Overblog
Edit post Seguir este blog Administration + Create my blog

Publicado por Bienvenidos a Portal de Noticias

 
Fecha Septiembre 2022  
Idioma Inglés
Última revisión 11 de octubre de 2022
Prueba de detección de archivos con ejecución, incluida la prueba de falsa alarma

Fecha de lanzamiento 2022-10-14
Fecha de revisión 2022-10-11
Período de prueba Septiembre 2022
Número de casos de prueba 10019
En línea con conectividad en la nube casilla de verificación marcada
Actualización permitida casilla de verificación marcada
Prueba de falsa alarma incluida casilla de verificación marcada
Plataforma/SO Microsoft Windows

Introducción

En la prueba de protección contra malware, los archivos maliciosos se ejecutan en el sistema. Mientras que en la prueba de protección del mundo real el vector es la web, en la prueba de protección contra malware los vectores pueden ser, por ejemplo, unidades de red, USB o escenarios de cobertura donde el malware ya está en el disco.

Tenga en cuenta que no recomendamos comprar un producto únicamente sobre la base de una prueba individual o incluso un tipo de prueba. Más bien, sugerimos que los lectores consulten también nuestros otros informes de pruebas recientes y consideren factores como el precio, la facilidad de uso, la compatibilidad y el soporte. La instalación de una versión de prueba gratuita permite que un programa se pruebe en el uso diario antes de la compra.

En principio, las suites de seguridad de Internet para usuarios domésticos se incluyen en esta prueba. Sin embargo, algunos proveedores nos pidieron que incluyéramos su producto de seguridad antivirus (gratuito) en su lugar.

Productos probados

Información sobre motores/firmas adicionales de terceros utilizados dentro de los productos: G DataTotal Defense y VIPRE utilizan el motor BitdefenderTotalAV utiliza el motor AviraAVG es una versión renombrada de Avast.

Procedimiento de prueba

La prueba de protección contra malware evalúa la capacidad de un programa de seguridad para proteger un sistema contra la infección por archivos malintencionados antes, durante o después de la ejecución. La metodología utilizada para cada producto probado es la siguiente. Antes de la ejecución, todas las muestras de prueba se someten a análisis en tiempo real y bajo demanda por parte del programa de seguridad, y cada uno de ellos se realiza tanto fuera de línea como en línea. Cualquier muestra que no haya sido detectada por ninguno de estos escaneos se ejecuta en el sistema de prueba, con acceso a Internet / nube disponible, para permitir, por ejemplo, que entren en juego las funciones de detección de comportamiento. Si un producto no evita o revierte todos los cambios realizados por una muestra de malware en particular dentro de un período de tiempo determinado, ese caso de prueba se considera un error. Si se le pide al usuario que decida si se debe permitir que se ejecute una muestra de malware y, en el caso de los peores cambios en el sistema de decisión del usuario, el caso de prueba se clasifica como "dependiente del usuario".

Detección vs. Protección

La prueba de detección de archivos que realizamos en años anteriores fue una prueba de solo detección. Es decir, solo probó la capacidad de los programas de seguridad para detectar un archivo de programa malicioso antes de la ejecución. Esta capacidad sigue siendo una característica importante de un producto antivirus, y es esencial para cualquier persona que, por ejemplo, quiera comprobar que un archivo es inofensivo antes de reenviarlo a amigos, familiares o colegas.

Esta prueba de protección contra malware comprueba no solo las tasas de detección, sino también las capacidades de protección, es decir, la capacidad de evitar que un programa malicioso realice cambios en el sistema. En algunos casos, un programa antivirus puede no reconocer una muestra de malware cuando está inactiva, pero la reconocerá cuando se está ejecutando. Además, varios productos AV utilizan la detección de comportamiento para buscar y bloquear los intentos de un programa de llevar a cabo cambios en el sistema típicos del malware. Nuestra prueba de protección contra malware mide la capacidad general de los productos de seguridad para proteger el sistema contra programas maliciosos, ya sea antes, durante o después de la ejecución. Complementa nuestra prueba de protección en el mundo real, que obtiene sus muestras de malware de URL en vivo, lo que permite que entren en juego funciones como los bloqueadores de URL. Ambas pruebas incluyen la ejecución de cualquier malware no detectado por otras características, lo que permite que entren en juego las características de "última línea de defensa".

