Relatório Comparativo da Segurança de Terminais da Trend Micro: Realizado pela AV-Test.org

Transcrição

1 Relatório Comparativo da Segurança de Terminais da Trend Micro: Realizado pela AV-Test.org Resultados de maio de 2010 Resumo Executivo Em maio de 2010, a AV-Test.org comparou o desempenho da segurança fornecida pelas soluções para terminais corporativos das cinco principais empresas do mercado: Symantec, McAfee, Microsoft, Sophos e Trend Micro. Para esse teste, a Trend Micro apresentou o Worry- Free Business Security e OfficeScan. A AV.Test.org testou ataques de dia zero, que realmente ocorrem na vida real, fornecendo URLs maliciosos com malware associados. O teste ocorreu simultaneamente em todas as plataformas dos fornecedores, para assegurar que não houvesse qualquer tendência. Os produtos estão configurados para bloquear ou detectar as ameaças em múltiplos níveis, dando, portanto, a cada fornecedor, a máxima capacidade de proteção. Uma nova dinâmica foi adicionada a esse teste, na qual qualquer arquivo malicioso, não bloqueado pelas camadas anteriores, fosse executado para avaliar se as tecnologias de comportamento/heurísticas conseguiam detectar/bloquear a ameaça como última defesa. Nesses testes, a Trend Micro foi a vencedora geral. Ela demonstrou vantagem decisiva no bloqueio dessas ameaças direto na fonte, no URL. Com uma pontuação geral de 95% no bloqueio de ameaças de dia zero, o Trend Micro Worry-Free Business Security se destacou bastante dos outros produtos, cujas médias variaram de 64% a 91%. Visão Geral Tradicionalmente, os testes com terminais são realizados atualizando as assinaturas de cada produto, removendo os dispositivos da rede e, então, copiando um conjunto teste de arquivos maliciosos no dispositivo para determinar quantos são identificados. Isso dava certo apenas quando existia um pequeno número de arquivos maliciosos. Entretanto, hoje em dia, segundo as últimas estatísticas da AV-Test.org, surgem mais de 1,5 milhão de amostras únicas a cada mês.

2 Detecção e Bloqueio da Camada de Exposição Reduzem Riscos Esse "volume de ameaças emergentes" está criando problemas para os fornecedores que tentam acompanhá-los usando simplesmente os métodos de detecção baseados em arquivos. Esta forma de detecção requer a criação e distribuição, pela empresa de antivírus, de um arquivo de assinatura análogo a cada ameaça. Além disso, a maioria das ameaças vem da Internet através de páginas comprometidas, da otimização blackhat de mecanismo de busca e pelo uso de engenharia social. Novas tecnologias precisam ser usadas para combater esses novos vetores de ameaças. Portanto, a AV-Test.org realizou um teste mais realista nas soluções para terminais que avalia tanto o desempenho do produto na detecção das ameaças baseadas em arquivos (Camada de Infecção) quanto nas capacidades de bloquear a ameaça na sua fonte (Camada de Exposição) e de detectar/bloquear a ameaça durante a execução (Camada Dinâmica). A habilidade da solução em determinar a fonte, analisar e bloquear as novas ameaças, que ainda não haviam sido identificadas, tornou-se fundamental neste rápido aumento da quantidade de ameaças lançadas no mundo. O bloqueio da Camada de Exposição reduz os riscos à rede porque menos ameaças irão impactar a banda da rede ou exigir recursos de computação para serem bloqueadas no terminal. Neste teste, somente as ameaças que não foram bloqueadas numa camada anterior foram examinadas novamente na camada posterior. Outro aspecto da AV- Test.org na execução do teste é a sua nova realização após uma hora, para determinar se qualquer fornecedor adicionou nova proteção contra as ameaças que passaram no teste inicial (chamado de "Período para Proteção"). Em maio de 2010, a AV-Test.org testou as soluções para terminais corporativos das cinco principais empresas do mercado: Symantec, McAfee, Microsoft, Sophos e Trend Micro. Os resultados dos testes indicam a Trend Micro como vencedora geral, com uma vantagem decisiva tanto na Camada de Exposição quando no Período para Proteção. Como mostrado abaixo, o Trend Micro Worry-Free Business Security ficou em primeiro lugar na Proteção Geral em número de ameaças bloqueadas. 2 de 6

3 Observação: Resultados baseados nos resultados de T+60 minutos Produtos Testados A AV-Test.org testou os seguintes produtos em maio de 2010: Trend Micro OfficeScan Client/Server Suite v10.0 SP1 Trend Micro Worry-Free Business Security Standard v6.0 SP2 Symantec Endpoint Protection v Microsoft Forefront Client Security v McAfee VirusScan Enterprise with Artemis and SiteAdvisor v Sophos Endpoint Security and Control v de 6

