NSS Labs: Testy pokazują większość pakietów AV Fail Against Exploits

Większość pakietów oprogramowania zabezpieczającego wciąż nie potrafi wykryć ataków na komputery osobiste nawet po tym, jak styl ataku był znany od jakiegoś czasu, podkreślając, że cyberprzestępcy nadal mają przewaga.

NSS Labs, który przeprowadza testy pakietów oprogramowania zabezpieczającego, sprawdził, w jaki sposób pakiety bezpieczeństwa od 10 dużych firm wykrywają tak zwane "exploity po stronie klienta". W takich incydentach haker atakuje lukę w oprogramowaniu, takim jak przeglądarki internetowe, wtyczki do przeglądarek lub aplikacje desktopowe, takie jak Adobe Acrobat i Flash.

NSS Labs jest niezależną firmą produkującą oprogramowanie zabezpieczające, która w przeciwieństwie do wielu innych firm testujących nie akceptuje dostawcy pieniądze za przeprowadzanie ocen porównawczych. Dostawcy są jednak powiadamiani i mogą dokonać pewnych zmian w konfiguracji przed oceną NSS Labs.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

"Ten test - pierwszy tego typu w branża - została zaprojektowana, aby zidentyfikować, jak skuteczne są najbardziej popularne korporacyjne produkty końcowe w zakresie ochrony przed exploitami ", wynika z raportu. "Wszystkie luki wykorzystane w teście były publicznie dostępne przez wiele miesięcy (jeśli nie lat) przed testem, a także zaobserwowano je w prawdziwych atakach na prawdziwe firmy."

Ataki są często wykonywane przez oszukiwanie użytkownika do odwiedzenia wrogiej witryny sieci Web, która dostarcza exploit lub specjalnie spreparowaną sekwencję kodu, która odblokowuje lukę w aplikacji, zgodnie z raportem NSS Labs.

Mogą istnieć różne warianty exploitów, które atakują tę samą lukę, ale cel różne części pamięci komputera. Dostawcy usług bezpieczeństwa często dodają sygnatury do swoich baz danych, które umożliwiają oprogramowaniu wykrywanie określonych exploitów, ale te exploity mogą ewoluować.

"Sprzedawca może opracować sygnaturę dla początkowego exploita z zamiarem późniejszego dostarczania kolejnych podpisów" - napisano w raporcie. "Nasze testy wykazały, że większość dostawców nie podejmuje tych ważnych dodatkowych kroków."

Tylko jeden z 10 testowanych pakietów oprogramowania wykrył wszystkie 123 exploity i warianty, które zostały zaprojektowane w celu ataku na luki w oprogramowaniu, takie jak przeglądarka Microsoft Internet Explorer, Firefox, Adobe Acrobat, QuickTime firmy Apple i inne.

10 zestawów oprogramowania uzyskało bardzo różne wyniki, a jeden z nich wykorzystał wszystkie exploity na samym szczycie i 29 procent na najniższym poziomie.

NSS Labs powiedział, że średnia ocena ochronna było 76 procent wśród 10 pakietów "oryginalnych exploitów" lub pierwszego exploita udostępnionego publicznie przeciwko określonej luce w zabezpieczeniach oprogramowania. Trzech z 10 osób pochwyciło wszystkie oryginalne exploity. W przypadku odmian exploitów średni wynik ochronny wynosił 58 procent.

"W oparciu o udział w rynku, od 70 do 75 procent rynku jest pod ochroną" - napisano w raporcie. "Aktualizowanie oprogramowania antywirusowego nie zapewnia odpowiedniej ochrony przed exploitami, co dowodzi luki w pokryciu luk w zabezpieczeniach mających kilka lat."

Prezes NSS Labs, Rick Moy, powiedział, że wszystkie luki to "nisko wiszące owoce". " Informacje na temat luk w zabezpieczeniach są dostępne w niektórych przypadkach od 2006 r., Co oznacza, że ​​hakerzy wszyscy znają problemy i exploity są nadal używane.

Ale firmy zajmujące się oprogramowaniem zabezpieczającym skupiały się głównie na złośliwym oprogramowaniu dostarczonym po exploicie. Te próbki liczą się teraz w milionach. Jednak liczba exploitów jest znacznie, dużo mniej liczna i byłaby lepszą stroną do ochrony komputerów.

"Myślę, że częścią problemu jest to, że branża koncentruje się bardziej na szkodliwym oprogramowaniu niż na exploicie" - powiedział Moy. "Musisz spojrzeć na obie, ale … naprawdę musisz wyglądać na ochronę w oparciu o luki w zabezpieczeniach i powstrzymywać exploity."

Poprawianie znanych luk w zabezpieczeniach powstrzyma również exploity, ale wiele firm nie zastosuje natychmiast wszystkich łat, ponieważ może złamać inne oprogramowanie używane przez te firmy, powiedział Moy. Oprogramowanie bezpieczeństwa stanowi dobrą "łatkę wirtualną", ale tylko wtedy, gdy potrafi wykryć te exploity i kolejne złośliwe oprogramowanie, powiedział.

NSS Labs umieszcza pakiety w trzech kategoriach: "polecam", co oznacza, że ​​produkt działał dobrze i powinien być używane w przedsiębiorstwie; "neutralny", co oznacza, że ​​produkt działał dość dobrze i powinien być nadal używany, jeśli jest już używany; i "ostrożność", co oznacza, że ​​produkt miał słabe wyniki testów, a organizacje używające go powinny przejrzeć swoją postawę bezpieczeństwa.

NSS Labs zdecydowało się ujawnić te pakiety bezpieczeństwa, które ocenia jako "ostrożne": AVG Internet Security Business Edition 9.0.733, ESET Smart Security Enterprise Business 4.474, Norman Endpoint Protection 7.2 i Panda Internet Security 2010 (Enterprise) 15.01. Pełny raport kosztuje 495 USD i jest dostępny na stronie internetowej NSS Labs.

Prześlij porady i komentarze na adres [email protected]