Nem egyszerű a fenti kérdésre egzakt választ adni. A vírusirtó piacon csupa topkategóriás, forradalmi, trendteremtő és más, hasonló pozitív jelzőkkel felcímkézett szereplő küzd egymással. Mindenki a saját termékére, választására esküszik, és nem ritkán heves vita alakul ki a fórumokban például az eszetesek és az avasztosok között. Az IT-biztonsági cégek marketingesei sem könnyítik meg a dolgunkat, hiszen mindenki a legjobbat árulja. Ki akarná a második legjobb védelemmel megvédeni gépét és adatait? Több mint egymilliárd egyedi kártevő mellett nem érdemes kockáztatni.
A számok nem hazudnak?
Logikusan az a végpontvédelem jobb, amelyik több kártevőt blokkol a hatalmas mintából, ám a szofisztikált támadások mellett nem lehet ilyen egyszerű következtetést levonni. Egy antivírus önmagában nem elég, pláne ekkora minta mellett, így a gyártók az internetbiztonsági csomagok korszakának kezdetén tűzfalat, levélszemétszűrőt, böngészővédelmet és egyéb heurisztikus eszközöket is beépítettek a termékeikbe, majd az egészet megfejelték a felhőalapú védelemmel, amelyen keresztül a végpontvédelmeket gyakorlatilag egy pingnyi idő alatt fel tudják készíteni a legújabb nulladik napi támadásokra. Az AMTSO (Anti Malware Testing Standard Organization) megjelenésével ráadásul egy olyan szakmai szervezet is a középpontba került, amelyen keresztül a korábbiaknál is gyorsabbá vált a tudásmegosztás, így ma már a legtöbb kártevőre egy napon belül reagálni tudnak a végpontvédelmek, az AMTSO-nak beküldött vírusminták ugyanis 24 óra alatt közkinccsé válnak.
Ennek köszönhetően a legtöbb modern védelem hatékonysága ma már 99 százalék feletti, és a versenyelőny azok oldalán van, akik a legtöbb új vírusmintát képesek megtalálni, ami 24 órás exkluzivitást jelent.
A hatalmas minta, a gyors reagálású szoftverek és az ebből adódó, rendkívül nagy szakértelmet kívánó tesztelési metódus miatt roppant nehéz objektív szempontok alapján versenyeztetni a piaci szereplőket, nem is sokan vállalkoznak erre. Mindössze néhány tesztlabor - például AV-Test, AV-Comparatives, Virus Bulletin, SE Labs vagy éppen a magyar CheckVir - készít összehasonló teszteket, amelyek alapján elméletben a fogyasztók pontos képet kaphatnak arról, éppen melyek azok a végpontvédelmek, amelyek a leghatékonyabban lépnek fel a számítógépes vírusokkal szemben. A gyakorlat azonban más.
Elsők viadala
Az első problémát a szponzorált tesztek jelentik, azaz sok gyártó vásárol magának függetlennek mondott teszteket, ezekben azonban a mintát vagy éppen a verseny célját tudatosan úgy választják meg, hogy a szponzor terméke első lehessen. Ezeket viszonylag könnyen ki lehet szűrni, viszont a gyártók szívesen hivatkoznak ezekre a mérésekre. A következő problémát a független, ámde rossz mintavétellel készített tesztek jelentik, ahol nyilvánvalóan azok a termékek élveznek majd elsőbbséget, amelyek a legtöbb mintát adták. Végezetül az is félrevezető lehet, ha a teszt független, a mintavétel kellően nagy, és nem kedvez egyik szereplőnek sem, ám a marketingesek a valóság csak egy számukra kedves szeletét ragadják ki a mérésekből, és azt helyezik piedesztálra. Emellett gyakran az is előfordul, hogy a tesztre más terméket neveznek, mint amit kereskedelmi forgalomba hoznak, ami miatt az AMTSO idén januárban már figyelmeztetést adott ki, felhívva a laborok figyelmét a "nemzetközi" és a "lokális" verziók közötti problémákra.
