Agnitum Outpost Security Suite Pro
AhnLab V3 Internet Security
Alwil avast! free antivirus
Arcabit ArcaVir 2010
Authentium Command Anti-Malware
Avanquest Double Anti-Spy Professional
AVG Internet Security Network Edition
Avira AntiVir Personal
Avira AntiVir Professional
BitDefender Antivirus 2010
Bkav Gateway Scan
Bkav Home Edition
Bullguard Antivirus
CA Threat Manager
Central Command Vexira Antivirus Professional
Check Point Zone Alarm Suite
Defenx Security Suite 2010
Digital Defender Antivirus
eEye Digital Security Blink Professional
Emsisoft a-squared Anti-Malware
eScan Internet Security for Windows
ESET NOD32 Antivirus
Filseclab Twister Anti-TrojanVirus
Fortinet FortiClient
Frisk F-PROT
F-Secure Client Security
F-Secure PSB Workstation Security
G DATA Antivirus 2010
Ikarus virus.utilities
iolo System Mechanic Professional
K7 Total Security
Kaspersky Anti-Virus 2010
Kaspersky Anti-Virus 6 for Windows Workstations
Kingsoft Internet Security 2010 Advanced Edition
Kingsoft Internet Security 2010 Standard Edition
Kingsoft Internet Security 2010 Swinstar Edition
Lavasoft Ad-Aware Professional Internet Security
McAfee Total Protection
McAfee VirusScan Enterprise
Microsoft Security Essentials
Nifty Corp. Security 24
Norman Security Suite
Norman Security Suite
PC Tools Internet Security 2010
PC Tools Spyware Doctor
Preventon AntiVirus
Proland Protector Plus Professional
Qihoo 360 Security
Quick Heal AntiVirus 2010
Rising Internet Security 2010
SGA Corp. SGA-VC
Sophos Endpoint Security and Control
SPAMfighter VIRUSfighter Plus
SPAMfighter VIRUSfighter Pro
Sunbelt VIPRE AntiVirus Premium
Symantec Endpoint Protection
Symantec Norton Antivirus
Trustport Antivirus 2010
VirusBuster Professional
Webroot AntiVirus with SpySweeper

Các kết quả thử nghiệm "tuần -1", "tuần -2" và "tuần -3" đã được công bố hồi đầu tháng 4/2010. Dưới đây là kết quả thử nghiệm "tuần +1" của VB100.

Click vào ảnh để xem kích thước lớn

Đồ thị trên biểu diễn tỷ lệ phản ứng (trục tung) so với phát hiện tiên phong (trục hoành).

Các bạn có thể nhận ra ngay rằng hầu hết các điểm biểu diễn tỷ lệ phản ứng/phát hiện tiên phong của các sản phẩm đều nằm phía trên đường thẳng nối góc trái-dưới với góc phải-trên, có nghĩa là chúng để có khả năng phản ứng với các mã độc đang tồn tại tốt hơn so với khả năng nhận diện các mã độc mới, điều này rất dễ hiểu. Xu hướng thứ 2 là hầu hết các sản phẩm đều nằm trên một đường thẳng song song với đường thẳng y=x (nằm ở nửa mặt phẳng phía trên), có nghĩa là tỷ lệ phản ứng/phát hiện tiên phong của các sản phẩm diệt virus biến thiên tuyến tính; nói cách khác, một sản phẩm có khả năng phản ứng với mã độc hiện tại càng nhạy, thì khả năng phần mềm đó phát hiện đón đầu các mã độc mới sẽ càng cao. Điều này có thể được giải thích là do một sản phẩm nhận diện được nhiều mã độc hiện hành, thì cơ sở dữ liệu nhận dạng (hay "signature" - chữ ký) càng lớn và càng hiệu quả, nên khả năng "tóm" được các mã độc cùng chủng loại, cùng họ (hay "family" - gia đình) sẽ càng cao. Tất nhiên là điều này chỉ là tương đối, vì nó còn phụ thuộc vào sự "thông minh" của phép nghiệm suy và sản phẩm đó được trang bị, và cũng phục thuộc vào mẫu thử được sử dụng trong thử nghiệm.

Click vào ảnh để xem kích thước lớn

Xem trên đồ thị, các bạn có thể nhận ra ngay rằng các sản phẩm diệt virus tốt nên nằm trên (thuộc) đường thẳng y=x, tức là nó nhận diện được bao nhiêu mã độc hiện tại, thì cũng có khả năng nghiệm suy được bấy nhiêu mã độc chưa biết trước, đây là tỷ lệ tuyệt đối và không thể đạt được trong thực tế. Đồ thị nằm dưới đường thẳng y=x là điều không thể. Sản phẩm có đồ thị biểu diễn nằm phía trên, càng gần đường y=x thì càng tốt, và nằm càng cao càng tốt.

Như vậy, các sản phẩm nằm ở nhóm trên gồm Emsisoft, Trustport, Kaspersky 2010, Kaspersky 6, Check Point, ESET, Webroot, Sophos, G DATA, McAfee TP, Sunbelt, Ikarus,... Các sản phẩm khá nổi tiếng, nhưng chỉ đạt mức trung bình gồm: Symantec Norton, AVG, BitDefender,... Còn các sản phẩm ở mức thấp như: Bkav Home, Bkav Gateway, Kingsoft Advanced/Standard/Swinstar,...

Đáng chú ý là Kaspersky đạt điểm rất cao trong thử nghiệm này, Zone Alarm sử dụng engine của Kaspersky nên cũng dành được kết quả cao, tiếc là nó không vượt qua thử nghiệm VB100 trên Windows XP SP3 trong khi Kaspersky lại vượt qua (có lẽ là do cơ sở dữ liệu nhận dạng mã độc, hoặc phép nghiệm suy sử dụng cho phiên bản dành cho doanh nghiệp khác với phiên bản dành cho người dùng đơn lẻ đã dẫn đến sai khác này). Năm ngoái Kaspersky 6 đã có kết quả ở mức trung bình, nhưng phiên bản mới ra mắt của Kaspersky Anti-Virus 6 MP4 (phát hành sau Kaspersky 2010) đã làm rất tốt, khi tiến thẳng lên top đầu.

Trustport sử dụng 2 engine của BitDefender và AVG, còn G DATA sử dụng 2 engine của Avast và BitDefender, nên tỷ lệ phát hiện mã độc và nghiệm suy của hai phần mềm này rất cao, nhưng tốc độ quét chậm và hay gây ra các cảnh báo nhầm. Tuy nhiên, trong thử nghiệm của AV-Comparatives năm ngoái, G DATA đã cho thấy tốc độ quét cao, và số lượng cảnh báo nhầm rất thấp, điều này thực sự ấn tượng. Trustport có khả năng phát hiện đón đầu các mã độc chưa được nhận diện cao nhất (~80%), còn sản phẩm a-squared Anti-Malware của Emsisoft có khả năng phản ứng lại mã độc hiện tại cao nhất (98,72%).

McAfee tuy không có những thuận lợi từ công nghệ điện toán đám mây của mình (do những hạn chế trong quy tắc thực hiện thử nghiệm của VB100), nhưng vẫn đạt kết quả rất cao. Trong khi đó, sản phẩm Norton của đại gia Symantec lại có kết quả đáng thất vọng, mặc dù nó đạt được kết quả cao nhất trong thử nghiệm động của AV-Comparatives năm ngoái. Nếu được sử dụng những ưu điểm của công nghệ Insight Protection thì liệu nó có khá hơn? Điều này thì tôi không dám chắc. Còn Panda thì đã từ chối tham gia thử nghiệm ngay từ đầu, do không được phép phát huy tính năng điện toán đám mây.

Microsoft Security Essentials là sản phẩm được mong đợi và đã gây ra rất nhiều bất ngờ thú vị trong các thử nghiệm năm 2009, nhưng các kết quả thử nghiệm năm nay có vẻ không thuận lợi cho Microsoft, khi MSE chỉ đạt thứ hạng trung bình trong các thử nghiệm của cả AV-Comparatives và VB100.

Kingsoft của Trung Quốc và Bkav của Việt Nam là hai sản phẩm châu Á tham gia thử nghiệm, và cả hai đều đạt kết quả rất thấp. Tuy nhiên, theo quan điểm cá nhân, tôi nghĩ rằng đây là bước tiến quan trọng, vì ít nhất thì bước đầu họ cũng đã chứng tỏ rằng phần mềm diệt virus không phải chỉ để diệt virus nội địa, và đây cũng là bước đầu để làm quen chứng tỏ mình trên thị trường quốc tế. Hy vọng họ sẽ làm tốt hơn trong các thử nghiệm sắp tới.

Dưới đây là kết quả thử nghiệm RAP trung bình tính từ tháng 10/2009 tới tháng 4/2010:

Click vào ảnh để xem kích thước lớn

avast! Free Antivirus 5.0
AVG Anti-Virus 9.0
AVIRA AntiVir Premium 9
BitDefender Antivirus 2010
eScan Anti-Virus 10
ESET NOD32 Anti-Virus 4.0
F-Secure Anti-Virus 2010
G DATA AntiVirus 2010
K7 TotalSecurity 10.0 (new)
Kaspersky Anti-Virus 2010
Kingsoft Antivirus 2010
McAfee AntiVirus Plus 2010
Microsoft Security Essentials 1.0
Norman Antivirus & Anti-Spyware 7.30
Panda Antivirus Pro 2010 (new)
PC Tools Spyware Doctor with AV 7.0 (new)
Sophos Anti-Virus 9.0
Symantec Norton Anti-Virus 2010
Trend Micro AntiVirus plus AntiSpyware 2010 (new)
TrustPort Antivirus 2010

Bộ mẫu sử dụng trong thử nghiệm lần này nhỏ hơn các lần khác, nguyên nhân là do AV-Comparatives hiện đang cố gắng sử dụng bộ mẫu chứa những mã độc hiện đang thịnh hành và vẫn còn tồn tại (trong vòng 8 tháng trước). Để xây dựng bộ mẫu, họ đã tham khảo thông tin dữ liệu (metadata), các dữ liệu đo đạc từ xa được thu thập và chia sẻ trong lĩnh vực diệt virus, cũng như những truy vấn điện toán đám mây và yêu cầu dữ liệu về các mã độc phổ biến nhất được ghi nhận từ người dùng. Các mã độc ghi nhận được từ máy tính của người dùng sẽ tự động được xem như mức quan trọng. Tuy nhiên, không phải tất cả các nguồn cung cấp mẫu đều có sự ổn định như nhau, một số bộ mẫu đã bị xóa bỏ. Điều này sẽ được cải thiện trong tương lai, nhóm thử nghiệm đang làm việc để cải tiến các quá trình chia sẻ dữ liệu của họ.

Dù sao đi nữa, các bộ mẫu được sử dụng có thể sẽ ngày càng nhỏ hơn, và tập trung chủ yếu vào các mối nguy hiểm dễ bị phát hiện và đánh dấu, nên điểm đạt được của các sản phẩm an ninh sẽ cao hơn. Đó là lý do AV-Comparatives sẽ tăng số điểm của các cấp độ trong các lần thử nghiệm tới. Lần tới, để đạt được mức ADVANCED+, điểm cho các thử nghiệm phát hiện nhầm (FPs) sẽ còn khắt khe hơn nữa.

