測試結果
惡意程式防護效能測試
上網瀏覽及下載檔案需注意網絡安全
由於針對macOS作業系統的惡意程式相關網頁數量相對較少,是次網絡防護測試並未包括macOS樣本。測試主要模擬一般用戶在Windows作業系統下的日常使用情境,例如瀏覽網頁或從網站下載軟件,評估電腦在相關過程中感染惡意程式的風險。
實驗室利用200 個從網上下載的惡意程式樣本進行測試,檢視各樣本能否有效阻擋相關惡意網頁的顯示、阻止惡意程式的下載、開啟或執行;以及在惡意程式一旦被執行後,樣本是否能防止其對系統作出未經授權的改動或進行其他惡意行為。
測試評分準則涵蓋惡意程式被偵察到的時間、最終是否成功發現相關威脅,以及樣本向用戶發出警示訊息所需的時間與其資訊的實用程度。測試結果顯示,除樣本 W16 的誤判(false positive)情況較多,可能導致用戶未能下載正常檔案,僅獲 3.5 分外,其餘樣本整體表現理想。大部分樣本的成功偵察率均達97%或以上,並獲得4分或以上的評分。
個別網絡安全軟件(如W16)在偵測到可疑惡意程式時,會向用戶顯示提示訊息,要求用戶自行判斷是否繼續相關操作。
個別樣本離線手動檔案掃描表現較遜
實驗室收集了10,000個對應Windows作業系統及10個對應macOS作業系統的已知惡意程式,當中類型主要包括木馬程式、後門程式、網絡蠕蟲、電腦病毒,以及其他間諜程式。測試時,所有惡意程式均存放於電腦硬碟中,並由各樣本分別於在線(online)及離線(offline)狀態下進行手動掃描偵察。
離線測試期間,樣本在4星期內不進行任何更新,並以該4星期內於互聯網上出現的新惡意程式作為測試基礎,以評估樣本在缺乏即時更新及雲端支援的情況下,對陌生惡意程式的偵察能力。
樣本之間的表現各有差異。其中W1至W7、W9、W12至W15、M1 至 M3及 M5至 M7於在線或離線狀態下的整體表現均理想,獲 4.5 分高評分。惟部分樣本在離線狀態下的表現相對遜色,當中W10在離線測試中的表現較不理想,因此僅獲3.5分。
整體而言,樣本的在線狀態表現較離線狀態理想,反映相關軟件普遍依賴雲端運算技術,須透過連接伺服器才能發揮較佳的防護效能。因此,用戶於日常進行檔案掃描時,應確保電腦已連接至互聯網,以獲得較全面的網絡安全保障。
1款macOS網絡安全軟件防護USB裝置表現出眾
實驗室收集了90個對應Windows作業系統及10個對應 macOS 作業系統的已知惡意程式檔案,並儲存於USB裝置內。測試時,研究人員分別在離線及在線狀態下,將USB裝置插入測試電腦,並把當中的惡意程式檔案複製至電腦硬碟。如檔案能順利完成複製,實驗室便會嘗試開啟該等已複製的惡意程式。
此項測試根據惡意程式在不同階段(包括檔案複製、開啟或執行時)能否被樣本偵察,以及最終能否成功阻截惡意行為作出評分。一般而言,若網絡安全軟件主要依賴既有的識別碼來辨認惡意程式,單靠掃描往往難以偵察較新的惡意程式。不過,現時不少網絡安全軟件已普遍運用啟發式(heuristic)技術,透過分析惡意程式在運行時的不尋常行為特徵,例如自我脫殼解碼、入侵作業系統或感染其他檔案等進行鑑定,其優點在於即使識別碼未能及時更新,系統仍可獲得一定程度的防護。
測試結果顯示,大部分樣本於離線狀態下對USB裝置的防護能力較弱,整體表現遜於在線狀態,因而影響評分。在Windows系統樣本中,有 4 款(W5、W8、W10 及 W16)表現欠佳,僅獲2.5分或以下。至於macOS系統樣本,M1表現突出獲得5分評分,其餘大部分樣本獲3.5分。
1款未能有效攔截網絡釣魚攻擊
測試包含200個網絡釣魚(phishing)網址。測試前,實驗室先分別關閉用於測試的Chrome瀏覽器(Windows 系統樣本)及Safari瀏覽器(macOS系統樣本)內置的網絡釣魚過濾功能,以免影響測試結果。
測試結果發現,分別有14款支援Windows系統及7款支援macOS系統的樣本,在阻擋惡意釣魚網址方面表現理想,均獲4.5分或以上的高評分。惟樣本W16未有為測試時採用的Chrome瀏覽器提供任何網絡釣魚防護,僅獲1分。使用相關軟件的用戶,須留意於瀏覽器啟用網絡釣魚過濾功能,以提升防護能力。
1款勒索程式防護表現較遜色
由於針對macOS作業系統的勒索程式數量相對較少,是次測試未有為適用於 macOS系統的樣本進行此項評估。實驗室利用特製的勒索程式,分別測試各樣本在網絡防護、手動檔案掃描及USB裝置防護方面的能力。對於未能即時被偵察的勒索程式,研究人員會手動開啟並執行,最後評估儲存於私人資料夾內 400個重要檔案中,最終被惡意加密的數量。
測試結果顯示,樣本W4、W8及W10至W12在兩次測試中,均能即時偵察出勒索程式,或於勒索程式開始進行惡意加密時迅速阻止其操作,並成功恢復所有重要檔案,獲得4分或以上較高評分。相反,樣本W16並未預設啟動勒索程式防護功能,測試期間出現較多檔案被惡意加密的情況,僅獲2分。
資源佔用
本項目評估各樣本對電腦系統操作效能的影響,分為實時操作及存放常駐程式兩個部分。
實時操作:測試評估安裝樣本後對開機及關機所需時間、電腦基準測試(benchmarking)表現,以及進行日常操作(包括處理各類檔案及瀏覽網站)速度的影響。測試結果顯示,安裝網絡安全軟件後,對電腦實時操作效能的影響整體不算太大,不少樣本於此項目獲得4分或以上,惟W11及W12有個別日常操作的項目表現較其他樣本慢,評分稍為受影響。
存放常駐程式:測試量度各樣本安裝後所需的硬碟空間,以及軟件長期佔用記憶體的情況。除了樣本W16為系統內置程式外,其餘樣本在硬碟空間佔用方面有顯著差異,樣本W6及W8表現較為突出,分別僅佔用868MB及650MB硬碟空間,並佔用234MB及269MB記憶體,於此項目獲得 4 分。相反,樣本 W1 安裝後佔用硬碟空間高達3,067MB,W4 安裝後佔用記憶體達 1,215MB,而 W14 安裝後則佔用2,354MB硬碟空間及854MB記憶體,均佔用較多電腦資源,3款樣本於此項目僅獲2分。
使用方便程度
使用方便程度的評估涵蓋多個範疇,包括安裝及解除安裝程式的便捷度、功能導航/主控制中心的介面設計、使用說明的清晰度,以及防惡意程式功能的易用程度等。
測試結果顯示,13款樣本在使用上相對容易及方便,當偵察到惡意程式時,其通知內容顯示亦較清晰詳盡,能有效協助用戶理解潛在風險,整體獲得4.5分的較高評分。
不同網絡安全軟件樣本所提供的惡意程式偵察警告訊息設計各有差異;上圖所示警告訊息的顏色對比度、字體大小及封鎖理由較下圖明確,可加強用戶對潛在威脅的警覺。
