Najbardziej zaawansowana aplikacja do ochrony cybernetycznej dla Androida - Bitdefender Mobile Security & Antivirus

Pobierz

AktualnościCiekawostki

Bitdefender odznaczony w teście ochrony w świecie rzeczywistym AV-Comparatives luty–maj 2024 r.

Piotr R

17 czerwca 2024

Niezmiernie miło nam ogłosić, że Bitdefender Total Security został odznaczony oceną Zaawansowany+ w teście ochrony w świecie rzeczywistym AV-Comparatives, który został przeprowadzony w okresie od lutego do maja 2024 roku. To niezwykle ważne dla nas odznaczenie, ponieważ potwierdza, że nasz produkt spełnia najwyższe standardy bezpieczeństwa i niezmiennie od wielu lat należy do ścisłej topki w branży cyberbezpieczeństwa.

Nagroda AV-Comparatives dla Bitdefender

Dlaczego warto obserwować testy przeprowadzane przez AV-Comparatives?

Złośliwe oprogramowanie stanowi stale rosnące zagrożenie, nie tylko ze względu na rosnącą liczbę szkodliwych programów, ale także ze względu na charakter zagrożeń. Wektory infekcji zmieniają się z prostych metod opartych na plikach na dystrybucję przez Internet. Złośliwe oprogramowanie w coraz większym stopniu koncentruje się na użytkownikach, np. nakłaniając ich do odwiedzenia zainfekowanych stron internetowych, instalując fałszywe/złośliwe aplikacje lub otwierając wiadomości e-mail ze złośliwymi załącznikami. Zakres ochrony oferowanej przez programy antywirusowe jest rozszerzony o np. blokery adresów URL, filtrowanie treści, systemy reputacji w chmurze, detekcje statyczne i dynamiczne oparte na ML oraz przyjazne dla użytkownika blokery zachowań. Jeśli te funkcje są doskonale skoordynowane z wykrywaniem opartym na sygnaturach i heurystyką, zwiększa się ochrona przed zagrożeniami.

W ostatnim teście przeprowadzonym przez AV-Compratives badacze przyjrzeli się wszystkim funkcjom ochrony produktu – nie tylko ochronie przed złośliwym oprogramowaniem opartym na sygnaturach czy heurystycznym skanowaniu plików. Pakiet może wkroczyć na każdym etapie procesu – uzyskując dostęp do adresu URL, pobierając plik, tworząc plik na lokalnym dysku twardym, uzyskując dostęp do pliku i wykonując go – aby chronić komputer. Oznacza to, że test pozwala w najbardziej realistyczny sposób określić, jak dobrze produkt zabezpieczający chroni komputer. Ponieważ do ochrony komputera można wykorzystać wszystkie komponenty pakietu, produkt mógł uzyskać dobry wynik w teście, np. dzięki bardzo dobrej ochronie behawioralnej, ale słabemu blokowaniu adresów URL. Należy pamiętać, że nie wszystkie szkodliwe programy przedostają się do systemów komputerowych przez Internet i np. blokowanie adresów URL jest nieskuteczne w przypadku złośliwego oprogramowania wprowadzanego do komputera za pośrednictwem pendrive’a USB lub sieci lokalnej.

Pomimo tych technologii bardzo ważne jest, aby w dalszym ciągu testować także funkcje konwencjonalne i niezwiązane z chmurą, takie jak możliwości programów antywirusowych w zakresie wykrywania opartego na sygnaturach i heurystyki. Nawet przy wszystkich dostępnych funkcjach ochrony rosnąca częstotliwość ataków dnia zerowego oznacza, że niektóre komputery nieuchronnie zostaną zainfekowane. Ponieważ sygnatury można aktualizować, umożliwiają one rozpoznanie i usunięcie złośliwego oprogramowania, które początkowo zostało przeoczone przez oprogramowanie zabezpieczające. Inne technologie ochrony często nie oferują możliwości sprawdzenia istniejących magazynów danych pod kątem już zainfekowanych plików, które można znaleźć na serwerach plików wielu firm. Te warstwy zabezpieczeń należy rozumieć jako dodatek do dobrych współczynników wykrywalności, a nie jako zamiennik.

W jaki sposób AV-Comparatives przeprowadził testy?

