Co oznacza nazwa testów „Advanced In-The-Wild Malware Test”?
Nazwa oddaje charakter testów — próbki wykorzystywane w badaniu pochodzą z prawdziwych ataków na honeypoty, czyli pułapek, których zadaniem jest udawanie systemów i protokołów, a także przechwytywanie złośliwego oprogramowania.
W jaki sposób dołączyć do waszych testów?
Jeżeli jesteś producentem, dystrybutorem lub deweloperem i chcesz dołączyć do testów, po prostu skontaktuj się z nami. W odpowiedzi poprosimy o udzielenie wskazówek w kontekście prawidłowego funkcjonowania produktu. Ustalimy także inne szczegóły, które są niezbędne do opracowania zautomatyzowanej procedury wykrywania złośliwego oprogramowania.
Czy możliwe jest dołączenie do testów nieformalnie?
Tak. Jeśli uważasz, że rozwiązanie nie zostało do końca opracowane lub obawiasz się o nie najlepszą ocenę, możesz na okres próbny dołączyć do testów. Rezultaty ochrony nie zostaną udostępnione publicznie. Ponadto przekażemy niezbędne szczegóły, które pomogą poprawić efektywność ochrony produktu.
Jak uzyskać certyfikat?
Tylko najlepsze rozwiązania do ochrony stacji roboczych uzyskają certyfikat BEST+++ potwierdzający bardzo dużą skuteczność. Szczegóły dostępne są na stronie checklab.pl/jak-zdobyc-certyfikat
Czy testy są bezpłatne?
Nie jest prawdą, że pobieranie opłat za przygotowanie i publikowanie testów jest równoznaczne z manipulowaniem wynikami. Raz przyłapana na oszustwie organizacja już nigdy nie zdoła odbudować swojej pozycji i wiarygodności. Pobierana bardzo niewielka opłata jest traktowana przez obie strony jako wynagrodzenie za pracę i poprawę bezpieczeństwa użytkowników. Bez finansowej pomocy nie byłoby możliwe utrzymanie infrastruktury, ciągłe ulepszanie procedur i niezbędnych narzędzi, które są potrzebne do przeprowadzania testów. W zamian oferujemy każdemu dostęp do szczegółowych informacji i próbek wykorzystanych w teście. Badania „Advanced In The-Wild Malware Test” są przeprowadzane pod znaną marką AVLab i CheckLab, dlatego wartością dodaną są korzyści marketingowe.
Czy wszystkie informacje o testach są dostępne publicznie?
Nie wszystkie. Producenci posiadają wgląd w bardziej szczegółowe dane. Pozostałe informacje, które są niezbędne do wizualizacji wyników, pozostają dla każdego czytelnika jawne.
Czy przeprowadzacie inne testy?
Tak, ale nie mamy wypracowanego kalendarza testów. W dużych testach porównawczych skupiamy się na sprawdzeniu ochrony przed wyrafinowanymi cyberatakami. Przygotowanie takiego badania, współpraca z producentami mająca na celu poprawę bezpieczeństwa i opracowanie raportu końcowego, zabiera znacznie więcej czasu niż automatyczne sprawdzanie ochrony na podstawie kolekcji próbek szkodliwego oprogramowania.
Czy przeprowadzacie testy i recenzje na prośbę producenta lub dystrybutora?
Oczywiście. Możemy przygotować szczegółowe recenzje, które zostaną opublikowane na AVLab i CheckLab. Zainteresowane firmy zachęcamy do podjęcia kontaktu.
Jakie jest wasze źródło pozyskiwania próbek złośliwego oprogramowania?
Źródłem próbek wirusów są honeypoty zlokalizowane na wszystkich kontynentach świata. Kolekcjonujemy szkodliwe oprogramowanie m.in. dla systemu Windows. Pozyskane w atakach próbki, zanim trafią do testów, sprawdzane są na podstawie ponad 100 wzorców. Reguły te pozwalają ustalić, czy wirus jest faktycznie groźny dla systemu operacyjnego Windows 10.
Czy dzielicie się próbkami złośliwego oprogramowania?
Tak. Jeśli chcesz uzyskać dostęp do bazy wirusów, skontaktuj się z nami. Usługa ta jest płatna. Rzetelność naszych testów stawiamy zawsze na pierwszym miejscu, dlatego baza, do której uzyskasz dostęp, będzie już sprawdzona przez oprogramowanie antywirusowe.
W jakim środowisku przeprowadzacie testy?
Testy przeprowadzane są w wirtualnych maszynach. Wirtualizacja jest coraz częściej wykorzystywana w środowiskach roboczych typu VDI (Virtual Desktop Infrastructure). Korzystamy ze skryptów, które dodatkowo „utwardzają” system, czyli utrudniają wirusom wykrycie wirtualizacji. Zdajemy sobie sprawę, że niektóre szkodniki mogą wykrywać swoje uruchomienie w systemie wirtualnym, dlatego do testów bierzemy pod uwagę tylko te próbki, które wcześniej zostały szczegółowo sprawdzone. Nie uwzględniamy szkodliwego oprogramowania, które jest w stanie wykryć wirtualizację. Nie jest to rozwiązanie idealne, jednak robimy wszystko, aby do testów podchodzić profesjonalnie i jednocześnie pogodzić ze sobą te aspekty.
