Video: Pon a prueba tu antivirus y anti-malware www.informaticovitoria.com (Noviembre 2024)
En los primeros años de las pruebas antivirus, cada prueba era una prueba de escaneo a pedido. Los investigadores reunirían una colección de malware conocido, realizarían un análisis completo y registrarían el porcentaje de muestras detectadas. Los laboratorios modernos trabajan arduamente para diseñar pruebas que reflejen más de cerca la experiencia del usuario en el mundo real, teniendo en cuenta el hecho de que la gran mayoría de las infecciones ingresan a la computadora desde Internet. Symantec sostiene que solo el tipo de prueba del mundo real es válido; No estoy completamente de acuerdo.
Protección para lisiados?
Alejandro Borgia, director senior de gestión de productos para Symantec Corporation, declaró categóricamente en su publicación de blog que "las tasas de detección citadas son engañosas y no representan la eficacia del producto en el mundo real". Borgia dijo: "Este tipo de pruebas de escaneo de archivos se ejecutan en entornos artificiales que paralizan todas las características de protección modernas".
Es cierto que AV-Comparatives se aseguró de que los sistemas de prueba tuvieran acceso a Internet, dando así acceso a la instalación de Symantec al poderoso sistema de reputación Norton Insight basado en la nube. Cuando pregunté a mis contactos de Symantec sobre esto, me explicaron que, para obtener la máxima potencia, Norton Insight se basa en información completa, "cómo se obtuvo el archivo, cuándo se obtuvo o de dónde se obtuvo (por ejemplo, URL y dirección IP)". Una prueba de análisis de archivos a pedido en archivos cuya llegada no observó el antivirus de Symantec no es la misma que cuando el usuario realmente descarga los archivos. Eso es cierto, pero es lo mismo que cuando un usuario instala un antivirus para limpiar un problema de malware existente.
Los componentes de prevención de intrusiones en la red tampoco tuvieron oportunidad de ayudar, ya que las muestras de archivos se descargaron antes de la instalación del software antivirus. Una vez más, estaría en una situación similar al instalar antivirus por primera vez en un sistema infestado. Y, por supuesto, la detección basada en el comportamiento nunca se activa hasta que un programa realmente comienza a ejecutarse.
En respuesta a una consulta sobre la protección basada en el comportamiento que toma medidas solo después de que se inicia un archivo malicioso, mis contactos de Symantec señalaron que el "comportamiento" incluye más que las acciones tomadas por el programa. "Nuestra tecnología de comportamiento tiene en cuenta la ubicación de un programa, cómo está registrado en el sistema (por ejemplo, qué claves de registro se refieren a él) y muchos otros factores", explicaron. "En la mayoría de los casos, el programa se detendrá antes de que cause algún daño".
¿Es engañoso?
En cuanto a la afirmación de que la prueba es engañosa, AV-Comparatives no está de acuerdo. La introducción al informe en sí dice que "la tasa de detección de archivos de un producto es solo un aspecto" y apunta a "otros informes de prueba que cubren diferentes aspectos".
"Se dice claramente que solo se prueba una característica del producto", dijo Peter Stelzhammer, cofundador de AV-Comparatives. "Si Symantec piensa que la función de detección de archivos no tiene valor, ¿por qué todavía está incluida en el producto?" Stelzhammer señaló que la detección de archivos es necesaria para la limpieza inicial y que las PC no siempre tienen conexión a Internet. Aun así, "la prueba se ejecutó con conexión a Internet completa y las funciones de la nube de Symantec tienen acceso a su nube".
Borgia compara la detección de archivos solo con la prueba de los sistemas de seguridad de un automóvil al deshabilitar primero todo menos el cinturón de seguridad, afirmando que tal prueba sería "completamente defectuosa". Y, sin embargo, una prueba como esa podría identificar problemas con un cinturón de regazo débil, por lo que "totalmente defectuoso" parece una exageración.
¿Solo pruebas del mundo real?
Borgia señala que Symantec respalda firmemente las pruebas del mundo real, las pruebas "que representan más estrechamente el entorno de amenazas y utilizan todas las tecnologías proactivas proporcionadas con un producto". Casi no puedo estar en desacuerdo, pero tales pruebas requieren una gran cantidad de tiempo y esfuerzo. La publicación del blog muestra las pruebas realizadas por Dennis Labs como un ejemplo brillante. Dennis Labs registra el proceso de infección de las URL del mundo real y luego utiliza un sistema de reproducción web para repetir exactamente el mismo proceso bajo la protección de cada producto antivirus. Admirable de hecho, pero requiere mucho tiempo y esfuerzo.
AV-Comparatives ejecuta pruebas del mundo real todos los días, desafiando una colección de productos antivirus instalados en plataformas de prueba idénticas para defenderse contra el malware de cientos de URL maliciosas del mundo real muy nuevas. Todos los meses resumen los datos y cada trimestre publican un informe completo de Real World Protection. El proceso requiere suficiente mano de obra como para depender de la ayuda de la Universidad de Innsbruck y de una financiación parcial del gobierno austriaco.
Es de esperar que Symantec brille en esta prueba del mundo real realizada por AV-Comparatives. "Desafortunadamente", señaló Stelzhammer, "Symantec no quería unirse a nuestra serie principal de pruebas". Symantec decidió no participar, dijeron, porque "AV-Comparatives no ofrece a los proveedores una suscripción centrada únicamente en pruebas del mundo real, mientras que se excluye de la prueba de escaneo de archivos". Sin embargo, esta estrategia parece haber fracasado. Aunque la empresa no se suscribió, AV-Comparatives puso a Symantec en la prueba a pedido "ya que los resultados han sido muy demandados por nuestros lectores y la prensa".
Las pruebas múltiples tienen valor
La publicación del blog de Symantec concluye: "Esperamos el día en que todas las pruebas publicadas sean pruebas del mundo real. Mientras tanto, los lectores deben tener cuidado con las pruebas artificiales que muestran comparaciones engañosas de productos". A mí también me encantaría ver más pruebas que coincidan con la experiencia del usuario en el mundo real, pero no creo que podamos descartar las pruebas de detección de archivos.
Considera esto. Si compra un software antivirus para un sistema que nunca tuvo protección, esperará que elimine todo el malware, sin tener en cuenta que no se le dio la oportunidad de usar su prevención de intrusiones en la red. En un caso como ese, probablemente buscará puntajes altos en una prueba como la prueba a pedido de AV-Comparatives, una prueba que se ajusta bastante a su situación.
Para una protección continua, sí, también querrás un producto que obtenga los mejores puntajes en las pruebas del mundo real. Por lo tanto, elija un producto con puntajes altos en ambas áreas y en pruebas de múltiples laboratorios. De esa forma, obtendrá protección que puede solucionar cualquier problema existente en la instalación y también evitar futuros ataques de malware.