Kết quả thử nghiệm

Biểu đồ so sánh cách mẫu mã độc bị bỏ sót (Càng thấp càng tốt)

Số phần trăm trên biểu đồ cho thấy kết quả kiểm tra với bộ mẫu thử đã sử dụng. Mặc dù đây chỉ là bộ mẫu thử nhỏ, nhưng chúng ta có thể thấy các sản phẩm bỏ sót khá nhiều mẫu mã độc, ví dụ: AVIRA là phần mềm bỏ sót ít mã độc nhất, nhưng tỷ lệ 0,4% của nó cũng đã tương đương với khoảng 4.933 mã độc, còn Kingsoft thì bỏ sót tới 18,2%, tức là khoảng 244.467 mã độc!

Symantec, phần mềm đoạt giải nhất năm 2009, bỏ sót tới 1,4% (tức là khoảng 17.000 mã độc), trong khi đó Kaspersky, sản phẩm đứng thứ 2 của năm 2009 thì bỏ sót số lượng malware gấp đôi (2,9%, tức khoảng 35.000 mã độc). G DATA và AVIRA vẫn giữ được tỷ lệ phát hiện rất cao giống như thử nghiệm năm ngoái. Tuy nhiên, để đánh giá một phần mềm diệt virus thì chúng ta còn cần phải xem xét tới tỷ lệ phát hiện/cảnh báo nhầm (FPs) nữa.

Các kết quả của thử nghiệm "quét theo yêu cầu" (On-demand test) cũng thường được áp dụng cho thử nghiệm "quét khi truy xuất" (On-access test), nếu được thiết lập cấu hình tương tự, nhưng không được áp dụng cho các công nghệ bảo vệ khi thực thi lệnh (On-execution), như HIPS, khóa theo hành vi,...

Tỷ lệ phát hiện tốt vẫn là một trong những đặc tính quan trọng nhất, là yếu tố quyết định và đáng tin cậy của một sản phẩm diệt virus. Bên cạnh đó, hầu hết các sản phẩm có ít nhất một số kiểu HIPS, khóa các mã độc dựa theo hành vi hay theo các chức năng khác của chúng (hoặc ít nhất là có cảnh báo mối nguy hiểm), ví dụ như trong quá trình các mã độc đang thực thi lệnh, khi mà sự bảo vệ on-demand và on-access đều đã thất bại.

Tỷ lệ phát hiện (trong tổng số khoảng 1,2 triệu mẫu)

Phía trên là tỷ lệ phát hiện mã độc trong thử nghiệm quét theo yêu cầu. Đây là lần đầu tiên Panda và PCTools tham gia thử nghiệm nhưng đã cho thấy kết quả rất tốt. Symantec, BitDefender và ESET vẫn giữ được phong độ như năm ngoái, nhưng do có nhiều sự thay đổi vượt bậc từ những phần mềm khác nên 3 đại gia này vẫn bị tụt thứ hạng chút xíu. Kapersky và Microsoft tuy đã có nhiều cố gắng để nâng tỷ lệ phát hiện mã độc (Kapersky tăng từ 94,7% lên 97,1%), MSE tăng từ 90,0% lên 96,3%), nhưng vẫn chỉ đứng ở gần cuối nhóm 2.

Kết quả phụ: Khi thực hiện đo đạc tỷ lệ phát hiện của McAfee có sử dụng công nghệ điện toán đám mây, phần mềm này đạt được tỷ lệ rất cao (99%), nhưng gây ra rất nhiều cảnh báo nhầm. Tỷ lệ phát hiện tối thiểu của một số phần mềm khi không có kết nối internet (tức là không có công nghệ điện toán đám mây) là: McAfee 94,9% (19 FPs), Panda 73,3% (32 FPs), Trend Micro 68,5% (22 FPs). Điều này cũng có nghĩa là: nếu như máy tính của bạn tạm thời không có kết nối Internet, thì các ứng dụng điện toán đám mây sẽ không có đất dụng võ, và bạn nên xem xét tới các phần mềm có tỷ lệ phát hiện cao hơn khi không sử dụng công nghệ điện toán đám mây, nếu bạn sử dụng Panda hay Trend Micro mà không có kết nối Internet, chúng có khả năng sẽ bỏ lỡ các mã độc tồn tại trên hệ thống. McAfee làm khá tốt với cả trường hợp có áp dụng công nghệ điện toán đám mây và trường hợp hoạt động ngoại tuyến (offline), nhưng hãy chú ý rằng nó cũng sẽ gây ra nhiều cảnh báo không chính xác.

Bộ mẫu thử được sử dụng trong thử nghiệm tháng 1/2010 gồm khoảng 1,2 triệu mã độc, nhỏ hơn so với các lần thử nghiệm trước, nhưng nó "thực tế" hơn, như tôi đã giải thích ở phía trên.

Thử nghiệm đo số lần phát hiện/cảnh báo nhầm (FP - false alarm)

Để đánh giá chất lượng của một phần mềm an ninh, chúng ta cần phải xem xét tới khả năng phát hiện chính xác, được đo đạc thông qua các thử nghiệm gây cảnh báo nhầm. Các cảnh báo/phát hiện nhầm gây ra những vấn đề nghiêm trọng không kém so với các trường hợp bị lây nhiễm virus thật. Thường thì các phần mềm có tỷ lệ phát hiện mã độc cao, cũng sẽ gây ra nhiều cảnh báo nhầm hơn. Tất cả các cảnh báo nhầm đều đã được AV-Comparatives thông báo đến nhà phát triển phần mềm an ninh, và hiện chúng đã được khắc phục.

Tỷ lệ phát hiện nhầm của eScan và F-Secure vẫn dẫn đầu (ít nhất) giống như các năm trước, kế đến là BitDefender và Microsoft. Năm nay ESET có nhiều tiến bộ so với thử nghiệm hồi tháng 8 năm ngoái. Riêng Kingsoft thì vẫn giữ nguyên "truyền thống" của mình qua vài năm tham gia thử nghiệm: tỷ lệ phát hiện mã độc thấp và cảnh báo nhầm luôn ở mức cao.

Thử nghiệm đánh giá tốc độ quét

Tốc độ quét của các phần mềm diệt virus không giống nhau do nhiều nguyên nhân, có thể do chúng có sử dụng các mã mô phỏng, có khả năng phát hiện các virus đa hình, quét sâu và phân tích hành vi, quét rootkit, quét các file nén, tính năng quét  kiểm tra các yếu tố an ninh phụ khác, quét toàn bộ các kiểu file, sử dụng danh sách trắng từ cơ sở dữ liệu điện toán đám mây,...

Phần lớn các sản phẩm đều làm giảm thời gian quét bằng cách bỏ qua các file đã được quét trước đó. Do chúng ta cần biết tốc độ quét thực tế (tức là các file thực sự cần được quét để tìm mã độc), nên các công nghệ trên sẽ không được xét đến trong thử nghiệm này. Các sản phẩm diệt virus nên thông báo cho người sử dụng một cách rõ ràng hơn về cách quét hệ thống đã được tối ưu hóa, và sau đó để cho họ tự lựa chọn giữa cách quét tối ưu hóa (tức là bỏ qua các file đã từng được kiểm tra, đi kèm với nguy cơ có thể bỏ qua các mã độc!), hoặc quét toàn bộ hệ thống.

Đồ thị dưới đây cho thấy tốc độ MB/giây (càng cao càng tốt) của các sản phẩm diệt virus khi thực hiện thử nghiệm quét theo yêu cầu với các thiết đặt an ninh ở mức tối đa. Các bộ dữ liệu đều "sạch" (được sử dụng cho thử nghiệm phát hiện/cảnh báo nhầm). Bạn nên lưu ý rằng tốc độ quét có thể khác nhau, tùy theo mẫu được sử dụng, cấu hình của chương trình và phần cứng sử dụng.

Tốc độ quét trung bình được tính bằng kích thước của bộ mẫu (tính theo MB) chia cho tổng thời gian quét. Tốc độ quét trong mỗi thử nghiệm đều khác nhau, và không được sử dụng để so sánh với các thử nghiệm khác (do khác nhau về phần cứng, về bộ mẫu,...). Thử nghiệm đo tốc độ quét ở trên được thực hiện trên Windows XP SP3, Intel Core 2 Duo E8300/2,83GHz, 2 GB RAM, ổ cứng SATA II.

Symantec và AVIRA luôn đứng đầu về tốc độ quét, ngay cả khi thử nghiệm không xem xét tới công nghệ giúp làm giảm thời gian quét dữ liệu. eScan và TrustPort vẫn đứng cuối bảng như năm ngoái, BitDefender và MSE có tốc độ quét chậm, tỷ lệ phát hiện không quá cao nên không có gì nổi bật trong thử nghiệm đầu năm nay cả.

Các giải thưởng đạt được

AV-Comparatives có hệ thống phân loại theo 3 cấp: STANDARD (chuẩn), ADVANCED (nâng cao) và ADVANCED+. Các giải thưởng được đưa ra dựa theo tỷ lệ phát hiện chính xác và tỷ lệ phát hiện nhầm của các phần mềm diệt virus.

Các sản phẩm đánh dấu * là các sản phẩm đạt thứ hạng thấp do các phát hiện/cảnh báo nhầm

Các giải thưởng trên không chỉ dựa trên tỷ lệ phát hiện chính xác, mà còn dựa vào những cảnh báo nhầm đối với các bộ mẫu "sạch". Một sản phẩm có tỷ lệ phát hiện cao, nhưng gây ra nhiều cảnh báo nhầm, chưa chắc đã tốt bằng một sản phẩm có tỷ lệ phát hiện thấp hơn, nhưng có số cảnh báo nhầm thấp hơn.

Giải thưởng được đưa ra dựa theo hệ thống phân loại như trong bảng sau:

• AV-Comparatives.org (www.av-comparatives.org)
• AV-Test GmbH (www.av-test.de)
• CheckVir (www.checkvir.com)
• ICSA Labs (www.icsalabs.com)
• VirusBulletin (www.virusbtn.com)
• West Coast Labs (www.westcoastlabs.com)

• Thử nghiệm với các bộ thử nghiệm lớn: AV-Comparatives <--------> AV-Test GmbH
• Thử nghiệm dựa trên các mẫu thử của ITW: VirusBulletin <--------> CheckVir
• Chứng nhận: ICSA Labs <--------> West Coast Labs

Nhóm thử nghiệm độc lập với các bộ thử nghiệm toàn diện

AV-Test GmbH và AV-Comparatives đều sử dụng các bộ thử nghiệm lớn, với khoảng một triệu mẫu thử. Họ không giới hạn mẫu thử của mình và thêm mọi loại mã độc (malware) có thể gặp phải trong thế giới thực. Để hiệu quả, thử nghiệm phát hiện phải đạt được tính toàn vẹn và không chỉ bao gồm các mẫu thử có trong danh sách WildList. Mặt khác, việc phát hiện trước các mẫu virus mới là rất quan trọng, vì thế các thử nghiệm phải được kết hợp, ví dụ như việc đo khả năng phát hiện đón đầu các mẫu mới chưa có trong cơ sở dữ liệu.

