AV-Comparatives: Kiểm tra động các gói phần mềm bảo mật 12/2009

Thursday, December 24, 2009 Unknown 0 Comments

Trong một số bài viết trước đây, tôi đã giới thiệu đến cho các bạn một số những báo cáo thử nghiệm đáng chú ý của AV-ComparativesVB100 về khả năng phát hiện/phòng chống virus, cũng như các phần mềm độc hại khác của các phần mềm bảo mật, và đưa ra những đánh giá suy đoán toàn diện về các sản phẩm an ninh có uy tín này trong năm 2009. Như tôi đã lưu ý trong các bài viết đó, những thử nghiệm này chỉ thuần túy dựa vào tỷ lệ phát hiện virus có trong cơ sở dữ liệu của cuộc kiểm tra, còn những tính năng quan trọng khác chưa được cân nhắc trong các báo cáo. Vấn đề là, ghi người sử dụng lựa chọn phần mềm bảo mật, họ không chỉ dựa vào những báo cáo đơn thuần kiểu này, vì đó là dạng số liệu thống kê, không thể dựa vào đó để kết luận mức độ an toàn và hiệu quả của một sản phẩm an ninh. Chính vì thế, việc thực hiện một cuộc kiểm tra động với các gói sản phẩm an ninh toàn diện là rất cần thiết và mang ý nghĩa thực tế cao, nhất là đối với những người sử dụng máy tính cá nhân gia đình, họ không cần quan tâm đến những kết quả thống kê rắc rối, mà chỉ cần so sánh một cách trực quan hiệu quả của các sản phẩm an ninh.
Mặc dù có ý nghĩa quan trọng, nhưng trên thế giới hiện nay không có nhiều các cuộc kiểm tra động có chất lượng cao và đáng tin cậy, do nó rất khó thực hiện để có thể thu được kết quả khách quan. Từ năm 2009, AV-Comparatives sẽ bắt đầu tiến hành việc đánh giá các sản phẩm an ninh theo phương pháp kiểm tra động, đây quả là một tin vui cho những người quan tâm đến vấn đề bảo mật, vì AV-Comparatives là một tổ chức kiểm định độc lập, có uy tín trên thế giới.
Dựa vào báo cáo mới được công bố đầu tháng 12 mới đây của AV-Comparatives, tôi sẽ giới thiệu đến các bạn kết quả của báo cáo này cùng một số những đánh giá riêng.
Giới thiệu
Mục đích của thử nghiệm này là so sánh khả năng bảo vệ được cung cấp bởi các giải pháp an ninh khác nhau, bằng cách kiểm tra chúng trong điều kiện thực tế. Trong những năm trước, đã có rất nhiều thảo luận về những thử nghiệm như thế này và giá trị của chúng đối với người sử dụng máy tính cá nhân gia đình. Vấn đề là những thử nghiệm kiểu này rất đắt (tốn thời gian thực hiện và cần nhiều nhân viên thực hiện) và khó sao chép. Vì thế, những thử nghiệm này rất quan trọng và nó thể hiện được khả năng bảo vệ của các phần mềm bảo mật khỏi các phần mềm độc hại.
Đây là lần đầu tiên AV-Comparatives thực hiện cuộc kiểm tra động các sản phẩm toàn diện. Mặc dù mục tiêu là kiểm tra với càng nhiều mẫu càng tốt, nhưng do những hạn chế về thời gian, tài nguyên và một số những rắc rối không mong muốn khác, nên AV-Comparatives đã cắt giảm số lượng mẫu xuống con số tương đối nhỏ, khoảng 100 trường hợp thử nghiệm. Dựa vào kinh nghiệm và những vấn đề gặp phải trong cuộc thử nghiệm này, cũng như những phản hồi từ các nhà cung cấp sản phẩm, từ năm 2010, AV-Comparatives sẽ thực hiện thường xuyên những cuộc kiểm tra kiểu này, với số lượng mẫu lớn hơn (để tăng số liệu thống kê), thêm nhiều vật “truyền bệnh” hơn và khả năng sinh sôi được cải tiến hơn, thông qua việc hợp tác với viện Thông tin và Chất lượng kỹ thuật của đại học Innsbruck.
