天天看点

传统反病毒软件厂商学会新把戏

在当下,许多公司竞相防范狡猾的高级持续性威胁,传统反病毒软件似乎如同古董。但是传统反病毒公司正在应势而变,为byod时代提供深层防御机制。

传统反病毒软件厂商学会新把戏

我们在本次测评中逐一分析了七大传统反病毒软件厂商的产品,每家厂商的历史起码可以追溯到上世纪90年代,它们是avg、eset、卡巴斯基、迈克菲、赛门铁克、熊猫软件和趋势科技。我们着重比较了安装和管理简易性、易用性,以及每款套件除了基于病毒特征的传统反病毒保护之外提供的保护,尤其注重软件另外保护运行ios和安卓的移动设备这一功能。

结果我们发现,尽管存在一些不足,但传统反病毒软件仍是任何网络确保安全状况必不可少的一部分。理由有两方面:首先,反病毒软件仍旨在逮住容易发现的目标。更新后的反病毒数据库能够保护端点设备,远离用户可能会遇到的几乎所有的常见威胁。

其次,这次测评的几家厂商已增添了一批新的功能,包括隐私扫描器、社交媒体链路监控、行为分析、优化软件和反网络钓鱼防护,以及牢牢锁定计算机和移动设备的功能。

本次测评的第一名是趋势科技高级安全软件(trend micro premium security),它拥有最出色的总体程序包之一,可用于面对多种设备打造深层防御体系。它也是能发现100%漏洞的仅有的两款程序包之一,没有误报。另外,它还有易于使用的界面、快速安装过程以及包含众多实用程序的庞大维护套件。

紧随其后的是卡巴斯基全方位安全软件(kasperksy total security),它在我们的漏洞测试中同样获得满分。卡巴斯基还拥有出色的反网络钓鱼防护功能、漏洞自动拦截器、防火墙,以及万一攻击趁虚而入,让用户可以将设备恢复到攻击前状态的功能。此外,它还有一项独特的安全支付(safe money)功能,可以保护进行银行交易的用户。

赛门铁克将众多的诺顿产品合并为一个产品:诺顿安全软件(norton security),此举颇为明智。诺顿产品在台式机上效果很好,但对移动设备而言真正很出色。比如说,赛门铁克不仅仅可以防范手机上的垃圾短信,还能防范骚扰电话。功能还包括身份保险柜和密码管理器。两者都使用aes 256位加密技术,密码管理器尤其来得简练高效。

avg anti-virus 2015利用云功能的本领很出众。借助avg基于云的管理技术,保护范围可以扩大到不在网络上的设备。avg还充分利用了基于云的全球威胁情报,以更新其病毒特征。

eset智能安全软件(eset smart security)并不仅限于传统的反病毒功能,提供了高级流量监控和漏洞拦截功能。它还将通常与byod设备有关的安全功能扩展到企业笔记本电脑,比如万一设备失窃,就牢牢锁定数据。eset还继续支持运行windows xp的设备。

我们发现,迈克菲livesafe用起来最容易。livesafe还增添了一些额外功能,包括非常出色的密码管理器和个人锁柜,后者可以加密和保护信息,远离外界或未授权用户。

熊猫全功能安全软件(panda global protection)最像传统反病毒软件,原因在于没有太多的深层防御机制。话虽如此,它确实发现了我们对它测试的几乎每一个恶意软件,包括阻止恶意软件发动路过式网站攻击。一大优点就是含有pc优化软件。

下面是对每款产品逐一进行的测评:

最终测评结果

传统反病毒软件厂商学会新把戏
传统反病毒软件厂商学会新把戏

avg antivirus 2015

avg antivirus 2015是一套完整的保护产品,面向单个系统,可以与avg cloudcare管理软件一起部署到大企业,也可以与avg zen一起安装到小企业。

这两款管理解决方案都需要单独安装,不过将zen或cloudcare连入到网络上的设备是个相当顺畅的过程。然而,要是zen自动被添加为主程序安装过程中的一部分,那样会很好,尤其针对用户数量较少的环境而言。

zen是一款相当巧妙的产品,可以管理你小组里面的所有设备(每个人都在一家小公司工作)。无论是什么平台,都可以从单一界面查看归管理员统一管理的每个设备的总体安全状况,每个用户一定要同意加入群组。

