Antivirus programma voor Windows: Defender vs. betaalde software

Antivirusprogramma’s voor Windows zijn er te kust en te keur – van gratis tot aardig aan de prijs. Inmiddels moet je echter de vraag stellen of je überhaupt nog een antivirus programma voor Windows nodig hebt. De standaard geïnstalleerde Windows Defender heeft namelijk een flinke inhaalslag gemaakt. We zijn op zoek gegaan naar een antwoord op die vraag.

Een antivirus programma hoort traditioneel tot de basisuitrusting van elke Windows-computer. Gebruikers betalen graag voor een gevoel van veiligheid, zoals een blik op de lijsten van populaire software van online winkels laat zien. Sinds een aantal jaren zijn er echter ook gratis antivirusprogramma’s. De grootste concurrent van de betaalde programma’s komt echter van Microsoft zelf: sinds Windows 8 zit er met Windows Defender een eigen antivirusprogramma in het besturingssysteem.

De oorspronkelijke gedachte dat deze stap van Microsoft ertoe zou kunnen leiden dat antivirusproducenten massaal een zachte dood zouden sterven is echter niet uitgekomen. De herkenningsresultaten van Defender waren daar in het begin te slecht voor. In een van onze omvangrijke tests van virusscanners in c’t 3/2015 herkende het programma van Microsoft maar net 60 procent van de malware die we het voorschotelden. De beste in de test hielden daarentegen 98 procent van de infectiepogingen tegen. Dus zowel de antivirusproducenten als de cybercriminelen lagen niet meteen wakker van Windows Defender.

Maar die tijden zijn allang voorbij. Een half jaar later maakte Windows Defender al opmerkelijke stappen voorwaarts. Dat is te zien aan de resultaten van de onafhankelijke testinstituten AV-Test en AV Comparatives. Die hebben zich erin gespecialiseerd om antivirusprogramma’s geheel binnenstebuiten te keren. De beschermingsfactor van Windows Defender is bij de AV-Test-beoordeling bijvoorbeeld van oorspronkelijk nul punten begin 2015 gestegen tot drie van de zes te halen punten. Daarna ging het alleen maar bergopwaarts: ongeveer een jaar geleden haalde het antivirusprogramma van Windows voor het eerst het volle puntenaantal bij AV-Test, en sindsdien zit Defender in de bovenste regionen wat de punten betreft. Ook bij de testresultaten van AV-Comparatives komt Defender regelmatig goed voor de dag. Dat is reden genoeg om de situatie op de antivirusmarkt eens goed te bekijken.

De opmars van Defender is geen toeval. Micro­soft verklaarde in zijn security-blog dat de beveiligingssoftware achter de coulissen compleet veranderd is. Daarin staat dat een groot deel van de sprong voorwaarts op het conto komt van kunstmatige intelligentie (AI) en machinaal leren (ML). Daarmee probeert een antivirus­programma aan de hand van verschillende data-eigenschappen zoals de metadata in te schatten hoe groot het risico is dat een bestand gevaar kan opleveren. Bij een hoog risico kan de virusbescherming een intensieve analyse verrichten en het bestand bijvoorbeeld in een sandbox uitvoeren om zekerheid over de bedoelingen te krijgen.

Op die manier kan ook eerder onbekende malware getest worden, waarbij de ter beschikking staande rekencapaciteiten zo efficiënt mogelijk gebruikt worden. Microsoft heeft in een blog gedetailleerd gedocumenteerd hoe kunstmatige intelligentie en machinaal leren er concreet aan hebben bijgedragen om malwarebronnen zoals Emotet te stoppen. Microsoft heeft het gebruik van speciaal getrainde ML-modellen bij de jacht op virussen echter niet zelf uitgevonden, ook de traditionele antivirusproducenten maken daar al langere tijd gebruik van om de stortvloed aan malware in te kunnen dammen.

