接触层检测和阻止会减少风险
2010 年 10 月,AV-Test.org 对分别来自 Symantec、McAfee、Microsoft、Sophos 和趋势科技的五款市场主要的企业端点解决方案执行了端点安全基准评测。
AV-Test.org 在开放式环境下测试真实发生的零日攻击,方法是追踪包含与自身关联的恶意软件的恶意 URL。该评测在所有厂商的平台上同时进行,确保评测进行期间对各方绝对公平。将产品配置为在多个不同等级阻止或检测威胁,以便展现每个厂商防御这些威胁的最大能力。
在这些评测中,趋势科技以明显优势拔得头筹,初始威胁阻止率超过 97%,1 小时之后为 99%,比第二名高出整整 16%。趋势科技还证明了其在源头(即 URL)处阻止这些威胁方面的明显优势,可以在该层阻止超过 84% 的威胁。
接触层检测和阻止会减少风险
对于仅使用基于文件的检测方法来尝试检测新产生的威胁的所有厂商而言,“海量威胁”正在导致一些问题。基于文件的检测要求每个威胁拥有防病毒公司创建和分发的类似签名文件。另外,现在大多数威胁通过受侵害的 Web 页面、BSEO(黑帽搜索引擎优化)和使用社会工程学等方法来源于 Internet。需要使用新技术来应对这些新威胁载体。
因此,AV-Test.org 执行了更为真实的端点解决方案评测,该评测不仅仅测试某个产品检测基于文件的威胁(感染层)的能力,还检测在威胁源头(接触层)阻止威胁的能力以及执行时(动态层)检测/阻止威胁的能力。由于开放式环境中出现的威胁的数量的快速增加,解决方案的追踪、分析和阻止无法识别的新威胁的能力变得越来越关键。接触层阻止会减少带给网络的风险,因为较少的威胁会影响网络带宽或需要计算资源在端点处将其阻止。在该评测中,只有在前一层中未被阻止的威胁才会在下一层中测试,以此类推。由 AV-Test.org 执行的评测的另一个方面是,1 小时后重新测试,确定是否有厂商已添加针对首次运行(亦称“防护时间”)时漏掉的威胁的新防护。
2010 年 10 月,AV-Test.org 测试了分别来自 Symantec、McAfee、Microsoft、Sophos 和趋势科技的五款市场主要的企业端点解决方案。评测结果表明,趋势科技凭借在接触层防护和防护时间两方面的明显优势拔得头筹。
下图表明,基于阻止的威胁数量,趋势科技防毒墙网络版在总体防护方面在这些主要厂商中排名第一。
测试产品
AV-Test.org 在 2010 年 10 月期间测试了以下五款产品:
趋势科技防毒墙网络版 v10.5.1083
Symantec Endpoint Protection v12.0.1001.95
McAfee VirusScan Enterprise v8.7.0.570
Microsoft Forefront Client Security v1.5.1981.0
Sophos Endpoint Security and Control v9.5.3
结果和分析
结果和分析
注意:结果基于 T+60 分钟的结果。每一层的阻止率不累加至总体得分。例如,趋势科技防毒墙网络版:在接触层阻止了 200 个威胁中的 169 个 (85%);在感染层阻止了 31 个威胁中的 21 个 (68%);在动态层阻止了 10 个威胁中的 8 个;总共阻止了 200 个威胁中的 198 个 (99%)。
在威胁的源头阻止方面,趋势科技表现出拥有最强的技术(比第二名高出 23.5%),因此,请确保在检测前没有下载任何文件。这确保了这些威胁无需带宽去下载,也无需使用计算机资源来识别或执行恶意代码。
在感染层中,Microsoft 的表现最为优异,这有助于提高总体得分,但低的接触得分表明它们仍然注重使用基于签名或基于行为的检测方法来阻止威胁。随着越来越多的恶意文件发布到开放式环境中,这会导致一些问题。基于文件和签名的方法需要更多的工作来创建签名文件、分发并在每个端点上更新这些文件。因此,随着威胁数量的增加,防护所用的网络和端点计算机资源会越来越多。
总体上,得分低于许多通常所见的现今评测中的得分。可能的原因是,由于评测之前收集 URL 和文件库的时间很短,厂商没有太多的时间通过正常的行业分享过程获取样例。
现在越来越多的威胁数量要求厂商改进其在追踪、分析和阻止未知威胁的能力。出于该原因,AV-Test.org 在该评测中使用的方法是 1 小时后再次运行样例。这给了厂商产品一次机会,使它们可以自动追踪第一次运行时绕过其技术的威胁,分析每个 URL 和文件,并在下一次运行前最终提供防护。如果产品拥有管理此过程的内在自动机制,那么另加的 1 小时评测的效果应该有所改善。