Các sản phẩm tham gia thử nghiệm
Các sản phẩm được kiểm tra gồm:
  • avast! Free 5.0
  • AVG Internet Security 9.0
  • AVIRA Premium Security Suite 9
  • BitDefender Internet Security 2010
  • eScan Internet Security 10
  • ESET Smart Security 4.0
  • F-Secure Internet Security 2010
  • G DATA Internet Security 2010
  • Kaspersky Internet Security 2010
  • Kingsoft Internet Security 2009+
  • McAfee Internet Security 2010
  • Microsoft Security Essentials 1.0
  • Norman Security Suite 7.2
  • Symantec Norton Internet Security 2010
  • TrustPort PC Security 2010
Trong cuộc kiểm tra động các sản phẩm hoàn chỉnh, AV-Comparatives sử dụng các gói sản phẩm an ninh từ các nhà cung cấp sản phẩm chính hãng. Nếu các gói sản phẩm này chưa có đủ một số tính năng, ví dụ như trường hợp của Avast và Microsoft, thì chúng sẽ không được coi là các ứng cử viên, theo yêu cầu của nhà cung cấp sản phẩm (mặc dù AV-Comparatives không xem xét những tính năng đó, ví dụ như chức năng tường lửa). Sophos quyết định không tham gia thử nghiệm, vì sản phẩm của họ hướng đến các doanh nghiệp, chứ không phải là các khách hàng đơn lẻ như những nhà cung cấp khác. Tất cả các sản phẩm tham gia thử nghiệm đều được đặt ở chế độ mặc định, các sản phẩm có phiên bản mới nhất và đều được cập nhật cơ sở dữ liệu tới thời điểm thực hiện cuộc thử nghiệm.
Các mẫu thử được sử dụng
AV-Comparatives sử dụng 100 ca kiểm tra trong thử nghiệm này. Mỗi ca kiểm tra là một trang web có chứa mã script độc hại và các phần mềm nguy hiểm. Theo thống kê, ngày nay có tới 70% mã độc được phát tán qua các trang web nhờ các mã script độc hại và phần mềm lợi dụng[4] (thông qua việc download), 20% là từ các thủ đoạn dẫn người sử dụng tới các trang web để họ tự tay tải các phần mềm nguy hiểm về máy tính (số phần trăm còn lại thì đến từ các vật thể lây truyền khác). Hơn nữa, phần lớn các trang web lây bệnh hiện nay có tên miền tại Trung Quốc. Các ca thử nghiệm được chọn của AV-Comparatives cũng dựa vào thực tế này, họ sử dụng phần lớn các trang web chứa các phần mềm lợi dụng và các mã script độc hại, chỉ có 15 liên kết nhắm tới các phần mềm thực thi độc hại, và khoảng 30 trang có tên miền tại Trung Quốc. Các địa chỉ trang web mà AV-Comparatives sử dụng được thu thập bằng công cụ riêng của họ. Để khách quan, họ không sử dụng bất cứ dịch vụ có sẵn nào hiện nay trong việc cung cấp nguồn địa chỉ chứa mã độc. Cũng vì lý do này, AV-Comparatives không công bố các địa chỉ đã sử dụng. AV-Comparatives cũng không sử dụng các trang có chứa cùng một loại mã độc, để có thể thu được nhiều hơn các kết quả từ các ca thử nghiệm khác nhau. Mặc dù trong mỗi ngày tiến hành thử nghiệm, AV-Comparatives sử dụng từ 15 – 20 địa chỉ mới, nhưng điều đó không có nghĩa là AV-Comparatives sử dụng các mã độc và phần mềm lợi dụng kiểu “zero-day”[5]. Mục đích của cuộc thử nghiệm không phải là để các sản phẩm an ninh này đương đầu với các mã độc zero-day, mà là để vẽ nên một bức tranh thực tế về các sản phẩm an ninh, dựa vào những thứ mà hầu hết những người sử dụng máy tính gia đình trong thế giới thực phải đối mặt hàng ngày khi sử dụng sản phẩm, lướt web và các hoạt động khác trên Internet.
