Программное обеспечение безопасности плохо работает в тесте Exploit

Комплекты программного обеспечения безопасности плохо справляются с обнаружением, когда программное обеспечение ПК находится под атакой, согласно датскому вендору Secunia.

Secunia проверила, насколько хорошо дюжина комплектов безопасности в Интернете может идентифицироваться при использовании уязвимости программного обеспечения, сказал Томас Кристенсен, технический директор Secunia.

Это другой подход к тому, как сегодня разрабатываются программы. Программное обеспечение безопасности стремится сосредоточиться на обнаружении вредоносного программного обеспечения, которое заканчивается на ПК после того, как уязвимость была использована. Программное обеспечение обновляется сигнатурами или файлами данных, которые распознают определенные вредоносные данные, которые доставляются на эксплойт ПК.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

Кристенсен сказал, что при обнаружении эксплойта, а не в защите от бесчисленных полезных нагрузок. Сам эксплоит не изменяется и должен использоваться таким же образом для взлома ПК.

Бесчисленное количество полезных нагрузок - от регистраторов нажатия клавиш до программного обеспечения ботнета - может быть развернуто во время атаки на уязвимость.

Идентификация эксплойта - непростая работа, однако Кристенсен сказал. Версии программы, подверженной уязвимости, должны анализироваться до и после применения патча, чтобы выяснить, как работает эксплойт.

Для своего тестирования Secunia разработала свои собственные рабочие эксплойты для известных уязвимостей программного обеспечения. Из этих эксплойтов 144 были вредоносными файлами, такими как мультимедийные файлы и офисные документы. Остальные 156 были эксплойтами, включенными во вредоносные веб-страницы, которые, в частности, обнаруживают уязвимости браузера и ActiveX.

Symantec вышел на первое место, но даже тогда его результаты не были звездными: в Internet Security Suite 2009 компании обнаружено 64 из 300, или 21,33% от набора образцов.

Результаты стали намного хуже. На втором месте BitDefender Internet Security Suite 2009 построили 12.0.10, обнаружив 2,33% набора образцов. У Trend Micro Internet Security 2008 была такая же скорость обнаружения, как у BitDefender, а затем на Internet Security Suite 2009 McAfee на третьем месте на 2 процента.

Кристенсен предупредил, что Secunia знает, что большинство поставщиков не сосредоточены на обнаружении эксплойтов. Но разработчикам выгодно было бы создавать подписи для эксплойтов, а не только для полезных нагрузок, поскольку это могло бы сэкономить больше времени. Крисенсен сказал: «Мы не видим ни одного из них», - сказал он.

Поставщики, такие как Symantec, похоже, двигаются в этом направлении, так как создали подписи для эксплойтов, связанных с Microsoft. другие поставщики, имеющие что-то похожее на это », сказал Кристенсен.

Тем временем, пользователи должны применять исправления программного обеспечения, как только эти исправления будут выпущены. Если есть задержка между открытием эксплойта и выпуском исправления, пользователи также могут просто избегать использования конкретной программы.

«Слишком много людей думают, что им не о чем беспокоиться, если они имеют только антивирусное программное обеспечение», Кристенсен сказал. «К сожалению, это определенно не так».