Testowanie dziesiątek produktów antywirusowych z setkami adresów URL dziennie to mnóstwo pracy, której nie można wykonać ręcznie (ponieważ wiązałoby się to z równoległym odwiedzaniem tysięcy stron internetowych), dlatego konieczne jest zastosowanie pewnego rodzaju automatyzacji.

Każdy potencjalny przypadek testowy do wykorzystania w teście AV-Comparatives jest uruchamiany i analizowany na czystej maszynie bez oprogramowania antywirusowego. Jeśli złośliwe oprogramowanie spełnia te kryteria, źródłowy adres URL jest dodawany do listy w celu przetestowania go z produktami zabezpieczającymi. Wszelkie przypadki testowe, które okażą się nieodpowiednie, są wykluczane ze zbioru testowego.

Każdy testowany program zabezpieczający jest instalowany na unikalnym komputerze testowym. Wszystkie komputery są podłączone do Internetu. Każdy system jest codziennie aktualizowany ręcznie, a system antywirusowy jest aktualizowany przed każdym pojedynczym przypadkiem testowym. Każdy komputer testowy ma swój własny zewnętrzny adres IP. Dokonujemy specjalnych ustaleń z dostawcami usług internetowych, aby zapewnić stabilne połączenie internetowe dla każdego komputera i podejmujemy niezbędne środki ostrożności (ze specjalnie skonfigurowanymi zaporami sieciowymi itp.), aby nie szkodzić innym komputerom (tj. nie powodować epidemii).

Oprogramowanie

Testy przeprowadzono na w pełni załatanym systemie Microsoft Windows 10 64-bit. Korzystanie z aktualnego oprogramowania innych firm i zaktualizowanego systemu Microsoft Windows 10 w wersji 64-bitowej sprawia, że bardzo trudno jest znaleźć exploity. Użytkownicy powinni zawsze aktualizować swoje systemy i aplikacje, aby zminimalizować ryzyko infekcji poprzez exploity wykorzystujące niezałatane luki w oprogramowaniu.

Ustawienia

Test ochrony w świecie rzeczywistym AV-Comparatives ma na celu symulowanie warunków w świecie rzeczywistym, jakich doświadczają użytkownicy na co dzień. Jeśli wyświetlane są interakcje użytkownika, eksperci wybrali opcję „Zezwalaj” lub jej odpowiednik. Jeśli produkt mimo to chroni system, uznano szkodliwe oprogramowanie za zablokowane, mimo że pozwolono na uruchomienie programu, gdy użytkownik zostanie poproszony o podjęcie decyzji. Jeśli bezpieczeństwo systemu zostanie naruszone, uznano to za zależne od użytkownika. Eksperci z AV-Comparatives uważają, że „ochrona” oznacza, że system nie jest zagrożony. Oznacza to, że złośliwe oprogramowanie nie działa (lub zostało usunięte/zakończone) i nie ma żadnych znaczących/złośliwych zmian w systemie.

Przygotowanie do każdego dnia testów

Każdego ranka wszelkie dostępne aktualizacje oprogramowania zabezpieczającego były pobierane i instalowane ręcznie. Przed wykonaniem każdego przypadku testowego produkty miały trochę czasu na pobranie i zainstalowanie automatycznie nowszych aktualizacji, które właśnie zostały wydane, a także załadowanie modułów ochronnych (co w niektórych przypadkach zajmuje kilka minut). Jeśli w ciągu dnia została udostępniona główna aktualizacja sygnatur produktu, ale nie udało się jej pobrać/zainstalować przed rozpoczęciem każdego przypadku testowego, produkt miał te sygnatury, które były dostępne na początku dnia. Odwzorowuje to sytuację zwykłego użytkownika w świecie rzeczywistym.

Cykl testowy dla każdego złośliwego adresu URL

Przed przeglądaniem każdego nowego złośliwego adresu URL zaktualizowano programy/sygnatury. Nowe główne wersje produktu instalowane były raz na początku miesiąca, dlatego w każdym raporcie miesięcznym podano jedynie numer głównej wersji produktu. Oprogramowanie testowe AV-Comparatives monitoruje komputer, dzięki czemu wszelkie zmiany wprowadzone przez złośliwe oprogramowanie zostaną zarejestrowane. Ponadto algorytmy rozpoznawania sprawdzały, czy program antywirusowy wykrył szkodliwe oprogramowanie. Po każdym przypadku testowym maszyna była resetowana do stanu czystego.