Hệ thống thử nghiệm được sử dụng
Để có thể phản ánh được hệ thống phổ biến nhất đối với những người sử dụng máy tính gia đình (và đây cũng là đích ngắm chủ yếu của các mã độc), AV-Comparatives không sử dụng phiên bản mới nhất của các ứng dụng và HĐH. Họ sử dụng HĐH Windows XP Professional SP3 (gói Service Pack cơ bản), sử dụng trình duyệt Internet Explorer 7 (trình duyệt phổ biến thứ 2, chỉ đứng sau IE6) và Adobe Acrobat Reader. AV-Comparatives cho biết, một lượng lớn người sử dụng truy cập các trang web của họ với các sản phẩm đã lỗi thời, thậm chí nhiều người còn liên hệ với AV-Comparatives để hỏi rằng họ không thể đọc được các báo cáo mà AV-Comparatives đã công bố (những báo cáo này cần Adobe Reader phiên bản 8.0 trở lên), và các phiên bản của Flash Player, Java,…cũng không phải là các phiên bản mới nhất. Nói tóm lại, AV-Comparatives sẽ sử dụng các hệ thống lỗi thời khoảng 1 năm, để nó phù hợp với điều kiện thực tế, thậm chí các hệ thống còn có thể lỗi thời hơn, nhưng họ không muốn sử dụng các phần mềm quá cũ. Nói ra điều này, AV-Comparatives muốn nhấn mạnh tầm quan trọng của việc giữ cho các phần mềm trong hệ thống (chứ không chỉ là phần mềm bảo mật) luôn được cập nhật ở phiên bản mới nhất, do nhiều phần mềm lợi dụng không hoạt động được trên các phiên bản đã được nâng cấp/vá lỗi. AV-Comparatives cho biết họ sẽ tiếp tục thống kê trạng thái sử dụng của người dùng, và sẽ cập nhật lên phiên bản mới hơn, như Windows 7, ngay khi nó trở lên phổ biến.
An ninh được cung cấp bên trong hệ thống và các trình duyệt
Do báo cáo này hướng tới những người sử dụng máy tính gia đình, nên đây là cơ hội tốt để cung cấp thêm một số thông tin về các tính năng an ninh trong HĐH và trình duyệt.
Trước hết, bạn hãy cập nhật HĐH và trình duyệt lên phiên bản mới nhất, đừng bỏ qua hay tắt tính năng tự động cập nhật! Mặc dù nhiều người cho rằng HĐH có lỗi trong việc khiến họ bị nhiễm mã độc, nhưng thực ra nguyên nhân lại là do chính những người sử dụng, vì họ không cập nhật các phần mềm lên phiên bản mới nhất. Phần lớn trong những lần khởi động một phần mềm mới chưa được biết tới, một hộp thoại xác nhận của Windows đều hiện lên, cảnh báo về mối nguy hiểm khi thực thi các file này. Một thông báo tương tự cũng xuất hiện khi bạn download một file nào đó trên mạng bằng Internet Explorer và chạy nó.
Khi mở file, hệ thống an ninh sẽ cảnh báo:”Nhà phân phối chưa được xác minh, bạn có chắc là mình muốn chạy file đó không? File này không có chữ ký điện tử hợp lệ để chứng thực cho nhà phân phối. Bạn chỉ nên chạy các phần mềm từ các nhà phân phối mà bạn tin tưởng.”


“Bạn có muốn mở file này không? Mặc dù các file trên Internet có thể hữu dụng, file này có thể gây hại cho máy tính của bạn. Chỉ chạy các phần mềm từ các nhà phân phối mà bạn tin tưởng.”


