AV-Test 2017: Тестирование самозащиты антивирусов

2017-05-02 12143 комментарии
Лаборатория AV-Test провела тестирование самозащиты 32 антивирусов для домашних и корпоративных пользователей. Основное внимание было уделено защите файлов с помощью технологий ASLR и DEP

Лаборатория AV-Test наглядно продемонстрировала, насколько хорошо антивирусные продукты для защиты домашних и корпоративных пользователей справляются с собственной защитой. На этот раз эксперты лаборатории провели оценку технологий самозащиты 32 антивирусов. Тестировщики проверили работу ASLR и DEP, а также каналов распространения продуктов и дополнительных средств защиты.

Уже в третий раз AV-Test проверила антивирусные продукты на предмет использования технологий самозащиты. Основное внимание было уделено защите файлов с помощью технологий ASLR и DEP. Данные техники очень просты для внедрения, но многие программисты о них забывают. Кроме того, было изучено, используются ли для распространения тестовых версий продуктов защищенные каналы, которые не могут подменяться злоумышленниками для поставки вредоносных приложений. Технология принудительной проверки целостности может защитить исполняемые файлы с помощью сертификатов. Этот критерий также принимался во внимание.

Многие вендоры быстро учатся

Еще в ноябре 2014 года появились результаты первого тестирования самозащиты от AV-Test, которые стали серьезным шоком применительно к нескольким разработчикам, так как ASLR и DEP использовались очень ограниченно. После этого AV-Test проверяла взаимодействие DEP и ASLR c переносимыми исполняемыми файлами (Portable Executable, PE) в 32- и 64-битных версиях антивирусных программ. Данные технологии очень просты для внедрения, не вызывают серьезных издержек в экономическом смысле и не сказываются на производительности продуктов. Технология ASLR и DEP подробно объясняется в комментарии к тесту 2015 года. В 2014 году только две компании-разработчики развернули технологию в полном объеме. Самый низкий показатель в то время не достигал 20 процентов.

Индивидуальные и сравнительные данные защиты на базе DEP и ASLR в потребительских продуктах

Индивидуальные и сравнительные данные защиты на базе DEP и ASLR в потребительских продуктах: при сравнении данных за 2014, 2015 и 2017 год наблюдается положительная динамика.

Индивидуальные и сравнительные данные защиты на базе DEP и ASLR в корпоративных решениях

Индивидуальные и сравнительные данные защиты на базе DEP и ASLR в корпоративных решениях: большинство вендоров справляются с задачей, только Seqrite нужно переломить ситуацию.

Результаты самого первого испытания повлияли на вендоров, и уже в 2015 году наблюдалась положительная динамика. Хотя самый низкий показатель остался на отметке в 18,7%, многие производители добились покрытия в 95% и выше.

В текущем тесте принимали участие 19 антивирусов для обычных потребителей и 13 антивирусных решений для корпоративных пользователей. 16 антивирусов имеют 100%-ную защиту файлов с помощью ASLR и DEP. Таким образом, многие вендоры быстро учатся. Эксперты прогнозирует дальнейшее улучшение показателей. На этот раз самый низкий показатель оказался равен 36,3%.

Некоторые компании-разработчики сообщили, что никогда не смогут достигнуть 100%-ного покрытия, из-за использования технологий защиты, несовместимых с ASLR и DEP. Однако производители не хотят раскрывать, какие технологии задействованы.

Тестируемые антивирусы

Антивирусы для дома

Корпоративные антивирусы

1. Тестирование самозащиты: 16 из 32 решений используют ASLR и DEP на 100%

Как отмечалось, многие продукты используют технологии ASLR и DEP для защиты своих файлов с 32-битных и 64-битных версиях.

