Durante muito tempo os grandes laboratórios que realizam pesquisas sobre a eficiência das ferramentas anti-malware trabalharam com um conceito de testes baseado exclusivamente com bases de vacinas (pattern), sendo os testes realizados no seguinte formato:
- É selecionada um hard disk contendo o maior número possível de malwares conhecidos e instalado em uma máquina de testes;
- Nesta mesma máquina é instalada a ferramenta anti-malware a ser testada e então é iniciada a verificação do hard disk com os malwares;
- Ao final do scan é verificado o relatório apresentado pela ferramenta e analisado para se constatar qual o percentual de malwares que a ferramenta conseguiu detectar / eliminar;
- Após a repetição do mesmo teste com todas as ferramentas do escopo, os relatórios de desempenho são analisados e é gerado o relatório final da pesquisa, contendo o comparativo entre o desempenho de todas as ferramentas testadas;
O tipo de teste descrito acima foi eficiente durante muito tempo, porém nos últimos anos a complexidade dos malwares aliada a dificuldade em sua detecção forçou os fabricantes de ferramentas anti-malware a mudarem a sua estratégia para conseguir manter a eficiência na proteção a seus clientes. A principal modificação na estratégia de proteção é trabalhar com novas tecnologias, além das bases de vacinas, como por exemplo reputações de web sites, co-relação de ameaças, etc.
Analisando está nova estratégia de proteção, é fácil concluir que o teste de desempenho citado no início deste post é atrasado, não levando em consideração estas novas tecnologias incorporadas as estratégias de proteção, logo não conseguem refletir o real percentual de proteção fornecido pelas ferramentas testadas.
Buscando melhorar o procedimento de testes das ferramentas anti-malware, o NSS LABS desenvolveu um novo procedimento para testes, fazendo a análise das ferramentas agora simulando um ambiente real, com acessos a internet, arquivos, utilização de pendrives e demais atividades normais no cotidiano de uma empresa. Este novo processo de testes foi feito da seguinte forma:
- Foram escolhidas as principais ferramentas anti-malware do mercado para participarem dos testes;
- A ferramenta anti-malware a ser avaliada é implementada no ambiente seguindo todas as melhores práticas de configuração / implementação do fabricante da ferramenta;
- A ferramenta anti-malware é avaliada pelo período de 21 dias, sendo submetida a ameaças web, novos malwares que ainda não possuem vacina (devem ser identificados pelo seu comportamento) e demais ameaças existentes;
- Após o período de 21 dias foram gerados todos os relatórios referentes ao seu nível de desempenho;
- O procedimento é repetido com todas as ferramentas que participam do teste;
- Ao final é gerado um relatório com o comparativo entre todas as ferramentas testadas;
Com este novo procedimento para os testes das ferramentas, todo o potêncial de proteção das mesmas é validado, sendo que o relatório final gerado a partir da análise das ferramentas pode ser considerado o mais próximo da realidade.
O último relatório da NSS LABS testou as 10 (dez) principais ferramentas anti-malwares disponíveis no mercado, sendo que a que oferece melhor proteção é a ferramenta OfficeScan do fabricante TREND MICRO. Abaixo seguem os principais dados deste relatório e os links para acesso ao relatório completo em PDF:
Ferramentas Analisadas e suas respectivas Versões (lista em ordem alfabética)
- AVG Internet Security, version 8.5.364
- Eset Smart Security 4, version 4.0.437
- F-Secure Client Security version 8.01
- Kaspersky Internet Security 2010, version 9.0.0.459
- McAfee VirusScan Enterprise:8.7.0 + McAfee Site Advisor Enterprise:2.0.0
- Norman Endpoint protection for Small Business and Enterprise
- Sophos Endpoint Protection for Enterprise - Anti-Virus version 7.6.8
- Symantec Endpoint Protection (for Enterprise), version 11
- Panda Internet Security 2009, version 14.00.00
- Trend Micro Office Scan Enterprise, version 10
Tabela Comparativa dos Resultados Finais:
Resultados dos Testes da NSS LABS
Para acesso aos relatórios completos: link (é necessário realizar o cadastro no site da NSS LABS para ter acesso aos relatórios) No link existem os relatórios dos testes das versões corporativas das ferramentas e das versões para uso pessoal.
Acesso ao site da empresa Trend Micro: Link
O grande diferencial das soluções Trend Micro é a sua estratégia, denominada Smart Protection Network, vale a pena acessar o link e entender como ela funciona. Logo teremos um post dedicado e ela em nosso blog.