Ochrona

Produkty zabezpieczające powinny chronić komputer użytkownika oraz utrudniać uruchamianie i wykonywanie jakichkolwiek działań złośliwego oprogramowania. Nie jest bardzo istotne, na jakim etapie następuje zabezpieczenie. Może to mieć miejsce podczas przeglądania strony internetowej (np. ochrona za pomocą modułu blokowania adresów URL), próby uruchomienia exploita, pobierania/tworzenia pliku lub uruchomienia złośliwego oprogramowania (przez exploit lub użytkownika). Po uruchomieniu szkodliwego oprogramowania eksperci AV-Comparatives czekalo kilka minut na złośliwe działania i dano czas np. blokerom zachowań na reakcję i zaradzenie działaniom wykonywanym przez złośliwe oprogramowanie. Jeśli złośliwe oprogramowanie nie zostało wykryte, a system rzeczywiście jest zainfekowany/naruszony (tj. nie naprawiono wszystkich działań), proces przechodził do „Naruszenie systemu”. Jeśli wymagana była interakcja użytkownika i to on decydował, czy coś jest złośliwe, a w przypadku najgorszej decyzji użytkownika system został naruszony, oceniono to jako „zależne od użytkownika”.

Ze względu na dynamiczny charakter testu, czyli naśladowanie warunków rzeczywistych, a także ze względu na sposób działania kilku różnych technologii (np. skanery w chmurze, usługi reputacyjne itp.), faktem jest, że takich testów nie da się powtórzyć lub replikować w sposób, w jaki mogą to zrobić np. statyczne testy współczynnika wykrywalności. W każdym razie rejestrowano jak najwięcej danych na poparcie ustaleń i wyników zespołu AV-Comparatives.

W przypadku produktów chmurowych brano pod uwagę jedynie wyniki, jakie produkty uzyskały w laboratorium w momencie testów; czasami usługi w chmurze świadczone przez dostawców zabezpieczeń przestają działać z powodu usterek lub przestojów konserwacyjnych ze strony dostawców, ale dostawcy często nie ujawniają użytkownikom tych przestojów. Jest to również powód, dla którego produkty w zbyt dużym stopniu opierające się na usługach chmurowych (i niekorzystające z lokalnych heurystyk, blokerów zachowań itp.) mogą być ryzykowne, gdyż w takich przypadkach bezpieczeństwo zapewniane przez produkty może znacznie się obniżyć. W produktach należy wdrożyć podpisy/reputację w chmurze, aby uzupełniać inne funkcje ochrony lokalnej/offline, ale nie zastępować ich całkowicie, ponieważ np. usługi w chmurze offline oznaczałyby, że komputery PC są narażone na większe ryzyko.

Przypadki testowe

Celem testów przeprowadzanych przez AV-Compratives jest wykorzystanie widocznych i odpowiednich złośliwych witryn/złośliwego oprogramowania, które są obecnie dostępne i stanowią ryzyko dla zwykłych użytkowników. Zwykle eksperci starają się uwzględnić jak najwięcej działających exploitów typu „drive-by” – z reguły są one dobrze objęte praktycznie wszystkimi głównymi produktami zabezpieczającymi, co może być jednym z powodów, dla których wyniki wyglądają stosunkowo wysoko. Reszta to adresy URL prowadzące bezpośrednio do plików wykonywalnych złośliwego oprogramowania; powoduje to pobranie niebezpiecznych ładunków, replikując w ten sposób scenariusz, w którym użytkownik zostaje oszukany przez inżynierię społeczną do kliknięcia linków w wiadomościach spamowych, witrynach internetowych lub do zainstalowania trojana, czy też innego złośliwego oprogramowania.

AV-Comparatives korzysta z własnego systemu indeksowania, aby stale wyszukiwać złośliwe witryny i wyodrębniać złośliwe adresy URL (w tym złośliwe linki przesłane spamem).

