NOD32 protege su mundo digital
   
    Sala de Prensa
    Introducción
    Últimas noticias
    Últimas distinciones
    Análisis comparativos
    NOD32 2.5
versus
Norton 2005
    AV-Test.org confirma
proactividad en la
detección de Zotob
    • Significado
de premios
y certificaciones
    Canon System
Solutions Inc.
    4D Digital Security
    Virus Bulletin
    Análisis estadísticos
    Documentos
    Casos de estudio
    Glosarios
     
    Protección adicional
    Enciclopedia Virus
     
    Noticias RSS Suscriba esta dirección a su lector RSS
 
 
El significado de los premios y certificaciones
27-Diciembre-2004
Publicado: 7-Febrero-2005
 
Presentamos aquí algunos resúmenes de información y análisis efectuados por nosotros u otros distribuidores de ESET NOD32 Antivirus sobre datos extraídos de diversas fuentes que son mencionadas en cada caso.
 

Una breve explicación acerca del significado y las consecuencias, para el usuario final, que tienen los premios y certificaciones en las soluciones antivirus.
Documento en formato PDFDisponible en formato PDF.
 

¿Qué significan los premios y certificaciones obtenidos por NOD32?

Los premios y certificaciones obtenidos por una solución antivirus, provenientes de organismos objetivos e imparciales, son muy importantes tanto para el usuario final como para los desarrolladores que ven compensados sus esfuerzos en la elaboración de dicho programa y permiten conocer si el producto hace lo que la publicidad dice que hace.

Los siguientes reconocidos laboratorios de evaluación de soluciones antivirus han certificado y/o premiado los productos de NOD32:

Cada premio y/o certificación tiene sus propios objetivos y metas a cumplir para lograr su obtención:

Virus Bulletin con su galardón VB100

Virus Bulletin es la publicación más importante en el mundo antivirus, siendo altamente respetados, como afamados, sus métodos de análisis.

El premio VB100 es particularmente bien conocido como una evaluación de rendimiento que todos los antivirus aspiran obtener, pero pudieran generarse algunas confusiones acerca de lo que el premio realmente significa.

El premio VB100 no implica que un producto puede detectar todos los virus conocidos, sino que ha logrado cumplir con un conjunto de criterios bien definidos y que puede ser utilizado en situaciones del mundo real.

La evaluación comparativa se enfoca en distintos aspectos funcionales de los exploradores, bajo demanda y en acceso, de los productos antivirus:

  • Tasa de detección de virus activos – "In the Wild" – y colecciones Zoo
  • Tasa de emisión de falsos positivos
  • Velocidad de análisis
  • Rendimiento

De acuerdo al actual formato de los premios VB100, realmente hay dos partes de la evaluación, los cuales son los únicos criterios que cuentan a la hora de merecer la certificación.

En principio, está la evaluación contra los virus denominados "In the Wild" (ItW), tal como son definidos por la organización WildList, usando la Real Time WildList (WildList en tiempo real - RWTL).

La WildList, como implica su nombre, es un listado de todos los virus que han sido reportados por dos o más miembros del amplio panel de expertos internacionales que forman parte del proyecto.

Esto significa que los virus que se encuentran en la lista han sido confirmados en acción, ya sea propagándose o infectando equipos reales.

La RTWL es la versión de la WildList actualizada con mayor frecuencia (diaria o semanal), dado que la versión original solo se publica una vez por mes y en retrospectiva.

Evaluar los productos contra la RTWL ofrece un buen indicador de cuan útil es un producto contra las amenazas actuales, ya que es enfrentado contra los virus que los usuarios finales es más probable que vean.

Para recibir el premio VB100, los productos evaluados deben detectar todos y cada uno de los virus en la WildList.

El conjunto de muestras utilizado para dicha evaluación está formado por todos los virus incluidos en la RTWL, y además, el conjunto es congelado al mediodía (hora GMT) dos días antes de la fecha final de presentación de los productos para su examen.

Esto da un tiempo corto, pero razonable, para que los desarrolladores puedan proveer detección contra las últimas amenazas.

Es importante notar que esta evaluación otorga sólo una oportunidad a los productos.

Otras evaluaciones realizan una segunda prueba tras enviar, a los fabricantes de antivirus que fallaron, las muestras no detectadas, permitiendo obtener la certificación con mayor facilidad.

Por esta razón, la evaluación de Virus Bulletin es el mejor indicador de cuan útil es un producto antivirus en el mundo real, ya que no le da a los fabricantes el lujo de contar con una segunda oportunidad, de la misma forma que los usuarios tampoco la tienen.

El hecho de pasar o fallar esta parte de la evaluación es lo que realmente lleva a obtener o no el premio VB100.

La segunda parte de la evaluación hace incapié en los falsos positivos.

En este caso, se evalúa a los productos contra un amplio numero de archivos limpios, archivos que normalmente pudieran encontrarse en el equipo de un usuario común.

Para recibir el premio VB100 cada producto debe pasar de largo estos archivos, considerándolos limpios de virus.

Si tan solo se detecta un archivo como infectado, lanzando una falsa alarma, el producto falla la prueba.

La evaluación de falsos positivos es un muy buen indicador de si un producto puede ser utilizado en un ambiente de producción o no.

Un producto que ocasiona falsas alarmas en archivos comunes puede causar muchos problemas a los administradores de redes, incluso mayores a los que un virus puede causar.

Solo pasando ambas partes de la evaluación se puede obtener el premio VB100.

Como se mencionó anteriormente, Virus Bulletin también evalúa otras áreas que, aunque no tienen incidencia sobre el resultado en el otorgamiento de los premios VB100, demuestran la capacidad de los productos analizados.