Phần lớn người sử dụng đều bỏ qua các cảnh báo này và tiếp tục chạy các file đó, vì họ đã quá quen với những cảnh báo kiểu như thế rồi. Ngày nay, bằng nhiều thủ đoạn kỹ thuật, người sử dụng dễ bị lừa khởi động các ứng dụng mà không thèm đếm xỉa đến các cảnh báo. Đó là lý do quan trọng khiến các phần mềm bảo mật đưa ra các biện pháp an ninh mà không dựa trên sự quyết định của người dùng, và người dùng cũng mong đợi rằng các phần mềm bảo mật sẽ làm điều đó giúp họ. Một sản phẩm tốt nên đưa ra thông báo rằng file đó có nguy hiểm hay không, và nếu nó cho rằng file đó nguy hiểm, thì nó không nên cho người sử dụng thực thi file đó (hay ít nhất thì nó cũng phải được thiết lập mặc định ở chế độ hành động khóa/bắt nhốt[8]). Còn nếu một phần mềm bảo mật mà lúc nào cũng dựa trên sự quyết định của người dùng xem có nên chạy file đó hay không, thì đó là sản phẩm không nên sử dụng.
Thêm nữa, IE8 có tính năng SmartScreen Filter, giúp khóa rất nhiều mã độc khi duyệt Internet. Google Chrome và Mozilla Firefox thậm chí còn khóa các website nguy hiểm. Nhìn vào những biện pháp an ninh sẵn có đã nêu ở trên, có thể ai đó sẽ tự hỏi: làm thế quái nào mà nhiều người vẫn bị mã độc lây nhiễm vào hệ thống của họ được nhỉ? Vấn đề không phải lúc nào cũng nằm ở phía sản phẩm hay công nghệ, mà phần lớn trường hợp thuộc về lỗi của người dùng.
Cách tiến hành
Kiểm tra động các sản phẩm hoàn chỉnh không phải là một cuộc kiểm tra khả năng phát hiện như bình thường, nó là sự kiểm tra khả năng bảo vệ/ngăn ngừa. Thử nghiệm sẽ bắt chước các mã độc thâm nhập và chạy trên hệ thống của người sử dụng giống như những gì xảy ra trên thực tế (ví dụ như ghé thăm một trang web có chứa mã độc, các phần mềm lợi dụng, bị lừa tải các file nhiễm độc). Điều này có nghĩa là không chỉ chữ ký, khả năng suy đoán, phát hiện được đánh giá, mà cả khả năng chặn URL, các dịch vụ mạng có uy tín, chặn phần mềm lợi dụng, nghiệm suy, HIPS và khả năng phán đoán theo hành vi cũng được xem xét. Nhiệm vụ bảo vệ sẽ bị coi là thất bại nếu phần mềm bảo vệ chỉ đưa ra các cảnh báo của tường lửa khi mã độc đã chạy và cố kết nối với bên ngoài. AV-Comparatives duyệt các trang web có chứa mã độc/phần mềm lợi dụng và cả các trang web có chứa các file nhiễm bệnh đã được tải và chạy. Chỉ tiêu thành công/thất bại phụ thuộc vào công nghệ được sử dụng của từng sử dụng. Điều quan trọng là sản phẩm cung cấp sự bảo vệ đáng tin cậy cho người dùng, theo nghĩa là không cần hỏi ý kiến quyết định của người sử dụng xem một thứ gì đó có phải là mối nguy hiểm hay không.
