image

Test: Security Essentials met Windows Update sterke combi

donderdag 15 oktober 2015, 16:55 door Redactie, 13 reacties
Laatst bijgewerkt: 15-10-2015, 17:24

Microsoft Security Essentials eindigt bij anti-virustests regelmatig in de onderste regionen, maar gecombineerd met Windows Update weet de gratis virusscanner wel te overtuigen. Dat blijkt uit een test van Dennis Technology Labs dat de prestaties van consumentenpakketten over een jaar beoordeelde.

Het ging zowel om detectie van malware, omgang met schone bestanden en de systeembelasting. Voor de detectietests werd er gewerkt met echte websites die malware via drive-by downloads probeerden te verspreiden. Het testsysteem was opzettelijk van kwetsbare versies van onder andere Adobe Flash Player, Adobe Reader en Java voorzien. Kaspersky Internet Security wist als enige alle malware te detecteren en slaat ook geen enkele keer vals alarm bij schone software. Security Essentials mist 42% van de malware en gaat bij de schone bestanden niet de fout in. Vanwege de slechte detectiescore haalde de virusscanner van Microsoft vorig jaar in geen enkel kwartaal een award.

Naast Security Essentials werden ook de gratis virusscanners van Avast en AVG gedurende vier kwartalen getest. Avast weet 94% van de aanvallen te stoppen en scoort 98% bij de 'false positives'. AVG doet het een stuk minder en weet 82% van de aanvallen te voorkomen. Als het gaat om de omgang met schone bestanden doet AVG het met 99% net iets beter. Ook Malwarebytes en Qihoo Internet Security werden getest, alleen tijdens één kwartaal. Daarom zijn deze producten als 'gastproduct' opgenomen. Malwarebytes stelt teleur met een detectiescore van 63%, terwijl Qihoo juist met 99% weet te overtuigen.

Windows Update

Dennis Technology Labs keek in het tweede kwartaal van 2014 ook naar Security Essentials gecombineerd met Windows Update. Deze combinatie weet opeens 99% van de aanvallen te stoppen en scoort 100% bij de omgang met schone bestanden. De combinatie kreeg daarvoor een AAA-award, de hoogste beoordeling van het testlab. De testers zeggen dan ook dat het gebruik van Windows Update een zeer belangrijke beveiligingsmaatregel is en ervoor kan zorgen dat Security Essentials-gebruikers net zo goed beschermd zijn als de best presterende betaalde producten. Het is echter onduidelijk of hier alleen Windows Update werd gebruikt, want in de uitleg van de test wordt gesteld dat er met een volledig gepatcht systeem werd getest.

Als het gaat om systeembelasting hebben zowel Webroot als Malwarebytes geen invloed op het systeem. Microsoft Security Essentials volgt op een derde plek met een systeembelasting van 4%. Bitdefender en F-Secure hebben met 17% de grootste impact op de computer. In de conclusie van het testrapport (pdf) stelt Dennis Technology Labs dat de zwaarste producten ervoor zorgden dat de tijd voor het kopiëren van bestanden verdrievoudigde. Daarbij meldt het testlab dat G Data en AVG de traagste scanners zijn.

Image

Reacties (13)
15-10-2015, 17:14 door Anoniem
Wat een waardeloze conclusie (PDF werd ik niet veel wijzer van); MSE + Windows update = veilig ? Wat, voor bedreigingen ouder dan 30 dagen ? Elke AV heeft toch auto-updates, ik neem aan dat er altijd 'fully updated' getest wordt ? Of bedoelt met de 'Malicious Software Removal Tool' die ook maandelijks geupdate wordt ? Ik haal het niet het de PDF :(
15-10-2015, 18:23 door choi - Bijgewerkt: 15-10-2015, 18:23
Door Anoniem: Wat een waardeloze conclusie (PDF werd ik niet veel wijzer van); MSE + Windows update = veilig ? Wat, voor bedreigingen ouder dan 30 dagen ? Elke AV heeft toch auto-updates, ik neem aan dat er altijd 'fully updated' getest wordt ? Of bedoelt met de 'Malicious Software Removal Tool' die ook maandelijks geupdate wordt ? Ik haal het niet het de PDF :(

