Аналитики, специализирующиеся на вопросах безопасности, продолжают думать о том, как повысить качество оценки продуктов. Задача эта весьма нетривиальна, поскольку продукт способен выявлять и обезвреживать угрозу на самых разных уровняхПроизводители антивирусного программного обеспечения близки к утверждению новой методики тестирования своих продуктов. Во всяком случае, сегодня уже все согласны с тем, что тестирование с использованием старых методов может привести к совершенно неверным результатам.

Немецкая организация AV-Test.org, специализирующаяся на тестировании антивирусных средств, обобщила соответствующие предложения, поступившие от компаний Symantec, Panda Software и Trend Micro. Кроме того, по словам Майка Моргенштерна, возглавляющего в AV-Test.org направление тестирования продуктов, предварительный вариант документа был дополнен и собственными наработками компании.

Новые предложения, заслужившие одобрение «Лаборатории Касперского», компании F-Secure, а также ряда организаций, занимающихся тестированием (в частности, Virus Bulletin), будут представлены на конференции Association of AntiVirus Asia Researchers 2007, которая пройдет в Сеуле в ноябре текущего года.

Сегодня группы, занимающиеся тестированием антивирусов, как правило, выполняют порученные им задачи путем проверки реакции антивирусных механизмов на сотни образцов деструктивных программ. Если продукт не выявляет угрозу в том или ином образце, его общая оценка снижается. Данная методика построена на основе анализа того, содержит ли антивирус нужные сигнатуры или какие-то иные индикаторы, позволяющие обнаружить конкретную деструктивную программу.

Тестировать в реальных условиях

Тест выполняется относительно просто и быстро. Но в последние три года многие производители средств безопасности дополнили свои технологии механизмами, которые распознают деструктивный код по его «поведению». Сделано это потому, что в свете заметного увеличения числа разновидностей деструктивных программ, циркулирующих сегодня в Internet, сигнатуры сами по себе уже не обеспечивают надежной защиты компьютера.

Сигнатурный тест не позволяет проверить реакцию технологий на поведение вредоносных программ, и поставщики согласны с утверждением, согласно которому провал сигнатурных испытаний вовсе не является неопровержимым свидетельством того, что тот или иной инструмент не способен защитить ПК.

Поэтому разработчики программного обеспечения предлагают тестировать антивирусные продукты в тех же самых условиях, в которых потребитель встречается с угрозами в Internet. По сути, при тестировании антивирусных средств должны использоваться реальные, активные образцы вредоносных программ, взятые из Сети. Они должны атаковать компьютеры пользователей точно так же, как и в реальной жизни: с помощью присоединенных файлов электронной почты или Web-страниц, деструктивный код которых проникает в компьютер через уязвимые места браузера.

Перед проведением тестирования антивирусные пакеты на несколько недель «замораживаются». Обновлять сигнатуры им не разрешается, с тем чтобы можно было проверить работу упреждающих или поведенческих технологий в реальных условиях. Споры вокруг того, стоит ли при тестировании использовать реальные вредоносные программы из Internet, не утихают. В случае положительного ответа компьютерам, задействованным в испытаниях, может быть причинен реальный ущерб.

Имитация Internet

Альтернативный вариант заключается в имитации среды Internet в лабораторных условиях. В этом случае поведение вредоносных программ может отличаться от того, которое они демонстрировали бы при наличии реального доступа к Internet.

«В жизни всегда нужно искать какой-то компромисс», — пояснил Моргенштерн.

Аналитики, специализирующиеся на вопросах безопасности, продолжают думать о том, как повысить качество оценки продуктов. Задача эта весьма нетривиальна, поскольку продукт способен выявлять и обезвреживать угрозу на самых разных уровнях. Вместе с тем методика оценки должна быть прозрачной и понятной людям, которые знакомятся в технических журналах с обзорами, посвященными тестированию новых продуктов.

«Принятие новых положений означает, что тестирование будет продолжаться значительно дольше, чем сейчас, — признает Моргенштерн. — Но я уверен, что AV-Test.org сумеет справиться с этой задачей, не расширяя собственные штаты и не выставляя дополнительных крупных счетов издателям, которые оплачивают их работу».