AV-Comparatives.org (http://av-comparatives.org)

Những thử nghiệm được tiến hành bởi Andreas Clementi và nhóm của ông. AV-Comparatives đã tiến hành các thử nghiệm trong nhiều năm, và bắt đầu công bố rộng rãi kết quả thử nghiệm của họ từ năm 2004. Họ có quy tắc thử nghiệm rất nghiêm ngặt và tiến hành thử nghiệm định kỳ (mỗi 3 tháng) và sử dụng từ 16-18 sản phẩm tốt nhất dành cho người sử dụng trong gia đình với tỷ lệ phát hiện trên 85%, chạy trên hệ điều hành phổ biến nhất hiện nay. Phương pháp thử nghiệm và các báo cáo, kết quả thử nghiệm được công bố rộng rãi, miễn phí trên trang web của họ. Họ thực hiện những thử nghiệm rất toàn diện, bao gồm (nhưng không giới hạn): thử nghiệm phát hiện theo yêu cầu (on-demand detection test) trên một lượng lớn các mẫu thử, thử nghiệm phát hiện và chống lại các mã độc mới chưa có trong cơ sở dữ liệu, hay gọi tắt là khả năng quét đón đầu (retrospective/proactive), thử nghiệm phát hiện các virus đa hình, thử nghiệm các cảnh báo sai (False Alarm test), thử nghiệm tốc độ quét (Scanning speed test), thử nghiệm hiệu năng hoạt động (Performance test), thử nghiệm khả năng loại bỏ các mã độc bị phát hiện (Removal test),... Ngoài ra còn có nhiều cuộc thử nghiệm đặc biệt khác nữa, ví dụ như: khả năng nhận diện và gỡ bỏ các ứng dụng tiềm ẩn nguy cơ không mong muốn (PUA Test), thử nghiệm động (Dynamic test).

Các kết quả thử nghiệm được công bố ngay sau khi thử nghiệm được hoàn thành. AV-Comparatives xếp hạng các phần mềm theo 3 giải: Standard, Advanced và Advanced+

AV-Test GmbH (http://www.av-test.org)

Các thử nghiệm được tiến hành bởi Adreas Marx và các cộng sự. AV-Test GmbH đã tiến hành nhiều cuộc thử nghiệm về khả năng diệt virus (và cả những sản phẩm an ninh khác như tường lửa,...) trong nhiều năm, theo định kỳ, và công bố rộng rãi các kết quả thử nghiệm của họ trên nhiều nguồn trực tuyến và báo giấy đại diện của các nhà sản xuất phần mềm và các tạp chí khác. AV-Test GmbH là trung tâm thử nghiệm diệt virus lớn nhất thế giới và tiến hành các thử nghiệm rất toàn diện trên nhiều nền khác nhau, bao gồm (nhưng không giới hạn): outbreak test, thử nghiệm lưu trữ/đóng gói, thử nghiệm quét theo yêu cầu (on-demand test) và quét hê thống khi đang thực hiện các ứng dụng khác (on-access test) trên một lượng lớn mẫu thử, thử nghiệm ITW, tốc độ quét, sử dụng tài nguyên hệ thống,... Phương pháp thử nghiệm của họ được công bố, nhưng không miễn phí. Các kết quả có thể tìm đọc trên các tạp chí nổi tiếng và phổ biến nhất, nhưng không có trên trang web của họ.

Các thử nghiệm độc lập dựa chủ yếu trên WildList

WildList (http://www.wildlist.org) bao gồm các virus lây lan rộng rãi nhất trên thế giới WildList được phát hành hàng tháng, nhưng thường thì nó có độ trễ khoảng vài tháng. Điều đó có nghĩa là các nhà phát triển phần mềm diệt virus có vài tháng để phát hiện các virus được báo cáo trên WildList. WildList chứa chủ yếu các virus và sâu máy tính, cho dù đó không phải là các mối nguy hại chính hiện nay, khi mà Trojan và các mã độc tương tự khác trở nên phổ biến hơn. Còn có một chú ý quan trọng nữa là một số tổ chức sử dụng bộ tập hợp mã độc WildCore trong khi các tổ chức khác (như AV-Comparatives) thì không, điều đó dẫn đến việc thử nghiệm trên các mẫu sao chép được sử dụng đôi khi khác nhau. Bất kỳ một sản phẩm đáng giá nào đều cần phải vượt qua thử nghiệm ITW.

VirusBulletin

Các thử nghiệm VB100 được thực hiện bởi John Hawes mỗi tháng một lần, trên các nền tảng khác nhau. Các sản phẩm diệt virus được thử nghiệm trên các bộ thử nghiệm VB, chủ yếu trong đó là bộ mẫu các virus đã được liệt kê tại WildList.  Còn các bộ thử nghiệm khác, ví dụ như thử nghiệm đa hình, cũng được sử dụng trong thử nghiệm, nhưng chỉ cho sản phẩm đã vượt qua được thử nghiệm, và giành giải VB100 cao nhất. Sản phẩm đó không những phải phát hiện được tất cả các virus ITW, đối với thử nghiệm on-demand và on-access, mà còn không được làm tăng bất kỳ một báo động nhầm nào đối với các gói mẫu sạch được sử dụng bởi Virus Bulletin. Kết quả chi tiết, bao gồm thử nghiệm đo tốc độ, được công bố hàng tháng trên tạp chí Virus Bulletin (phí đăng ký hàng năm là $175). Tạp chí còn bao gồm nhiều tin tức, các phân tích và các bài viết hay trong lĩnh vực diệt virus. Các kết quả thô của các thử nghiệm VB100 (vượt qua hay trượt) được công bố trên trang web của VB100. Các kết quả và đánh giá chi tiết của các năm trước cũng được công bố miễn phí trên trang web.

CheckVir

Những thử nghiệm này được tiến hành bởi Ferenc Leitold và cộng sự. CheckVir thực hiện các thử nghiệm quét on-demand và on-access chống lại các mối hại trên WildList (khoảng 80% các virus được liệt kê trên 3 WildList mới nhất và tối đa 20% virus trên các WildList ngẫu nhiên khác). Để nhận được mức Standard, sản phẩm phải phát hiện được toàn bộ các virus có trong mẫu thử được sử dụng. Để nhận được mức Advanced, sản phẩm còn phải sửa được các file đã bị nhiễm virus.

Các cơ quan chứng nhận

Các chứng nhận rất quan trọng, chúng đặt ra một tiêu chuẩn mà các sản phẩm phải đạt được để có thể được sử dụng trên một vài vùng nào đó. Việc có được chứng nhận là rất quan trọng đối với các nhà phát triển phần mềm, nhưng không có nhiều ý nghĩa với người sử dụng. Có nhiều chứng nhận giải thưởng cụ thể (như Spyware, Trojan, Cleaning, Firewall,...) của các cơ quan chứng nhận sau, nhưng ở đây chúng ta chỉ chú ý đến  các chứng nhận anti-virus. Cả ICSA Labs và West Coast Labs cũng đều cung cấp các thử nghiệm WildList.

ICSA Labs

Để vượt qua chương trình Chứng nhận sản phẩm diệt virus của ICSA Labs, các sản phẩm phải phát hiện được 100% các mã độc liệt kê trên WildList và 90% các mẫu "Zoo" khác. Tuy nhiên, không thể biết được có bao nhiêu mẫu "Zoo" trong bộ thử nghiệm "Zoo" được sử dụng. ICSA Labs chỉ cho biết những sản phẩm đã vượt qua được thử nghiệm, trang web không cho biết những sản phẩm đã bị loại khỏi thử nghiệm.

West Coast Labs Checkmark

Việc chứng nhận được tiến hành bởi Chris Thomas và nhóm của ông. Cũng giống như ICSA Labs, West Coast Labs là một tổ chức chứng nhận độc lập các sản phẩm diệt virus. Để một sản phẩm diệt virus có thể được chứng nhận mức Checkmark Level 1, sản phẩm đó phải phát hiện được tất cả các virus có trên WildList. Tất cả các sản phẩm được đăng ký cho Checkmark Level 1 sẽ được thử nghiệm chống lại toàn bộ các virus có trong danh sách "In the Wild", được công bố không dưới 2 tháng trước ngày phát hành sản phẩm. Trong lần thử nghiệm đầu tiên, West Coast Labs sẽ tiến hành miễn phí, và sau đó sẽ là các thử nghiệm có tính phí, kể cả việc thử nghiệm lại các phần mềm không vượt qua ở lần thử nghiệm trước. Để đạt được mức chứng nhận Checkmark Level 2, sản phẩm không những cần vượt qua mức Level 1, mà còn phải loại bỏ được các virus trong danh sách "In the Wild" có thể bị loại bỏ. Chỉ có khoảng một chục virus trong danh sách "In the Wild" là có thể bị loại bỏ. West Coast Labs chỉ cho biết những sản phẩm đã vượt qua được thử nghiệm, không công bố những sản phẩm đã bị loại khỏi thử nghiệm.

Các tạp chí thử nghiệm

Tôi không chắc là mình có nên liệt kê danh sách thử nghiệm của các tạp chí theo kiểu "thử nghiệm đáng tin cậy" hay không, bởi vì cái có thể tin tưởng được, theo ý kiến cá nhân tôi, thì chỉ là các kết quả thử nghiệm. Nó phụ thuộc vào dữ liệu đã được chuyển giao bởi các cơ quan kiểm nghiệm độc lập (thường là AV-Test GmbH và AV-Comparatives), hoặc dựa trên các thử nghiệm nội bộ của tạp chỉ đó. Các tạp chí thường xem xét cả các khía cạnh khác như giá cả, màu sắc giao diện, độ ổn định, mức độ sử dụng tài nguyên hệ thống,...và đưa ra kết quả cuối cùng bằng việc trộn lẫn nhiều kết quả so sánh khả năng diệt virus từ các dữ liệu chủ quan. Vì vậy, bạn có thể thấy nhiều tạp chí với nhiều kết quả thử nghiệm giống nhau, nhưng cuối cùng lại xếp hạng rất khác nhau. Nhìn chung, các tạp chí phải có cái mới để có thể bán được báo của họ, nhưng điều tệ hại là khi các tạp chí giấy được in ra, thì kết quả đã trở thành quá khứ từ 3 tháng trước rồi. Trường hợp tệ nhất trong đánh giá của các tạp chí là khi thử nghiệm được tiến hành với bộ thử nghiệm đáng vứt đi của chính người thực hiện thử nghiệm, các bộ thử nghiệm thường quá nhỏ, bị chọn sai và không được bảo dưỡng tốt (thường chứa rất nhiều file hỏng).

Thử nghiệm của các học viện/đại học

Thử nghiệm tiến hành bởi các học viện/đại học hiện nay rất hiếm, dưới đây là danh sách các cuộc thử nghiệm như vậy, mặc dù hiện không có thử nghiệm nào còn được tiến hành nữa:

• antiVirus Testing Center (aVTC) University of Hamburg: được tiến hành bởi Klaus Brunnstein và các sinh viên của ông trong 10 năm (1994-2004), nhưng sau đó đã ngừng lại do GS. Brunnstein quá bận với các dự án khác của mình. Phương pháp thử nghiệm rất chi tiết và rất hay, nhưng mục tiêu chính là giúp sinh viên biết cách thực hiện thử nghiệm và sử dụng phương pháp thử nghiệm hợp lý, chứ không sử dụng các kết quả thử nghiệm để đánh giá các phần mềm diệt virus. Các phần mềm diệt virus không được cập nhật, và bộ thử nghiệm chứa nhiều file hỏng (thường thấy với các bộ thử nghiệm lớn), vì vậy, kết quả thử nghiệm không nên dùng để đánh giá các phần mềm diệt virus. aVTC hiện vẫn là mốc đầu tiên của thử nghiệm đánh giá toàn diện phần mềm diệt virus với phương pháp rất tốt.

• Đơn vị nghiên cứu virus của trường đại học Tampere: Những thử nghiệm được tiến hành bởi Marko Helenius. Đơn vị nghiên cứu virus gần đây không còn đánh giá các sản phẩm diệt virus nữa, nhưng họ thông báo sẽ tiếp tục công việc trong tương lai nếu nguồn tài chính cho phép.

• Phòng thí nghiệm của đại học Bang Moscow: Phòng thử nghiệm tại Moscow State University tiến hành những thử nghiệm trong một phạm vi rộng rãi của các tình huống thực. Các kết quả thử nghiệm của họ chưa bao giờ được công bố rộng rãi trên mạng. Không may là hình như hiện nay dự án đã bị ngừng lại.

