Test: Security Essentials met Windows Update sterke combi
Microsoft Security Essentials eindigt bij anti-virustests regelmatig in de onderste regionen, maar gecombineerd met Windows Update weet de gratis virusscanner wel te overtuigen. Dat blijkt uit een test van Dennis Technology Labs dat de prestaties van consumentenpakketten over een jaar beoordeelde.
Het ging zowel om detectie van malware, omgang met schone bestanden en de systeembelasting. Voor de detectietests werd er gewerkt met echte websites die malware via drive-by downloads probeerden te verspreiden. Het testsysteem was opzettelijk van kwetsbare versies van onder andere Adobe Flash Player, Adobe Reader en Java voorzien. Kaspersky Internet Security wist als enige alle malware te detecteren en slaat ook geen enkele keer vals alarm bij schone software. Security Essentials mist 42% van de malware en gaat bij de schone bestanden niet de fout in. Vanwege de slechte detectiescore haalde de virusscanner van Microsoft vorig jaar in geen enkel kwartaal een award.
Naast Security Essentials werden ook de gratis virusscanners van Avast en AVG gedurende vier kwartalen getest. Avast weet 94% van de aanvallen te stoppen en scoort 98% bij de 'false positives'. AVG doet het een stuk minder en weet 82% van de aanvallen te voorkomen. Als het gaat om de omgang met schone bestanden doet AVG het met 99% net iets beter. Ook Malwarebytes en Qihoo Internet Security werden getest, alleen tijdens één kwartaal. Daarom zijn deze producten als 'gastproduct' opgenomen. Malwarebytes stelt teleur met een detectiescore van 63%, terwijl Qihoo juist met 99% weet te overtuigen.
Windows Update
Dennis Technology Labs keek in het tweede kwartaal van 2014 ook naar Security Essentials gecombineerd met Windows Update. Deze combinatie weet opeens 99% van de aanvallen te stoppen en scoort 100% bij de omgang met schone bestanden. De combinatie kreeg daarvoor een AAA-award, de hoogste beoordeling van het testlab. De testers zeggen dan ook dat het gebruik van Windows Update een zeer belangrijke beveiligingsmaatregel is en ervoor kan zorgen dat Security Essentials-gebruikers net zo goed beschermd zijn als de best presterende betaalde producten. Het is echter onduidelijk of hier alleen Windows Update werd gebruikt, want in de uitleg van de test wordt gesteld dat er met een volledig gepatcht systeem werd getest.
Als het gaat om systeembelasting hebben zowel Webroot als Malwarebytes geen invloed op het systeem. Microsoft Security Essentials volgt op een derde plek met een systeembelasting van 4%. Bitdefender en F-Secure hebben met 17% de grootste impact op de computer. In de conclusie van het testrapport (pdf) stelt Dennis Technology Labs dat de zwaarste producten ervoor zorgden dat de tijd voor het kopiëren van bestanden verdrievoudigde. Daarbij meldt het testlab dat G Data en AVG de traagste scanners zijn.
Inderdaad een vaag verhaal.
Wat mij ook bevreemd is dat de gratis versie van MBAM in de test is opgenomen (en scores krijgt voor systeembelasting, opstartvertraging e.d) terwijl die helemaal geen real-time bescherming biedt. Waarschijnlijk hebben de onderzoekers de gratis trial versie gebruikt en beseften ze niet dat deze niet verschilt van een volledig functionele versie van MBAM Premium.
MBAM is ook niet bedoeld als standalone product en zou dus nooit tegen de traditionele AV's mogen worden getest (tenzij dat expliciet het doel van de test zou zijn).
Er is getest aan een live verbinding met het web. Op sites met maleware e.d. Dat staat er gewoon. Dus niks ouder dan 30 dagen.
En Microsoft automatische update moet aanstaan. Dus niet op handmatig. Dan werkt het niet.
Er is getest aan een live verbinding met het web. Op sites met maleware e.d. Dat staat er gewoon. Dus niks ouder dan 30 dagen.
En Microsoft automatische update moet aanstaan. Dus niet op handmatig. Dan werkt het niet.
Poster heeft ergens wel gelijk aangezien er in eerste instantie getest werd met een Win7 systeem dat wel beschikte over SP1 (release date 2009!) maar verder niet ge-update was: 'each product was installed on a clean Windows 7 Home Premium 64-bit target system. The operating system was updated with Service Pack 1 (SP1), although no later patches or updates were applied'.(pg 17) Als reden hiervoor geven de testers dat 'there are many systems with this level of patching currently connected to the internet'. Niet duidelijk is of de testers vinden dat een dergelijk ongepatcht systeem representatief is voor alle computers die verbonden zijn met het internet.
Als ik het verder goed begrijp gaat het niet om de virus definitions update (van MSE) per se (de MSE update is niet afhankelijk van de Windows updates), maar om het updaten/patchen van het systeem: 'That said, Microsoft Security Essentials users who patched their systems fully at the time of testing would have experienced a level of protecting that closely rivals the front-running paid-for anti-malware applications'. (pg 32)
Ik blijf het een vaag verhaal vinden aangezien geen inzicht wordt gegeven over de hoeveelheid en het type malware waarmee getest werd. In het geval van MSE is dan ook niet duidelijk welk type malware door MSE wordt geblokkeerd en waar Windows zelf ervoor zorgt dat het systeem niet gecompromitteerd wordt. De boude bewering dat MSE+Windows updates dezelfde beveiliging oplevert als menig 'paid for' AV pakket is op deze manier niet te verifiëren.
