían pasado con una calificación ESTÁNDAR.

Positivos falsos molestos

Los sistemas de detección heurísticos y basados ​​en el comportamiento deben ajustarse con mucho cuidado para evitar marcar programas válidos como peligrosos, eso es lo que llamamos un falso positivo. Muchos de los productos probados perdieron puntos por demasiados falsos positivos. Dado que la prueba de detección se realizó con firmas congeladas en febrero pasado, los investigadores pudieron reutilizar los resultados falsos positivos de una prueba realizada en marzo.

Seis de los productos probados perdieron un nivel de calificación debido a demasiados falsos positivos. Para Emsisoft, eScan y G Data, eso significaba pasar de AVANZADO + a AVANZADO, mientras que Panda bajó de AVANZADO a ESTÁNDAR. En cuanto a AhnLab y Vipre, ambos ya estaban en el nivel de aprobación más bajo, por lo que su calificación final se convirtió en PROBADA simplemente; No pasaron.

Controversia en la nube

Los proveedores que envíen sus productos para que los comparen AV-Comparatives deben aceptar participar en todas las pruebas requeridas. La prueba de detección de archivos basada en firmas es uno de los conjuntos requeridos; Symantec no aprueba esa prueba, por lo que no encontrará resultados para Norton en los informes de AV-Comparatives.

La prueba proactiva, por otro lado, es opcional. Según el informe, "AVG, McAfee, Qihoo, Sophos y Trend Micro decidieron no participar, ya que sus productos dependen en gran medida de la nube". La prueba de día cero excluye necesariamente la detección basada en la nube, ya que no hay forma de "congelar" la nube. Estos proveedores consideraron que sus productos obtendrían un puntaje bajo sin acceso a una conexión en la nube.

Si bien AV-Comparatives permitió que estos proveedores se retiraran, el informe los regaña un poco. "Incluso varias semanas después, algunos productos dependientes de la nube aún no detectaron algunas de las muestras de malware utilizadas, incluso cuando sus funciones basadas en la nube estaban disponibles", afirma. "Consideramos que es una excusa de marketing si las pruebas retrospectivas (…) son criticadas por no poder usar recursos en la nube". El informe concluye: "Si un archivo es completamente nuevo / desconocido, la nube generalmente no podrá determinar si es bueno o malicioso".

Si su antivirus obtuvo una calificación máxima en esta prueba, es una buena señal de que se defenderá contra las nuevas amenazas de día cero. Pero dado que la prueba no usa literalmente muestras nunca antes vistas en el mundo real, una puntuación baja (o ninguna participación) no necesariamente prueba que no hará el trabajo. Para una comprensión completa, querrá ver una amplia variedad de pruebas y las revisiones prácticas de antivirus de PCMag.