Czy możecie opisać w skrócie wasze testy?
Testy „Advanced In-The-Wild Malware Test” przeprowadzane są automatycznie. Zanim wirusy trafią do maszyn z zainstalowanymi programami zabezpieczającymi, zostają dokładnie przeanalizowane. Upewniamy się, że wyłącznie szkodliwe próbki będą dopuszczone do testów. Każdy wirus jest weryfikowany w systemie Windows 10 przez 15 minut. Wykluczenie z testów czynnika ludzkiego nie daje możliwości zweryfikowania w trakcie analizy, że malware np. już po 60 sekundach zakończyło swoją aktywność. Musimy ustalić pewien próg czasowy, po którym należy zakończyć zbieranie logów. Nie wykluczamy sytuacji, kiedy szkodliwe oprogramowanie będzie czekać nawet kilkanaście godzin, zanim zostanie aktywowane — może też wyczekiwać na określoną czynność, np. uruchomienie konkretnej aplikacji. Z tego powodu musimy mieć pewność, że analizowany wirus jest w 100% szkodliwy. Dołożyliśmy wszelkich starań, by kolekcja próbek została wcześniej dokładnie sprawdzona, a testy aby były maksymalnie zbliżone do rzeczywistego korzystania z systemu Windows 10. Jeżeli będziemy mieć pewność, że szkodliwe oprogramowanie została już sprawdzone, to każda taka próbka jest po kolei wysyłana do wszystkich maszyn. Tam realizowana jest procedura analizy zagrożenia, a jej wynik jest wysłany do naszej aplikacji, która przeszukuje logi pod kątem potencjalnie groźnych wskaźników. Jeżeli analiza zostanie zakończona, badana jest kolejna próbka. Wszystkie informacje z automatycznej analizy publikujemy w formie przystępnej dla użytkowników oraz producentów. Więcej szczegółów znajduje się w metodologii i innych dokumentach opisujących całą procedurę testów.
Skąd macie pewność, że próbka wirusa jest naprawdę złośliwa?
Na podstawie szczegółowych logów. Opracowaliśmy ponad 100 wskaźników, które z dużym prawdopodobieństwem wskazują wprowadzone szkodliwe zmiany do systemu. Im więcej takich wskaźników znajduje się w logach, tym większa szansa, że konkretna próbka jest złośliwa. Więcej szczegółów na temat pozyskiwania i analizowania złośliwego oprogramowania znajduje się w pozostałych dokumentach.
Na podstawie jakich danych decydujecie, czy produkt zatrzymał zagrożenie?
Logi z aktywności każdej próbki zapisywane są w systemowym dzienniku zdarzeń. Na podstawie zebranych danych opracowane algorytmy podejmują decyzję, czy konkretna próbka jest szkodliwa lub czy została zatrzymana przez zainstalowany produkt ochronny. Możemy ze stuprocentową dokładnością stwierdzić, czy testowany produkt zatrzymał szkodliwe oprogramowanie sygnaturą lub proaktywnymi składnikami ochrony. Analizowanie logów jest bardzo czasochłonne, dlatego opracowaliśmy algorytmy, które realizują to zadanie. Współpracujemy także z producentami — jeżeli zwracają nam uwagę, przyglądamy się problemowi i podejmujemy niezbędne kroki. Jesteśmy otwarci na każdą formę kooperacji, która przyniesie korzyści internautom oraz pozwoli nam zdobywać coraz więcej kompetencji w tym, co robimy.
Dlaczego tabele z wynikami są tak złożone?
Naszą dewizą jest transparentność. Chcieliśmy pokazać czytelnikowi tak dużo informacji, jak to tylko możliwe. Zdecydowaliśmy się zaprezentować wyniki w sposób bardziej precyzyjny, niż robią to inne organizacje zajmujące się profesjonalnym testowaniem. Oznacza to, że czytelnik w testach „Advanced In-The-Wild Malware Test”, które są przeprowadzane przez CheckLab, znajdzie szczegółowe informacje o detekcji każdej próbki z podziałem na technologie ochronne.
Co jaki czas publikujecie wyniki z testów?
Wyniki publikujemy nie częściej niż raz w miesiącu. Nie możemy tego robić zbyt często, ponieważ producenci muszą mieć czas na odniesienie się do rezultatów.
Jakie macie plany na przyszłość?
Chcemy udostępnić użytkownikom platformę on-line do dzielenia się informacjami o zagrożeniach. Systematyczne ulepszanie już opracowanych narzędzi, a także samej metodologii, to proces naturalny w naszej specjalizacji.
Kim jesteście?
CheckLab jest częścią znanego portalu AVLab.pl zajmującego się bezpieczeństwem oraz testami produktów wspierających monitorowanie, zarządzanie i ochronę stacji roboczych. Na AVLab działamy aktywnie już od 2012 roku. Testy przeprowadzane przez markę AVLab są komentowane na międzynarodowych forach i są uznawane i cenione przez samych producentów.
Czy mogę korzystać z testów publikowanych na CheckLab oraz AVLab?
Oczywiście. Prosimy o docenienie naszej pracy i podawanie źródła testów.