Антивирус Microsoft обошел российские продукты

Популярные в России антивирусные продукты «Доктор Веб» и «Антивирус Касперского» провалили тест исследовательской лаборатории Virus Bulletin – VB100. Отметим, что тестирование прошли лишь 17 программ из 32, и среди этих семнадцати есть антивирус от Microsoft. Однако эксперты подчеркивают, что всецело доверять полученным результатам не стоит, так как в реальной ситуации аутсайдеры вполне могут оказаться первыми.

Лучшими антивирусными программами, по результатам теста Virus Bulletin, стали Agnitum Outpost, McAfee VirusScan, BitDefender AntiVirus, Microsoft Forefront, ESET NOD32, F-Secure Anti-Virus, Symantec Endpoint. А представлявшие Россию антивирус «Лаборатории Касперского» и «Доктор Веб» показали себя не с лучшей стороны, пропустив одну и одиннадцать вредоносных программ соответственно. Также в число неудачников вошли разработки Sophos, Avira, CA Home, PC Tools Spyware Doctor и Trend Micro. Тестирование проводится на коллекции вирусов In the Wild, которая собирается группой Wild list на основании сообщений от ряда корреспондентов со всего мира.

«Результаты таких тестов достаточно относительны и верить им на 100%, по моему мнению, не стоит, – говорит технический директор Лаборатории программных решений SmartSoftLine Сергей Звездин. – Лично я к продукции «Лаборатории Касперского» отношусь очень лояльно, а их антивирус не зря заслужил доверие во всем мире. Относительно «Доктора Веба» могу сказать одно: я давно не отслеживаю деятельность этой компании, но, по моему субъективному мнению, их продукт проигрывает «Антивирусу Касперского».

Технический директор компании «Комтеко» Владимир Башкатов подчеркивает, что в подобных тестах большую роль играет методика тестирования. И он допускает, что кто-то из членов команды, собирающей вирусы для списка Wild list, сотрудничал с программистами антивирусных компаний, предоставляя им вредоносные программы на исследование.

«Это легко объясняет прохождение теста менее популярными антивирусами и провал знаменитых», – говорит г-н Башкатов.

Менеджер по развитию бизнеса компании Cisco Алексей Лукацкий уверен, что данные результаты не отражают реальную ситуацию хотя бы потому, что известные нам сегодня антивирусы построены по уже устаревшей технологии, которая не в состоянии справиться с современными угрозами. «Если раньше вирусной эпидемией считалось распространение вредоносной программы на пятидюймовой дискете в рамках одного этажа в течение нескольких недель, то сегодня черви и вирусы расползаются по всему Интернету в течение нескольких минут или часов, при этом механизмы обнаружения вредоносного ПО остались практически неизменными – сначала подозрительный файл пересылается в антивирусную лабораторию, потом аналитики изучают его, и только потом появляется сигнатура, попадающая в очередное антивирусное обновление, – поясняет г-н Лукацкий свою позицию. – Как следствие аналитики просто не успевают своевременно выпускать обновления для своих продуктов, что и произошло в данном случае».

Второй проблемой тестирования менеджер по развитию бизнеса компании Cisco называет то, что оно не отражало реальной ситуации с вирусами и вредоносными программами.

«Задача современного вирусописателя, во-первых, как можно дольше оставаться незамеченным, а, во-вторых, от своего творения получить финансовую выгоду за счет кражи конфиденциальной информации или финансовых средств, – говорит г-н Лукацкий. – Чтобы решить эту задачу, вредоносная программа разрабатывается под конкретную компанию, а значит, она чисто физически не может попасть в список In the Wild. А эффективность антивируса может быть продемонстрирована только в реальной, а не тестовой ситуации. Кроме того, для успешной защиты антивирусное ПО должно строиться не на сигнатурах, которые могут просто не успеть быть доставлены до заказчика, а на обнаружении аномальной активности, служащей первым сигналом начала вирусной эпидемии. Такой подход лишен сигнатурных недостатков, так как система защиты не зависит от частоты обновления и доступности антивирусного сервера управления. Примером такой системы является Cisco Security Agent. Кроме того, о включении «аномальных движков» в свои продукты объявили и некоторые антивирусные разработчики».

Но не стоит забывать, что ни один антивирус не способен успешно бороться с вредоносным ПО в одиночку. Защита должна быть распределена между несколькими уровнями, каждый из которых может остановить угрозу.

«Многие заказчики внедряют следующую схему защиты: на периметре ставится антивирусный шлюз, антивирусные решения ставятся на почтовых серверах, и рабочие станции также оснащаются соответствующими модулями, – сообщает Алексей Лукацкий. – Некоторые идут еще дальше и устанавливают продукты разных вендоров. Однако не всегда это повышает уровень защиты, так как возникают сложности в интеграции и управлении этими разрозненными решениями. Принцип моновендорности, знакомый всем по различным ИТ-стандартам, применим и в безопасности. И выиграет та компания, которая сможет предложить своим заказчикам не просто лучший продукт по некоторому тесту, а целостное решение, состоящие из элементов, защищающих разные участки корпоративной сети, и интегрированных в единую, интегрированную самозащищающуюся систему».

Однако не всегда защита от вредоносного ПО является столь масштабной, многоуровневой и сложной задачей. Директор компании «Редсолюшн» Андрей Ненахов считает, что чем лечить такого ребенка, как Windows, лучше сделать нового или использовать нормальную операционную систему. «Например, GNU/Linux, с которой о вирусах можно практически забыть», – сообщает г-н Ненахов.