注意:防护时间改善指在 T=0 分钟时漏掉并随后在 T=60 分钟时阻止的威胁的百分比。例如,趋势科技防毒墙网络版:T=0 分钟时,阻止了 195 个威胁,漏掉了 5 个威胁。在 T=0 分钟时漏掉的 5 个威胁中,在 T=60 分钟时阻止了 3 个(阻止率为 60%)。
趋势科技再次证明了其在该方面的强大能力,与第一次运行相比,防毒墙网络版提高了 60%。其他厂商的平均改善率为 0.35%。这表明,在首次运行期间未检测到的威胁总数中,60% 在 T+60 运行期间得到阻止。
排名、病毒库和方法
得分和排名
总体得分是通过累加每个解决方案阻止的威胁的总数得到的,不论是在哪一层阻止的该威胁。
请注意,这些排名与性能、可伸缩性、用户界面、特性或功能无关,唯一的指标是针对 2010 年 10 月病毒库的防护有效性。
病毒库
AV-Test.org 通过搜索 Internet 中拥有关联恶意软件的 URL 收集了评测所用的病毒库。对于该评测,收集了 200 个恶意 URL 样例和关联的 200 个恶意文件样例,以进行测试。
AV-Test.org 评测所用的 URL/文件均采用各种专有发现、分析和验证技术从现有站点收集。这些 URL 并非由参与测试的公司所提供,也不为他们所了解。
评测方法
可在以下 Web 页面找到评测方法。
http://www.avtest.org/services_and_testing
我们得到如下结论
总结
我们可以从得到的数据中获得如下结论。
1.诸如趋势科技这样的厂商,在多个层次(接触、感染和动态)上投入并提供了阻止威胁的解决方案,可以针对现在传播的新威胁提供更好的安全性。通过使用 Web 信誉等主动式技术使威胁完全远离网络或计算机,而不是等待完成恶意文件的下载,防护效果得到了改善。
2.零日威胁更难防御,这是与传统检测率测试相比总体得分偏低的原因,也是在任何真实评测中加入防护时间因素的原因。这表明了厂商在针对任何先前未发现的威胁时进行追踪、分析和提供防护的效率。
该比较报告由 AV-Test.org 于 2010 年 10 月独立完成,并由趋势科技赞助。AV-Test.org 旨在根据在其安全实验室进行的测试为产品提供客观公正的分析。
关于趋势科技(Trend Micro)
超国界经营管理——国际标杆企业
1988年成立于美国加州。
1998年于日本东京证交所上市。
2002年入选日经225指数成分股,并连续5年入选道琼斯可持续发展指数。
2008年在38个分公司遍布全球,员工总数4000人。
全球市值最高的防毒软件公司。
美国哈佛大学列入MBA 案例教材。
名列日本经济新闻(Nihon Keizai Shimbun)2008年百大杰出企业名单第八,与Toyota丰田汽车并列,领先电信大厂NTT DoCoMo、本田(Honda) 、新力(Sony)等知名日本企业。
可信赖的网络安全专家——网络安全NO.1
创建第一种集中防病毒解决方案,适用于网关、电子邮件系统和文件服务器。
拥有五项国际重要专利,涉及自动病毒检测、病毒清除、电子邮件安全以及其他关键应用安全的创新。
首创病毒爆发预防设备NVW,可保护多个网段和服务器。
推出原厂专家服务产品TMES,1200名安全专家提供全天候(7*24)的服务支持。
首创管理网络病毒爆发的战略方案(EPS),针对特定病毒爆发生命周期的特定网段的特定解决方案。
率先推出云安全技术,超越了拦截Web威胁的传统方法,在Web威胁到达最终用户之前将其拦截。
赢得全世界的信赖——最佳品牌
Gartner Group连续四年把趋势科技评定为最具创新能力的防毒管理供应商。
趋势科技被 Computer Reseller News 评为年度最佳安全解决方案提供商。
趋势科技连续四年在 Nikkei Solution Business 进行的合作伙伴满意度调查中排名第一。
趋势科技入选台湾 2008 年最佳品牌。
30%的全球财富500强使用趋势科技的产品,超过50%的中国百强企业也选择趋势科技,华尔街80%的金融用户都选择趋势科技。
承接2008年奥运保障网络安全防护项目。
在全球,Dell和Hotmail是趋势科技长久的合作伙伴;在中国,金融业(中华人民共和国财政部、中国工商银行等)、制造业(一汽大众、联想、金士顿等)、航空业(东方航空等)等各个领域都应用装趋势科技的最新产品。
网关级防毒软件市场占有率绝对优势的第一名。
防毒软件市场年增长率第一名。
邮件服务器防毒软件市场占有率第一名。
群组服务器防毒软件市场占有率第一名。
网友评论