所以,如果某人的安卓手机使用过时的病毒定义――avg还不支持ios设备,就会在zen控制台上显示出来。管理员可以修复被管理设备上的安全问题,甚至打开防火墙、重启需要重大更新的系统,管理另外的大多数安全设置。如果设备离线,可以将最新的安全状况上传到云端,那样仍可以查看。

来自主控制台的任何命令(比如更新病毒定义)同样可以上传到云端,然后下一次设备重新开启后执行。由于这基于云,用户的位置不是需要考虑的因素。企业级cloudcare产品的工作方式大同小异,可以增强安装的antivirus,菜单和功能完全是为了同时管理大量用户而设计的。

就程序本身而言,antivirus 2015的外观比之前的版本有了更新,现有拥有更大的按钮和易于使用的仪表板,仪表板让用户一眼就能看清受保护设备的总体安全设置。仪表板仍有点像在卖力推销,在某些方面显示了不完整的安全评等,除非另外还购买了备份工具之类的额外产品。

反病毒扫描引擎也得到了改进。它仍是这次测评中扫描时间最长的产品引擎之一,但是由于添加了基于云的威胁防护功能,检测零日威胁非常准确。一旦某个新病毒在网上开始兴风作浪,即便出现在另一个大陆,该恶意软件的属性也会被avg用户和全球蜜罐系统所发现,并保存在avg的云端。这个新恶意软件的属性会立即告知所有连接的设备。那样一来,甚至可以在官方定义被添加到数据库之前,就能拦截同一恶意软件的任何版本。

我们的测评发现,新的扫描引擎很好,不过就尽可能早地检测恶意软件而言还不够尽善尽美。比如说,从网上下载某个已知受损文件未能触发警报。随后的pc全盘扫描确实发现了该文件,并删除了它,我们试图实际运行该文件时,同样被发现。所以,由于深层防御功能,avg效果良好,即便某个威胁突破了它的主安全网。

eset智能安全软件

现在仍提供独立反病毒解决方案的公司为数不多了,eset是其中之一,它的nod32反病毒平台旨在吸引专业市场,比如想要一些保护,但又不想牺牲性能的游戏玩家。智能安全软件是提供多层保护的完整套件,但它只能在pc和笔记本电脑上运行。保护安卓设备的移动版产品可通过eset多设备安全服务获得,该服务可作为智能安全产品的一部分或通过企业部署而捆绑。

尽管eset确实为安卓手机提供了保护,但核心程序显然是为了适用于笔记本电脑和台式机而设计的,为那些计算机提供了比大多数竞争对手更多的几项功能。举例说,智能安全软件经过了优化,可适用于仍运行windows xp的pc,而且支持计划起码继续使用到2017年的系统。如果你的网络上仍有基于xp的系统,智能安全软件就是个很好的选择,可以继续保护它们。在运行windows xp服务包3的台式机上测试时,智能安全软件运行起来比这次测评的其他任何软件更快速、更高效。它还能够检测出我们对它测试的所有威胁,包括几个专门用来攻击xp操作系统的威胁。

eset智能安全软件还将通常只针对手机和平板电脑的设备威胁保护级别扩展到了笔记本电脑,这是有助于让智能安全软件有别于其他产品的另一项功能。受到智能安全软件保护的笔记本电脑丢失或失窃后,用户可以触发几项操作,帮助找回财物。首先,可以向设备发送简单信息,表明财物归谁所有、如何与主人取得联系。假设好心人捡到了,可能只需要求助信息就能物归原主。

反病毒记分卡

传统反病毒软件厂商学会新把戏

但为了以防万一,智能安全软件会牢牢锁定报告丢失的任何笔记本电脑。谁想登录到丢失或失窃的笔记本电脑,会被定向至沙盒帐户,该帐户将其他所有数据都隐藏起来。笔记本电脑会悄悄拍下未授权用户的照片,既查明窃贼身份,又有助于取得证据。最后,智能安全软件提供了许多手机安全程序上的同一种“我的设备在哪里?”功能:它会在地图上近乎实时地表明自己的位置,帮助找回。