19 антивирусов для обычных пользователей

Антивирусы от Avira, Bitdefender, ESET, F-Secure, Kaspersky Lab, MicroWorld, Symantec и Trend Micro используют защитные технологии ASLR и DEP в полном объеме. BullGuard применяет защитные механизмы в 99,6 процентов своих файлов, G Data и AVG защитили 98,8 и 97,2 процентов файлов соответственно. Другие компании, такие как Comodo, Emsisoft, Avast, McAfee, ThreatTrack, Quick Heal и K7 недостаточно используют эти технологии безопасности. Доля защищенных файлов колеблется от 92,2% до 58,5 процентов. Ahnlab показал самый низкий результат в 36,4 процента. Вендору нужно как можно быстрее предпринять шаги, чтобы исправить ситуацию.

Технологии самозащиты DEP и ASLR в потребительских продуктах

Технологии самозащиты DEP и ASLR в потребительских продуктах: многие вендоры улучшили защиту файлов, но пока еще не все.

13 корпоративных антивирусов

Что касается корпоративных решений, то здесь производители были более последовательны при внедрении технологий защиты ASLR и DEP. Решения от AVG, Bitdefender, ESET, F-Secure, Kaspersky Lab и Symantec используют технологию на 100 процентов. Trend Micro, McAfee, G Data и Sophos еще могут немного улучшить - их показатель варьируется от 98,1 до 99 процентов. Разработчикам Seqrite нужно срочно позаботиться об улучшении. Уровень развертывания в 77,1% нельзя назвать высоким.

Технологии самозащиты DEP и ASLR в корпоративных решениях

Технологии самозащиты DEP и ASLR в корпоративных решениях: только Seqrite дает повод для критики, остальные разработчики хорошо защитили свои продукты.

2. Тестирование самозащиты: имеют ли файлы цифровую подпись?

Подписание файлов может быть устаревшей практикой для программистов, но данная процедура обеспечивает безопасность. Подписи и сертификаты файлов помогают идентифицировать разработчика. Неподписанные файлы всегда представляют определенный риск безопасности. Эффективная стратегия самозащиты подразумевает, что программное обеспечение может проверять подлинность и целостность собственных файлов. В данном случае важную роль играют цифровые подписи с действительными сертификатами и хеш-суммами. AV-Test провела проверку подлинности сертификатов для всех 32-битных и 64-битных PE-файлов. Здесь также обнаружилось, что некоторые разработчики потрудились очень плодотворно, а некоторым вендорам стоит проверить свои файловые сертификаты.

Сертификаты в потребительских продуктах: Bitdefender, Comodo, Emsisoft, ESET, G Data, Kaspersky Lab, McAfee и Symantec используют действительные сертификаты для цифровых подписей всех своих 32-битных и 64-битных переносимых исполняемых файлов. Многие из этих разработчиков в полном объеме применили защитные технологии ASLR и DEP. В случае с Avira, F-Secure, BullGuard, MicroWorld, Ahnlab и AVG, от 1 до 5 файлов не имеют подписи или подписаны недействительным сертификатом. У Trend Micro и Avast неподписанными оказались 6 и 8 файлов соответственно. Продукты от ThreatTrack и Quick Heal содержат 13 и 40 уязвимых файлов.

Подписанные файлы в потребительских продуктах

Подписанные файлы в потребительских продуктах: неподписанные файлы представляют серьезный риск безопасности, но их количество обычно невелико. Исключением стал Quick Heal.

Сертификаты в корпоративных решениях: когда дело касается подписанных файлов, уровень должной осмотрительности имеют гораздо более важное значения для корпоративных продуктов. Из 13 проверенных продуктов проблем с подписью файлов не было выявлено у 8 - Bitdefender, ESET, F-Secure, G Data, Kaspersky Lab (обе версии), Symantec (облачная версия) и Trend Micro. В AVG, Sophos и Symantec Endpoint Security неподписанным оказался всего один файл. В McAfee подпись отсутствовала у 4 файлов, а у Seqrite неподписанными оказалось 42 PE-файла из 256, а это больше 16 процентов.

Подписанные файлы в корпоративных решениях

Подписанные файлы в корпоративных решениях: неподписанные файлы встречаются очень редко. Единственным исключением можно назвать Seqrite.