• Đại học Magdeburg: được tiến hành bởi công ty AV-Test GmbH vài năm trước đây.

• Đại học Innsbruck: được tiến hành bởi công ty AV-Comparatives vài năm trước đây.

3. Các thử nghiệm không đáng tin cậy và không hoàn thiện

Không may là có nhiều thử nghiệm không hoàn thiện vẫn còn trôi nổi trên mạng, một vài thử nghiệm kiểu này được thực hiện là có mục đích riêng, một số khác thì do sơ suất. Dưới đây là một số thử nghiệm phổ biến nhất:

• Thử nghiệm thực hiện bởi các VXers: Một VXer thường là những người thu gom virus bằng cách trao đổi với những người khác với mục đích tăng kho lưu trữ virus của anh ta. Hầu hết những VXers không có kinh nghiệm trong việc phân tích các mã độc.

• Thử nghiệm bị ảnh hưởng bởi tiền bạc/sự móc nối giữa các công ty: toptenreviews.com, starreviews.com, no1reviews.com. Một nhà phát triển phần mềm diệt virus đã giải thích khá tốt cách làm việc của những trang "đánh giá" kiểu này như sau: "[...] đây là cách mà một số người kiếm tiền. Nếu bạn để ý kỹ liên kết ở nút "Buy Now" bên cạnh các sản phẩm được xếp ở top 5, bạn sẽ thấy chúng có một ID quảng cáo (Affiliate ID). Điều đó có nghĩa là tác giả bài đánh giá sẽ nhận được 20% mỗi khi một giao dịch được thực hiện thông qua liên kết đó. [...] Tác giả bài đánh giá gửi 15 thư điện tử tới cho các công ty sản xuất phần mềm, và mời họ làm đối tác quảng cáo. Một số trả lời, một số thì không. Và sau đó, anh ta sẽ thêm bớt vào bài viết của mình những thông tin tạp nham [...] So sánh các sản phẩm khác nhau trên thị trường, nhưng chú ý đặc biệt tới những sản phẩm mà anh ta đã nhận tiền quảng cáo và để chúng ở các vị trí trên". Vì thế, mỗi năm bạn thấy cùng một kết quả đánh giá, tác giả chỉ việc đổi ngày tháng của bài viết, và quan tâm đến việc làm cho các sản phẩm quảng cáo của anh ta luôn ở vị trí đứng đầu. Ngoài ra, bảng so sánh luôn chứa các thông tin sai lệch và không cập nhật. Bạn không nên tin vào chúng, và thậm chí không nên ghé thăm các trang web này.

• Các thử nghiệm thực hiện bởi người dùng và những người không có kinh nghiệm: trên các diễn đàn, chúng ta có thể thấy nhiều bài đánh giá của những người sử dụng. Không may là những thử nghiệm kiểu này thường có kích thước mẫu thử nhỏ, không được phân tích (bộ mẫu chứa nhiều mẫu hỏng), và bạn không biết ai là người tiến hành cuộc thử nghiệm (đó có thể là một nhân viên làm cho một công ty phát triển phần mềm diệt virus). Các thử nghiệm kiểu này có thể liệt kê gồm: Malware-Test, Comsumer Reports,...

Tóm lại, chúng ta không nên dựa trên một kết quả đánh giá thử nghiệm, mà phải kiểm tra nhiều trang thử nghiệm độc lập, đưa ra kết luận về khả năng phát hiện, và sau đó kết hợp chúng với những kinh nghiệm bản thân trong việc sử dụng các phiên bản dùng thử, xem xét đến cách sử dụng, giao diện, tương thích,...Thêm vào đó, khi bạn đọc một bài đánh giá, hãy tự hỏi bản thân rằng: 

• Kích thước mẫu lớn ra sao? Nhóm mẫu đại diện cho thứ gì?
• Ai là người thực hiện thử nghiệm? Họ/Người ấy có đủ kinh nghiệm/chuyên môn/tài chính để thực hiện thử nghiệm đó hay không?
• Bộ thử nghiệm có chứa các mẫu hỏng và các thứ khác như các công cụ,...hay không? Các nhà thử nghiệm đã kiểm tra mẫu thử hay chưa?
• Kết quả thử nghiệm có lặp lại hay không? Có được chứng nhận chưa? Các nhà phát triển phần mềm có nhận được mẫu mà phần mềm của họ đã bỏ sót để chứng thực kết quả hay không?
• Những thiết đặt nào đã được sử dụng? Có phải tất cả các phần mềm được sử dụng chung một chế độ cấu hình hay không?
• Thử nghiệm được tiến hành khi nào? Kết quả thử nghiệm đã cũ hay chưa?
• Các phần mềm tham gia thử nghiệm trong những điều kiện như nhau hay không? Và chúng có được cập nhật tới cùng một thời điểm hay không?
• Các sản phẩm được thử nghiệm ra sao? Phương pháp thử nghiệm có được biết tới hay công bố, và nói chung là có được các nhà nghiên cứu virus và các hãng phát triển phần mềm chấp nhận hay không?
• Người thử nghiệm có được lợi gì về tài chính nhờ kết quả đánh giá của cuộc thử nghiệm hay không?
• Mục đích của cuộc thử nghiệm là gì? Cái gì đã được thử nghiệm? Kết quả cho biết điều gì?

Chỉ những phần mềm có khả năng phát hiện cao mới được tham gia vào các thử nghiệm của AV-Comparatives. Vì thế, bạn đọc phải hiểu rằng ngay cả mức STANDARD (mức chuẩn) cũng đã là một kết quả tốt rồi, vì để đạt được mức này thì sản phẩm phải vượt qua một tỷ lệ phần trăm tối thiểu theo yêu cầu. Nhiều chương trình bảo mật không được tham dự các thử nghiệm của AV-Comparatives là do chúng không vượt qua được yêu cầu tối thiểu này. Vì thế, những phần mềm đã tham gia vào các thử nghiệm đều có chất lượng cao và đều có thể coi là sự lựa chọn rất tốt cho việc bảo vệ hệ thống.

Dưới đây là những mức/giải thưởng mà các phần mềm bảo mật đã đạt được trong những cuộc thử nghiệm chính được thực hiện trong năm 2009

Nếu bạn định mua phần mềm diệt virus, hãy ghé thăm trang chủ của nhà cung cấp và tự mình đánh giá chất lượng của sản phẩm đó bằng cách tải phiên bản thử nghiệm, vì nó có thêm nhiều tính năng phụ (như tường lửa, chặn hành vi, lọc thư rác,…) và nhiều thứ quan trọng khác (như độ tương thích, giao diện, dễ sử dụng, giá cả,…). Như đã giải thích ở trên, không có phần mềm diệt virus nào được coi là hoàn hảo hay tốt nhất cả, vì mỗi hệ thống là khác nhau, mỗi người sử dụng cũng khác nhau. Một phần mềm có thể tốt và chạy trơn chu trên hệ thống này, nhưng nó lại chạy ì ạch và gây nhiều lỗi trên một hệ thống khác. Danh sách những giải thưởng dưới đây chỉ đơn thuần dựa vào việc kiểm tra với những mẫu có trong dữ liệu thử nghiệm, chứ không đánh giá hay xem xét các yếu tố khác, có thể quan trọng với một số người sử dụng nhất định. Một sản phẩm nào đó được chọn là “Sản phẩm tốt nhất năm 2009” không có nghĩa nó là sản phẩm tốt nhất trong mọi trường hợp, cho tất cả mọi người, mà nó chỉ có nghĩa là: sản phẩm đó đã hoàn thành thử nghiệm tốt hơn những sản phẩm khác.

Để đoạt giải “Sản phẩm diệt virus tốt nhất năm 2009” của AV-Comparatives, sản phẩm phải có tỷ lệ phát hiện cao, tỷ lệ phòng tránh cao (đối với các mã độc và các ứng dụng tiềm ẩn nguy cơ không mong muốn), khả năng tự phát hiện trước (phòng chống) cao, tỷ lệ phát hiện nhầm (FP) rất ít, chạy nhanh trên các hệ thống có cấu hình thấp, không gây lỗi hay làm treo hệ thống, loại bỏ tốt các mã độc, bảo vệ hệ thống khỏi các mã độc, các trang web chứa phần mềm độc hại mà không cần dựa quá nhiều vào những quyết định của người sử dụng và không có các lỗi khác gây phiền hà cho người sử dụng.

Dựa trên những giải thưởng đã được trao bởi AV-Comparatives trong suốt năm 2009, nhiều sản phẩm có thứ hạng cao gần bằng nhau, vì thế AV-Comparatives đã quyết định trao ba xếp hạng Vàng, Bạc, Đồng (khác với truyền thống trước đây):

1. GOLD: Symantec (sản phẩm tốt nhất năm 2009)
2. SILVER: Kaspersky
3. BRONZE: ESET

BitDefender và F-Secure có kết quả rất gần nhau và được xếp ở thứ hạng thứ 4. Kaspersky và Symantec cũng có kết quả gần tương đương nhau, nhưng tỷ lệ phát hiện tổng của Symantec cao hơn Kaspersky một chút. Mặt khác, Symantec thường được khuyên dùng cho những người không hiểu biết nhiều về tin học, do sản phẩm này rất ít khi hỏi người sử dụng phải quyết định bất cứ điều gì. Dù sao thì cả ba phần mềm đứng đầu này đều rất xuất sắc, chúng đều đã thể hiện rất tốt trong tất cả các thử nghiệm của năm 2009.

Các sản phẩm tốt nhất trong những năm trước:

• 2009: Symantec
• 2008: AVIRA
• 2007: ESET
• 2006: ESET
• 2005: Kaspersky
• 2004: Kaspersky

Tỷ lệ phát hiện cao các mã độc mà không gây ra các cảnh báo nhầm vẫn là một trong những tính năng quan trọng và mang tính quyết định nhất của một sản phẩm diệt virus.

Những sản phẩm dưới đây nhận giải ADVANCED+ trong cả hai lần thử nghiệm “Phát hiện theo yêu cầu” vào tháng 2 và tháng 8 năm 2009: Symantec (~98,6%, 20 FP) và ESET (~97,4%, 25 FP). McAfee tuy có tỷ lệ phát hiện cao (~98,9%) nhưng chỉ đạt một giải ADVANCED+ do có số ca phát hiện nhầm rất nhiều (54 FP). Vì thế, giải thưởng được trao:

1. GOLD: Symantec
2. SILVER: ESET
3. BRONZE: McAfee

Các cuộc thử nghiệm cho biết khả năng phát hiện trước theo yêu cầu của các phần mềm diệt virus với các thiết đặt ở mức cao nhất (xem khả năng phát hiện các mã độc mới của chúng tốt đến đâu). Tỷ lệ nhận diện cao (các mã độc mới) phải đi kèm với tỷ lệ phát hiện nhầm thấp. Khả năng phòng tránh theo yêu cầu đặc biệt quan trọng với các sản phẩm không có (hoặc chưa có) công nghệ bảo vệ như “Đám mây”, khóa hành vi,…

Những sản phẩm dưới đây đều giành giải ADVANCED+ trong cả hai lần thử nghiệm vào tháng 5 và tháng 11 năm 2009: ESET NOD32 (~58%, 25 FP), Kaspersky (~56%, 22 FP), Microsoft (~58%, 7 FP).

1. GOLD: Microsoft
2. SILVER: ESET
3. BRONZE: Kaspersky

Việc nhận diện nhầm có thể gây ra các vấn đề nguy hiểm giống như bị nhiễm mã độc, vì thế, các sản phẩm diệt virus phải có sự kiểm tra nghiêm ngặt đảm bảo chất lượng trước khi tung ra thị trường (tránh việc phát hiện nhầm). Các sản phẩm được đánh giá cao vì tỷ lệ phát hiện nhầm rất thấp là: Microsoft (7), F-Secure (11) và Symantec (20).

