Video: Тестирование Symantec Endpoint Protection 14.2 (September 2024)
Under de första åren av antivirustestning var varje test ett on-demand skanningstest. Forskare skulle sätta ihop en samling känd skadlig programvara, köra en fullständig genomsökning och registrera andelen prover som upptäckts. Moderna laboratorier arbetar hårt för att utforma test som närmare speglar en användares verkliga erfarenhet, med hänsyn till det faktum att de allra flesta infektioner kommer in i datorn från Internet. Symantec hävdar att endast den verkliga typen av test är giltig; Jag håller inte helt med.
Skrynkligt skydd?
Alejandro Borgia, senior chef för produktledning för Symantec Corporation, uttalade kategoriskt i sitt blogginlägg att "de citerade upptäcktsnivåerna är vilseledande och inte representativa för verklig produkteffektivitet." Borgia sa: "Dessa typer av filsökningstest körs i konstgjorda miljöer som förkroppar alla moderna skyddsfunktioner."
Det är sant att AV-Comparatives såg till att testsystemen hade tillgång till internet, vilket därmed gav Symantec-installationen åtkomst till det kraftfulla molnbaserade ryktsystemet Norton Insight. När jag frågade mina Symantec-kontakter om detta förklarade de att för full effekt Norton Insight förlitar sig på fullständig information, "hur filen erhölls, när den erhölls eller varifrån den erhölls (t.ex. URL och IP-adress)." Ett on-demand-filskannertest på filer vars ankomst Symantecs antivirus inte observerade är inte detsamma som när användaren faktiskt laddar ner filer. Det är sant, men det är samma sak som när en användare installerar antivirus för att rensa upp ett befintligt skadligt problem.
Komponenterna för förebyggande av nätverksintrång fick inte heller någon chans att hjälpa till, eftersom filproven laddades ner före installation av antivirusprogram. Återigen skulle du vara i en liknande situation när du installerar antivirus för första gången på ett infekterat system. Och naturligtvis kommer beteendebaserad upptäckt aldrig in förrän ett program faktiskt börjar köra.
Som svar på en fråga om beteendebaserat skydd som vidtar åtgärder först efter att en skadlig fil har startats påpekade mina Symantec-kontakter att "beteende" inkluderar mer än åtgärder som vidtagits av programmet. "Vår beteendeteknologi tar hänsyn till ett programs placering, hur det är registrerat i systemet (t.ex. vilka registernycklar som hänvisar till det) och många andra faktorer, " förklarade de. "I de flesta fall kommer programmet att stoppas innan det orsakar skada."
Är det vilseledande?
När det gäller påståendet att testet är vilseledande, är AV-Comparatives inte eniga. Inledningen till själva rapporten om att "en produkts fildetekteringsfrekvens endast är en aspekt" och pekar på "andra testrapporter som täcker olika aspekter."
"Det framgår tydligt att endast en funktion av produkten testas, " säger Peter Stelzhammer, grundare av AV-Comparatives. "Om Symantec tycker att fildetekteringsfunktionen är värdelös, varför ingår den fortfarande i produkten?" Stelzhammer påpekade att fildetektering behövs för den första rengöringen, och att datorer inte alltid har en internetanslutning. Trots detta "testet kördes med full internetanslutning och Symantecs molnfunktioner har fått tillgång till deras moln."
Borgia jämför med att testa filupptäckt enbart till att testa en bils säkerhetssystem genom att först inaktivera allt utom knäbältet och säger att ett sådant test skulle vara "helt felaktigt." Och ändå kan ett sådant test väl identifiera problem med ett svagt varvbälte, så "helt felaktigt" verkar vara en överskattning.
Test av verklig värld?
Borgia konstaterar att Symantec starkt stöder verkliga tester, tester "som närmast representerar hotmiljön och använder alla proaktiva tekniker som levereras med en produkt." Jag kan knappast hålla med om det, men sådana test kräver en enorm mängd tid och ansträngning. Blogginlägget fortsätter testningen som utförs av Dennis Labs som ett lysande exempel. Dennis Labs registrerar infektionsprocessen från riktiga webbadresser och använder sedan ett webbuppspelningssystem för att upprepa exakt samma process under varje antivirusprodukts skydd. Visst beundransvärt, men det tar mycket tid och ansträngning.
AV-Comparatives själva kör verkliga tester varje dag och utmanar en samling antivirusprodukter installerade i identiska testriggar för att försvara mot skadlig programvara från hundratals helt nya skadliga webbadresser i verkligheten. Varje månad sammanfattar de uppgifterna och varje kvartal släpper de en fullständig rapport från Real World Protection. Processen är tillräckligt arbetsintensiv för att de litar på hjälp från universitetet i Innsbruck och på delvis finansiering från den österrikiska regeringen.
Du kan förvänta dig att Symantec ska lysa i det här verkliga testet av AV-Comparatives. "Tyvärr, " konstaterade Stelzhammer, "Symantec ville inte gå med i vår viktigaste testserie." Symantec valde att inte delta, sade de, eftersom "AV-Comparatives inte erbjuder leverantörer ett abonnemang som enbart är inriktat på verkliga tester, medan de väljer bort filskannatestet." Emellertid verkar denna strategi ha backfired. Trots att företaget inte prenumererade satte AV-Comparatives Symantec i testet på begäran "eftersom resultaten har varit mycket efterfrågade av våra läsare och pressen."
Flera test har värde
Symantecs blogginlägg avslutar, "Vi ser fram emot dagen då alla publicerade tester är verkliga tester. Under tiden måste läsarna vara akta för konstgjorda tester som visar vilseledande produktjämförelser." Jag skulle också vara stolta över att se fler test som matchar användarens verkliga upplevelse, men jag tror inte att vi kan kassera fildetekteringstester.
Tänk på detta. Om du köper antivirusprogram för ett system som aldrig har haft skydd, förväntar du dig att det kommer att rensa upp all skadlig programvara utan att fatta att det inte gavs en chans att använda det förebyggande av nätverksintrång. I ett sådant fall letar du förmodligen efter höga poäng i ett test som AV-Comparatives on-demand-test, ett test som ganska nära matchar din situation.
För kontinuerligt skydd, ja, du vill ha en produkt som tjänar toppresultat i verkliga tester också. Så välj en produkt som får hög poäng i båda områdena och i tester från flera laboratorier. På det sättet får du skydd som kan ta hand om eventuella problem som finns vid installationen och som också kan avvärja framtida skadliga attacker.
