При переходе по ссылкам на опасные веб-страницы фиксировались все изменения тестовой системы, сообщения от установленных HIPS и антивирусных и программ.
При открытии опасной ссылки заражение системы могло быть предотвращено на одной из следующих стадий:
- Обнаружение эксплойта на открытой веб-странице (вредоносного скрипта) или блокировка открытия страницы анти-фишинговым модулем.
- Обнаружение программы загрузчика, переданной при помощи эксплойта (специальной программы, которая используется для загрузки на компьютер жертвы других вредоносных программ, например, трояна) веб-антивирусом или файловым антивирусом.
- Обнаружение загруженной вредоносной программы в процессе ее установки (как правило, при помощи поведенческого анализа).
- Предупреждение пользователя о потенциально опасном сайте или файле, основываясь на его рейтинге в репутационных сервисах (модель "In The Cloud").
При любом из приведенных выше вариантов предотвращения заражения антивирусу ставился 1 балл. Различий не делалось, так как с точки зрения пользователя не имеет значения, на каком этапе, и какой именно компонент защиты устранил угрозу заражения. Главное - она ликвидирована. Если заражение не было предотвращено, в том числе и частично, то антивирусу ставилось 0 баллов.
На деле такая система оценки означает следующее. 1 балл ставился, если попытка заражения была обнаружена в явной форме или было обнаружено подозрительное действие, и при этом заражение полностью приостановлено при условии правильного выбора пользователя в диалоговом окне (об обнаружении опасного действия, предотвращении попытки заражения, обнаружении попытки запуска подозрительной программы, обнаружении попытка изменения файлов и т.д.). Во всех остальных случаях ставилось 0 баллов.
Стоит отметить, что в некоторых случаях присутствие вредоносной программы на компьютере могло обнаруживаться уже после заражения при помощи файлового монитора или firewall/IDS, но справиться с заражением антивирус не мог. В этом случае антивирусу все равно ставилось 0 баллов, так как он не защитил от заражения.
Программы класса HIPS оценивались по такому же принципу, как и антивирусы. Им ставилось 1 балл во всех случаях, когда было обнаружена вредоносная или подозрительная активность и было предотвращено заражение.
Схема награждения
Для каждого тестируемого антивируса или HIPS-продуктов подсчитывалось суммарное количество баллов и их процент от максимально возможного (36 баллов). В итоге лучшие продукты получают соответствующие награды при выполнении определенных условий:
|
Награда Platinum Zero-day Protection Award присваивается, если антивирус обнаружил свыше 95% новейших вредоносных программ. |
|
|
|
Награда Gold Zero-day Protection Award присваивается, если антивирус обнаружил свыше 80% новейших вредоносных программ. |
|
|
Награда Silver Zero-day Protection Award присваивается, если антивирус обнаружил свыше 60% новейших вредоносных программ. |
|
|
Награда Bronze Zero-day Protection Award присваивается, если антивирус обнаружил свыше 40% новейших вредоносных программ. |
Если антивирус обнаружил менее 40% новейших вредоносных, то он считается провалившим тест, а его общая эффективность против новейших видов угроз низкой.
Если вы являетесь производителем и хотели бы видеть свой продукт в списке протестированных по данной методологии или обновить его результаты, не дожидаясь нового планового теста, вы можете воспользоваться