7.1 The targets
To create a fair testing environment, each product was installed on a clean Windows 7 Home Premium 64-bit target system. The operating system was updated with Service Pack 1 (SP1), although no later patches or updates were applied.
en
A selection of legitimate but vulnerable software was pre-installed on the target systems. These posed security risks, as they contained known security issues. They included versions of Adobe Flash Player, Adobe Reader and Java.
De machine werd dus geladen met een achterhaalde Windows versie zonder updates en met bekende kwetsbare (verouderde) toevoegingen.
7.4 Threat introduction
Malicious websites were visited in real-time using the web browser. This risky behavior was conducted using live internet connections.
7.5 Observation and intervention
Throughout each test, the target system was observed both manually and in real-time.
7.6 Remediation
When a target is exposed to malware, the threat may have a number of opportunities to infect the system. The security product also has a number of
Anti-Virus Protection and Performance, Annual Report 2015 Page 19 of 36
chances to protect the target. The snapshots explained in 7.3 Test stages on page 17 provided information that was used to analyze a system’s final state at the end of a test.
A defended incident occurs where no malicious activity is observed with the naked eye or third-party monitoring tools following the initial threat introduction. The snapshot report files are used to verify this happy state.
7.7 Automatic monitoring
Logs were generated using third-party applications, as well as by the security products themselves.
.....
Wow dat is een gedegen testopzet met een uitleg die je zelden ziet.
Het enige zwakke (tevens sterkte) is dat ze zich gericht hebben op in het wild actieve malware bedreigingen. De herhaalbaarheid is minder maar de werkelijheidsweergave mogelijk beter.
Het resultaat mag dan verrassend lijken. Maar echt verrassend is het niet. Hoe vaak horen we niet:
- de meeste malware richt zich op exploits waar al patches voor beschikbaar zijn.
- en gepatched systeem is veiliger.
Bedenk LCM (ALM) voor tools business applicaties is een ander probleem. Dat houdt het vaa tegen.
- antvirussoftware kent de malware voor nog onbekende exploits niet.
Het moet eerst bekend worden, Als het bekend is komen er als goed is snel patches.
Daarna hebben ze de systemen geüpdatet en nu blijken de systemen niet meer zo kwetsbaar te zijn. Hun conclusie: MSE is een goed product als je je systeem updatet.
Mijn conclusies:
- MSE is nog steeds een slecht product.
- Enkelen andere producten zijn veel beter.
- Updaten en patchen is belangrijker dan een goede AV-scanner.
Hebben ze ook onderzocht hoe de andere scanners werken op een up-to-date systeem?
Als we er verder even van uit gaan dat de cijfers verder kloppen moet de 99% score bij gebruik van Windows Updates betekenen dat MSE alle aanvallen op niet-MS software afvangt en juist heel slecht is in de detectie van aanvallen op MS software. Dat zou misschien kunnen, maar is op zijn minst opmerkelijk.
onderwerp sneeuwt geheel onder.
Ik heb MSE lang gebruikt, en pas nadat Ziggo aan alle
klanten F-Sucure gratis aanbood, ben ik overgestapt.
Ik kan mij niet herinneren dat MSE ooit een zware wissel trok op mijn
systeem, en dat blijkt ook wel uit het onderzoek, dat MSE een
systeembelasting van 4% heeft.
Ik heb begrepen, dat MSE dus in constante verbinding staat met
servers, waar alle pas ondekte virussen en malware, etc. worden
geplaatst, en dus in realtime, als ik dat woord mag gebruiken de computer
daartegen kan beschermen.
Het enige wat je moet doen, is de automatische update optie aanzetten.
Dit is een eigen vrije keuze.
Deze oplossing betekend ook, dat elke scanner van welk bedrijf dan ook
gebruik zou kunnen maken met een dergelijk systeem, en dat zou op haar
beurt weer betekenen, dat het geldverspilling is om een betaalde virusscanner
op je PC te zetten.
Het komt erop neer, dat dit het einde zou kunnen betekenen van een zeer
lucratief verdienmodel (Miljarden).
Omwille van dat verdienmodel zullen de virusscanner bedrijven alles in het
werk stellen, om invoering hiervan tegen te gaan, dus ook het demoniseren van
degene(n) die dit gaan gebruiken.
Als dit werkelijk door MSE zal worden ingevoerd, zal mijn afweging om zelf te
beslissen of ik de updates van Microsoft weer automatisch instel voorspelbaar
zijn.
- MSE is nog steeds een slecht product.
- Enkelen andere producten zijn veel beter.
- Updaten en patchen is belangrijker dan een goede AV-scanner.
Jet hoort nu meer: "Alleen een viruscanner en een firewall is niet genoeg" Dat was altijd al zo. Alle security en implementatie richtlijnen (hardening) zeggen al zeer vele jaren zorg dat je up to date bent, zorg dat .....
Het is zeer triest dat het beeld gekweekt is: ik heb een 4us scanner een firewall of een andere "veilig" os, mij gebeurt niets
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