Una de las implicaciones de los mecanismos de detección en la nube es la siguiente: los autores de malware buscan constantemente nuevos métodos para eludir los mecanismos de detección y seguridad. El uso de la detección en la nube permite a los proveedores detectar y clasificar archivos sospechosos en tiempo real para proteger al usuario contra malware actualmente desconocido. Mantener algunas partes de la tecnología de protección en la nube evita que los autores de malware se adapten rápidamente a las nuevas reglas de detección.

Casos de prueba

El conjunto de pruebas utilizado para esta prueba consistió en 10.019 muestras de malware, reunidas después de consultar datos de telemetría con el objetivo de incluir muestras recientes y prevalentes que están poniendo en peligro a los usuarios en el campo. Las variantes de malware se agruparon para construir un conjunto de pruebas más representativo (es decir, para evitar la sobrerrepresentación del mismo malware en el conjunto). El proceso de recolección de muestras se detuvo a fines de agosto de 2022. Todos los productos se instalaron en un sistema Microsoft Windows 10 de 64 bits totalmente actualizado. Los productos se probaron a principios de septiembre con la configuración predeterminada y utilizando sus últimas actualizaciones.

Sistema de clasificación

Análisis jerárquico de conglomerados

Las tasas de protección contra malware son agrupadas por los evaluadores después de observar los clústeres creados con el método de agrupación jerárquica (http://strata.uga.edu/software/pdf/clusterTutorial.pdf). Sin embargo, los probadores no se adhieren rígidamente a esto en los casos en que no tendría sentido. Por ejemplo, en un escenario en el que todos los productos alcanzan bajas tasas de protección, los que obtengan la puntuación más alta no recibirán necesariamente el premio más alto posible.

El número de falsos positivos también puede afectar la calificación de un producto. Los evaluadores tienen en cuenta los métodos estadísticos al definir rangos de falsos positivos. Los rangos de FP para las diversas categorías que se muestran a continuación podrían adaptarse cuando sea apropiado (por ejemplo, si cambiamos el tamaño del conjunto de archivos limpios).

  Grupos/grupos
de tasas de protección (proporcionados por los evaluadores después de consultar métodos estadísticos)
  4 3 2 1
Muy pocos (0-1 FPs) Pocos (2-10 FP's) PROBADO ESTÁNDAR AVANZADO AVANZADO+
Muchos (11-20 FPs) PROBADO PROBADO ESTÁNDAR AVANZADO
Muchísimos (21-60 FPs) PROBADO PROBADO PROBADO ESTÁNDAR
Notablemente muchos (más de 60 FPs) PROBADO PROBADO PROBADO PROBADO

 

Tasas de detección fuera de línea vs. en línea

Muchos de los productos de la prueba utilizan tecnologías en la nube, como servicios de reputación o firmas basadas en la nube, a las que solo se puede acceder si hay una conexión a Internet activa. Al realizar escaneos bajo demanda y en acceso tanto fuera de línea como en línea, la prueba da una indicación de cuán dependiente de la nube es cada producto y, en consecuencia, qué tan bien protege el sistema cuando no hay una conexión a Internet disponible. Sugerimos que los proveedores de productos altamente dependientes de la nube adviertan adecuadamente a los usuarios en caso de que se pierda la conectividad con la nube, ya que esto puede afectar considerablemente la protección proporcionada. Si bien en nuestra prueba verificamos si los servicios en la nube de los respectivos proveedores de seguridad son accesibles, los usuarios deben ser conscientes de que el mero hecho de estar en línea no significa necesariamente que el servicio en la nube de su producto sea accesible / funcione correctamente.

Para información de los lectores y debido a las frecuentes solicitudes de revistas y analistas, también indicamos cuántas de las muestras fueron detectadas por cada programa de seguridad en los escaneos de detección fuera de línea y en línea.

  Tasa de detección OFFLINE Tasa de detección ONLINE Tasa de protección ONLINE Falsas
alarmas
Avast 93.9% 98.8% 100% 5
Avg 93.9% 98.8% 100% 5
Avira 93.8% 97.4% 99.98% 0
Bitdefender 94.9% 94.9% 99.98% 8
ESET 92.5% 92.5% 99.91% 0
G DATOS 96.0% 96.0% 100% 4
K7 89.8% 89.8% 99.97% 30
Kaspersky 80.6% 91.1% 99.96% 0
Malwarebytes 87.4% 96.9% 99.81% 16
Mcafee 82.5% 99.6% 100% 7
Microsoft 69.8% 98.1% 99.99% 19
NortonLifeLock 85.7% 99.4% 99.99% 3
Panda 52.8% 83.8% 99.93% 59
Total AV 93.8% 96.8% 99.97% 1
Defensa Total 94.9% 94.9% 99.96% 8
Trend Micro 41.1% 82.3% 97.41% 6
VIPRE 94.9% 94.9% 99.97% 8

Resultados de las pruebas

Tasas totales de protección en línea (agrupadas en grupos):

Tenga en cuenta también las tasas de falsas alarmas cuando mire las tasas de protección a continuación.