Trong thử nghiệm kiểm tra động các sản phẩm hoàn chỉnh, AV-Comparatives sử dụng 16 máy tính cá nhân giống hệt nhau về phần cứng (không phải là máy ảo), phần mềm và các thiết đặt HĐH (tài khoản quản trị). Mỗi máy tính được cài một phần mềm bảo vệ, là các gói sản phẩm bảo mật với các tính năng bảo vệ toàn diện. Các sản phẩm được cập nhật mới nhất bằng kết nối Internet trực tiếp, như trong thực tế. Mỗi máy có một địa chỉ IP riêng. AV-Comparatives sử dụng các thiết đặt cấu hình mặc định. Thử nghiệm được tiến hành vào ngày 16/11/2009, mỗi ngày tiến hành 15 – 20 ca thử nghiệm (các URL mới với các mã độc/phần mềm lợi dụng tương ứng, và các URL này không chứa các mã độc giống nhau). Do mỗi máy tính đều phải được kiểm tra, và tất cả các máy đều phải được đưa trở lại trạng thái ban đầu sau mỗi lần kiểm tra (điều này có nghĩa là phải đợi cho đến khi tất cả các máy sẵn sàng cho thử nghiệm tiếp theo), nên phải cần tới 12 tiếng mỗi ngày để 4 người thực hiện việc thử nghiệm (mặc dù họ có phát triển các công cụ giúp tăng tốc một vài quá trình). Mỗi ca thử nghiệm trước hết được xác nhận bằng cách duyệt trên một HĐH chưa được bảo vệ (chưa được cài phần mềm bảo mật) để xem mẫu thử có hợp lệ hay không, và chúng sẽ gây hại gì trên môi trường thử nghiệm. Sau đó, tất cả 15 phần mềm bảo vệ được cập nhật trước khi đưa vào thử nghiệm. AV-Comparatives ghi nhận tất cả các URL có chứa cùng loại mã độc. Tất cả các URL được duyệt cùng lúc, các phản ứng của phần mềm bảo vệ được chụp lại, các phần mềm thực hiện công việc một cách yên lặng (không đưa ra thông báo), hoặc không bảo vệ được hệ thống cũng sẽ được ghi nhận.
Trường hợp các URL phát tán mã độc khác vào hệ thống, hoặc bị lỗi trong quá trình thử nghiệm sẽ bị loại khỏi kết quả kiểm tra. Vì thế, thử nghiệm được tiến hành tới ngày 26/11/2009, và số ca thử nghiệm hợp lệ cho báo cáo giảm xuống còn 100.
Mặc dù AV-Comparatives có lưu lại rất nhiều dữ liệu, nhưng việc tiến hành thử nghiệm này là một công việc khó khăn, đặc biệt là theo cách mà họ sử dụng: trên các hệ thống thật không sử dụng môi trường ảo, và phải trông chừng để không mã độc nào tấn công vào mạng thử nghiệm. Hơn nữa, một vài sản phẩm không cung cấp các ghi nhận[7] cho những tác vụ mà người thử nghiệm đã thực hiện. Mặt khác các sản phẩm dựa trên điện toán đám mây có thể mang lại các kết quả khác nhau nếu được thử nghiệm ở những thời điểm khác nhau (hay thậm chí là ở những quốc gia khác nhau). Trong thử nghiệm, AV-Comparatives đã ghi nhận các vấn đề cần được lưu ý trong những lần thực hiện sau và sẽ được đưa vào danh mục các mẫu tự động trong thử nghiệm động. Hiện tại, AV-Comparatives đang làm việc với đại học Innsbruck để phát triển mẫu này. Họ đã lên kế hoạch hoàn thành nó và sử dụng trong thử nghiệm vào năm 2010, cho phép họ sử dụng một lượng lớn các ca thử nghiệm, tăng cường việc ghi nhận, khả năng tiến hành và cả các đối tượng phát tán phụ khác (như email, chat, P2P, USB,…). Trong một số trường hợp, cũng cần các nhà cung cấp phần mềm thay đổi và cải tiến sản phẩm của họ, để giúp những người tiến hành thử nghiệm có thể áp dụng một số công đoạn tự động trong quy trình.