Afhankelijk van de producent wordt de AI echter verschillend ingezet. Soms draaien eenvoudige AI-modellen lokaal op een te beschermen client, waarbij complexere operaties in de cloud van de producent uitgevoerd worden. Logischerwijze worden de verschillende beschermingsmethoden van eenvoudig en snel tot complex en langzaam na elkaar gebruikt. Alleen wanneer een bepaalde stap geen eenduidig uitsluitsel kan geven, wordt de volgende gestart.

Windows Defender had een moeilijk start, maar doet inmiddels in niets onder voor de concurrentie wat betreft bescherming tegen virussen. Data: www.av-test.org

Maar ook de bewezen herkennings­methoden als virus-signatures, gedragsanalyse en heuristiek worden nog steeds gebruikt. De op signatures gebaseerde herkenning was lang de maatstaf voor de bescherming die een antivirusprogramma kon bieden. Het programma heeft daarbij de beschikking over een verzameling van duizenden virussen die al in kaart gebracht zijn. Vervolgens is het de taak van het programma om er daar zo veel mogelijk van te herkennen. De resultaten daarvan hebben tegenwoordig niet zoveel betekenis meer. De antivirusindustrie heeft onderling goede contacten, dus duurt het niet lang tot een virus in de virusdatabases van alle belangrijke producenten opduikt.

Herkenningspercentages van 100 procent zijn daarom geen uitzondering meer, maar eerder regel. De virus-signatures ­verliezen nog meer aan betekenis door het feit dat de kans afneemt dat je een al bekend virusbestand tegenkomt. Want ook de cybercriminelen hebben toegang tot alle virus­scanners en manipuleren hun malware voor ze die uitbrengen net zo lang totdat geen of maar enkele antivirusprogramma’s de malware herkent. In het eenvoudigste geval gebruiken ze daar een van de talrijke exe-packers voor. Dan zijn er geen wijzigingen aan de eigenlijk schadelijke code nodig. Daarmee krijg ieder potentieel slachtoffer zelfs een individuele kopie van de malware.

Als belangrijkste indicator voor de effectieve bescherming van een antivirusprogramma geldt daarom inmiddels de zogeheten real-world-test. Daarbij wordt het antivirusprogramma geconfronteerd met echte, recente bedreigingen, bijvoorbeeld besmette websites en e-mails met virussen. Vervolgens kijken de testers of het systeem geïnfecteerd is of niet en of de antivirussoftware de aanval succesvol kon verijdelen. Het maakt daarbij niet uit door welk beveiligingsmechanisme de aanval verhinderd werd. Het resultaat van een real-world-test is natuurlijk wel maar een momentopname.

Daarnaast testen de testlaboratoria de invloed van de antivirussoftware op de snelheid van het systeem en hoe vaak er onterecht alarm wordt geslagen (false ­positives). Dat zijn de gevallen waarbij het antivirusprogramma een gevaarloos bestand of website als schadelijk classificeert.

Inmiddels slagen alle bekende antivirusprogramma’s, inclusief Windows Defender, erin om ook de real-world-tests van AV-Test en AV-Comparatives te doorstaan. Afhankelijk van in welke periode je kijkt, is soms het ene en soms een ander programma daar verwaarloosbaar beter in. Meestal is de infectieratio na 200 tot 300 aanvalspogingen niet hoger dan 0 tot 1 procent, slechts zelden is dat meer.

Er zijn echter wel grote verschillen wat de functieomvang betreft. De producenten proberen hun producten met allerlei extra functies zo aantrekkelijk mogelijk te maken voor hun potentiële klanten. Dat begint bij features als een afgeschermde online-banking-browser en loopt tot functies als wachtwoordmanagers, bestands-­shredders en systeemtuning – wat niets meer met virusbescherming te maken heeft. De meeste producenten bieden zelfs meerdere versies van hun beveiligings­software: hoe duurder, des te meer functies. In veel gevallen krijg je als betalende klant ook technische support. Die helpt niet alleen bij vragen over het antivirus­programma zelf, maar ook bij het des­infecteren van geïnfecteerde systemen.

