NSS Labs: Testserier De fleste AV Suites mislykkes uten bruk

Et flertall av sikkerhetsprogramvaresuiter klager fortsatt ikke på angrep på PCer selv etter at angrepstilstanden har vært kjent for en stund, og understreker hvordan cyberkriminelle fortsatt har

NSS Labs, som utfører tester av sikkerhetsprogramvaresuiter, testet hvordan sikkerhetspakker fra 10 store bedrifter oppdager såkalte "klient-sideutnyttelser". I slike tilfeller angriper en hacker en sårbarhet i programvare som nettlesere, nettleser-pluginprogrammer eller skrivebordsprogrammer som Adobe Acrobat og Flash.

NSS Labs er et uavhengig sikkerhetsprogramvareselskap som i motsetning til mange andre testfirmaer ikke godtar selger penger til å utføre komparative evalueringer. Leverandører blir imidlertid varslet, og har lov til å gjøre noen konfigurasjonsendringer før NSS Labs evaluering.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

"Denne testen - den første av sitt slag i bransjen - ble utformet for å identifisere hvor effektive de mest populære bedriftens endepunktsprodukter er å beskytte mot utnyttelser, "ifølge rapporten. "Alle de sårbarhetene som ble utnyttet under denne testen, hadde vært offentlig tilgjengelig i flere måneder (om ikke år) før testen, og de hadde også blitt observert i ekte angrep på virkelige selskaper."

Angrepene gjøres ofte ved å lure en bruker til å besøke et fiendtlig nettsted som leverer en utnyttelse, eller en spesiallaget kodesekvens som låser opp et sikkerhetsproblem i et program, ifølge NSS Labs-rapporten.

Det kan være forskjellige varianter av utnyttelser som angriper det samme sikkerhetsproblemet, men målet forskjellige deler av datamaskinens minne. Sikkerhetsleverandører legger ofte til signaturer i databaser som gjør det mulig for programvaren å oppdage bestemte utnytter, men disse utnyttelsene kan utvikle seg.

"En leverandør kan utvikle en signatur for den opprinnelige bruken med det formål å senere levere etterfølgende signaturer," sa rapporten. "Vår testing har vist at de fleste leverandører ikke tar disse viktige ekstra trinnene."

Kun en av de 10 programvaresuiter som ble testet, oppdaget alle 123 bruksvarianter og varianter som var designet for å angripe sårbarheter i programvare som Microsofts Internet Explorer-nettleser, Firefox, Adobe Acrobat, Apples QuickTime og andre.

De 10 programvaresuksene skredet enormt annerledes, med en fange alle utfordringene i toppenden og 29 prosent i den lave enden.

NSS Labs sa gjennomsnittlig beskyttelsesscore var 76 prosent blant de 10 suitene for "opprinnelige utnyttelser", eller den første utnytningen ble offentliggjort mot en bestemt programvareproblemer. Tre av de 10 fanget alle opprinnelige utnyttelser. For variantutnyttelser var gjennomsnittsbeskyttelsessummen 58 prosent.

"Basert på markedsandel er mellom 70 og 75 prosent av markedet underlagt beskyttelse," sier rapporten. "Å holde AV-programvaren oppdatert gir ikke tilstrekkelig beskyttelse mot utnyttelser, som bevis ved dekningssvikt for sårbarheter flere år gammel."

NSS Labs president Rick Moy sa at alle sårbarhetene er "lavt hengende frukt"." Informasjon om sikkerhetsproblemene har vært tilgjengelig i noen tilfeller siden 2006, noe som betyr at hackerne alle vet problemene og utnyttelsene fortsatt brukes.

Men sikkerhetsprogramvarefirmaer har en tendens til å fokusere på den ondsinnede programvaren som leveres etter en utnyttelse. Disse prøvene nummer i millioner nå. Imidlertid er antallet utnytter mye, mye mindre tallrike og ville være et bedre choke-punkt for å beskytte datamaskiner.

"Jeg tror en del av problemet er at industrien fokuserer mer på skadelig programvare enn å utnytte," sa Moy. "Du må se på begge, men … du må virkelig se en sårbarhetsbasert beskyttelse og stoppe utnyttelsene."

Patching de kjente sårbarhetene vil også stoppe bruken, men mange selskaper vil ikke bruke alle patcher umiddelbart siden det kan bryte annen programvare de selskapene bruker, sa Moy. Sikkerhetsprogramvare representerer en god "virtuell oppdatering", men bare hvis den kan oppdage disse utnyttelsene og påfølgende malware, sa han.

NSS Labs setter suiter i tre kategorier: "anbefaler", noe som betyr at et produkt har vært bra og bør være brukt i et foretak; "nøytral", noe som betyr at et produkt utføres ganske bra og bør fortsette å brukes hvis det allerede er i bruk; og "forsiktighet", noe som betyr at produktet hadde dårlige testresultater, og organisasjoner som bruker den, bør vurdere sikkerhetsstillingen.

NSS Labs valgte å avdekke de sikkerhetspakker som er "forsiktighet": AVG Internet Security Business Edition 9.0.733, ESET Smart Security Enterprise Business 4.474, Norman Endpoint Protection 7.2 og Panda Internet Security 2010 (Enterprise) 15.01. Den fulle rapporten koster US $ 495 og er tilgjengelig på NSS Labs 'nettsted.

Send nyhetstips og kommentarer til [email protected]