AV-Comparatives给我们发了2026年关于消费级APT检测覆盖情况的报告。这次研究发现,这些安全软件对付已知的APT威胁能力很强,但在对付修改过的恶意软件时还是有些吃力。Andreas Clementi,这位AV-Comparatives的创始人兼CEO,把这报告拿给大家看了。他觉得,很多人谈APT时往往只讲政治或战略层面,但其实它本质上就是恶意软件。 从技术角度看,现代消费级的安全产品在查这些已知的APT工具时表现不错,特别是在软件运行的时候。为了搞清楚这些防护手段到底行不行,AV-Comparatives从2024年11月一直测到2026年2月。他们一共测试了14款消费级的安全产品,还弄了个大数据库,里面有126个公开的APT组织提供的579个样本。他们的测试方式挺多样的,有离线和在线扫描、供应商更新后的跟踪测试还有行为检测。 这次调查给我们提供了一个很大的实证数据,用来分析消费级安全产品对公开APT工具的检测效果。结果显示,现代的安全软件在对付那些知名的APT威胁上挺给力的。特别是在执行过程中触发了行为检测机制的时候。所有被测试的产品在面对原始APT样本时的检出率都超过了99%。 Andreas Clementi觉得挺有意思的一点是,有些解决方案在对二进制文件进行细微改动后(比如改哈希值但不改恶意行为),它们的检测率就下降了。这说明只靠静态指标来防御的话,可能很难认出那些改动过的恶意软件版本。 这份报告还研究了检测效果是不是跟威胁者或者供应商所在的地方有关系。结果显示地理位置和检测区域内APT组织的能力没啥直接联系。这说明剩下的问题主要是技术性的而不是地缘政治造成的。 AV-Comparatives强调了行为分析、启发式检测和机器学习这些技术在防御高级且不断变化的网络威胁上的重要性。他们建议要一直做独立测试并及时更新威胁情报来保持强大的防护能力。 2026年3月19日这天在奥地利因斯布鲁克发布了这个消息。如果你想看看完整版的报告,去AV-Comparatives网站找就行。