提供找回笔记本电脑的工具在安全程序包中是个好主意。一个缺点是,智能安全软件并不支持远程擦除数据。笔记本电脑有别于手机的地方在于,远程擦除可能要花很长时间,但我知道某些企业或政府部门宁愿擦除设备上的数据,然后完全毁掉,也不想为设法找回财物而操心。

除了简单的病毒防护功能外,智能安全软件还有许多高级功能。我们能够测试的最新功能之一就是漏洞拦截器。eset已查明,几个常用程序里面存在已知的安全漏洞,常常被水平不一的攻击者钻空子,包括一个利用高级持续性威胁(apt)潜入网络的漏洞。于是,eset牢牢锁定了adobe reader和ie之类的程序,堵住了许多高级威胁利用的空子。它防止任何程序钻那些已知空子的漏洞,而不是试图一味直接扫描有无恶意软件。

在测试中,用于试图钻ie的空子将恶意软件从受损网页植入到系统上的某个程序时,恶意软件甚至还没来得及“溜过大门”,这个过程就被漏洞拦截器拦截了下来。相比任由恶意软件潜入、之后检测的另外大多数程序,eset解决方案提供了更高的安全性,因为它可以阻止恶意软件试图进入受保护的客户端。

智能安全软件还提供了流量监控功能,而这种功能通常只出现在非常高级的企业产品中。流量监控组件扫描出站流量,甚至可以检测之前未知的恶意软件联络控制服务器或者企图通过网络扩散出去。我们测试了这项功能,发现:一旦连最隐蔽的文件试图传播,eset也能检测出来,而试图传播是几乎所有高级恶意软件在某个时间点都要做的事情。

就笔记本电脑和台式机组成的完全基于pc的网络而言,eset智能安全软件提供了这次测评中最出色的保护方案之一,甚至增添了丢失笔记本电脑的保护等功能以及通常只出现在非常高级的保护方案中的一些安全功能。增添多设备安全服务同样能保护安卓设备,不过从安装角度来看,要是完全把所有那些保护功能集成到一个产品里面,那样来得更容易。

卡巴斯基全方位安全软件

卡巴斯基全方位安全产品是这次测评中反病毒和漏洞防护方面做到完全正确无误的两款程序包之一,也没有误报。这种保护级别来自强大的深层防御机制,依赖多种方法和程序,确保pc或移动设备的安全。就pc而言,万一出现最糟糕的情形,甚至还可以借助恢复模式,充当最后一道防线。

全方位安全软件可以安装在任何台式机、安卓或ios设备上。针对移动设备,核心保护包括反网络钓鱼和反恶意软件保护,另外还有一种安全浏览器模式,可以保护个人数据避免被恶意应用程序窃取,密码管理器便于用户轻松地安全登录到多个网站。安卓上的保护更深入一点:要是sim卡被人拔出,就能牢牢锁住手机,这可以防止有人窃取手机后插入自己的sim卡。我们试了下,发现手机仍然无法使用。

全方位安全软件还采用了漏洞自动拦截技术,包括特别关注基于java的程序,这类程序的安全风险很高。这可以防止任何漏洞代码运行。这给试图用到那些已知漏洞的合法程序带来了一些麻烦,但是任何有用的程序不太可能会试图这么做;必要的话,可以重置那些设置。

全方位安全软件还提供了我们这次测评的最佳反网络钓鱼保护技术之一。除了维护收录已知网络钓鱼骗局的数据库外,它还增添了对进入到受保护端点设备的任何电子邮件进行实时启发式分析的功能,可以分析电子邮件向用户索要什么信息,电子邮件试图要求用户采取什么操作,以及有没有什么被混淆或被欺骗。那样一样,如果受保护客户端上的用户是之前根本没有对别人发动过的针对性攻击的受害者,因而该攻击不在数据库之中,照样可以根据邮件本身检测出攻击、予以标记――这对充当第一道防线的端点产品来说是一项非常好的功能。

全方位安全软件还提供了自己的防火墙防止蛮力攻击,并提供了一种可信模式,充当收录已知合法程序的md5散列文件的数据库。所以,比如说要是你想安装skype,全方位安全软件就知道用户需要获取并安装的实际文件的散列值。它会对照实际配置文件来检查已知的安装文件,确保没有内容被更改或改动,之后才允许下一步操作,这有点像反向的病毒扫描器。