Mivel nincs senki, aki a több mint egymilliárdos mintát tesztelné, a legközelebb akkor járhatunk a címben feltett kérdés megválaszolásához, ha több tucatnyi független mérést vizsgálunk meg, lehetőleg több forrásból. Mi minden évben így teszünk, és idén is táblázatba gyűjtöttük, majd összesítettük három víruslabor elmúlt két évben végzett méréseit, hogy kiderüljön, a hatékonyságuk alapján jelenleg melyik a legjobb végpontvédelem. Idén három ismert és elismert kutatóintézet eredményeit fésültük át: a német AV-Comparatives és AV-Test mellé ezúttal az AMTSO tesztelési irányelveit megvalósító SE Labs méréseit elemeztük. Ezúttal a Virus Bulletin eredményeivel nem számoltunk, a labor ugyanis a nyilvánosan elérhető adataiban kevés információt oszt meg teszteredményeiről.
Fontos tulajdonságok
A laborok méréseinél kiemelt figyelmet fordítottunk a valós körülményeket lemodellező védelmek hatékonyságára, illetve a fals riasztások számára. Utóbbi fontos tényező, hiszen ez mutatja meg, hogy mennyire van jól beállítva a végpontvédelem. Egy jó vírusirtó csak akkor zargatja felhasználóját, amikor az szükséges. Egy engedékeny rossz hatékonysággal, csendben dolgozik, egy szigorú ellenben úgy próbál jó eredményt elérni, hogy közben az ártatlan szoftvereket is gyanúba keveri. Utóbbi megállapítás például az F-Secure kliensére jellemző, amely évek óta gyengén teljesít a fals riasztások számát tekintve. Emellett az AV-Comparatives esetén az is beszédes, hogy a vírusmotorok mennyire támaszkodnak az online adatbázisaikra. A Trend Microról például kiderült, hogy kiemelten, hiszen a nélkül csak 43 százalékos hatékonyságot mért az AV-Comparatives, míg a BitDefender és a Vipre algoritmus net nélkül is tökéletesen működik.
S mivel nem csak megtalálni, hanem ártalmatlanítani is kell a kártevőket, külön kigyűjtöttük az AV-Comparatives adataiból a kártevő-eltávolítás hatékonyságát - amennyiben az elérhető volt. E tekintetben az SE Labs számai is beszédesek, a labor ugyanis nem százalékosan figyeli, hogy a motorok mit kapnak el és mit nem, hanem az algoritmusokat a szerint pontozzák, hogy mikor lépnek akcióba egy vírussal szemben (azonnal blokkolnak, vagy hagyják azokat elindulni), illetve hogy mennyire hatékonyan képesek a végpontvédelmek lefegyverezni azokat. Az SE Labs eredményei között érdemes figyelni az interakció pontszámot, amelynél a 100-as érték az automatizált működést, az alacsonyabb a felhasználófüggő akciókat jelöli. Értelemszerűen a teljesítménypontszámok azt mutatják meg, hogy az adott szoftver mennyire lassítja le a PC-ket.
A legjobb tíz
Tesztünk során több mint tíz végpontvédelmet vizsgáltunk, és a szemben lévő oldalon laboronként, saját szempontjaink szerint felállítottunk egy tízes toplistát - azokat a programokat preferáltuk, amelyeket mindhárom intézet bevizsgált. Mint ahogy látható, még ezek között is jelentős eltérések vannak a különböző metodika miatt, de mégis megkíséreltünk felállítani egy tízes toplistát. Esetünkben az első három helyet sorrendben a Symantec (1), a Kaspersky (2) és a BitDefender (3) szerezte meg, amelyeket az Avira (4), az F-Secure (5), a Trend Micro (6), az ESET (7), a McAfee (8), a Vipre (9) és az Avast (10) megoldása követ. Ez a tíz program jelenleg a világ tíz legjobbja, amelyek közül bátran választhatsz egyet, és még az is lehet, hogy a te szempontjaid alapján más lesz az első három helyezett.