image

Microsoft bezorgd over testmethode anti-virustests

zaterdag 2 augustus 2014, 11:49 door Redactie, 9 reacties

Microsoft maakt zich zorgen over de testmethode die bij anti-virustests wordt gebruikt, omdat er geen rekening met de impact en verspreiding van malware wordt houden. De afgelopen weken verschenen verschillende tests waarin Microsofts anti-virussoftware vaak onderaan eindigde.

Volgens Microsoft kijken de tests alleen naar de detectie van een bepaalde verzameling malware. De testorganisatie verzamelt verschillende malware-exemplaren en laat die vervolgen door verschillende virusscanners testen, waarna er een uitslag volgt. Hoewel elk getest malware-exemplaar een andere impact op gebruikers heeft, worden ze in de test allemaal even zwaar gewogen.

Methode

"Deze methode baart ons zorgen, aangezien er geen rekening wordt gehouden met de besmettingsgebaseerde impact op klanten", zegt Microsofts Joe Blackbird. Hij merkt op dat verschillende malware-families zich verschillend gedragen en dat de ene malware vaker voorkomt dan de andere malware. Daarom zou er bij het testen van malware met de verspreidingsgraad en impact rekening moeten worden gehouden.

Blackbird stelt dat er wel wat haken en ogen aan deze methode zitten. De grootste vraag is namelijk waar de data die worden gebruikt voor het wegen van de malware vandaan komen en hoe die worden gevalideerd. "Idealiter zouden de data worden samengesteld door een samenwerkingsverband uit de anti-malware-industrie", gaat Blackbird verder.

Microsoft zou inmiddels dit soort gegevens aanleveren en met onafhankelijke testers samenwerken om het te valideren. De softwaregigant benadrukt echter dat door de deelname van zowel Microsoft als andere anti-virusbedrijven straks relevantere anti-virustests kunnen worden gehouden, wat ook gebruikers beter inzicht moet geven.

Reacties (9)
02-08-2014, 13:58 door Anoniem
Dat hoor je nou nooit van AV vendors die het wél goed doen bij onafhankelijke tests van AV software...
02-08-2014, 14:25 door Anoniem
Microsoft kiest een paar bot clients du jour en gaat daarna klagen dat ze onderaan eindigen.

Misschien moeten ze toch maar eens een realistische kijk op malware ontwikkelen.
02-08-2014, 14:51 door Anoniem
Als ik een organisatie ben dat structureel anti-virus testen uitvoert, zou ik gewoon ieder virus dat ik via e-mail binnen kom, of waar ik via spam naartoe wordt verwezen, ophalen en aan mijn lijst te detecteren virussen toevoegen.

Microsoft heeft wel gelijk dat je een waarde kunt toekennen aan het aantal keren dat je een bepaald virus tegenkomt. Een waarde toekennen aan de ernst van de infectie is niet te doen. Je virus kan niets doen, behalve een backdoor openen. Daar heb je dus geen last van. Maar op ieder willekeurig moment kan er gevaarlijkere malware geinstalleerd worden.

Peter
02-08-2014, 16:59 door Anoniem
Het is beter het om te draaien. Virusscannners is net als Blacklists nooit 100%. Whitelisten ofwel systeemafscherming is beter. Alleen wil iedereen extra drivers en programma-s er op.

Gaan we weer in het "wij van wc-eend adviseren wc-eend" door de AV-testers/leveranciers en alle andere adepten.
02-08-2014, 21:18 door Anoniem
Ik begrijp nog steeds niet goed dat een bedrijf zoals MicroSoft niet met een AntiVirus pack op de markt komt dat alle andere AViruspacks doet verbleken en ze geschiedenis zijn.

Dat moet toch mogelijk zijn of niet?
02-08-2014, 22:54 door Anoniem
@Peter: Alle malware die ooit bestaan heeft opnemen op je zwarte lijst kan haast niet, omdat die lijst zo groot wordt, dat het een serieus significante impact op performance heeft - en dat willen klanten weer niet.

@Anom: AV gebruikt nu ook al een combi van whitelisting, graylisting en blacklisting en ook dat is niet altijd even veilig; soms worden gewhiteliste 'certificaten' misbruikt door malware. Whitelisting-only van b.v. een werkplek image zou kunnen, doch accepteert de eindgebruiker een dergelijke starre oplossing vaak niet en het is ook niet haalbaar in elke situatie,
03-08-2014, 13:36 door Patje-RedFan
Dus al wie dat laatste eindigd mag klagen dat de test niet goed gedaan is??
Als het AV niet de malware detecteerd en de andere wel, dan is het gewoon niet goed gemaakt......
03-08-2014, 17:16 door Anoniem
Vergeet niet dat deze testen vaak met maar paar samples gedaan worden.
https://www.security.nl/posting/396894/%22Nieuwe+Windows-installatie+niet+altijd+nodig+bij+besmette+pc%22

Maar 60 samples bij bovenstaande test, en dat noemt zich representatief ?
03-08-2014, 18:50 door Anoniem
Door Anoniem: @Peter: Alle malware die ooit bestaan heeft opnemen op je zwarte lijst kan haast niet, omdat die lijst zo groot wordt, dat het een serieus significante impact op performance heeft - en dat willen klanten weer niet.

Het kan er zo hebben uitgezien dat ik dat bedoelde. :(

Op een gegeven moment is het natuurlijk handig om virussen die onder een bepaalde hitrate komen, eruit te halen. Je gaat bijvoorbeeld aan de slag met de top 20 van het laatste jaar of halve jaar.

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.