Laboratoarele NSS: Testarea arată că majoritatea suitelor AV nu reușesc să exploateze

Majoritatea suitelor de programe de securitate nu reușesc încă să detecteze atacuri pe PC chiar și după ce stilul de atac a fost cunoscut de ceva timp, subliniind cum au rămas infractorii cibernetici

NSS Labs, care efectuează teste ale suitelor de software de securitate, a testat modul în care pachetele de securitate de la 10 companii majore detectează așa-numitele "exploatări ale clientului". În astfel de situații, un hacker atacă o vulnerabilitate în software, cum ar fi browserele Web, plug-in-urile de browser sau aplicațiile desktop cum ar fi Adobe Acrobat și Flash.

NSS Labs este o companie independentă de securitate care, spre deosebire de multe alte companii de testare, bani pentru efectuarea de evaluări comparative. Cu toate acestea, furnizorii sunt informați și li se permite să facă unele modificări de configurație înainte de evaluarea NSS Labs.

[Citirea suplimentară: Cum să eliminați programele malware de pe PC-ul Windows]

"Acest test - primul de acest gen în industria - a fost concepută pentru a identifica cât de eficiente sunt cele mai populare produse endpoint corporative pentru a proteja împotriva exploatărilor ", potrivit raportului. "Toate vulnerabilitățile exploatate în timpul acestui test au fost disponibile public pentru luni (dacă nu chiar ani) înainte de testare și au fost observate și în atacuri reale împotriva unor companii reale."

Atacurile sunt adesea făcute prin înșelăciunea unui utilizator în vizitarea unui site Web ostil care oferă un exploit sau o secvență de cod special creată care deblochează o vulnerabilitate într-o aplicație software, conform raportului NSS Labs.

Pot exista diferite variante de exploate care atacă aceeași vulnerabilitate, dar țintesc diferite părți ale memoriei unui computer. Furnizorii de securitate adaugă în mod frecvent semnături în bazele lor de date care permit software-ului să detecteze exploatări specifice, dar exploatatorii pot evolua.

"Un furnizor poate dezvolta o semnătură pentru exploatarea inițială cu intenția de a livra mai târziu semnături", se arată în raport. "Testele noastre au arătat că majoritatea furnizorilor nu iau acești pași importanți."

Doar unul dintre cele 10 suite de software testate a detectat toate cele 123 exploitări și variante, care au fost concepute pentru a ataca vulnerabilitățile software-ului, cum ar fi browserul Microsoft Internet Explorer, Firefox, Adobe Acrobat, QuickTime de la Apple și altele.

Cele 10 suite de software au înregistrat o diferență foarte mare, cu un capturare a tuturor exploziilor la capăt și 29% a fost 76% dintre cele 10 suite pentru "exploatații originale", sau primul exploatat care a fost făcut public împotriva unei vulnerabilități software specifice. Trei din cei 10 au prins toate exploatările originale. Pentru variantele exploatate, scorul mediu de protecție a fost de 58%.

"Pe baza cotei de piață, între 70 și 75% din piață este protejată", se arată în raport. "Păstrarea actualizată a software-ului AV nu oferă protecție adecvată împotriva exploatărilor, ca dovadă prin lacune de acoperire pentru vulnerabilități de mai mulți ani".

Președintele NSS Labs, Rick Moy, a declarat că toate vulnerabilitățile sunt ".“ Informațiile privind vulnerabilitățile au fost disponibile în unele cazuri începând cu anul 2006, ceea ce înseamnă că toți cei care cunosc problemele și exploatările sunt încă folosite.

Dar companiile de software de securitate au tendința să se concentreze asupra software-ului rău intenționat livrat după exploatare. Aceste eșantioane se numără printre milioane acum. Cu toate acestea, numărul de exploatații este mult, mult mai puțin numeroasă și ar fi un punct de umplere mai bun pentru protecția calculatoarelor. "Cred că o parte din problemă este că industria se concentrează mai mult pe malware decât pe exploatare", a spus Moy. "Trebuie să vă uitați la amândouă, dar … într-adevăr trebuie să vă uitați la o protecție bazată pe vulnerabilitate și să opriți exploatările."

Patching vulnerabilitățile cunoscute va opri exploatările, dar multe companii nu vor aplica toate patch-urile imediat ce ar putea rupe alte programe pe care le utilizează acele companii, a spus Moy. Software-ul de securitate reprezintă un bun "patch virtual", dar numai dacă poate detecta acele exploatații și malware ulterior, a spus el.

NSS Labs pune suitele în trei categorii: "recomanda", ceea ce înseamnă că un produs este bun utilizate într-o întreprindere; "neutru", ceea ce înseamnă un produs realizat în mod rezonabil și ar trebui să fie utilizat în continuare dacă acesta este deja utilizat; și "precauție", ceea ce înseamnă că produsul a avut rezultate slabe de testare, iar organizațiile care o utilizează ar trebui să își revizuiască poziția de securitate.

NSS Labs a ales să dezvăluie acele suite de securitate pe care le consideră "precauție": AVG Internet Security Business Edition 9.0.733, ESET Smart Security Enterprise 4.474, Norman Endpoint Protection 7.2 și Panda Internet Security 2010 (Enterprise) 15.01. Raportul complet costă 495 USD și este disponibil pe site-ul web al NSS Labs.

Trimiteți sfaturi pentru știri și comentarii la [email protected]