除了出色的深层保护外,全方位安全软件还提供了其他程序没有的两项独特功能。第一项功能是安全支付(safe money),这种浏览器模式将使用中的一切数据完全锁起来。只要用户进入到亚马逊之类的购买网站、富国银行之类的银行网站或者paypal之类的支付处理网站,它就会自动开启。收录已知银行类网站的自带数据库极其详细,不断更新;比如说,如果访问本地网上分行并不触发安全支付保护机制,用户可以将该分行添加到数据库中。安全支付没有始终处于活动状态的唯一原因在于,它极耗费资源,所以只有在需要时才开启。

在安全支付模式下,浏览器被引入到沙盒里面,沙盒可以防止任何程序在受保护系统上执行。比如说,击键记录程序和屏幕抓取程序就无法得逞。你甚至无法对使用中的安全支付模式抓取屏幕截图(我们试过多种方法也没得逞),因为有人可能抓取屏幕截图以窃取密码和帐户信息。一旦你离开银行类网站,浏览器就会回到正常,安全支付绿色边界消失则表明回到正常。

全方位安全软件的第二个独特组件就是,万一病毒设法突破了卡巴斯基部署的所有保护机制,能够让系统恢复到上一次已知良好的配置状态。它不是像苹果的time machine那样的全面恢复,但是可以将大多数文件恢复到感染前状态。我们测试这项功能的唯一办法就是,禁用全方位安全软件,注入恶意软件,然后重新激活软件。恢复过程很顺畅。大多数人可能根本不需要它,但以防万一总归是好事。

迈克菲livesafe

迈克菲livesafe是这次测评中最易于使用的产品之一;公司让用户很容易将产品安装到多个设备上,不需要额外收费,只要它们都属于同一个用户。所以公司或企业要做的有点不一样,但是不管怎样,添加pc、mac、ios或安卓设备是个相对简单的过程。

除了本次测评的大多数产品提供的标准保护功能外,livesafe还增添了一些深层防御和额外功能。这包括:非常出色的密码管理器能够让密码在多个平台上确保安全;个人锁柜可加密和保护信息,远离任何外界或未授权用户。

移动设备功能包括:只要从命令控制台上轻松点击一下,就能够擦除丢失或失窃的手机或平板电脑上的数据。还能够通过livesafe控制台来管理设备,执行其他事务,比如备份重要文件。

迈克菲livesafe产品还包括电子邮件扫描器和充分利用众多动态过滤器的垃圾邮件拦截器。唯一的问题在于,邮件扫描器运行起来不是非常好。来自联系人的真实邮件明明不是网络钓鱼骗局,有时却被误标记为网络钓鱼骗局。有时候,大量明显是垃圾邮件的邮件却任其畅通无阻。除了每次任由垃圾邮件进入让它知道外,我们其实无法调优反垃圾邮件产品;但是即便那样,那也无法保证同一封电子邮件不会再次突破防御。作为端点电子邮件安全的后备机制,livesafe的效果相当好,但是作为一线防御机制,它恐怕还不够好。

相比表现差劲的反垃圾邮件组件,网站顾问工具表现出色,可以提醒用户哪些网站有可疑代码,万一无意中访问受损网页,禁止可疑代码载入。顾问测试中没有出现误报,它正确查出了已知存在威胁的网页上的所有威胁。

赛门铁克诺顿安全

赛门铁克进入反病毒市场的时间几乎比任何厂商都要早,尤其是考虑到它在多年前收购了诺顿产品线之后。然而,直到今年,赛门铁克还拥有业内最错综复杂的价格体系和产品线。抛开这一切不说,norton antivirus、norton internet security和norton 360现在合并到一项名为norton security的服务。该服务由赛门铁克技术和响应小组开发,它为消费者、公司和企业提供了同样高的保护级别。它还适用于pc、mac、安卓和ios设备。

诺顿产品在台式机上效果很好,但在移动设备上真正很出色,增添了大有帮助的功能,这些功能不是其他产品所没有的,就是比其他产品更胜一筹。举例说,赛门铁克不仅可以防范手机上的垃圾短信,还能防范骚扰电话,这是我们确实很喜欢的一项出色功能。我们不妨可以拦截电话营销人员或自动拔打电话系统打来的电话,诺顿安全还让我们可以拦截有意掩藏号码打来的任何电话,许多恬不知耻的骗子经常掩藏号码。