El rendimiento del producto en estas otras evaluaciones forman la base de la revisión escrita que cada producto recibe para acompañar a los resultados de la detección.

La revisión también detallará las razones por las cuales el producto habrá fallado en obtener el premio VB100.

Velocidad de análisis

Cuando se analiza un sistema bajo demanda (es decir, manualmente y a petición del usuario), la velocidad con la que la exploración se realiza es un factor muy sensible para el operador, ya que una merma significativa, produce una desagradable sensación en la utilización del ordenador.

Mientras se explora el sistema, el rendimiento del sistema será necesariamente menor al normal.

Es importante notar que esta disminución del rendimiento varia notablemente según el producto antivirus que se use.

Cuanto más rápida sea la exploración y/o menor la utilización del procesador y/o memoria operativa, menor será la disminución del rendimiento general del equipo.

Impacto en el rendimiento

Relacionado también con la velocidad de análisis, es el impacto en el rendimiento general del equipo que tiene el analisis por acceso (el explorador que actua en forma residente y revisa todos los archivos que son accedidos por el sistema operativo).

El análisis en el acceso, también denominado residente o Monitor, se ejecuta en todo momento mientras el sistema está operando, y verifica constantemente los archivos que son accedidos.

Esto puede tener un muy alto impacto negativo en la operabilidad del sistema.

Es una importante medida para conocer si el producto puede comportarse bien en un ambiente de producción, sin afectar el rendimiento general del mismo, ya que lo más deseable es un explorador residente que tenga el menor impacto posible en el sistema.

Evaluación con un conjunto de muestras ampliada

Comúnmente, estos conjuntos de muestras son denominados Zoo, y en su mayoría consisten en virus que solo existen en los laboratorios, es decir, nunca han sido catalogados como In the Wild, ni han sido reportados por usuarios normales.

La mayoria de los virus existentes pueden ser catalogados de esta manera, ya que, solo el 5% de los virus que han aparecido a lo largo de los años han estado el la lista In the Wild.

Claramente, el usuario solo necesita preocuparse por ese 5%, ya que son los que posiblemente lleguen a su sistema.

Los conjuntos Zoo, contra los que se evalúan los antivirus, están divididos en varias clasificaciones de virus.

Se publica luego el porcentaje de virus Zoo que los antivirus han detectado en estas pruebas.

Algunas veces, estos conjuntos de muestras incluyen troyanos y otros tipos de código malicioso no viral.

NOD32 mantiene más cantidad de premios VB100 que ningún otro antivirus, habiendo detectado el 100% de los virus In the Wild desde la primera vez que fue evaluado por Virus Bulletin, en mayo de 1988.


Certificación de ICSA Labs

ICSA (una división de TruSecure Corporation) usa una metodología de evaluación muy similar a la de Virus Bulletin.

Mientras que los premios VB100 son otorgados a un producto especifico en una sola evaluación, sin posibilidad de un periodo de corrección, la certificación de ICSA se concentra primariamente en que un producto mantenga un nivel en particular durante un tiempo especificado.

La certificación no es dada a una sola versión del producto, sino que certifica todas las versiones de éste.

Esto se logra gracias a:
  • La empresa desarrolladora se compromete formalmente a mantener la calidad y parámetros acordados, para los productos evaluados, durante el periodo de certificación.
  • Un programa de evaluaciones periódicas y aleatorias, con un corto periodo de gracia (de dos a cuatro semanas) para que los desarrolladores puedan rectificar cualquier error detectado.
  • Certificación anual
    Todos los productos deben ser certificados nuevamente cada año.
    ICSA no publica los resultados de la evaluación tal como son obtenidos, pero un producto con una certificación de ICSA asegura haber cumplido con todos los estándar de evaluación de ese laboratorio.

NOD32 tiene certificaciones ICSA para todas las versiones de productos desarrollados para operar bajo Windows XP, siendo los mismos que se instalan bajo las otras versiones Windows soportadas.

West Coast Labs y su certificación Chekmark

Checkmark es responsabilidad de West Coast Labs., una división de West Coast Publishing, otorgando distintas certificaciones en varios niveles.

ESET NOD32 Antivirus tiene las certificaciones de Antivirus en nivel 1 y 2, y Troyanos para Windows XP, MS Exchange y Linux Mail Server.

• Antivirus Nivel 1

West Coast Labs. tiene un conjunto de virus con varios miles de muestras y variantes, recolectados mediante un proceso de búsqueda global a través de distintas fuentes.

Para que un producto sea certificado en Nivel 1, debe ser capaz de detectar todos los virus que se encuentran en el listado In the Wild.
Esto da una clara e independiente muestra de los productos en los que los usuarios pueden confiar al contar con esta certificación.

Para que un producto ostente la certificación de Nivel 2, debe tener primero la de Nivel 1, y además, ser capaz de desinfectar todos los virus In the Wild, para los cuales una desinfección sea viable.

Con esto último nos referimos a que el virus pueda ser removido del objeto infectado, y que tras ello, el objeto pueda seguir siendo utilizado normalmente: la aplicación o programa no debe detener o congelar el equipo, así como debe poder iniciarse correctamente.
En cuanto a documentos, estos deben ser restaurados a su forma original sin perdida de datos.

Para que un producto pueda obtener la certificación en Troyanos, debe ser capaz de detectar todos los troyanos en el conjunto de evaluación de West Coast Labs., que es periódicamente actualizado.

El producto no debe causar ninguna falsa alarma, para lo cual se evalúa contra el conjunto de muestras limpias de West Coast Labs.

Traducción: Ignacio M. Sbampato
Adaptación: Ontinet.com, S.L.
Actualizado: 25-Feb-2007 18:16
Ontinet.com, S.L.