1. GOLD: Microsoft
2. SILVER: F-Secure
3. BRONZE: Symantec

Người sử dụng luôn được khuyên rằng nên định kỳ thực hiện việc quét toàn bộ hệ thống để chắc chắn rằng các dữ liệu được lưu trữ luôn trong tình trạng sạch sẽ.

Những sản phẩm có tốc độ quét theo yêu cầu cao khi được đặt ở cấu hình cho khả năng phát hiện tốt nhất là: Avast (~16,4 MB/s), Kingsoft (~19,2 MB/s) và Symantec (~17,1 MB/s).

1. GOLD: Kingsoft
2. SILVER: Symantec
3. BRONZE: Avast

Sản phẩm an ninh phải luôn được bật trong mọi hoàn cảnh, trong lúc người sử dụng đang thực hiện những công việc bình thường của họ. Một số sản phẩm sử dụng nhiều tài nguyên hệ thống khi chúng thực hiện một số tác vụ của mình.

Những sản phẩm dưới đây đã chứng minh được khả năng ít ảnh hưởng tới năng suất của hệ thống hơn các sản phẩm khác:

1. GOLD: AVIRA
2. SILVER: Kingsoft
3. BRONZE: F-Secure

Trong những năm gần đây, số lượng các phần mềm quảng cáo, phần mềm gián điệp và các phần mềm lừa đảo đã gia tăng đáng kể. Những ứng dụng như vậy không thuộc loại mã độc tiêu biểu, và việc xếp loại chúng đôi khi khá là khó khăn, chúng thường được miêu tả bằng thuật ngữ “potentially unwanted applications” (PUA), tạm gọi là “những ứng dụng tiềm ẩn nguy cơ không mong muốn”.

Các sản phẩm dưới đây đều có khả năng bảo vệ hệ thống rất tốt (trên 98%) chống lại các ứng dụng tiềm ẩn nguy cơ không mong muốn; vì thế rất khó để giới hạn giải thưởng cho 3 sản phẩm.

1. GOLD: TrustPort, G DATA
2. SILVER: McAfee, AVIRA
3. BRONZE: Symantec, F-Secure, BitDefender, eScan

Sản phẩm diệt virus không chỉ có khả năng phát hiện, mà chúng còn cần phải có khả năng loại bỏ (tốt nhất là hoàn toàn) các mã độc đã nhiễm vào hệ thống mà chúng phát hiện ra.

Các sản phẩm dưới đây có khả năng loại bỏ tốt các mã độc đã nhiễm vào hệ thống:

1. GOLD: eScan
2. SILVER: Symantec
3. BRONZE: Microsoft

Các sản phẩm an ninh như gói Internet Security bao gồm nhiều tính năng giúp hệ thống chống lại các mã độc hay lừa đảo trực tuyến. Những tính năng bảo vệ này có thể được đưa vào danh mục những báo cáo thử nghiệm động các sản phẩm toàn diện, những thử nghiệm này diễn ra trong những điều kiện giống hệt như những gì xảy ra trên thực tế. Symantec và Kaspersky đều ngang sức trong cuộc kiểm tra động, nhưng AV-Comparatives quyết định giao ngôi đầu bảng cho Symantec vì nó đưa ra ít cảnh báo hơn Kaspersky, và nó cũng phát hiện nhiều hơn Kaspersky một mối đe dọa.

Các sản phẩm sau có khả năng bảo vệ tốt khỏi sự tấn công của các mã độc:

1. GOLD: Symantec
2. SILVER: Kaspersky
3. BRONZE: AVIRA

Summary of the Annual Awards



Best products of 2009

GOLD: Symantec

SILVER: Kaspersky

BRONZE: ESET

Avast (www.avast.com): năm nay avast! đã cho thấy những cải tiến đáng kể trong khả năng phát hiện mã độc của nó (đặc việt là nửa cuối năm 2009) và số ca phát hiện nhầm cũng giảm. avast! là một trong những sản phẩm có tốc độ quét theo yêu cầu nhanh nhất. Phiên bản mới ra mắt avast! v5 còn có những cải tiến xa hơn nữa (như giao diện đồ họa mới) và những tính năng bảo vệ mới. Avast cũng cung cấp phiên bản miễn phí cho những người sử dụng tại gia đình.

• Tỷ lệ phát hiện mã độc cao
• Tốc độ quét theo yêu cầu cao
• Có sẵn phiên bản miễn phí

AVG (www.avg.com): AVG không đạt được kết quả cao như mong đợi trong năm nay, mặc dù nó vẫn là sản phẩm tốt. Hy vọng trong năm mới sản phẩm này sẽ có thêm nhiều cải tiến. Tất cả các sản phẩm của AVG đều bao gồm AVG LinkScanner, tính năng giúp bảo vệ người sử dụng khi lướt web. AVG cũng cung cấp phiên bản miễn phí cho những người sử dụng gia đình với những chức năng an ninh cơ bản (nghĩa là không có WebShield, bảo vệ nâng cao rootkit,…)

• Dễ sử dụng
• Có phiên bản miễn phí
• LinkScanner

AVIRA (www.avira.com): AVIRA giành giải sản phẩm tốt nhất năm 2009. Nó cũng có tỷ lệ phát hiện mã độc và tỷ lệ phát hiện trước các mối nguy hiểm cao trong năm nay, nhưng đáng tiếc là số ca phát hiện nhầm khá cao. Nhờ tỷ lệ phát hiện cao của AVIRA và tính năng WebShield, nó cũng chứng minh được khả năng bảo vệ tốt trong cuộc kiểm tra động các sản phẩm toàn diện, ngay cả khi hiện nay AVIRA không còn cung cấp những tính năng như khóa hành vi. AVIRA cũng ít ảnh hưởng tới sự hoạt động của hệ thống. Phiên bản mới của AVIRA có tính năng khóa hành vi, phiên bản này sẽ phát hành trong năm 2010.

• Tỷ lệ phát hiện rất cao
• Ít ảnh hưởng tới hiệu năng hệ thống
• Có phiên bản miễn phí

BitDefender (www.bitdefender.com): BitDefender đã được cải tiến trong năm nay, và nó đã cho thấy tỷ lệ phát hiện tốt cũng như khả năng nghiệm suy tốt, với số ca cảnh báo nhầm ít hơn năm ngoái. BitDefender cũng chứng minh khả năng tốt trong việc loại bỏ các mã độc.

• Tỷ lệ phát hiện cao
• Khả năng nghiệm suy tốt
• Khả năng loại bỏ mã độc tốt

eScan (www.mwti.com): eScan là sản phẩm multi-engine (dựa trên bộ máy phát hiện của BitDefender). Giống như BitDefender, nó cũng có tỷ lệ phát hiện cao và khả năng nghiệm suy tốt, số ca phát hiện nhầm ít hơn năm ngoái. eScan rất giỏi trong việc loại bỏ hoàn toàn phần lớn mã độc mà nó phát hiện ra.

• Tỷ lệ phát hiện cao
• Khả năng nghiệm suy tốt
• Khả năng loại bỏ mã độc rất tốt

ESET (www.eset.com): Mỗi năm, ESET lại cho thấy những tính năng mới rất tốt của mình. Khả năng nghiệm suy của nó dẫn đầu tỷ lệ phát hiện và số ca phát hiện nhầm cũng rất thấp. ESET cũng chạy khá nhẹ nhàng trên các hệ thống. Trong kết quả chung, ESET giữ vị trí số ba trong số các sản phẩm an ninh tốt nhất năm 2009.

• Tỷ lệ phát hiện cao
• Khả năng nghiệm suy rất tốt
• Ít ảnh hưởng tới hiệu năng hệ thống

F-Secure (www.f-secure.com): F-Secure sử dụng những cỗ máy khác nhau trong sản phẩm của mình (gồm cả BitDefender). F-Secure đã nâng cao đáng kể, nó ảnh hưởng rất ít tới hiệu năng của hệ thống khi đang chạy nền. Khả năng loại bỏ mã độc cũng khá tốt. Phiên bản mới 2010 ra mắt với giao diện bóng bẩy và dễ sử dụng.

• Tỷ lệ phát hiện cao
• Khả năng loại bỏ mã độc tốt
• Giao diện dễ sử dụng

G DATA (www.gdata.de): G DATA sử dụng bộ máy quét của Avast và BitDefender. Nhờ sự kết hợp này mà G DATA đạt tới tỷ lệ phát hiện rất cao, mặc dù đôi khi điều này cũng đồng nghĩa với sự gia tăng số ca phát hiện nhầm. Trong cuộc kiểm tra phát hiện theo yêu cầu thực hiện vào tháng 8, số ca phát hiện nhầm của G DATA thực sự thấp. Sự ảnh hưởng tới hiệu năng chung của hệ thống cũng đã được cải tiến rất nhiều, nhờ tính năng ghi nhớ trạng thái của những dữ liệu đã quét. Giao diện của G DATA rất trực quan.

• Tỷ lệ phát hiện rất cao
• Kết hợp giữa những bộ máy quét tốt
• Giao diện trực quan

Kaspersky (www.kaspersky.com): Kaspersky cho thấy tỷ lệ phát hiện trước mã độc rất cao và khả năng chống lại mã độc tốt (mặc dù nó còn có thể được cải tiến hơn, như báo cáo trong cuộc thử nghiệm phát hiện theo yêu cầu vào tháng 8). Kaspersky cũng có khả năng loại bỏ tốt các mã độc (gồm cả những tính năng Security+ cho phép khôi phục lại những thiết đặt đã bị mã độc thay đổi). Những ảnh hưởng tới hiệu năng hệ thống và sự sử dụng tài nguyên hệ thống cũng thấp. Kaspersky bao gồm nhiều tính năng an ninh cho những người sử dụng chuyên nghiệp, nhưng cũng cung cấp đầy đủ chế độ bảo vệ tự động cho những người mới sử dụng máy tính. Giao diện và tính năng ghi biên bản có thể được cải tiến hơn nữa. kaspersky nhận giải BẠC (Silver) và là một trong những sản phẩm tốt nhất năm 2009.

• Khả năng nghiệm suy rất tốt
• Tỷ lệ phát hiện cao
• Nhiều tính năng bảo vệ

Kingsoft (www.kingsoftresearch.com): Kingsoft là nhà cung cấp sản phẩm đầu tiên tại Trung Quốc có cơ hội tham gia vào một thử nghiệm các sản phẩm diệt virus tầm cỡ quốc tế và cũng là công ty không tán thành cái quan niệm vớ vẩn cho rằng các chương trình diệt virus Trung Quốc thì chỉ phát hiện chủ yếu các mã độc Trung Quốc, Kingsoft biết rằng Internet không có giới hạn, và phần mềm diệt virus cần phải phát hiện được tất cả các mã độc, không quan trọng là nó bắt nguồn từ đâu. Kingsoft phát hiện lượng mã độc đạt mức chuẩn, nhưng vẫn là quá thấp và có nhiều ca phát hiện nhầm, nên nó không nhận các giải cao. Kingsoft có tốc độ quét cao nhất trong thử nghiệm của AV-Comparatives. Giao diện của nó rất đơn giản và dễ sử dụng.

