NSS Labs: Тестирование защиты антивирусов от использования критических уязвимостей Microsoft

Тестируемые антивирусы

• Avast Internet Security 7
• AVG Internet Security 2012
• Avira Internet Security 2012
• CA Total Defense Internet Security Suite
• ESET Smart Security 5
• F-Secure Internet Security 2012
• Kaspersky Internet Security
• McAfee Internet Security 2012
• Microsoft Security Essentials
• Norman Security Suite Pro
• Norton Internet Security 2012
• Panda Internet Security 2012
• Trend Micro Titanium + Internet Security

Обзор теста

Исследователи NSS Labs использовали в тестировании две уязивмости. Первая связана с Microsoft XML Core Services 3.0, 4.0, 5.0 и 6.0, а вторая - с браузером Internet Explorer 8. Microsoft выпустила критические патчи для этих уязивмостей в июне и июле 2012 года соответственно.

Однако, различные эксплойты для этих уязвимостей уже широко используются кибер-злоумышленниками, и пользователи, операционные системы Windows которых не были обновлены патчами, подвергаются опасности.

Многие пользователи, которые еще не установили патчи в систему или отложили этот процесс, должны полагаться на свою антивирусную защиту. Антивирусные программы должны защитить пользователей от эксплойтов и вредоносных программ в переходный период, когда исправления системы еще не установлены. NSS Labs протестировала 13 популярных антивирусных программ на возможность блокировки атак на систему с двумя неисправленными уязвимостями Microsoft: CVE-2012-1875 и CVE-2012-1889.

Пользовательские антивирусы, которые эффективно защищают от использования уязвимостей, дают своим пользователям время на исправление системы установкой критических патчей. С другой стороны, успешная эксплуатация любой из двух критических уязвимостей (CVE-2012-1875, CVE-2012-1889) является серьезным недостатком антивирусного продукта, особенно, учитывая высокий уровень опасности и критический характер этих уязвимостей.

Результаты тестирования

Выводы NSS Labs

• Пользователи. которые задержали установку патчей или не установили совсем, подвергаются большему риску.

• Только 4 из 13 антивирусов заблокировал все атаки, профилактика эксплойтов остается задачей для большинства защитных продуктов.

• Более половины антивирусных программ не в состоянии защитить от атак через HTTPS, которые были заблокированы по протоколу HTTP, что является серьезным недостатком домашних антивирусов / систем предотвращения вторжений (HIPS).

• Там где в корпоративной среде действует политика BYOD, задержка исправлений подвергает серьезному риску компрометации корпоративной сети.

• Не только исследователи NSS Labs тестируют продукты безопасности - преступные организации также осуществляют сложный процесс тестирования для того, чтобы определить, какие вредоносные программы определяет тот или иной антивирусный продукт, и как можно обойти их защиту. Некоторые онлайн-угрозы будут включать в себя различные механизмы обхода защиты конкретного вендора.

Рекомендации NSS Labs

• Пользователи тех антивирусных программ, которые не блокировали все атаки, должны немедленно обновить /установить патчи на свои системы.

• По возможности, не полагаться только на антивирус, а установить HIPS-защиту или решение Inernet Security (антивирус + HIPS), чтобы обеспечить дополнительный уровень защиты.

• Компании, использующие политику BYOD, должны следить за обновлением всех систем, а также обеспечить комплексную защиту всех устройств сети (например, использовать решения Internet Security).

• Пользователи Gmail, Facebook и других онлайн-сервисов, которые используют HTTPS, должны рассмотреть возможность установки антивируса, который защищает от угроз, передаваемых через этот протокол.

• Пользователи должны рассмотреть возможность использования инструментов управления обновлениями и патчами ПО, например, бесплатное установить приложение Secunia Personal Software Inspector.

Полный отчет