  Bloqueado Dependiente del usuario Comprometido Tasa
de protección[% bloqueado + (% dependiente del usuario / 2)]
Clúster
Avast 10019 - - 100% 1
Avg 10019 - - 100% 1
Datos G 10019 - - 100% 1
Mcafee 10019 - - 100% 1
Microsoft 10018 - 1 99.99% 1
NortonLifeLock 10018 - 1 99.99% 1
Avira 10017 - 2 99.98% 1
Bitdefender 10017 - 2 99.98% 1
K7 10016 - 3 99.97% 1
TotalAV 10016 - 3 99.97% 1
VIPRE 10016 - 3 99.97% 1
Kaspersky 10015 - 4 99.96% 1
Defensa Total 10015 - 4 99.96% 1
 
Panda 10012 - 7 99.93% 2
ESET 10010 - 9 99.91% 2
 
Malwarebytes 10000 - 19 99.81% 3
 
Trend Micro 9760 - 259 97.41% 4

 

El conjunto de prueba utilizado contenía 10019 muestras recogidas en las últimas semanas.

AvastAvgAviraBitdefenderESETG DATOSK7KasperskyMalwarebytesMcafeeMicrosoftNortonLifeLockPandaDefensa TotalTotalAVTrend MicroVIPRE95%96%97%98%99%100%050100150200

TotalAV

● Comprometido: 0.04%● Dependiente del usuario: 0%● Bloqueado: 99.96%


 Falsos positivos: 8

Comprometido

Dependiente del usuario

Bloqueado

Falsos positivos

Resultado de la prueba de falso positivo (falsa alarma)

Para evaluar mejor la calidad de las capacidades de detección de archivos (capacidad de distinguir archivos buenos de archivos maliciosos) de los productos antivirus, proporcionamos una prueba de falsa alarma. Las falsas alarmas a veces pueden causar tantos problemas como una infección real. Tenga en cuenta la tasa de falsas alarmas al observar las tasas de detección, ya que un producto que es propenso a falsas alarmas puede lograr tasas de detección más altas más fácilmente. En esta prueba, se escaneó y ejecutó un conjunto representativo de archivos limpios (como se hace con el malware).

1. AviraESET, Kaspersky 0 muy pocos PM
2. TotalAV 1
 
3. NortonLifeLock 3 pocos PF
4. G DATOS 4
5. AvastAVG 5
6. Trend Micro 6
7. Mcafee 7
8. BitdefenderDefensa TotalVIPRE 8
 
9. Malwarebytes 16 muchos PM
10. Microsoft 19
 
11. K7 30 muchos PM
12. Panda 59
 

Los detalles sobre las falsas alarmas descubiertas (incluida su prevalencia asumida) se pueden ver en el informe separado disponible en: Prueba de falsa alarma septiembre de 2022.

AviraESETKasperskyTotalAVNortonLifeLockG DATOSAvastAvgTrend MicroMcafeeBitdefenderDefensa TotalVIPREMalwarebytesMicrosoftK7Panda0204060

Falsos positivos

Un producto que tiene éxito en la detección de un alto porcentaje de archivos maliciosos pero sufre de falsas alarmas puede no ser necesariamente mejor que un producto que detecta menos archivos maliciosos, pero que genera menos falsas alarmas.

Niveles de premios alcanzados en esta prueba de protección contra malware

AV-Comparatives proporciona premios de clasificación, que se basan en los niveles de falsos positivos, así como en las tasas de protección. Como este informe también contiene las tasas de detección brutas y no solo los premios, los usuarios expertos que pueden estar menos preocupados por las falsas alarmas pueden, por supuesto, confiar solo en la tasa de protección. Los detalles de cómo se otorgan los premios se pueden encontrar arriba.

AVANZADO+

AVANZADO

ESTÁNDAR

PROBADO

* Estos productos obtuvieron premios más bajos debido a falsas alarmas

Fuente:AV comparatives