• Quét rất nhanh
• Ít ảnh hưởng tới hiệu năng hệ thống
• Giao diện rất trực quan

McAfee (www.mcafee.com): Năm nay, McAfee có tỷ lệ phát hiện rất cao đối với các mã độc và các ứng dụng tiềm ẩn nguy cơ không mong muốn, chủ yếu là nhờ vào công nghệ Đám Mây mạnh mẽ của nó. Đáng tiếc là nó có nhiều ca phát hiện nhầm. McAfee cần một vài cải tiến quan trọng và xa hơn nữa, ví dụ như giao diện đồ họa-người dùng, và khả năng phát hiện nghiệm suy khi không có kết nối mạng. McAfee cũng không có chức năng tạo đĩa cứu hộ, một tính năng mà đáng lẽ một công ty nổi tiếng trên toàn cầu như McAfee không thể bỏ qua. McAfee còn có cả SiteAdvisor, công cụ giúp cảnh báo về những trang web tiềm ẩn những mối nguy hiểm.

• Tỷ lệ phát hiện mã độc rất cao
• Tỷ lệ phát hiện các ứng dụng tiềm ẩn nguy cơ không mong muốn rất cao
• SiteAdvisor

Microsoft (www.microsoft.com/security_essentials): Microsoft cho thấy tỷ lệ phát hiện trước rất tốt, với số ca phát hiện nhầm ít, và khả năng loại bỏ các mã độc rất tốt. Trong năm 2009, Microsoft đã cho ra mắt Microsoft Security Essentials, một sản phẩm diệt virus miễn phí với giao diện rất đơn giản. Security Essentials được mong đợi là một giải pháp đơn giản, cung cấp những biện pháp an ninh cần thiết tối thiểu cho những người sử dụng không thể, hoặc không muốn mua một sản phẩm an ninh thương mại.

• Tỷ lệ phát hiện trước rất cao
• Số ca phát hiện nhầm thấp
• Khả năng loại bỏ mã độc rất tốt
• Miễn phí

Norman (www.norman.com): Năm nay không phải là một năm thuận lợi cho Norman, theo kết quả những thử nghiệm của AV-Comparatives. Norman chỉ đạt mức STANDARD ở 4 trong số 8 thử nghiệm, mặc dù trong năm ngoái, Norman đã làm tốt hơn thế. Dù sao đi nữa, Norman vừa mới ra mắt phiên bản mới, với giao diện đồ họa-người dùng tốt hơn, và nhiều cải tiến khác nữa. Chúng ta tin tưởng rằng Norman sẽ làm tốt hơn trong các kết quả kiểm tra trong năm 2010, vì họ đã biết cần phải cải tiến những gì khi muốn đối đầu với các sản phẩm an ninh khác. Norman hỗ trợ cả những HĐH đã cũ như Windows 95. Norman tự động thực hiện việc quét hệ thống khi người sử dụng đang không làm việc (khi chế độ bảo vệ màn hình (screensaver) được kích hoạt).

• Giao diện rõ ràng
• Hỗ trợ HĐH cũ
• Chế độ quét tự động khi screensaver được kích hoạt

Sophos (www.sophos.com): Sophos là công ty an ninh nhắm tới đối tượng là các doanh nghiệp. Trong các thử nghiệm của AV-Comparatives, Sophos chỉ cho thấy kết quả phát hiện ở mức đạt chuẩn. Sophos còn có tính năng HIPS giúp cảnh báo về những thay đổi trong hệ thống mà có tiềm ẩn sự nguy hiểm, nó hữu dụng với những nhà quản trị của một tập đoàn. Giao diện sử dụng rất đơn giản và trực quan. Hãy đọc thêm kết quả kiểm tra của Sophos trong các báo cáo chi tiết, vì những thử nghiệm của AV-Comparatives đã giới hạn một số quy tắc khi kiểm tra các tính năng dành cho người sử dụng gia đình. Trong một vài thử nghiệm, Sophos có kết quả thấp hơn một chút so với các sản phẩm khác, do nhóm thử nghiệm đã áp dụng cùng một tiêu chuẩn cho Sophos, dù nó là sản phẩm cho doanh nghiệp.

• Giao diện rất dễ sử dụng
• Dành cho doanh nghiệp
• HIPS

Symantec (www.symantec.com): Symantec (Norton) đã cải tiến vượt bậc những ảnh hưởng của nó lên hiệu năng của hệ thống. Trong nhiều năm trước, Norton thường nổi tiếng là ngốn rất nhiều tài nguyên hệ thống, còn giờ đây nó ảnh hưởng rất ít tới hiệu năng hệ thống. Tỷ lệ phát hiện mã độc và các ứng dụng tiềm ẩn nguy cơ không mong muốn cũng rất cao, trong khi những ca phát hiện nhầm lại rất thấp. Giao diện đồ họa-người dùng rất phong cách và dễ sử dụng. Khả năng nghiệm suy khi hoạt động ngoại tuyến (không có kết nối internet) vẫn có thể được cải tiến xa hơn. Sản phẩm bao gồm cả công cụ phân tích hành vi và các tính năng bảo vệ mạnh mẽ khác (như công nghệ Đám Mây nhận diện mối nguy cơ dựa trên mức độ phổ biến) cho phép tự thực hiện các hành động thích hợp mà không cần tới quyết định của người sử dụng, rất thích hợp cho những người mới sử dụng máy tính. Với những cải tiến to lớn cho sản phẩm của mình, Symantec đã đạt được nhiều giải thưởng trong phần lớn các thử nghiệm của AV-Comparatives trong năm 2009, và đã giành giải Phần Mềm Tốt Nhất của năm 2009.

• Tỷ lệ phát hiện rất cao
• Ít ảnh hưởng tới hiệu năng hệ thống
• Dễ sử dụng

TrustPort (www.trustport.com): TrustPort kết hợp các bộ máy diệt virus khác nhau trong sản phẩm của mình, và người sử dụng có thể tự mình lựa chọn. Theo mặc định, hiện nay nó đang sử dụng bộ máy của AVG và BitDefender. Nhờ sự kết hợp này mà TrustPort có tỷ lệ phát hiện theo yêu cầu rất cao và kết quả quét các mã độc rất cao, tuy nhiên tốc độ quét của nó tương đối chậm và số ca phát hiện nhầm nhiều hơn so với các sản phẩm khác.

• Tỷ lệ phát hiện mã độc rất cao
• Tỷ lệ phát hiện các ứng dụng tiềm ẩn nguy cơ không mong muốn rất cao
• Có thể lựa chọn các bộ máy quét virus

• Potentially unwanted application (PUA): ứng dụng tiềm ẩn nguy cơ không mong muốn
• False positive/False alarm (FP): phát hiện nhầm, khi một ứng dụng sạch bị phần mềm an ninh phát hiện nhầm và đưa ra các cảnh báo sai
• Heuristic: nghiệm suy
• Engine: bộ máy tìm kiếm và phát hiện mã độc
• Đám mây: in-the-cloud
• HIPS (host-based intrusion-prevention system): tính năng bảo vệ sự xâm nhập thông qua máy chủ
• On-demand detection: Phát hiện theo yêu cầu
• On-demand proactive detection: Phát hiện trước (phòng tránh) theo yêu cầu
• Whole-product dynamic protection: Khả năng bảo vệ động của các sản phẩm toàn diện, nghĩa là những gói sản phẩm an ninh với đầy đủ các tính năng chứ không chỉ là tính năng diệt virus, kiểm tra được thực hiện trong "điều kiện động", là điều kiện giống hệt như những gì xảy ra trên thực tế. "Whole-product dynamic protection test" là bài kiểm tra quan trọng và có ý nghĩa nhất mà AV-Comparatives sẽ tiến hành định kỳ kể từ năm 2009.

• Bảng tổng kết về các phần mềm diệt virus năm 2009 của VB100
• Báo cáo so sánh toàn diện về các phần mềm diệt virus năm 2009
• AV-Comparatives: Kết quả thử nghiệm khả năng phát hiện các PUA
• Kiểm tra động các gói phần mềm bảo mật 12/2009

Trong một số bài viết trước đây, tôi đã giới thiệu đến cho các bạn một số những báo cáo thử nghiệm đáng chú ý của AV-Comparatives và VB100 về khả năng phát hiện/phòng chống virus, cũng như các phần mềm độc hại khác của các phần mềm bảo mật, và đưa ra những đánh giá suy đoán toàn diện về các sản phẩm an ninh có uy tín này trong năm 2009. Như tôi đã lưu ý trong các bài viết đó, những thử nghiệm này chỉ thuần túy dựa vào tỷ lệ phát hiện virus có trong cơ sở dữ liệu của cuộc kiểm tra, còn những tính năng quan trọng khác chưa được cân nhắc trong các báo cáo. Vấn đề là, ghi người sử dụng lựa chọn phần mềm bảo mật, họ không chỉ dựa vào những báo cáo đơn thuần kiểu này, vì đó là dạng số liệu thống kê, không thể dựa vào đó để kết luận mức độ an toàn và hiệu quả của một sản phẩm an ninh. Chính vì thế, việc thực hiện một cuộc kiểm tra động với các gói sản phẩm an ninh toàn diện là rất cần thiết và mang ý nghĩa thực tế cao, nhất là đối với những người sử dụng máy tính cá nhân gia đình, họ không cần quan tâm đến những kết quả thống kê rắc rối, mà chỉ cần so sánh một cách trực quan hiệu quả của các sản phẩm an ninh.

Mặc dù có ý nghĩa quan trọng, nhưng trên thế giới hiện nay không có nhiều các cuộc kiểm tra động có chất lượng cao và đáng tin cậy, do nó rất khó thực hiện để có thể thu được kết quả khách quan. Từ năm 2009, AV-Comparatives sẽ bắt đầu tiến hành việc đánh giá các sản phẩm an ninh theo phương pháp kiểm tra động, đây quả là một tin vui cho những người quan tâm đến vấn đề bảo mật, vì AV-Comparatives là một tổ chức kiểm định độc lập, có uy tín trên thế giới.

Dựa vào báo cáo mới được công bố đầu tháng 12 mới đây của AV-Comparatives, tôi sẽ giới thiệu đến các bạn kết quả của báo cáo này cùng một số những đánh giá riêng.

Mục đích của thử nghiệm này là so sánh khả năng bảo vệ được cung cấp bởi các giải pháp an ninh khác nhau, bằng cách kiểm tra chúng trong điều kiện thực tế. Trong những năm trước, đã có rất nhiều thảo luận về những thử nghiệm như thế này và giá trị của chúng đối với người sử dụng máy tính cá nhân gia đình. Vấn đề là những thử nghiệm kiểu này rất đắt (tốn thời gian thực hiện và cần nhiều nhân viên thực hiện) và khó sao chép. Vì thế, những thử nghiệm này rất quan trọng và nó thể hiện được khả năng bảo vệ của các phần mềm bảo mật khỏi các phần mềm độc hại.

Đây là lần đầu tiên AV-Comparatives thực hiện cuộc kiểm tra động các sản phẩm toàn diện. Mặc dù mục tiêu là kiểm tra với càng nhiều mẫu càng tốt, nhưng do những hạn chế về thời gian, tài nguyên và một số những rắc rối không mong muốn khác, nên AV-Comparatives đã cắt giảm số lượng mẫu xuống con số tương đối nhỏ, khoảng 100 trường hợp thử nghiệm. Dựa vào kinh nghiệm và những vấn đề gặp phải trong cuộc thử nghiệm này, cũng như những phản hồi từ các nhà cung cấp sản phẩm, từ năm 2010, AV-Comparatives sẽ thực hiện thường xuyên những cuộc kiểm tra kiểu này, với số lượng mẫu lớn hơn (để tăng số liệu thống kê), thêm nhiều vật “truyền bệnh” hơn và khả năng sinh sôi được cải tiến hơn, thông qua việc hợp tác với viện Thông tin và Chất lượng kỹ thuật của đại học Innsbruck.