W tego rodzaju testach bardzo ważne jest użycie wystarczającej liczby przypadków testowych. Jeżeli w badaniach porównawczych wykorzystana zostanie niewystarczająca liczba próbek, różnice w wynikach mogą nie wskazywać na faktyczne różnice w możliwościach ochronnych pomiędzy testowanymi produktami. W testach AV-Comparatives wykorzystuje więcej przypadków testowych (próbek) na produkt w miesiącu niż w jakimkolwiek podobnym teście przeprowadzonym przez inne laboratoria testowe. Ze względu na wyższą istotność statystyczną, jaką osiąga AV-Comparatives, wszystkie produkty w każdym klastrze wyników są równie skuteczne, zakładając, że mają odsetek wyników fałszywie dodatnich poniżej średniej w branży.

Wynik testu fałszywych alarmów

Test fałszywych alarmów w teście ochrony w świecie rzeczywistym składa się z dwóch części: błędnie zablokowanych domen (podczas przeglądania) i błędnie zablokowanych plików (podczas pobierania/instalowania).

Źle zablokowane domeny (podczas przeglądania)

Zablokowane, niezłośliwe domeny/adresy URL były liczone w teście AV-Comparatives jako fałszywe alarmy (FP). Błędnie zablokowane domeny zostały zgłoszone odpowiednim dostawcom do sprawdzenia i nie powinny już być blokowane.

Blokując całe domeny, produkty zabezpieczające nie tylko ryzykują utratę zaufania do ostrzeżeń, ale także mogą spowodować szkody finansowe (oprócz szkody dla reputacji witryny internetowej) dla właścicieli domen, w tym utratę np. przychodów z reklam. Z tego powodu zdecydowanie zalecamy dostawcom blokowanie całych domen tylko w przypadku, gdy jedynym celem domeny jest przenoszenie/dostarczanie złośliwego kodu, a w inny sposób blokowanie tylko złośliwych stron (o ile są one rzeczywiście złośliwe). Produkty, które mają tendencję do blokowania adresów URL na podstawie np. reputacji, mogą być na to bardziej podatne i osiągać również wyższe wyniki w testach ochrony, ponieważ mogą blokować wiele niepopularnych/nowych witryn internetowych.

Błędnie zablokowane pliki (podczas pobierania/instalowania)

AV-Comparatives wykorzystał setki różnych aplikacji wymienionych jako najczęściej pobierane lub nowe/polecane do pobrania z różnych portali pobierania. Aplikacje zostały pobrane ze stron internetowych oryginalnych twórców oprogramowania (zamiast z hosta portalu pobierania), zapisane na dysku i zainstalowane w celu sprawdzenia, czy są blokowane na którymkolwiek etapie tej procedury. Dodatkowo dołączono kilka czystych plików, które napotkano i zakwestionowano w ciągu ostatnich miesięcy testu ochrony w świecie rzeczywistym.

Bitdefender osiągnął w tym teście bardzo dobre wyniki, ponieważ wygenerował tylko dwa fałszywe alarmy podczas przeglądania adresów URL.

W przypadku ochrony przed cybeniebezpieczeństwami Bitdefender Total Security zablokował 487/489 zagrożeń i charakteryzował się skutecznością w wysokości 99,6%, co jest jednym z najwyższych wyników, jakie zostały osiągnięte przez wszystkie testowane produkty.

Jeśli chcesz dowiedzieć się, w jaki sposób Bitdefender Total Security, może podnieść poziom Twojego cyberbezpieczeństwa, to sprawdź tę stronę.


Autor


Piotr R

Account Manager, od ponad roku pracuję w branży IT i od ponad 5 lat jestem copywriterem. Do moich zadań należy nawiązywanie współpracy partnerskich, pisanie i redagowanie tekstów, kontakt z dziennikarzami, tworzenie notatek prasowych oraz zamieszczanie ich na stronach internetowych i w naszych mediach społecznościowych. Wcześniej byłem przez kilka lat związany z branżą OZE oraz z technologiami telemetrycznymi i elektronicznymi. Interesuję się językoznawstwem, literaturą, grą na gitarze oraz branżą gier.

Zobacz posty autora


Artykuły które mogą Ci się spodobać

    Formularz kontaktowy

    Wybierz odpowiednią opcję aby przejść do formularza kontaktowego. Odpowiemy najszybciej jak to możliwe!

    klient-indywidualnyklient-biznesowyreseller

    Dane kontaktowe




    stalynowy