Om het kiezen van een anti­virus­programma makkelijker te maken, hebben we acht anti­virusprogramma’s het laten opnemen tegen Windows Defender. De virus­bescherming is in alle gevallen van hoog niveau, dus hebben we met name het bedienings­gemak zwaar mee laten wegen.

Naast de betaalde programmapakketten bieden producenten als Avast, Avira en Kaspersky ook geheel gratis versies van hun virusjagers aan. Daar zitten dezelfde antivirus-engines in als in de betaalde versie, maar de meeste extra functies die niet rechtstreeks met virusbestrijding te maken hebben zijn dan wel gedeactiveerd. De gratis programma’s grijpen daarbij elke kans om reclame te maken voor de betaalde versies die wel deze extra functies bieden. Als je Defender gaat vervangen door een van de gratis antivirusprogramma’s, zul je moeten leren leven met die reclame.

Je hebt dus aardig wat mogelijkheden om uit te kiezen – je blijft bij Windows Defender, je gebruikt een van de betaalde antivirusprogramma’s of je installeert een gratis versie met reclame. Voor veel gebruikers kan Defender de juiste keus zijn. Niet alleen omdat die al geïnstalleerd is, maar ook omdat die zich niet op de voorgrond dringt en gratis is.

Een betaald antivirusprogramma is een optie als je je niet afhankelijk wilt maken van de bescherming van Microsoft, aangewezen bent op technische support of voordeel denkt te gaan hebben van de talrijke extra functies. De gratis scanners van de antivirusproducenten moet je alleen gebruiken als je die extra reclame niet irritant vindt. Maar voor alle drie de gevallen geldt eigenlijk dat je goed beschermd bent.

Het aanbod van antiviruspakketten is groot: afhankelijk van producent en versie kan het je tussen de 0 en 120 euro (jaarlijks) kosten.

Een argument dat wellicht tegen het gebruik van Defender spreekt is het feit dat hij zo wijd verspreid is. Dat lijkt tegenstrijdig, maar aanvallers proberen meestal langs het grootste doel te komen. Daarom is er duidelijk meer malware die het op Windows voorzien heeft dan voor alle andere besturingssystemen tezamen.

Hetzelfde geldt voor de virusbescherming: een malware-ontwikkelaar zal eerst proberen om Defender te omzeilen voordat hij zich om de minder bekende antivirusprogramma’s bekommert. Hoe populairder Defender wordt, des te sterker dat effect zal worden.

Ook de eerste malware die een lek in een antivirusprogramma grootschalig gaat misbruiken, zal vermoedelijk gebruikers van Defender gaan treffen. In de laboratoria van security-onderzoekers bestaan dergelijke aanvallen al. Tavis Ormandy van Googles security-team heeft bijvoorbeeld al lekken in verschillende bekende antivirusprogramma’s ontdekt.
Door die lekken kunnen aanvallers niet alleen de virusbescherming omzeilen, maar het programma zelfs misbruiken voor infecties.

Om ervoor te zorgen dat een antivirusproducent zijn klanten zo goed mogelijk tegen actuele bedreigingen kan beschermen, heeft hij vooral drie dingen nodig: data, data en data. Die krijgt hij onder meer van zijn klanten, wat een zekere vertrouwensrelatie veronderstelt.

Het kan zijn dat de koude rillingen over je rug lopen als je weet dat je nog meer informatie naar Microsoft gaat sturen dan je toch al doet, maar iemand anders zal Bratislava, Moskou of Tokyo nog minder vertrouwen.

Daar proberen dan andere antivirus­producenten weer een slaatje uit te slaan met slogans als ‘IT-security made in Germany’ of iets dergelijks, waarbij ze beloven zo min mogelijk data te versturen. In hoeverre je de herkomst van een antivirus­ programma mee wilt laten wegen in je keuze, moet ieder voor zichzelf bepalen.

(Ronald Eikenberg, c’t magazine)