Inderdaad een vaag verhaal.
Wat mij ook bevreemd is dat de gratis versie van MBAM in de test is opgenomen (en scores krijgt voor systeembelasting, opstartvertraging e.d) terwijl die helemaal geen real-time bescherming biedt. Waarschijnlijk hebben de onderzoekers de gratis trial versie gebruikt en beseften ze niet dat deze niet verschilt van een volledig functionele versie van MBAM Premium.
MBAM is ook niet bedoeld als standalone product en zou dus nooit tegen de traditionele AV's mogen worden getest (tenzij dat expliciet het doel van de test zou zijn).
15-10-2015, 19:08 door Anoniem
Door Anoniem: Wat een waardeloze conclusie (PDF werd ik niet veel wijzer van); MSE + Windows update = veilig ? Wat, voor bedreigingen ouder dan 30 dagen ? Elke AV heeft toch auto-updates, ik neem aan dat er altijd 'fully updated' getest wordt ? Of bedoelt met de 'Malicious Software Removal Tool' die ook maandelijks geupdate wordt ? Ik haal het niet het de PDF :(
Je moet wel lezen! Da's ook een kunst.
Er is getest aan een live verbinding met het web. Op sites met maleware e.d. Dat staat er gewoon. Dus niks ouder dan 30 dagen.
En Microsoft automatische update moet aanstaan. Dus niet op handmatig. Dan werkt het niet.
15-10-2015, 19:51 door Anoniem
Mijn praktijk laat dit ook wel zien. Een supported windows systeem met automatic updates aan en een afgeschermt admin account raakt in mijn ervaring NOOIT besmet. Kan zijn dat als de NSA het op je voorzien heeft dat het anders uitpakt, maar dan heb je ook nog wel andere problemen.
15-10-2015, 21:08 door Anoniem
Mijn ervaring: Fritzbox met veilige instellingen plus Microsoft Security Essentials plus Windows auto-update plus Hitman Pro plus XS4ALL-poortbescherming plus XS4ALL-webmail met beschermingsmaatregelen plus géén Java, géén Adobe Reader plus Firefox met NoScript plus je boerenverstand - ja, een hele lijst maar tot op heden effectief. McAfee, F-Secure, Kaspersky - ze geven allemaal problemen met de-installeren, updaten en migrereren. Die mijd ik dus zo lang mogelijk.
15-10-2015, 21:38 door choi - Bijgewerkt: 15-10-2015, 21:43
Door Anoniem:
Door Anoniem: Wat een waardeloze conclusie (PDF werd ik niet veel wijzer van); MSE + Windows update = veilig ? Wat, voor bedreigingen ouder dan 30 dagen ? Elke AV heeft toch auto-updates, ik neem aan dat er altijd 'fully updated' getest wordt ? Of bedoelt met de 'Malicious Software Removal Tool' die ook maandelijks geupdate wordt ? Ik haal het niet het de PDF :(
Je moet wel lezen! Da's ook een kunst.
Er is getest aan een live verbinding met het web. Op sites met maleware e.d. Dat staat er gewoon. Dus niks ouder dan 30 dagen.
En Microsoft automatische update moet aanstaan. Dus niet op handmatig. Dan werkt het niet.

Poster heeft ergens wel gelijk aangezien er in eerste instantie getest werd met een Win7 systeem dat wel beschikte over SP1 (release date 2009!) maar verder niet ge-update was: 'each product was installed on a clean Windows 7 Home Premium 64-bit target system. The operating system was updated with Service Pack 1 (SP1), although no later patches or updates were applied'.(pg 17) Als reden hiervoor geven de testers dat 'there are many systems with this level of patching currently connected to the internet'. Niet duidelijk is of de testers vinden dat een dergelijk ongepatcht systeem representatief is voor alle computers die verbonden zijn met het internet.

