NSS-laboratorier: Testadevisningar De flesta AV-sviter misslyckas

En majoritet av säkerhetsprogramvaruutveckling misslyckas fortfarande med att upptäcka attacker på datorer även efter att angreppsstilen varit känd under en tid och understryker hur cyberkriminella fortfarande har

NSS Labs, som genomför test av säkerhetsprogramvarusuper, testade hur säkerhetspaket från 10 stora företag upptäcker så kallade "client-side exploits". I sådana händelser attackerar hacker en sårbarhet i programvara som webbläsare, plug-ins för webbläsare eller skrivbordsprogram som Adobe Acrobat och Flash.

NSS Labs är ett oberoende säkerhetsprogramvaruföretag som, till skillnad från många andra testföretag, inte accepterar leverantör pengar för att utföra jämförande utvärderingar. Säljare anmäls dock och får göra vissa konfigurationsändringar innan NSS Labs utvärdering.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

"Detta test - det första av sitt slag i branschen - var utformad för att identifiera hur effektiva de mest populära företagens slutpunktsprodukter är att skydda mot exploater ", enligt rapporten. "Alla de sårbarheter som utnyttjades under detta test hade varit offentligt tillgängliga i flera månader (om inte år) före testet och hade också observerats i verkliga attacker på riktiga företag."

Anfallen görs ofta genom att lura en användare till att besöka en fientlig webbplats som levererar ett utnyttjande eller en speciellt utformad kodsekvens som låser upp en sårbarhet i ett program, enligt NSS Labs-rapporten.

Det kan finnas olika varianter av exploater som angriper samma sårbarhet men målet olika delar av datorns minne. Säkerhetsleverantörer lägger ofta till signaturer i sina databaser som gör det möjligt för programvaran att upptäcka specifika utnyttjanden, men dessa utnyttjanden kan utvecklas.

"En säljare kan utveckla en signatur för det första utnyttjandet med avsikt att senare leverera efterföljande signaturer", säger rapporten. "Vår testning har visat att de flesta leverantörerna inte tar dessa viktiga ytterligare steg."

Endast en av de 10 programvarusuperna som testades upptäckte alla 123 fördelar och varianter som var utformade för att attackera sårbarheter i programvara som Microsofts Internet Explorer-webbläsare, Firefox, Adobe Acrobat, Apples QuickTime och andra.

De 10 mjukvaru-sviterna gjorde väldigt annorlunda, med en fångst av alla utmaningar i övre änden och 29 procent i låga slutet.

NSS Labs sa det genomsnittliga skyddsresultatet var 76 procent bland de 10 sviterna för "original exploits" eller det första utnyttjandet som offentliggjordes mot en viss programvara sårbarhet. Tre av de 10 fångade alla ursprungliga utnyttjanden. För variantutnyttjande var det genomsnittliga skyddsresultatet 58 procent.

"Baserat på marknadsandel är mellan 70 och 75 procent av marknaden under skyddad", säger rapporten. "Att hålla AV-programvaran uppdaterad ger inte adekvata skydd mot exploateringar, som bevis av täckningsfel för sårbarheter flera år gammal."

NSS Labs president Rick Moy sa att alla svagheter är "låghängande frukt." Information om sårbarheten har varit tillgänglig i vissa fall sedan 2006, vilket innebär att hackarna alla känner till problemen och utnyttjandet fortfarande används.

Men säkerhetsföretag har tenderat att fokusera på den skadliga programvaran som levereras efter ett utnyttjande. Dessa prov nummer i miljoner nu. Antalet utnyttjanden är dock mycket, mycket mindre talrika och skulle vara en bättre chockpunkt för att skydda datorer. "Jag tror att en del av problemet är att industrin fokuserar mer på skadlig kod än exploateringen," sa Moy. "Du måste titta på båda, men … du behöver verkligen se ett sårbarhetsbaserat skydd och stoppa exploaterna."

Patching de kända sårbarheterna kommer också att stoppa utnyttjandet, men många företag kommer inte att tillämpa alla korrigeringsfiler direkt eftersom det kan bryta mot annan programvara som dessa företag använder, sa Moy. Säkerhetsprogramvaran representerar en bra "virtuell patch", men bara om den kan upptäcka de utnyttjande och efterföljande skadlig programvara, sa han.

NSS Labs sätter sviterna i tre kategorier: "rekommendera", vilket innebär att en produkt har fungerat bra och borde vara används i ett företag "neutral", vilket innebär att en produkt utfördes ganska bra och borde fortsätta att användas om den redan används. och "försiktighet", vilket innebär att produkten hade dåliga testresultat och organisationer som använder den bör granska sin säkerhetsställning.

NSS Labs valde att avslöja de säkerhetssuiter som det betraktar som "varning": AVG Internet Security Business Edition 9.0.733, ESET Smart Security Enterprise Business 4 474, Norman Endpoint Protection 7.2 och Panda Internet Security 2010 (Enterprise) 15.01. Den fullständiga rapporten kostar US $ 495 och finns tillgänglig på NSS Labs webbplats.

Skicka nyhetstips och kommentarer till [email protected]