NSS Labs: Testing Shows Most AV Suites Fail Against Exploits

Sebilangan besar suite perisian keselamatan masih gagal untuk mengesan serangan pada PC walaupun selepas gaya serangan telah diketahui untuk beberapa waktu, menggariskan bagaimana penjahat cyber masih ada bahagian atas.

NSS Labs, yang menjalankan ujian terhadap suite perisian keselamatan, menguji bagaimana paket keselamatan dari 10 perusahaan besar mengesan apa yang disebut "eksploit sisi klien". Dalam kejadian sedemikian, penggodam menyerang kerentanan dalam perisian seperti penyemak imbas Web, pemalam penyemak imbas atau aplikasi desktop seperti Adobe Acrobat dan Flash.

NSS Labs adalah syarikat perisian keselamatan bebas yang tidak seperti banyak syarikat pengujian lain yang tidak menerima vendor wang untuk melaksanakan penilaian perbandingan. Walau bagaimanapun, vendor diberitahu dan dibenarkan membuat beberapa perubahan konfigurasi sebelum penilaian NSS Labs.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

"Ujian ini - yang pertama dari jenisnya industri ini direka untuk mengenal pasti seberapa berkesan produk endpoint korporat yang paling popular adalah melindungi daripada eksploitasi, "menurut laporan itu. "Semua kelemahan yang dieksploitasi semasa ujian ini telah tersedia secara terbuka selama berbulan-bulan (jika tidak bertahun-tahun) sebelum ujian, dan juga telah diperhatikan dalam serangan sebenar ke atas syarikat-syarikat sebenar."

Serangan sering dilakukan dengan mengutuk pengguna untuk melawat laman web yang bermusuhan yang memberikan eksploitasi, atau urutan kod yang dibuat khusus yang membuka kunci kelemahan dalam aplikasi perisian, menurut laporan Labs NSS.

Terdapat beberapa variasi eksploitasi yang menyerang kerentanan yang sama tetapi target bahagian yang berlainan dari ingatan komputer. Penjual keselamatan sering menambah tanda tangan kepada pangkalan data mereka yang membolehkan perisian untuk mengesan eksploit tertentu, tetapi eksploit tersebut mungkin berkembang.

"Seorang vendor boleh mengembangkan tandatangan untuk eksploit awal dengan niat untuk kemudian memberikan tanda tangan berikutnya," kata laporan itu.. "Ujian kami telah mendedahkan bahawa kebanyakan vendor tidak mengambil langkah-langkah tambahan penting ini."

Hanya satu dari 10 suite perisian yang diuji mengesan semua eksploitasi dan varian 123, yang direka untuk menyerang kelemahan dalam perisian seperti pelayar Internet Explorer Microsoft, Suite perisian 10 menjaringkan jauh berbeza, dengan satu menangkap semua eksploit di bahagian atas dan 29 peratus pada akhir yang rendah.

NSS Labs berkata purata skor pelindung adalah 76 peratus di antara 10 suite untuk "eksploitasi asal", atau eksploit pertama yang akan dibuat secara terbuka terhadap kelemahan perisian tertentu. Tiga daripada 10 berjaya menangkap semua eksploitasi asal. Bagi eksploit varian, skor perlindungan purata adalah 58 peratus.

"Berdasarkan penguasaan pasaran, antara 70 hingga 75 peratus pasaran dilindungi," kata laporan itu. "Keupayaan menyimpan perisian AV terkini tidak menghasilkan perlindungan yang mencukupi terhadap eksploitasi, sebagai keterangan oleh jurang liputan untuk kelemahan beberapa tahun."

Presiden NSS Labs, Rick Moy, berkata semua kelemahan adalah "buah gantung rendah. " Maklumat mengenai kerentanan telah tersedia dalam beberapa kes sejak tahun 2006, yang bermaksud penggodam semua mengetahui masalah dan eksploitasi masih digunakan.

Tetapi syarikat perisian keselamatan cenderung untuk memberi tumpuan kepada perisian jahat yang disampaikan setelah mengeksploitasi. Sampel nombor dalam berjuta-juta sekarang. Walau bagaimanapun, bilangan eksploitasi adalah banyak, lebih kurang banyak dan akan menjadi titik tercekam yang lebih baik untuk melindungi komputer.

"Saya fikir sebahagian daripada masalah ini adalah industri lebih menumpukan pada malware daripada yang mengeksploitasi," kata Moy. "Anda perlu melihat kedua-duanya, tetapi … anda benar-benar perlu melihat perlindungan berdasarkan kerentanan dan menghentikan eksploitasi."

Mengesan kerentanan yang diketahui juga akan menghentikan eksploitasi, tetapi banyak syarikat tidak akan menggunakan semua patch dengan segera kerana ia mungkin melanggar perisian lain yang digunakan oleh syarikat-syarikat itu, kata Moy. Perisian keselamatan mewakili "tampalan maya" yang baik, tetapi hanya jika ia dapat mengesan eksploit dan malware yang seterusnya, katanya.

NSS Labs meletakkan suite dalam tiga kategori: "mengesyorkan," yang bermaksud produk berfungsi dengan baik dan sepatutnya digunakan dalam perusahaan; "neutral," yang bermaksud produk yang dilakukan dengan cara yang munasabah dan harus terus digunakan jika sudah digunakan;

NSS Labs memilih untuk mendedahkan suite keselamatan tersebut sebagai "berhati-hati": AVG Internet Security Business Edition 9.0.733, ESET Smart Enterprise Enterprise 4.474, Norman Endpoint Protection 7.2 dan Panda Internet Security 2010 (Enterprise) 15.01. Laporan penuh berharga AS $ 495 dan boleh didapati di laman web NSS Labs.

Kirimkan tips dan ulasan berita kepada [email protected]