NSS Labs: testprogramma's De meeste AV-suites falen tegen exploits

Een meerderheid van de beveiligingssoftwarepakketten slaagt er nog steeds niet in om aanvallen op pc's te detecteren, zelfs nadat de manier van aanvallen al enige tijd bekend is, wat onderstreept hoe cybercriminelen nog steeds hebben De overhand.

NSS Labs, dat tests van beveiligingssoftwarepakketten uitvoert, testte hoe beveiligingspakketten van 10 grote bedrijven zogenaamde "client-side exploits" detecteren. Bij dergelijke incidenten valt een hacker een kwetsbaarheid aan in software zoals webbrowsers, browserinvoegtoepassingen of desktoptoepassingen zoals Adobe Acrobat en Flash.

NSS Labs is een onafhankelijk bedrijf voor beveiligingssoftware dat, in tegenstelling tot veel andere testbedrijven, geen leverancier accepteert geld voor het uitvoeren van vergelijkende evaluaties. Leveranciers worden echter op de hoogte gebracht en mogen enige configuratiewijzigingen aanbrengen voordat de NSS Labs hun evaluatie uitvoeren.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

"Deze test - de eerste in zijn soort in de industrie - is ontworpen om te identificeren hoe effectief de meest populaire endpointproducten van bedrijven zijn om zich te beschermen tegen exploits ", aldus het rapport. "Alle tijdens deze test geëxploiteerde kwetsbaarheden waren al maanden (zo niet jaren) publiek beschikbaar voor de test en werden ook waargenomen in echte aanvallen op echte bedrijven."

De aanvallen worden vaak gedaan door een gebruiker te bedriegen voor het bezoeken van een vijandige website die een exploit of een speciaal vervaardigde codesequentie levert die een kwetsbaarheid in een softwaretoepassing ontgrendelt, volgens het rapport van NSS Labs.

Er kunnen verschillende varianten van exploits zijn die dezelfde kwetsbaarheid aanvallen, maar doelwit verschillende delen van het geheugen van een computer. Beveiligingsleveranciers voegen vaak handtekeningen toe aan hun databases die de software in staat stellen om specifieke exploits te detecteren, maar die exploits kunnen evolueren.

"Een leverancier kan een handtekening ontwikkelen voor de eerste exploit met de bedoeling later handtekeningen te leveren," aldus het rapport. "Uit onze testen is gebleken dat de meeste leveranciers deze belangrijke aanvullende stappen niet nemen."

Slechts één van de 10 geteste softwarepakketten detecteerde alle 123 exploits en varianten, die waren ontworpen om kwetsbaarheden in software zoals Microsoft's Internet Explorer-browser aan te vallen, Firefox, Adobe Acrobat, Apple's QuickTime en andere.

De 10 softwarereeksen scoorden enorm verschillend, waarbij één alle exploits aan de bovenkant en 29% aan de onderkant van de game in zijn greep had.

NSS Labs zei dat de gemiddelde beschermingsscore was 76 procent van de 10 suites voor 'originele exploits', of de eerste exploit die openbaar werd gemaakt tegen een bepaalde softwareprobleembaarheid. Drie van de 10 hebben alle originele exploits gevangen. Voor variant exploits was de gemiddelde beschermingsscore 58 procent.

"Op basis van marktaandeel is 70 tot 75 procent van de markt beschermd," aldus het rapport. "Het up-to-date houden van AV-software biedt geen afdoende bescherming tegen exploits, zoals blijkt uit dekkingstekorten voor kwetsbaarheden van enkele jaren oud."

President van NSS Labs, Rick Moy, zei dat alle kwetsbaarheden "laaghangend fruit" zijn." Informatie over de kwetsbaarheden is in sommige gevallen sinds 2006 beschikbaar, wat betekent dat de hackers allemaal de problemen kennen en dat de exploits nog steeds worden gebruikt.

Maar bedrijven met beveiligingssoftware hebben zich meestal gericht op de kwaadaardige software die na een exploit is geleverd. Die monsters zijn nu in de miljoenen. Het aantal exploits is echter veel, veel minder talrijk en zou een beter knelpunt zijn om computers te beschermen.

"Ik denk dat een deel van het probleem is dat de industrie meer op de malware dan de exploit is gericht," zei Moy. "Je moet naar beide kijken, maar … je moet echt een op kwetsbaarheid gebaseerde bescherming zoeken en de heldendaden stoppen."

Het patchen van de bekende kwetsbaarheden zal ook de exploits stoppen, maar veel bedrijven zullen niet alle patches onmiddellijk toepassen, omdat het andere software kan breken die deze bedrijven gebruiken, zei Moy. Beveiligingssoftware vertegenwoordigt een goede "virtuele patch", maar alleen als het die exploits en daaropvolgende malware kan detecteren, zei hij. NSS Labs plaatst de suites in drie categorieën: "aanbevelen", wat betekent dat een product goed heeft gepresteerd en zou moeten zijn gebruikt in een onderneming; "neutraal", wat betekent dat een product redelijk goed heeft gepresteerd en dat dit product nog moet worden gebruikt als het al in gebruik is; en "caution", wat betekent dat het product slechte testresultaten had en organisaties die het gebruikten, hun beveiligingshouding moesten herzien.

NSS Labs koos ervoor om die beveiligingssuites te onthullen die zij als "voorzichtigheid" beschouwt: AVG Internet Security Business Edition 9.0.733, ESET Smart Security Enterprise Business 4.474, Norman Endpoint Protection 7.2 en Panda Internet Security 2010 (Enterprise) 15.01. Het volledige rapport kost US $ 495 en is beschikbaar op de website van NSS Labs.

Stuur nieuwstips en opmerkingen naar [email protected]