Trong phần lớn trường hợp, các sản phẩm bảo mật sẽ thực hiện những hành động thích hợp của chúng (tự ra quyết định rằng một thứ gì đó bị lây nhiễm mã độc và có nên bị khóa hay không); trong một số trường hợp, chúng hỏi người dùng quyết định làm gì, nhưng khuyên rằng nên khóa file nhiễm độc đó theo như tùy chọn mặc định. Chúng ta thường thực hiện các hành động mặc định mà phần mềm bảo vệ đã chọn hoặc khuyên nên chọn để hệ thống được bảo vệ an toàn, vì chúng ta tin tưởng một cách mù quáng vào những gì mà sản phẩm an ninh tuyên bố. Nếu như không có lựa chọn mặc định nào được đưa ra, và cảnh báo không khuyên một cách trực tiếp rằng chương trình/hành động/trang web đó có thể nguy hiểm, nhóm thử nghiệm sẽ chọn chọn “khóa” (block); hành động tương tự cũng được áp dụng cho thử nghiệm phát hiện nhầm, nếu cảnh báo đó xuất hiện trong suốt quá trình thử nghiệm mã độc thật. Nếu trường hợp kiểm tra mã độc không đưa ra cảnh báo nào để người sử dụng quyết định (vì không có hành động mặc định nào được đưa ra), thì cảnh báo đó sẽ không bị coi như cảnh báo nhầm với những ứng dụng sạch.
Các cảnh báo/cửa sổ tự bung của Firewall sẽ không được ghi nhận, vì chúng thường chỉ thông báo rằng một chương trình (mà có thể đó là một chương trình sạch sẽ, phổ biến) đang cố kết nối ra bên ngoài, và hỏi người sử dụng quyết định làm gì. Một vài tường lửa, như AVG, AVIRA, Bitdefender, F-Secure và Trustport vẫn khá là lắm mồm, yêu cầu các phản ứng/quyết định của người sử dụng. Kingsoft là một phần mềm phạm lỗi đặc biệt, nó thậm chí còn khuyên rằng nên khóa kết nối của một chương trình quan trọng, phổ biến. Thỉnh thoảng AVIRA đưa ra cảnh báo tường lửa, nhưng khuyên rằng nên cho phép kết nối. Trong trường hợp như vậy, tốt hơn hết, AVIRA nên tự nó thực hiện hành động (cho phép) mà không cần làm phiền đến người sử dụng. Các hệ thống ngăn ngừa sự xâm nhập dựa trên máy chủ (HIPS) của F-Secure và đặc biệt là G DATA đối khi cảnh báo về sự thay đổi cấu hình hệ thống gây ra bởi các ứng dụng khác, nhưng lựa chọn mặc định là "cho phép" chúng (do những thay đổi như vậy thường hay gặp phải thậm chí trong quá trình cài đặt các phần mềm sạch). Quan điểm của nhóm thử nghiệm là các sản phẩm chỉ cần thực hành động mà chúng khuyên (cho phép), chứ đừng nên hỏi người dùng đưa ra ý kiến. Nếu người dùng thường gặp phải những cảnh báo như thế, thậm chí là ở cả quá trình cài đặt các phần mềm phổ biến, an toàn, thì họ sẽ quen với việc cho phép các thay đổi, và có thể làm những việc tương tự như vậy với những mã độc thực sự mà chẳng cần suy nghĩ gì.
Các thông báo của Symantec Norton Download Insight không được ghi nhận trong thử nghiệm. Download Insight sử dụng công nghệ mới của Symantec giúp nhận dạng mức độ uy tín để khóa các file lây nhiễm và cảnh báo với các file mà độ uy tín chưa được xác minh. Nếu tính năng này được xem xét, thì Symantec sẽ ngăn ngừa được thêm một mã độc mà nó đã bỏ sót.

PTN nơi thực hiện thử nghiệm


Cảnh báo nhầm/kiểm tra nhiễu (“Quá nhạy cảm”)
Để đưa ra cuộc kiểm tra có cân nhắc đến trải nghiệm của người sử dụng, AV-Comparatives có kèm theo cả thử nghiệm cảnh báo nhầm/kiểm tra độ nhiễu[8], để xem tính năng bảo vệ của các sản phẩm bảo mật có quá nhạy cảm hay không, và có hiện cảnh báo khi truy cập các trang web an toàn, khi cài đặt các ứng dụng sạch hay không. AV-Comparatives đã kiểm tra 40 ca thử nghiệm sạch, được chọn ngẫu nhiên từ các cổng tải khác nhau. Họ duyệt các trang web, tải về, giải nén, cài đặt và chạy các ứng dụng đã cài để kiểm tra xem các phần mềm bảo vệ có gây cản trở gì không.