3. Тестирование самозащиты: распространение программ по безопасным каналам

При распространении программного обеспечения через веб-сайты компании-разработчика следует использовать защищенный протокол HTTPS. Многие браузеры, например, Google Chrome, предупреждают пользователей об использовании незащищенных протоколов. Это единственный способ обеспечить защищенный канал связи с сервером. Незащищенный протокол HTTP позволяет организовывать атаки “человек посередине”. В этом случае загрузка может быть модифицирована злоумышленником, и пользователь может скачать поддельный файл. Пользователи обычно не замечают подобные атаки. При попытке запуска файла без цифровой подписи Windows выведет предупреждение. Но в этом случае, кто бы не доверял установке антивируса?

Защищенные загрузки

Защищенные загрузки: многие компании-разработчики предлагают загрузить тестовые версии по незащищенному протоколу HTTP вместо более безопасного HTTPS.

Хотя в случае с корпоративными решениями обычно нет прямой загрузки, почти все вендоры предлагают пробную тестовую версию для домашних пользователей. По результатам теста сразу 13 из 19 компаний-разработчиков распространяли установочные файлы по небезопасному протоколу HTTP. HTTPS используют Avira, Bitdefender, ESET, F-Secure, G Data и Kaspersky Lab.

Есть примеры для подражания

Разработчик антивирусных продуктов должны использовать все доступные технологии самозащиты для обеспечения безопасности своих решений. Им есть на кого равняться. Bitdefender, ESET, Kaspersky Lab и Symantec используют ASLR и DEP в полном объеме, подписывают все PE-файлы действительными сертификатами и предлагают загрузку по защищенным каналам.

Многим вендорам достаточно небольших усилий, чтобы догнать лидеров. Это не должно представлять серьезную проблему. Следующий тест покажет, как они выполнят работу над ошибками.

Действительно ли антивирус снижает безопасность компьютера?

Технический директор AV-TEST GmbH Майк Моргенштерн (Maik Morgenstern)

Майк Моргенштерн (Maik Morgenstern)

Тестирование показывает, что некоторые производители пренебрегают мерами защиты своих продуктов, что может представлять повышенные риски безопасности. Использование данного аргумента в качестве причины для отказа от любой защиты приведет к еще более серьезным последствиям.

Полученные результаты подтверждают высказывания некоторых экспертов, которые считают, что антивирусные программы имеют потенциальные пробелы в безопасности. Тем не менее, эти эксперты часто утверждают, что можно полностью отказаться от использования антивирусов для усиления безопасности. Это, конечно, полная чепуха.

Естественно, некоторые производители могут подвергнуться критике из-за того, что пренебрегают самыми простыми механизмами защиты, такими как ASLR и DEP. Это такие компании, как Comodo, Emsisoft, Avast, McAfee, ThreatTrack Quick Heal, K7, Ahnlab и Seqrite. Применять данные технологии самозащиты несложно, а многие конкуренты развернули их в полном объеме. Многие из вышеупомянутых компаний также слабо выглядят, когда речь заходит о второй базовой защите - подписании файлов. В частности, неясно, почему только определенные файлы не подписаны или подписаны с недействительным сертификатом; большинство из них подписаны корректно. Тот факт, что многие производители также предлагают свои тестовые версии через небезопасный HTTP-протокол, дает критикам еще больше аргументов против антивирусного ПО.

Как показывают регулярные тесты эффективности, компании-разработчики хорошо справляются со своей работой. Антивирусы надежно удаляют угрозы и показывают высокие уровни обнаружения. Однако, этого недостаточно. Термин “Приложение безопасности” не просто означает наличие множества модулей внутри продукта. Некоторые производители по-прежнему не понимают, что антивирусная программа должна быть хорошо сбалансирована в целом: лучшая защита для пользователя должна быть подкреплена безупречно защищенной базой. Все начинается с загрузки пробной версии с безопасного сервера. По-видимому, только Bitdefender, ESET, Kaspersky Lab и Symantec полностью осознают данную концепцию.

По материалам AV-Test

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте