Microsoft Security Essentials - иллюзия защиты.

  • Автор:
microsoft-security-essentials-000.jpg
Данный продукт представлять не надо, Microsoft сама в этом преуспела. Изначально представив Security Essentials как продукт для домашних пользователей, компания начала наступление в сектор SOHO, разрешив использовать продукт в небольших компаниях, а затем и вовсе сделала его частью операционной системы Windows 8 под именем Windows Defender. Предложение безусловно привлекательное, осталось только разобраться, насколько надежна эта защита.

Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Вопрос этот, к сожалению, не праздный. В нашей практике приходилось неоднократно сталкиваться с ситуацией наличия на компьютерах с установленным MSE активного вредоносного ПО. Поэтому мы решили провести небольшое экспресс-тестирование.

Наиболее доступный способ тестирования антивируса - сигнатурный тест, хотя он последнее время подвергается критике со стороны как производителей антивирусного ПО, так и специалистов по безопасности. Критика во многом справедлива, так как один только сканер, как бы хорошо он не справлялся со своими задачами не способен оградить пользователя от всего спектра интернет угроз. Но справедливо и иное, если сканер работает неудовлетворительно, то никакой эвристик, поведенческий анализатор и т.д. не спасут ситуацию.

Критика сигнатурного способа звучит в основном от крупных производителей и их вполне можно понять. Если продукт А известного вендора и продукт Б собраный на коленке группой энтузиастов набирают в сигнатурном тесте примерно одинаковое количество баллов, то это не говорит, что продукт Б также хорош как А, так как первый, кроме сканера, содержит еще и поведенческий анализатор, антифишинг, веб-антивирус и т.д. и т.п., а второй ничего этого не имеет. Также учитывая, что разница в сигнатурных тестах между основными участниками рынка составляет единицы процентов, то становится понятно, что для полноценного сравнения антивирусных продуктов нужны иные методы.

Мы не ставили себе целью узнать, насколько хорошо Microsoft Security Essentials защищает от всего спектра современных угроз, нас интересовало только то, как он справляется со свой основной задачей - поиском вредоносного ПО, а для этой цели сигнатурный метод подходит как нельзя лучше.

В качестве базы сигнатур мы использовали базу VirusSign за первые две недели ноября 2012 года, отобрав из нее только явно вредоносное ПО и исключив разного рода неоднозначности, типа рекламного ПО, потенциально опасного и т.д. прогнав ее предварительно сканерами нескольких ведущих производителей антивирусного ПО. В итоге мы получили набор из 8588 сигнатур на которых и проводили наше тестирование.

Методика теста проста, мы запускали проверку папки с сигнатурами, отключив активную защиту антивируса и установив в настройках сканера удаление вредоносного ПО без попытки лечения. После окончания проверки смотрели что осталось в целевой папке и на основании этих данных подсчитывали результат. Такая методика была выбрана потому что многие образцы вредоносного ПО являются контейнерами, содержащими внутри еще некоторое количество файлов и разные антивирусы по разному определяют число проверенных и обнаруженных объектов.

В качестве объектов тестирования выступали Microsoft Security Essentials последней версии в вариантах для Windows XP и Windows 7 (x64), а также Windows Defender из состава Windows 8 Enterprise (x64). В качестве контроля тот же самый набор сигнатур был проверен в среде этих же OC последними версиями Антивируса Касперского и Dr.Web.

microsoft-security-essentials-001.jpg
Результат нас разочаровал, откровенно говоря, такого провала мы не ожидали. Антивирусные решения от Microsoft смогли найти только пятую часть от всего набора вредоносного ПО. Кроме того вся "линейка продуктов", начиная с MSE для XP и заканчивая Windows Defender для Windows 8 по сути является одной и той же программой в разных обертках, о чем наглядно свидетельствует результат.

Результаты данного теста повторяют результат нашего украинского коллеги Владимира Безмалого, хотя он использовал иной набор сигнатур и проводил несколько более широкий набор тестов (поэтому рекомендуем ознакомиться с материалом по ссылке).

Еще один скриншот, без комментариев:

microsoft-security-essentials-002.jpg
Выводы

Нам кажется, что читатели к данному моменту уже сделали выводы самостоятельно. Но все-таки подведем итог: на сегодняшний день рассматривать Microsoft Security Essentials / Windows Defender в качестве средства антивирусной защиты нельзя и использовать его категорически не рекомендуется. Фактически данный продукт создает только иллюзию защиты, на самом деле не предоставляя ее.

Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.


Loading Comments