Als ik het verder goed begrijp gaat het niet om de virus definitions update (van MSE) per se (de MSE update is niet afhankelijk van de Windows updates), maar om het updaten/patchen van het systeem: 'That said, Microsoft Security Essentials users who patched their systems fully at the time of testing would have experienced a level of protecting that closely rivals the front-running paid-for anti-malware applications'. (pg 32)

Ik blijf het een vaag verhaal vinden aangezien geen inzicht wordt gegeven over de hoeveelheid en het type malware waarmee getest werd. In het geval van MSE is dan ook niet duidelijk welk type malware door MSE wordt geblokkeerd en waar Windows zelf ervoor zorgt dat het systeem niet gecompromitteerd wordt. De boude bewering dat MSE+Windows updates dezelfde beveiliging oplevert als menig 'paid for' AV pakket is op deze manier niet te verifiëren.
15-10-2015, 22:01 door Anoniem
lab testen hebben geen zin. Iedereen kan dat weten. Zie Volkswagen. De praktijk spreekt boekdelen. Een goed ingesteld en up to date Windows systeem wordt zo goed als NOOIT besmet met crapware. En daar heb je al die scareware meuk niet voor nodig.
15-10-2015, 22:46 door karma4
Uit de PDF.
7.1 The targets
To create a fair testing environment, each product was installed on a clean Windows 7 Home Premium 64-bit target system. The operating system was updated with Service Pack 1 (SP1), although no later patches or updates were applied.
en
A selection of legitimate but vulnerable software was pre-installed on the target systems. These posed security risks, as they contained known security issues. They included versions of Adobe Flash Player, Adobe Reader and Java.

De machine werd dus geladen met een achterhaalde Windows versie zonder updates en met bekende kwetsbare (verouderde) toevoegingen.

7.4 Threat introduction
Malicious websites were visited in real-time using the web browser. This risky behavior was conducted using live internet connections.

7.5 Observation and intervention
Throughout each test, the target system was observed both manually and in real-time.

7.6 Remediation
When a target is exposed to malware, the threat may have a number of opportunities to infect the system. The security product also has a number of
Anti-Virus Protection and Performance, Annual Report 2015 Page 19 of 36
chances to protect the target. The snapshots explained in 7.3 Test stages on page 17 provided information that was used to analyze a system’s final state at the end of a test.

A defended incident occurs where no malicious activity is observed with the naked eye or third-party monitoring tools following the initial threat introduction. The snapshot report files are used to verify this happy state.

7.7 Automatic monitoring
Logs were generated using third-party applications, as well as by the security products themselves.
.....

Wow dat is een gedegen testopzet met een uitleg die je zelden ziet.
Het enige zwakke (tevens sterkte) is dat ze zich gericht hebben op in het wild actieve malware bedreigingen. De herhaalbaarheid is minder maar de werkelijheidsweergave mogelijk beter.


Het resultaat mag dan verrassend lijken. Maar echt verrassend is het niet. Hoe vaak horen we niet:
- de meeste malware richt zich op exploits waar al patches voor beschikbaar zijn.
- en gepatched systeem is veiliger.
Bedenk LCM (ALM) voor tools business applicaties is een ander probleem. Dat houdt het vaa tegen.
- antvirussoftware kent de malware voor nog onbekende exploits niet.
Het moet eerst bekend worden, Als het bekend is komen er als goed is snel patches.
15-10-2015, 22:57 door [Account Verwijderd]
[Verwijderd]
16-10-2015, 09:37 door User2048
Ze hebben gewerkt met kwetsbare systemen. MSE is slecht in staat om zo'n systeem te beschermen, terwijl een aantal andere producten dat wel lukt.

Daarna hebben ze de systemen geüpdatet en nu blijken de systemen niet meer zo kwetsbaar te zijn. Hun conclusie: MSE is een goed product als je je systeem updatet.

Mijn conclusies:
- MSE is nog steeds een slecht product.
- Enkelen andere producten zijn veel beter.
- Updaten en patchen is belangrijker dan een goede AV-scanner.

