 |
第一个问题
你的恶意软件检测能力好到什么程度?
完全可靠的恶意软件检测仍是购买端点安全解决方案决策的主要推动因素。
由于这些风险使机构不可能用真正的恶意软件来测试可能购买的解决方案,机构必须要要依赖人们对这种解决方案的口头评估以及独立测试机构提供的测试结果。
媒体经常报道恶意软件检测测试的消息,这些消息对于对比竞争的安全厂商的性能是非常有用的。然而,机构应该注意理解测试了什么和没有测试什么,使用了什么恶意软件收集技术,这个产品是在默认设置状态下使用的,还是在特殊设置情况下使用的。在拟定厂商的候选名单时,查看多次测试结果而不仅仅依靠一次测试结果也是非常重要的。
一个好的测试应该包括以下方面:
·On-access测试。这种测试是以随需应变的模式简单地扫描一套固定数量的恶意软件样本,不能准确地反映恶意软件的真实威胁或者采用运行时间分析或者HIPS(主机入侵防御系统)功能的解决方案的能力。
·数千个恶意软件样本。由于在2007年出现了500万个独特的恶意软件样本,少于1000个恶意软件样本的任何测试都可以认为在统计上是无效的。
·所有类型的恶意软件。分析一种恶意软件的测试,例如仅查看传统的病素,不能表明这种产品检测广泛的各种其它病毒的能力。例如,有些测试尽管包括了目前看到的大多数恶意软件,但是却不包含检测木马程序。
·漏报测试。大多数端点安全解决方案在特定的测试中都能够得到100分。重要的问题是这些解决方案同时不要把干净文件当成病毒。
·预先/零日攻击检测测试。威胁变化的性质使预先检测成为当前防御恶意软件的第一道防线,确保在厂商实验室的专家看到或者分析这种恶意软件之前就能够防御这种威胁。
·反应时间。用于防御具体病毒和其它恶意软件的特征仍是成功的防御的重要部分。厂商创建和发布病毒特征的速度是非常重要的。反应时间和预先检测的结合能够说明一个特定的解决方案将提供的真正保护。虽然没有任何一个测试组织是完美的,但是能够提供更全面的和有代表性的测试的组织包括AV-Test.org3、AV-Comparatives.org4、Virus Bulletin5、ICSA Labs6、Cascadia Labs7和West Coast Labs8。
第二个问题
你对所有的威胁来源有集成的可见能力吗?
混合威胁日益增多的应用显示了安全厂商拥有对垃圾邮件、病毒和基于网络的威胁的集成的可见性对于新出现的恶意软件做出迅速反应是多么重要。例如,没有反垃圾邮件能力的厂商将看不到用来传播指向恶意网站的链接的电子邮件。同样,没有网络监视能力,一家厂商就不能说明一个被感染的网站是何时建立的或者早期深入了解通过那个网站传播的新的恶意软件。由于每14秒钟就会出现一个被感染的网页,缺少这种可见性是很严重的。
即使这家厂商没有发现各种不同类型的威胁能力,集成的研究机构将向它提供支持。这些研究机构与厂商之间迅速和自动地交换信息以保证对所有新的威胁做出快速反应。
第三个问题
你的预防性零日攻击保护能力好到什么程度?
当前具有犯罪动机的、有针对性的和快速移动的威胁已经减少了安全厂商在这些攻击产生恶意影响之前做出反应的时间。威胁的数量之多使这个问题更加严重,因为安全厂商的研究实验室每年必须要防御成千上万的新威胁。这种大量的变化迅速的恶意软件需要对厂商没有看到或者分析过的软件提供预防性的零日攻击保护。
厂商需要提供下面两项功能
·执行前的分析。在这个文件运行以便发现恶意软件中常见的痕迹之前,检查文件的行为和特征。
·运行时保护,在文件和进程运行时分析文件的行为,检查可疑的行动。强大的预防性保护可减少研究实验室需要分析的威胁的数量,实现快速创建新的特征和提供必要的保护。
【责编:Zenghui】
|
相关文章
相关产品和培训
文章评论
专题推荐
今日更新
认证培训
频道精选
您现在的位置: 
佚名 
2008-3-27 
