Testmodule unter Windows
Schutzwirkung
Wie gut schützt ein Sicherheitsprodukt wirklich gegen reale Bedrohungen? Bei AV-TEST müssen sich Produkte gegen brandaktuelle Attacken zur Wehr setzen, anstatt theoretisch in simulierten Testumgebungen geprüft zu werden. In sorgfältig konzipierten Tests kommen alle Waffen zum Einsatz, die auch Cyber-Kriminelle abfeuern: etwa Zero-Day Malware, Drive-by-Attacken, Downloads von Webseiten, Angriffe über verseuchte E-Mails und vieles mehr.
Stufe 1 – Test der Schutzfunktion: Schutz gegen 0-Day Malware Angriffe aus dem Internet, inklusive bösartiger Webseiten und E-Mails (Real-World Testing)
Dieses Testmodul spiegelt die reale Bedrohungslage wider, der Schutzprogramme im Internet gegenüberstehen. Dementsprechend müssen sich die Produkte gegen Online-Attacken brandaktueller Malware und die durch sie am meisten genutzten Infektionswege zur Wehr setzen. Das ausgeklügelte Testsystem erfasst die Abwehrleistung im Real-World-Test in mehreren Stufen. Dabei kommen ausschließlich Schadprogramme zum Einsatz, deren Entdeckung durch AV-TEST nicht länger als 24 Stunden zurückliegt.
Testablauf Real-World-Test
Während die Produkte für Privatanwender in den Standardeinstellungen installiert werden, kann der Hersteller die Konfiguration von Unternehmenslösungen vorgeben. Die Produkte werden aktualisiert und haben zu jeder Zeit vollständigen Internetzugriff.
Ein AV-TEST Analyseprogramm erstellt ein Abbild des nicht infizierten Systems.
Dann wird eine mit Schadcode infizierte Webseite oder E-Mail aufgerufen.
-
Blockiert und meldet ein Schutzprogramm gefährliche Zugriffe, wird dies protokolliert. Dabei wird jede zum Einsatz kommende Schutzfunktion erfasst, unabhängig davon, an welcher Stelle bzw. mit welcher Technik ein Angriff blockiert wird. Bei der Abwehr von Malware über aufgerufene Webseiten sieht das beispielsweise wie folgt aus:
- Zugriff auf URL blockiert;
- Exploit auf Webseite erkannt und blockiert;
- Download bösartiger Komponenten blockiert;
- Ausführung bösartiger Komponenten blockiert.
Da die Erkennung bösartiger Komponenten oder Aktionen nicht zwingend gleichbedeutend mit dem erfolgreichen Blocken von Malware ist, werden jederzeit alle Aktionen auf dem Testsystem überwacht. So lässt sich feststellen, ob Angriffe komplett, zum Teil oder gar nicht blockiert werden.
AV-TEST schafft identische und reproduzierbare Bedingungen für alle Produkte eines Tests. Zu diesem Zweck wird der Testablauf für alle Produkte und für jeden Testfall gleichzeitig ausgeführt und es kommen dabei identisch konfigurierte Testsysteme zum Einsatz.
Stufe 2 – Test der Erkennungsleistung: Erkennung von weit verbreiteter und häufig auftretender Malware aus den letzten 4 Wochen (AV-TEST Referenz-Set)
Das AV-TEST Referenz-Set besteht aus sehr weit verbreiteten Windows-Schadprogrammen, die während des Tests und in den letzten 4 Wochen vor Testbeginn von AV-TEST entdeckt wurden.
Der Grund für diesen Testansatz besteht darin, dass es immer wieder zu Infektionen kommt, weil Produkte keine Updates erhalten, nicht korrekt konfiguriert sind oder vor Angriffen noch nicht schützen können. Vor diesem Hintergrund wird geprüft, wie gut Produkte in der Lage sind, wenige Tage alte Malware aufzuspüren und somit potentielle Infektionen im Netzwerk oder auf dem Heim-PC zu erkennen.
Testablauf AV-TEST Referenz-Set
Während die Produkte für Privatanwender in den Standardeinstellungen installiert werden, kann der Hersteller die Konfiguration von Unternehmenslösungen vorgeben. Die Produkte werden aktualisiert und haben zu jeder Zeit vollständigen Internetzugriff.
Es erfolgt ein On-Demand-Scan über das AV-TEST Referenz-Set.
Alle im On-Demand-Scan nicht erkannten Dateien werden auf dem Testsystem ausgeführt, um die dynamische Erkennung zu prüfen.
AV-TEST schafft identische und reproduzierbare Bedingungen für alle Produkte eines Tests. Zu diesem Zweck wird der Testablauf für alle Produkte und für jeden Testfall gleichzeitig ausgeführt und es kommen dabei identisch konfigurierte Testsysteme zum Einsatz.