NSS Labs: test mostra la maggior parte delle suite AV falliscono contro gli exploit

La maggior parte delle suite software di sicurezza non riesce ancora a rilevare gli attacchi ai PC anche dopo che lo stile di attacco è noto da tempo, sottolineando come i criminali informatici hanno ancora

NSS Labs, che conduce i test delle suite software di sicurezza, ha testato il modo in cui i pacchetti di sicurezza di 10 importanti aziende rilevano i cosiddetti "exploit sul lato client". In tali incidenti un hacker attacca una vulnerabilità in software come browser Web, plug-in del browser o applicazioni desktop come Adobe Acrobat e Flash.

NSS Labs è una società indipendente di software di sicurezza che a differenza di molte altre aziende di test non accetta il fornitore denaro per l'esecuzione di valutazioni comparative. Tuttavia, i fornitori vengono informati e possono apportare alcune modifiche alla configurazione prima della valutazione di NSS Labs.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

"Questo test - il primo del suo genere in l'industria - è stata progettata per identificare l'efficacia dei prodotti endpoint aziendali più popolari nella protezione dagli exploit ", secondo il rapporto. "Tutte le vulnerabilità sfruttate durante questo test erano state pubblicamente disponibili per mesi (se non anni) prima del test, ed erano state osservate anche in reali attacchi a società reali."

Gli attacchi sono spesso fatti ingannando un utente in visita a un sito Web ostile che fornisce un exploit o una sequenza di codice appositamente predisposta che sblocca una vulnerabilità in un'applicazione software, in base al report NSS Labs.

Possono esserci diverse varianti di exploit che attaccano la stessa vulnerabilità ma target diverse parti della memoria di un computer. I fornitori di sicurezza aggiungono spesso firme ai loro database che consentono al software di rilevare specifici exploit, ma questi exploit potrebbero evolversi.

"Un fornitore può sviluppare una firma per l'exploit iniziale con l'intento di consegnare successivamente le firme successive", afferma il rapporto. "I nostri test hanno rivelato che la maggior parte dei fornitori non prende questi importanti passaggi aggiuntivi."

Solo una delle 10 suite di software testate ha rilevato tutti i 123 exploit e varianti, progettati per attaccare le vulnerabilità in software come il browser Microsoft Internet Explorer, Firefox, Adobe Acrobat, QuickTime di Apple e altri.

Le 10 suite di software hanno ottenuto risultati molto diversi, con uno che cattura tutti gli exploit nella fascia alta e il 29% nella fascia bassa.

NSS Labs ha dichiarato il punteggio medio di protezione era il 76% tra le 10 suite per "exploit originali", o il primo exploit da rendere pubblicamente contro una particolare vulnerabilità del software. Tre dei 10 hanno colto tutti gli exploit originali. Per gli exploit delle varianti, il punteggio medio di protezione era del 58 percento.

"Sulla base della quota di mercato, tra il 70 e il 75 percento del mercato è sotto protezione", afferma il rapporto. "Mantenere aggiornato il software AV non offre una protezione adeguata contro gli exploit, come prova delle lacune di copertura per le vulnerabilità di diversi anni."

Il presidente di NSS Labs, Rick Moy, ha dichiarato che tutte le vulnerabilità sono "frutta a basso impatto" ". Le informazioni sulle vulnerabilità sono disponibili in alcuni casi dal 2006, il che significa che gli hacker conoscono tutti i problemi e gli exploit sono ancora in uso.

Ma le società di software di sicurezza tendono a concentrarsi sul software dannoso fornito dopo un exploit. Questi campioni sono in milioni ora. Tuttavia, il numero di exploit è molto, molto meno numeroso e sarebbe un punto di strozzatura migliore per proteggere i computer.

"Penso che parte del problema sia l'industria si concentra più sul malware che sull'exploit", ha detto Moy. "Devi guardare entrambi, ma … hai davvero bisogno di guardare una protezione basata sulla vulnerabilità e fermare gli exploit."

L'applicazione delle patch alle vulnerabilità note interromperà anche gli exploit, ma molte aziende non applicheranno immediatamente tutte le patch poiché potrebbero rompere altri software utilizzati da quelle società, ha detto Moy. Il software di sicurezza rappresenta una buona "patch virtuale", ma solo se è in grado di rilevare gli exploit e il malware successivo, ha affermato.

NSS Labs colloca le suite in tre categorie: "raccomandare", il che significa che un prodotto ha funzionato bene e dovrebbe essere usato in un'azienda; "neutrale", il che significa che un prodotto è stato eseguito abbastanza bene e dovrebbe essere utilizzato se è già in uso; e "attenzione", il che significa che il prodotto ha scarsi risultati dei test e le organizzazioni che lo utilizzano dovrebbero rivedere la propria posizione di sicurezza.

NSS Labs ha scelto di rivelare tali suite di sicurezza come "cautela": AVG Internet Security Business Edition 9.0.733, ESET Smart Security Enterprise Business 4.474, Norman Endpoint Protection 7.2 e Panda Internet Security 2010 (Enterprise) 15.01. Il rapporto completo costa 495 USD ed è disponibile sul sito Web di NSS Labs.

Invia suggerimenti e commenti a [email protected]