4 Resultados e Análise OBSERVAÇÃO: As porcentagens de prevenção de cada camada não são somadas para gerar a pontuação geral. Por exemplo, com o Trend Micro OfficeScan: A camada de exposição preveniu 150 das 200 ameaças (75%), a de infecção preveniu 25 das 50 ameaças (50%), e a dinâmica preveniu 4 das 25 ameaças. No geral, foram prevenidas 179 das 200 ameaças (89,5%). A Trend Micro e a Sophos apresentam a tecnologia mais robusta no bloqueio de ameaças na fonte, assegurando, portanto, que não haja o download de nenhum arquivo para que ocorra a detecção. Isso assegura economia na largura banda sem o download das ameaças, além de não precisarem ser detectadas na camada da máquina, ou seja, elas nunca entram no PC ou na rede. A Microsoft teve o melhor desempenho nas camadas de infecção e dinâmica, o que ajudou na sua pontuação geral, mas isso significa que sua concentração no bloqueio de ameaças ainda é por meio de suas assinaturas ou por métodos de detecção de comportamento. Isso pode ser problemático conforme mais arquivos maliciosos são postos à solta. A dependência de métodos por arquivo e por assinatura requer mais trabalho na criação dos arquivos de assinatura, distribuição e atualização para cada terminal. Como resultado, a rede e os recursos de computação do terminal serão usados cada vez mais para a proteção, conforme se multiplicam as ameaças. No geral, a pontuação é menor do que se espera normalmente em muitos dos testes atuais. Isso se deve porque o corpus de URLs e arquivos foram obtidos muito pouco antes do teste, sem permitir, portanto, muito tempo para qualquer fornecedor obter as amostras através dos processos de compartilhamento comuns ao setor. Outro aspecto não muito divulgado é o fornecimento de serviços aos desenvolvedores pelos criminosos do submundo digital, a fim de que os arquivos maliciosos sejam testados contra as mais recentes assinaturas dos fornecedores. Assim, os criminosos digitais, às vezes, conseguem algum tempo antes que seus arquivos maliciosos sejam detectados. 4 de 6

5 Esses problemas exigem dos fornecedores a melhora de sua capacidade na determinação da fonte, analise e bloqueio das ameaças desconhecidas. Por isso, a metodologia utilizada pela AV- Test.org incorpora um novo teste das amostras dentro de uma hora. Isso possibilita aos produtos dos fornecedores a definição automática da fonte de ameaça, que passou por suas tecnologias na primeira vez, a analise de cada URLs e arquivos e, no final, a proteção antes da segunda execução do teste. O novo teste após uma hora deve ser melhor se o produto possuir uma automação incorporada que gerencie esse processo. OBSERVAÇÃO: A melhora do Período para Proteção é a percentual de ameaças perdidas em T=0 minutos, que foram prevenidas depois em T=60 minutos. Por exemplo, com o Trend Micro OfficeScan: Em T=0 minutos, 173 ameaças foram prevenidas e 27 foram perdidas. Das 27 ameaças perdidas em T=0 minutos, 8 foram prevenidas em T=60 minutos. (22,2%). A Trend Micro novamente provou um bom trabalho nessa área com o Worry-Free Business Security, melhorando 44% em relação ao primeiro teste. Isso significa que, do total de ameaças não detectadas no primeiro teste, 44% delas foram bloqueadas no teste 60 minutos depois. 5 de 6

6 Classificação, Corpus e Metodologia Pontuação e Classificações A pontuação geral é obtida somando o número total de ameaças bloqueadas em cada solução, independente de qual camada tenha bloqueado. Observe que essa classificação não considera o desempenho, a escalonabilidade, a interface de usuário, os recursos ou funcionalidades - somente a eficiência da proteção contra o corpus de maio de O Corpus Para o teste, a AV-Test.org compilou o corpus na Internet, procurando URLs maliciosos com malwares associados. Nesse teste foram selecionadas 200 amostras de URLs maliciosos e 200 amostras dos arquivos maliciosos associados. Os URLs/arquivos que o AV-Test.org usou para os testes foram reunidos de sites reais, usando várias técnicas proprietárias para a descoberta, análise e verificação. Eles não foram fornecidos nem eram conhecidos por qualquer das empresas cujos produtos foram testados. Metodologia de Teste A metodologia do teste se encontra na seguinte página da Web. Resumindo: Algumas das conclusões resultantes dos dados estão apresentadas a seguir. 1. Fornecedores como a Trend Micro que investiram em soluções de bloqueio às ameaças em múltiplas camadas (Exposição, Infecção e Dinâmica) fornecem uma proteção geral melhor contra as novas ameaças disseminadas hoje. A proteção é mais eficiente porque mantém as ameaças completamente fora da rede e do computador, usando tecnologias proativas como a reputação Web em vez de esperar o download dos arquivos maliciosos. 2. As ameaças de dia zero são mais difíceis de evitar e, por isso, as pontuações gerais são mais baixas do que as taxas nos testes tradicionais de detecção, assim o fator Período de Proteção deve ser incluído em qualquer teste realista. Isso mostra a eficiência de um fornecedor em isolar a fonte, analisar e fornecer proteção contra qualquer ameaça antes não observada. Esse exame comparativo, realizado de forma independente pela AV-Test.org em maio de 2010, foi patrocinado pela Trend Micro. A AV-Test.org visa fornecer uma análise objetiva e imparcial de cada produto por meio de testes práticos no seu laboratório de segurança. 6 de 6