Немецкая организация AV-Test.org, специализирующаяся на тестировании антивирусного программного обеспечения, обобщила соответствующие предложения, поступившие от компаний Symantec, Panda Software и Trend Micro. Кроме того, по словам Майка Моргенштерна, возглавляющего в AV-Test.org направление тестирования продуктов, предварительный вариант документа был дополнен и их собственными мыслями.
Заручиться поддержкой
Новые предложения, заслужившие одобрение «Лаборатории Касперского», компании F-Secure и ряда других организаций, занимающихся тестированием (в частности, издания Virus Bulletin), будут представлены на конференции Association of AntiVirus Asia Researchers 2007, которая пройдет в Сеуле в ноябре текущего года.
"Компании, выступающие в защиту документа AV-Test.org, попытаются заручиться поддержкой других поставщиков средств обеспечения безопасности, - подчеркнул инженер Symantec по антивирусным продуктам Марк Кеннеди. - Мы со своей стороны убеждены в том, что тестирование следует проводить только таким образом. Надеюсь, что другие компании также присоединятся к нам".
В настоящее время выдвинутые предложения не являются обязательными при проведении тестировании. Соответственно, остается вероятность того, что в конечном итоге они будут отвергнуты.
Сегодня группы, занимающиеся тестированием антивирусного программного обеспечения, как правило, выполняют порученные им задачи путем проверки реакции антивирусных механизмов на несколько сотен образцов деструктивных программ. Если продукт не выявляет угрозу в том или ином образце, его общая оценка снижается. Данная методика построена на основе анализа того, содержит ли антивирусный продукт нужные "сигнатуры" или какие-то иные индикаторы, позволяющие обнаружить конкретную деструктивную программу.
Тестировать в реальных условиях
Тест выполняется относительно просто и быстро. Но в последние три года многие производители средств безопасности дополнили свои технологии механизмами, которые распознают деструктивные приложения по их поведению. Сделано это потому, что в свете заметного увеличения числа разновидностей деструктивных программ, циркулирующих сегодня в Internet, сигнатуры представляют собой менее надежный способ защиты компьютера.
Сигнатурный тест не позволяет проверить реакцию технологий на поведение вредоносных программ, и поставщики согласны с утверждением, согласно которому провал сигнатурных испытаний вовсе не является неопровержимым свидетельством того, что тот или иной продукт не способен защитить ПК.
Поэтому разработчики программного обеспечения предлагают тестировать антивирусные продукты в тех же самых условиях, в которых потребитель встречается с угрозами в Internet. По сути, при тестировании антивирусных средств должны использоваться реальные, активные образцы вредоносного программного обеспечения, взятые из Сети. Они должны атаковать компьютеры пользователей точно так же, как и в реальной жизни: с помощью присоединенных файлов электронной почты или Web-страниц, деструктивный код которых проникает в компьютер через уязвимые места браузера.
Перед проведением тестирования антивирусные пакеты на несколько недель "замораживаются". Обновлять сигнатуры им не разрешается, с тем чтобы можно было проверить работу упреждающих или поведенческих технологий в реальных условиях. Споры вокруг того, стоит ли при тестировании использовать реальные вредоносные программы из Internet, не утихают. В случае положительного ответа машинам, задействованным в испытаниях, может быть причинен реальный ущерб.
Имитация Internet
Альтернативный вариант заключается в имитации среды Internet в лабораторных условиях. В этом случае поведение вредоносных программ может отличаться от того, которое они демонстрировали бы при наличии реального доступа к Internet. "В жизни всегда нужно искать какой-то компромисс", - пояснил Моргенштерн.
Аналитики, специализирующиеся на вопросах безопасности, продолжают думать о том, как повысить качество оценки продуктов. Задача эта весьма нетривиальна, поскольку продукт способен выявлять и обезвреживать угрозу на самых разных уровнях. Вместе с тем, методика оценки должна быть прозрачной и понятной людям, которые знакомятся в технических журналах с обзорами, посвященными тестированию.
"Если авторы публикаций в журналах не найдут простого способа достучаться до потребителей, от их материалов не будет особой пользы", - заметил старший научный консультант компании Panda Педро Бустаманте".
"Принятие новых положений означает, что тестирование будет продолжаться значительно дольше, чем сейчас, - признает Моргенштерн. - Но я уверен, что AV-Test.org сумеет справиться с этой задачей, не расширяя собственные штаты и не выставляя дополнительных крупных счетов издателям, которые оплачивают их работу".