Các sản phẩm được kiểm tra gồm:

• avast! Free 5.0
• AVG Internet Security 9.0
• AVIRA Premium Security Suite 9
• BitDefender Internet Security 2010
• eScan Internet Security 10
• ESET Smart Security 4.0
• F-Secure Internet Security 2010
• G DATA Internet Security 2010
• Kaspersky Internet Security 2010
• Kingsoft Internet Security 2009+
• McAfee Internet Security 2010
• Microsoft Security Essentials 1.0
• Norman Security Suite 7.2
• Symantec Norton Internet Security 2010
• TrustPort PC Security 2010

Trong cuộc kiểm tra động các sản phẩm hoàn chỉnh, AV-Comparatives sử dụng các gói sản phẩm an ninh từ các nhà cung cấp sản phẩm chính hãng. Nếu các gói sản phẩm này chưa có đủ một số tính năng, ví dụ như trường hợp của Avast và Microsoft, thì chúng sẽ không được coi là các ứng cử viên, theo yêu cầu của nhà cung cấp sản phẩm (mặc dù AV-Comparatives không xem xét những tính năng đó, ví dụ như chức năng tường lửa). Sophos quyết định không tham gia thử nghiệm, vì sản phẩm của họ hướng đến các doanh nghiệp, chứ không phải là các khách hàng đơn lẻ như những nhà cung cấp khác. Tất cả các sản phẩm tham gia thử nghiệm đều được đặt ở chế độ mặc định, các sản phẩm có phiên bản mới nhất và đều được cập nhật cơ sở dữ liệu tới thời điểm thực hiện cuộc thử nghiệm.

AV-Comparatives sử dụng 100 ca kiểm tra trong thử nghiệm này. Mỗi ca kiểm tra là một trang web có chứa mã script độc hại và các phần mềm nguy hiểm. Theo thống kê, ngày nay có tới 70% mã độc được phát tán qua các trang web nhờ các mã script độc hại và phần mềm lợi dụng[4] (thông qua việc download), 20% là từ các thủ đoạn dẫn người sử dụng tới các trang web để họ tự tay tải các phần mềm nguy hiểm về máy tính (số phần trăm còn lại thì đến từ các vật thể lây truyền khác). Hơn nữa, phần lớn các trang web lây bệnh hiện nay có tên miền tại Trung Quốc. Các ca thử nghiệm được chọn của AV-Comparatives cũng dựa vào thực tế này, họ sử dụng phần lớn các trang web chứa các phần mềm lợi dụng và các mã script độc hại, chỉ có 15 liên kết nhắm tới các phần mềm thực thi độc hại, và khoảng 30 trang có tên miền tại Trung Quốc. Các địa chỉ trang web mà AV-Comparatives sử dụng được thu thập bằng công cụ riêng của họ. Để khách quan, họ không sử dụng bất cứ dịch vụ có sẵn nào hiện nay trong việc cung cấp nguồn địa chỉ chứa mã độc. Cũng vì lý do này, AV-Comparatives không công bố các địa chỉ đã sử dụng. AV-Comparatives cũng không sử dụng các trang có chứa cùng một loại mã độc, để có thể thu được nhiều hơn các kết quả từ các ca thử nghiệm khác nhau. Mặc dù trong mỗi ngày tiến hành thử nghiệm, AV-Comparatives sử dụng từ 15 – 20 địa chỉ mới, nhưng điều đó không có nghĩa là AV-Comparatives sử dụng các mã độc và phần mềm lợi dụng kiểu “zero-day”[5]. Mục đích của cuộc thử nghiệm không phải là để các sản phẩm an ninh này đương đầu với các mã độc zero-day, mà là để vẽ nên một bức tranh thực tế về các sản phẩm an ninh, dựa vào những thứ mà hầu hết những người sử dụng máy tính gia đình trong thế giới thực phải đối mặt hàng ngày khi sử dụng sản phẩm, lướt web và các hoạt động khác trên Internet.

Để có thể phản ánh được hệ thống phổ biến nhất đối với những người sử dụng máy tính gia đình (và đây cũng là đích ngắm chủ yếu của các mã độc), AV-Comparatives không sử dụng phiên bản mới nhất của các ứng dụng và HĐH. Họ sử dụng HĐH Windows XP Professional SP3 (gói Service Pack cơ bản), sử dụng trình duyệt Internet Explorer 7 (trình duyệt phổ biến thứ 2, chỉ đứng sau IE6) và Adobe Acrobat Reader. AV-Comparatives cho biết, một lượng lớn người sử dụng truy cập các trang web của họ với các sản phẩm đã lỗi thời, thậm chí nhiều người còn liên hệ với AV-Comparatives để hỏi rằng họ không thể đọc được các báo cáo mà AV-Comparatives đã công bố (những báo cáo này cần Adobe Reader phiên bản 8.0 trở lên), và các phiên bản của Flash Player, Java,…cũng không phải là các phiên bản mới nhất. Nói tóm lại, AV-Comparatives sẽ sử dụng các hệ thống lỗi thời khoảng 1 năm, để nó phù hợp với điều kiện thực tế, thậm chí các hệ thống còn có thể lỗi thời hơn, nhưng họ không muốn sử dụng các phần mềm quá cũ. Nói ra điều này, AV-Comparatives muốn nhấn mạnh tầm quan trọng của việc giữ cho các phần mềm trong hệ thống (chứ không chỉ là phần mềm bảo mật) luôn được cập nhật ở phiên bản mới nhất, do nhiều phần mềm lợi dụng không hoạt động được trên các phiên bản đã được nâng cấp/vá lỗi. AV-Comparatives cho biết họ sẽ tiếp tục thống kê trạng thái sử dụng của người dùng, và sẽ cập nhật lên phiên bản mới hơn, như Windows 7, ngay khi nó trở lên phổ biến.

Do báo cáo này hướng tới những người sử dụng máy tính gia đình, nên đây là cơ hội tốt để cung cấp thêm một số thông tin về các tính năng an ninh trong HĐH và trình duyệt.

Trước hết, bạn hãy cập nhật HĐH và trình duyệt lên phiên bản mới nhất, đừng bỏ qua hay tắt tính năng tự động cập nhật! Mặc dù nhiều người cho rằng HĐH có lỗi trong việc khiến họ bị nhiễm mã độc, nhưng thực ra nguyên nhân lại là do chính những người sử dụng, vì họ không cập nhật các phần mềm lên phiên bản mới nhất. Phần lớn trong những lần khởi động một phần mềm mới chưa được biết tới, một hộp thoại xác nhận của Windows đều hiện lên, cảnh báo về mối nguy hiểm khi thực thi các file này. Một thông báo tương tự cũng xuất hiện khi bạn download một file nào đó trên mạng bằng Internet Explorer và chạy nó.

Khi mở file, hệ thống an ninh sẽ cảnh báo:”Nhà phân phối chưa được xác minh, bạn có chắc là mình muốn chạy file đó không? File này không có chữ ký điện tử hợp lệ để chứng thực cho nhà phân phối. Bạn chỉ nên chạy các phần mềm từ các nhà phân phối mà bạn tin tưởng.”

“Bạn có muốn mở file này không? Mặc dù các file trên Internet có thể hữu dụng, file này có thể gây hại cho máy tính của bạn. Chỉ chạy các phần mềm từ các nhà phân phối mà bạn tin tưởng.”

Phần lớn người sử dụng đều bỏ qua các cảnh báo này và tiếp tục chạy các file đó, vì họ đã quá quen với những cảnh báo kiểu như thế rồi. Ngày nay, bằng nhiều thủ đoạn kỹ thuật, người sử dụng dễ bị lừa khởi động các ứng dụng mà không thèm đếm xỉa đến các cảnh báo. Đó là lý do quan trọng khiến các phần mềm bảo mật đưa ra các biện pháp an ninh mà không dựa trên sự quyết định của người dùng, và người dùng cũng mong đợi rằng các phần mềm bảo mật sẽ làm điều đó giúp họ. Một sản phẩm tốt nên đưa ra thông báo rằng file đó có nguy hiểm hay không, và nếu nó cho rằng file đó nguy hiểm, thì nó không nên cho người sử dụng thực thi file đó (hay ít nhất thì nó cũng phải được thiết lập mặc định ở chế độ hành động khóa/bắt nhốt[8]). Còn nếu một phần mềm bảo mật mà lúc nào cũng dựa trên sự quyết định của người dùng xem có nên chạy file đó hay không, thì đó là sản phẩm không nên sử dụng.

Thêm nữa, IE8 có tính năng SmartScreen Filter, giúp khóa rất nhiều mã độc khi duyệt Internet. Google Chrome và Mozilla Firefox thậm chí còn khóa các website nguy hiểm. Nhìn vào những biện pháp an ninh sẵn có đã nêu ở trên, có thể ai đó sẽ tự hỏi: làm thế quái nào mà nhiều người vẫn bị mã độc lây nhiễm vào hệ thống của họ được nhỉ? Vấn đề không phải lúc nào cũng nằm ở phía sản phẩm hay công nghệ, mà phần lớn trường hợp thuộc về lỗi của người dùng.

Kiểm tra động các sản phẩm hoàn chỉnh không phải là một cuộc kiểm tra khả năng phát hiện như bình thường, nó là sự kiểm tra khả năng bảo vệ/ngăn ngừa. Thử nghiệm sẽ bắt chước các mã độc thâm nhập và chạy trên hệ thống của người sử dụng giống như những gì xảy ra trên thực tế (ví dụ như ghé thăm một trang web có chứa mã độc, các phần mềm lợi dụng, bị lừa tải các file nhiễm độc). Điều này có nghĩa là không chỉ chữ ký, khả năng suy đoán, phát hiện được đánh giá, mà cả khả năng chặn URL, các dịch vụ mạng có uy tín, chặn phần mềm lợi dụng, nghiệm suy, HIPS và khả năng phán đoán theo hành vi cũng được xem xét. Nhiệm vụ bảo vệ sẽ bị coi là thất bại nếu phần mềm bảo vệ chỉ đưa ra các cảnh báo của tường lửa khi mã độc đã chạy và cố kết nối với bên ngoài. AV-Comparatives duyệt các trang web có chứa mã độc/phần mềm lợi dụng và cả các trang web có chứa các file nhiễm bệnh đã được tải và chạy. Chỉ tiêu thành công/thất bại phụ thuộc vào công nghệ được sử dụng của từng sử dụng. Điều quan trọng là sản phẩm cung cấp sự bảo vệ đáng tin cậy cho người dùng, theo nghĩa là không cần hỏi ý kiến quyết định của người sử dụng xem một thứ gì đó có phải là mối nguy hiểm hay không.