另外针对移动设备,除了扫描查找病毒外,诺顿安全软件还能通过其应用程序顾问(app advisor),登记并评级你下载的每个应用程序。基于每个应用程序的表现,顾问会提醒用户某些阈值是否设得过高。比如说,由于糟糕编程或者实现不同功能的方式,某个应用程序可能很耗费电池电量。尽管该应用程序严格来说不是恶意软件,但将它安装在手机上可能是件好事,因为它耗费太多的电量。

其他应用程序可能会有不太正常的行为,比如收集关于手机上其他应用程序的信息,不断提示用户安装更多产品。或者可能就是伪装成其他面目的赤裸裸的恶意软件。纯粹的恶意软件从手机上一律清除掉,而那些灰色程序会呈现在用户面前,附有关于其不良行为的所有信息。之后,用户可以决定是信任它们,还是干脆避免风险、卸载应用程序。

大多数移动功能旨在适用于安卓平台上,不过除了恶意软件防护外,还为ios平台提供了另外几个工具,比如能够在丢失的手机上触发尖叫声,那样要是手机就在附近,方便找到。这种尖叫声其实很响,即便丢失的手机在包包、茄克口袋或塞在柜子里面,也能听得到。

诺顿安全软件的用户界面易于使用,呈现为门户网站,可以从任何受保护设备来访问该门户网站。之后,可从该门户管理帐户下面的任何设备。如果用户想寻找丢失或失窃的手机,用户还可以进入界面,获得帮助。

台式机端传统反病毒保护之外的功能包括:身份保险柜和密码管理器。两者都使用aes 256位加密来保护重要文件或密码。密码管理器特别简练,让用户只要输入一个易于记住的密码,而不是每访问一个网站就要牢记一个密码。实际密码可以很长很复杂,就像没人轻易记得住,而有了密码管理器,又没必要记住的一连串随机字母和数字。今年,赛门铁克其实很注重这两个方面。两者都是拥有这些功能的软件中的佼佼者。

诺顿产品提供的另外一个特色是24/7技术支持。实际上,赛门铁克承诺可以帮助无法使用软件的人清除感染的病毒。如果公司清除不了恶意程序,会将钱如数退给用户。

熊猫全功能安全软件

来自熊猫安全公司的全功能安全套件为pc、mac和安卓设备以及某些情形下的ios设备提供了传统的反病毒保护,另外还有一些出色的额外功能,确保台式机系统高度安全。

针对移动安全,熊猫借助一套反病毒工具为安卓设备提供了保护,这些工具可以直接安装到平板电脑或手机上。至于ios,情况要来得复杂一点。你要购得许可证,将移动软件安装到mac台式机或笔记本电脑上。然后,你将ios设备连接到该电脑上,开始扫描。这额外步骤有点奇怪,也有点麻烦,不过保护效果同样很好,能找到我们安装在测试ios手机上的恶意应用程序,并且成功识别出它是恶意软件。

在台式机上,你可获得身份保护,防止你无意中输入个人信息,或者任由某程序偷偷输入你的个人信息。你当然可以根据个体情况重置这个设置――有时候你需要输入个人信息办理网上事务,但这确实提醒你个人信息被输入。

不过最大的额外功能是,添加了标准的pc优化套件,该套件可以清除掉系统上任何不必要的cookie和临时文件,它们可能会减慢系统的运行速度。将优化套件用在测试环境下某台闲置一段时日的特别旧的pc上后,查看新的启动时间和文件访问例程后,发现性能提升了30%。该套件还含有一项文件安全擦除功能,彻底擦除文件,那样根本无法恢复。

全功能安全软件最像传统反病毒软件,原因在于它没有大量的深层防御机制。话虽如此,它还是检测出了我们对它测试的几乎每个恶意软件,包括阻止恶意软件发动路过式网站攻击、从而进入到主机系统。如果结合随附的优化软件使用,它可以确保pc或安卓设备运行速度快、安全性高。即便在mac上使用它也是件好事,不过纯粹的ios设备需要额外步骤,这可能意味着ios用户使用更专业的解决方案也许更好。