Hebben ze ook onderzocht hoe de andere scanners werken op een up-to-date systeem?
16-10-2015, 09:47 door Anoniem
Dit is appels met peren vergelijken. MSE op een volledig gepatchte Windows installatie versus andere anti-virus programmatuur op een niet-gepatchte windows installatie. Maar het werpt wel een interessant licht op het nut van het updaten van een systeem vs het nut van anti-virus programmatuur.

Als we er verder even van uit gaan dat de cijfers verder kloppen moet de 99% score bij gebruik van Windows Updates betekenen dat MSE alle aanvallen op niet-MS software afvangt en juist heel slecht is in de detectie van aanvallen op MS software. Dat zou misschien kunnen, maar is op zijn minst opmerkelijk.
16-10-2015, 10:05 door Anoniem
Welles, nietes, voert hier te vaak de hoofdtoon, en het werkelijk
onderwerp sneeuwt geheel onder.
Ik heb MSE lang gebruikt, en pas nadat Ziggo aan alle
klanten F-Sucure gratis aanbood, ben ik overgestapt.
Ik kan mij niet herinneren dat MSE ooit een zware wissel trok op mijn
systeem, en dat blijkt ook wel uit het onderzoek, dat MSE een
systeembelasting van 4% heeft.
Ik heb begrepen, dat MSE dus in constante verbinding staat met
servers, waar alle pas ondekte virussen en malware, etc. worden
geplaatst, en dus in realtime, als ik dat woord mag gebruiken de computer
daartegen kan beschermen.
Het enige wat je moet doen, is de automatische update optie aanzetten.
Dit is een eigen vrije keuze.

Deze oplossing betekend ook, dat elke scanner van welk bedrijf dan ook
gebruik zou kunnen maken met een dergelijk systeem, en dat zou op haar
beurt weer betekenen, dat het geldverspilling is om een betaalde virusscanner
op je PC te zetten.
Het komt erop neer, dat dit het einde zou kunnen betekenen van een zeer
lucratief verdienmodel (Miljarden).
Omwille van dat verdienmodel zullen de virusscanner bedrijven alles in het
werk stellen, om invoering hiervan tegen te gaan, dus ook het demoniseren van
degene(n) die dit gaan gebruiken.

Als dit werkelijk door MSE zal worden ingevoerd, zal mijn afweging om zelf te
beslissen of ik de updates van Microsoft weer automatisch instel voorspelbaar
zijn.
16-10-2015, 10:22 door karma4
Door User2048: Ze hebben gewerkt met kwetsbare systemen. MSE is slecht in staat om zo'n systeem te beschermen, terwijl een aantal andere producten dat wel lukt.
De belangrijkste vraag die je moet stellen is waarom zou je opzettelijk kwetsbare verouderde systemen willen hebben?

Daarna hebben ze de systemen geüpdatet en nu blijken de systemen niet meer zo kwetsbaar te zijn. Hun conclusie: MSE is een goed product als je je systeem updatet.
Ze zeggen dat je met die gecombineerde werkwijze het zelfde beschermingsnivo behaalt en zelfs beter.

Mijn conclusies:
- MSE is nog steeds een slecht product.
- Enkelen andere producten zijn veel beter.
Dat zijn meningen, want de onderbouwing is namelijk?

- Updaten en patchen is belangrijker dan een goede AV-scanner.
Ah, mooi. Daar heb je hem, mee eens. Dat is ook LCM ALM ofwel zorgen dat alles bij de tjid is.
Jet hoort nu meer: "Alleen een viruscanner en een firewall is niet genoeg" Dat was altijd al zo. Alle security en implementatie richtlijnen (hardening) zeggen al zeer vele jaren zorg dat je up to date bent, zorg dat .....
Het is zeer triest dat het beeld gekweekt is: ik heb een 4us scanner een firewall of een andere "veilig" os, mij gebeurt niets

Hebben ze ook onderzocht hoe de andere scanners werken op een up-to-date systeem?
De test is gebaseerd op het daadwerkelijk aangetast raken van de machine. Of dat bereikt door een virusscanner of door een up to date system is daarbji niet relevant. Het echte doel is toch een veilig system of niet dan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.