Trong thử nghiệm kiểm tra động các sản phẩm hoàn chỉnh, AV-Comparatives sử dụng 16 máy tính cá nhân giống hệt nhau về phần cứng (không phải là máy ảo), phần mềm và các thiết đặt HĐH (tài khoản quản trị). Mỗi máy tính được cài một phần mềm bảo vệ, là các gói sản phẩm bảo mật với các tính năng bảo vệ toàn diện. Các sản phẩm được cập nhật mới nhất bằng kết nối Internet trực tiếp, như trong thực tế. Mỗi máy có một địa chỉ IP riêng. AV-Comparatives sử dụng các thiết đặt cấu hình mặc định. Thử nghiệm được tiến hành vào ngày 16/11/2009, mỗi ngày tiến hành 15 – 20 ca thử nghiệm (các URL mới với các mã độc/phần mềm lợi dụng tương ứng, và các URL này không chứa các mã độc giống nhau). Do mỗi máy tính đều phải được kiểm tra, và tất cả các máy đều phải được đưa trở lại trạng thái ban đầu sau mỗi lần kiểm tra (điều này có nghĩa là phải đợi cho đến khi tất cả các máy sẵn sàng cho thử nghiệm tiếp theo), nên phải cần tới 12 tiếng mỗi ngày để 4 người thực hiện việc thử nghiệm (mặc dù họ có phát triển các công cụ giúp tăng tốc một vài quá trình). Mỗi ca thử nghiệm trước hết được xác nhận bằng cách duyệt trên một HĐH chưa được bảo vệ (chưa được cài phần mềm bảo mật) để xem mẫu thử có hợp lệ hay không, và chúng sẽ gây hại gì trên môi trường thử nghiệm. Sau đó, tất cả 15 phần mềm bảo vệ được cập nhật trước khi đưa vào thử nghiệm. AV-Comparatives ghi nhận tất cả các URL có chứa cùng loại mã độc. Tất cả các URL được duyệt cùng lúc, các phản ứng của phần mềm bảo vệ được chụp lại, các phần mềm thực hiện công việc một cách yên lặng (không đưa ra thông báo), hoặc không bảo vệ được hệ thống cũng sẽ được ghi nhận.

Trường hợp các URL phát tán mã độc khác vào hệ thống, hoặc bị lỗi trong quá trình thử nghiệm sẽ bị loại khỏi kết quả kiểm tra. Vì thế, thử nghiệm được tiến hành tới ngày 26/11/2009, và số ca thử nghiệm hợp lệ cho báo cáo giảm xuống còn 100.

Mặc dù AV-Comparatives có lưu lại rất nhiều dữ liệu, nhưng việc tiến hành thử nghiệm này là một công việc khó khăn, đặc biệt là theo cách mà họ sử dụng: trên các hệ thống thật không sử dụng môi trường ảo, và phải trông chừng để không mã độc nào tấn công vào mạng thử nghiệm. Hơn nữa, một vài sản phẩm không cung cấp các ghi nhận[7] cho những tác vụ mà người thử nghiệm đã thực hiện. Mặt khác các sản phẩm dựa trên điện toán đám mây có thể mang lại các kết quả khác nhau nếu được thử nghiệm ở những thời điểm khác nhau (hay thậm chí là ở những quốc gia khác nhau). Trong thử nghiệm, AV-Comparatives đã ghi nhận các vấn đề cần được lưu ý trong những lần thực hiện sau và sẽ được đưa vào danh mục các mẫu tự động trong thử nghiệm động. Hiện tại, AV-Comparatives đang làm việc với đại học Innsbruck để phát triển mẫu này. Họ đã lên kế hoạch hoàn thành nó và sử dụng trong thử nghiệm vào năm 2010, cho phép họ sử dụng một lượng lớn các ca thử nghiệm, tăng cường việc ghi nhận, khả năng tiến hành và cả các đối tượng phát tán phụ khác (như email, chat, P2P, USB,…). Trong một số trường hợp, cũng cần các nhà cung cấp phần mềm thay đổi và cải tiến sản phẩm của họ, để giúp những người tiến hành thử nghiệm có thể áp dụng một số công đoạn tự động trong quy trình.

Trong phần lớn trường hợp, các sản phẩm bảo mật sẽ thực hiện những hành động thích hợp của chúng (tự ra quyết định rằng một thứ gì đó bị lây nhiễm mã độc và có nên bị khóa hay không); trong một số trường hợp, chúng hỏi người dùng quyết định làm gì, nhưng khuyên rằng nên khóa file nhiễm độc đó theo như tùy chọn mặc định. Chúng ta thường thực hiện các hành động mặc định mà phần mềm bảo vệ đã chọn hoặc khuyên nên chọn để hệ thống được bảo vệ an toàn, vì chúng ta tin tưởng một cách mù quáng vào những gì mà sản phẩm an ninh tuyên bố. Nếu như không có lựa chọn mặc định nào được đưa ra, và cảnh báo không khuyên một cách trực tiếp rằng chương trình/hành động/trang web đó có thể nguy hiểm, nhóm thử nghiệm sẽ chọn chọn “khóa” (block); hành động tương tự cũng được áp dụng cho thử nghiệm phát hiện nhầm, nếu cảnh báo đó xuất hiện trong suốt quá trình thử nghiệm mã độc thật. Nếu trường hợp kiểm tra mã độc không đưa ra cảnh báo nào để người sử dụng quyết định (vì không có hành động mặc định nào được đưa ra), thì cảnh báo đó sẽ không bị coi như cảnh báo nhầm với những ứng dụng sạch.

Các cảnh báo/cửa sổ tự bung của Firewall sẽ không được ghi nhận, vì chúng thường chỉ thông báo rằng một chương trình (mà có thể đó là một chương trình sạch sẽ, phổ biến) đang cố kết nối ra bên ngoài, và hỏi người sử dụng quyết định làm gì. Một vài tường lửa, như AVG, AVIRA, Bitdefender, F-Secure và Trustport vẫn khá là lắm mồm, yêu cầu các phản ứng/quyết định của người sử dụng. Kingsoft là một phần mềm phạm lỗi đặc biệt, nó thậm chí còn khuyên rằng nên khóa kết nối của một chương trình quan trọng, phổ biến. Thỉnh thoảng AVIRA đưa ra cảnh báo tường lửa, nhưng khuyên rằng nên cho phép kết nối. Trong trường hợp như vậy, tốt hơn hết, AVIRA nên tự nó thực hiện hành động (cho phép) mà không cần làm phiền đến người sử dụng. Các hệ thống ngăn ngừa sự xâm nhập dựa trên máy chủ (HIPS) của F-Secure và đặc biệt là G DATA đối khi cảnh báo về sự thay đổi cấu hình hệ thống gây ra bởi các ứng dụng khác, nhưng lựa chọn mặc định là "cho phép" chúng (do những thay đổi như vậy thường hay gặp phải thậm chí trong quá trình cài đặt các phần mềm sạch). Quan điểm của nhóm thử nghiệm là các sản phẩm chỉ cần thực hành động mà chúng khuyên (cho phép), chứ đừng nên hỏi người dùng đưa ra ý kiến. Nếu người dùng thường gặp phải những cảnh báo như thế, thậm chí là ở cả quá trình cài đặt các phần mềm phổ biến, an toàn, thì họ sẽ quen với việc cho phép các thay đổi, và có thể làm những việc tương tự như vậy với những mã độc thực sự mà chẳng cần suy nghĩ gì.

Các thông báo của Symantec Norton Download Insight không được ghi nhận trong thử nghiệm. Download Insight sử dụng công nghệ mới của Symantec giúp nhận dạng mức độ uy tín để khóa các file lây nhiễm và cảnh báo với các file mà độ uy tín chưa được xác minh. Nếu tính năng này được xem xét, thì Symantec sẽ ngăn ngừa được thêm một mã độc mà nó đã bỏ sót.

PTN nơi thực hiện thử nghiệm

Để đưa ra cuộc kiểm tra có cân nhắc đến trải nghiệm của người sử dụng, AV-Comparatives có kèm theo cả thử nghiệm cảnh báo nhầm/kiểm tra độ nhiễu[8], để xem tính năng bảo vệ của các sản phẩm bảo mật có quá nhạy cảm hay không, và có hiện cảnh báo khi truy cập các trang web an toàn, khi cài đặt các ứng dụng sạch hay không. AV-Comparatives đã kiểm tra 40 ca thử nghiệm sạch, được chọn ngẫu nhiên từ các cổng tải khác nhau. Họ duyệt các trang web, tải về, giải nén, cài đặt và chạy các ứng dụng đã cài để kiểm tra xem các phần mềm bảo vệ có gây cản trở gì không.

Hầu hết các sản phẩm không cản trở gì, nhưng một số sản phẩm khác (như ESET, F-Secure, Kaspersky và Symantec) lại tự động khóa một ứng dụng sách (chỉ một trường hợp). Ban đầu AV-Comparatives định trừ điểm các sản phẩm này nếu chúng mắc phải một cảnh báo nhầm duy nhất, nhưng sau đó họ nhất trí rằng nếu dựa theo thống kê thì điều này là không đủ để hạ cấp các sản phẩm, và họ chỉ đánh dấu chúng là “quá nhạy cảm”.

Tỷ lệ phát hiện/phòng tránh thành công



So sánh tỷ lệ phát hiện/phòng tránh thành công

Kết quả kiểm tra cho thấy hai "đại gia" lão làng trong lĩnh vực an ninh thông tin là Symantec và Kaspersky vẫn giữ được phong độ của mình, với khả năng phát hiện/ngăn ngừa lên tới 99%. ESET tuy có kết quả kiểm tra retrospective/on-demand rất tốt, nhưng lại yếu hơn trong kiểm tra động. Microsoft tiếp tục gây ngạc nhiên với phần mềm an ninh mới, nhẹ, nhưng rất hiệu quả của mình. Kết quả của McAfee không cao bằng các phần mềm khác, nhưng AV-Comparatives thông báo rằng họ sẽ cập nhật phiên bản mới hơn của phần mềm này. Norman và Kingsoft vẫn đứng cuối bàng như những cuộc thử nghiệm khác.

Kết quả trên cũng cho thấy mặc dù các tính năng bảo vệ hiệu quả được tích hợp bên trong các sản phẩm bảo mật, nhưng người sử dụng đừng bao giờ mong đợi rằng mình sẽ được bảo vệ an toàn 100% chỉ bằng cách phần mềm đó. Hơn nữa, nếu người dùng càng tăng cường mức độ an ninh, thì hiệu quả sử dụng sẽ càng giảm, và độ nhiễu gây ra càng tăng, do tính năng bảo vệ quá nhạy cảm (các sản phẩm lắm mồm thích hỏi người sử dụng quyết định).

Cuối cùng, xin được nhấn mạnh là: bất cứ phần mềm nào đã tham gia thử nghiệm đều là các sản phẩm có chất lượng cao, mức STANDARD (chuẩn) đã là kết quả tốt rồi. Nếu sản phẩm đạt mức ADVANCED là rất tốt, và ADVANCED+ thì là quá xuất sắc.

• Bảng tổng kết về các phần mềm diệt virus năm 2009 của VB100
• AV-Comparatives: Kết quả thử nghiệm khả năng phát hiện các PUA
• Báo cáo so sánh toàn diện về các phần mềm diệt virus năm 2009

• Potentially unwanted application (PUA): ứng dụng tiềm ẩn nguy cơ không mong muốn
• False positive/False alarm (FP): phát hiện nhầm, khi một ứng dụng sạch bị phần mềm an ninh phát hiện nhầm và đưa ra các cảnh báo sai
• Heuristic: nghiệm suy
• Engine: bộ máy tìm kiếm và phát hiện mã độc
• Đám mây: in-the-cloud
• HIPS (host-based intrusion-prevention system): tính năng bảo vệ sự xâm nhập thông qua máy chủ
• On-demand detection: Phát hiện theo yêu cầu
• On-demand proactive detection: Phát hiện trước (phòng tránh) theo yêu cầu
• Whole-product dynamic protection: Khả năng bảo vệ động của các sản phẩm toàn diện, nghĩa là những gói sản phẩm an ninh với đầy đủ các tính năng chứ không chỉ là tính năng diệt virus, kiểm tra được thực hiện trong "điều kiện động", là điều kiện giống hệt như những gì xảy ra trên thực tế. "Whole-product dynamic protection test" là bài kiểm tra quan trọng và có ý nghĩa nhất mà AV-Comparatives sẽ tiến hành định kỳ kể từ năm 2009.