Dokážou Anti-Virus (AV) produkty ochránit proti kritickým zranitelnostem Microsoftu nebo proti hrozbám šířícím se přes HTTPS? NSS Labs zveřejnily v srpnu výsledky prováděných testů na 13 oblíbených spotřebitelských Anti-Virus (AV) produktech s cílem zjistit, jak dobře jsou schopny odrazit útoky na systémy, které nebyly dosud záplatované pro zranitelnosti CVE-2012-1875 a CVE-2012-1889. Zarážející jsou výsledky zejména u HTTPS protokolu, dnes hojně používaného. Někteří výrobci v této oblasti neposkytují ochrany žádné nebo jen omezené. Značka McAfee uspěla na 100% ve všech testech.
Shrnutí výsledku testování:
·Uživatelé, kteří se opozdí s patchováním operačního systému nebo jiných komponent se vystavují zvýšenému riziku ohrožení.
·Pouze 4 z 13 produktů zablokovaly všechny útoky, prevence proti expoitu zůstává výzvou pro většinu výrobců.
·Více než polovina produktů nedokázala ochránit koncové stanice před útoky prostřednictvím HTTPS přesto, že tyto útoky byly blokovány při komunikaci přes HTTP protokol, což je závažný nedostatek pro klientské AV/HIPS (host intrusion protection systems).
·Ve firemních prostředích, kde je aplikována BOYD politika se zpožděná instalace patchů na klientských zařízeních promítá do bezpečnosti celé podnikové sítě.
·NSS Labs vědci nejsou jediní, kteří testují bezpečnostní produkty - zločinecké organizace mají také sofistikované testovací procesy s cílem určit, který produkt rozpozná jaký malware a jak je možno ochranu obcházet.
Pro názornost jsme vybrali grafické znázornění výsledků testů třech značek, nejvíce známých a používaných na českém a slovenském trhu. Graf 1 ukazuje, jak byly značky úspěšné ve všech testech. McAfee v testech 100% ochránil uživatele před útoky vedenými přes HTTP i HTTPS.
Ochrana proti exploitu
První test zjišťoval, které antivirové produkty by mohly zablokovat zneužití dvou současných vysoce rizikových zranitelností a určit, v jaké fázi je antivir schopen zastavil útok. Zablokoval antivir exploit od zaktivování zranitelnosti nebo byl prostě obsah exploitem doručen? Avast, AVG, Avira, Eset, Kaspersky, McAfee, Norton a Trend Micro blokovaly oba útoky proti CVE-2012-1889. Graf 2 ukazuje, že vybrané značky AVG, Eset a McAfee měly 100% úspěšnost při obraně proti útokům exploitů vedenými přes HTTP. Jak si však vedly značky při útocích přes HTTPS? Výsledky se dozvíte v následující kapitole.
Svět poběží přes HTTPS / SSL
Kromě bankovnictví a e-commerce webů, HTTPS výhradně používají také některé z nejpopulárnějších aplikací založených na internetu, jako je webmail služby Google a Gmail.
Pro další fázi testů byl využit pro přenos expoitu šifrovaný kanál pomocí protokolu HTTPS. V těchto testech jen antiviry Avast, Kaspersky, McAfee a Trend Micro úspěšně blokovaly exploity, zatímco 9 z 13 produktům se zcela nebo částečně nepodařilo ochránit oběť. Graf 3 ukazuje, že McAfee zajistil 100% ochranu, Eset pouze částečnou a AVG bohužel v tomto testu neuspěl.
Kombinovaná komunikace
Avast, Kaspersky, McAfee a Trend Micro byly schopny zablokovat všechny čtyři pokusy expoitů, které byly dopraveny prostřednictvím protokolu HTTP nebo HTTPS. Eset a Norton blokovaly všechny čtyři počáteční útoky, ale po přidání kombinované HTTPS komunikace selhaly i při blokování CVE-2012-1875. AVG a Avira zablokovaly všechny čtyři pokusy exploitů, ale nebyly schopny se vypořádat s variacemi HTTPS. Graf 4 ukazuje kombinované útoky, kde McAfee uspěl na jedničku, Eset uspěl méně než z 80% a AVG prospěl z 50%.
Kompletní výsledky testů najdete zde.