趋势科技高级安全软件

趋势科技高级安全软件拥有最出色的总体程序包之一,可用于面对多个设备打造深层防御体系。它也是在反病毒和漏洞防护方面做到完全无误的两款程序包之一,没有误报。

趋势科技让用户极其容易将新设备添加到保护方案中,不管是什么操作系统或平台,这对开展大规模byod计划的办公室来说再理想不过。它就跟如下操作一样容易:让用户用移动设备扫描二维码,然后从系统管理员获得许可证号,使用公司的其中一个许可证来保护获得许可的新平板电脑、手机或移动设备。获得许可的用户可以让设备受到保护,还能够安全地加入网络,只需要短短几分钟。

至于扫描方面,趋势科技产品也是这次测试的产品中速度最快的之一。测试台式机系统上的全面扫描常常比其他程序快两三分钟。如果是安卓设备,扫描通常花不了1分钟,更快的扫描速度并没有降低其准确性。

高级安全软件产品含有旨在防止用户沦为常见骗局受害者的几个组件,包括可自动检测并标注可疑网络钓鱼邮件的电子邮件扫描器。其实现方式是,检查以确保链接通向用户想要的去处;没有信息受到欺骗或掩藏起来。要是检测到有这种现象,电子邮件就会在默认情况下被标注为可疑邮件,并被放入到隔离区。万一邮件来自正规来源,用户仍可以重置该设置;但在我们的测试中,它在100%的时候识别出了网络钓鱼骗局,没有误报,也是具有反网络钓鱼防护功能的少数程序中有如此不俗表现的产品之一。

除了电子邮件附件外,人们感染上病毒的另一种常见途径就是访问受损网页。正因为如此,许多安全厂商加入了可与谷歌或雅虎等流行搜索引擎兼容的链接扫描器。趋势科技高级安全软件在此基础上更进了一步,将这项技术添加到了社交媒体页面。它可以适用于facebook、twitter、google+及其他社交媒体网站,寻找试图将用户引到危险或受损网站的链接和帖子。万一发现不良链接,它就会阻止用户点击链接,并且提醒该用户的其他社交网络注意相关危险。

趋势科技添加到套件中的另一个程序名为趋势科技vault。用户可以将重要文件和程序放入到保险柜,获得更大保护。然后给保险柜上锁即可加密那些文件,防止文件被人打开,除非输入了正确的密码。如果设备失窃,丢失事件就会上报趋势科技,然后等丢失设备下次连接到互联网,它会给文件上一把永久锁,防止文件再次被人打开。不过在某些情况下,永久其实并不意味着永远。万一设备找回来了,用户也需要走流程来证明自己就是合法主人,以便再次打开保险柜。

趋势科技高级安全软件提供的功能要比标准的反病毒软件套件丰富得多;加上一个非常易于使用的界面、针对任何设备的快速安装过程以及含有实用程序的巨大维护套件,让它在本次测试中获得了最高分。

我们是如何测试反病毒套件的?

搭建的测试平台包括几部运行windows xp、7和8的台式机、一部windows笔记本电脑、一部苹果macbook pro、一部三星galaxy s5和一部苹果iphone 6。测试平台中的这些设备彼此隔离开来,却又互连起来。在每个测试周期的开始,选择性地允许一部用作每款产品主安装点的台式机系统连接至互联网,以获得最新的程序更新版;另外如果测试需要,还将访问受损网页。每一次测试完成后,所有设备重新制作映像或恢复出厂设置。

先将反病毒套件添加到主台式机系统,然后用来将保护功能安装到其他所有受支持的设备上。记录这个过程,评估各自的简洁性和易用性。还评估了管理软件,包括从中央控制台(如果有的话)管理每个设备。

测试包括:通过各种手段,将25个新的恶意软件发送到设备。这些手段包括直接通过u盘,通过从一个设备到另一设备的受保护网络,或者通过连接至上面有已知恶意软件的网站。主安装计算机被用来浏览常见网站,并且评估一些方面,比如社交媒体保护、反垃圾邮件和网络钓鱼扫描器、程序包随带的优化套件以及任何额外功能。针对移动设备,评估了一系列应用程序,包括至少两个被认为是恶意软件的程序。

大多数套件能够运用各自的深层防御体系能够发现几乎每个威胁;然而某威胁果真成为“漏网之鱼”,也会被特别指出来。

原文发布时间为:2015年05月28日

本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。

继续阅读