Hầu hết các sản phẩm không cản trở gì, nhưng một số sản phẩm khác (như ESET, F-Secure, Kaspersky và Symantec) lại tự động khóa một ứng dụng sách (chỉ một trường hợp). Ban đầu AV-Comparatives định trừ điểm các sản phẩm này nếu chúng mắc phải một cảnh báo nhầm duy nhất, nhưng sau đó họ nhất trí rằng nếu dựa theo thống kê thì điều này là không đủ để hạ cấp các sản phẩm, và họ chỉ đánh dấu chúng là “quá nhạy cảm”.
Kết quả

Tỷ lệ phát hiện/phòng tránh thành công



So sánh tỷ lệ phát hiện/phòng tránh thành công

Kết quả kiểm tra cho thấy hai "đại gia" lão làng trong lĩnh vực an ninh thông tin là Symantec và Kaspersky vẫn giữ được phong độ của mình, với khả năng phát hiện/ngăn ngừa lên tới 99%. ESET tuy có kết quả kiểm tra retrospective/on-demand rất tốt, nhưng lại yếu hơn trong kiểm tra động. Microsoft tiếp tục gây ngạc nhiên với phần mềm an ninh mới, nhẹ, nhưng rất hiệu quả của mình. Kết quả của McAfee không cao bằng các phần mềm khác, nhưng AV-Comparatives thông báo rằng họ sẽ cập nhật phiên bản mới hơn của phần mềm này. Norman và Kingsoft vẫn đứng cuối bàng như những cuộc thử nghiệm khác.
Kết quả trên cũng cho thấy mặc dù các tính năng bảo vệ hiệu quả được tích hợp bên trong các sản phẩm bảo mật, nhưng người sử dụng đừng bao giờ mong đợi rằng mình sẽ được bảo vệ an toàn 100% chỉ bằng cách phần mềm đó. Hơn nữa, nếu người dùng càng tăng cường mức độ an ninh, thì hiệu quả sử dụng sẽ càng giảm, và độ nhiễu gây ra càng tăng, do tính năng bảo vệ quá nhạy cảm (các sản phẩm lắm mồm thích hỏi người sử dụng quyết định).
AV-Comparatives phân loại thành 4 mức như sau: Tested, STANDARD, ADVANCED và ADVANCED+





Cuối cùng, xin được nhấn mạnh là: bất cứ phần mềm nào đã tham gia thử nghiệm đều là các sản phẩm có chất lượng cao, mức STANDARD (chuẩn) đã là kết quả tốt rồi. Nếu sản phẩm đạt mức ADVANCED là rất tốt, và ADVANCED+ thì là quá xuất sắc.
Xem thêm:

Lưu ý: một số thuật ngữ được sử dụng trong bài viết
  • Potentially unwanted application (PUA): ứng dụng tiềm ẩn nguy cơ không mong muốn
  • False positive/False alarm (FP): phát hiện nhầm, khi một ứng dụng sạch bị phần mềm an ninh phát hiện nhầm và đưa ra các cảnh báo sai
  • Heuristic: nghiệm suy
  • Engine: bộ máy tìm kiếm và phát hiện mã độc
  • Đám mây: in-the-cloud
  • HIPS (host-based intrusion-prevention system): tính năng bảo vệ sự xâm nhập thông qua máy chủ
  • On-demand detection: Phát hiện theo yêu cầu
  • On-demand proactive detection: Phát hiện trước (phòng tránh) theo yêu cầu
  • Whole-product dynamic protection: Khả năng bảo vệ động của các sản phẩm toàn diện, nghĩa là những gói sản phẩm an ninh với đầy đủ các tính năng chứ không chỉ là tính năng diệt virus, kiểm tra được thực hiện trong "điều kiện động", là điều kiện giống hệt như những gì xảy ra trên thực tế. "Whole-product dynamic protection test" là bài kiểm tra quan trọng và có ý nghĩa nhất mà AV-Comparatives sẽ tiến hành định kỳ kể từ năm 2009.

0 comments: