This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Comparados anti-malware pruebas: la forma correcta de hacer

Filed Under: Featured, Malware, Security threats, SophosLabs

Nota: En aras de la divulgación abierta, soy investigador de malware senior de SophosLabs con un gran interés en la mejora de los procedimientos de prueba y miembro fundador de la Anti-Malware Testing Standards Organisation (AMTSO).

Los últimos anti-malware pruebas , realizadas por Dennis Technology Labs, muestran que las pruebas comparativas en realidad puede ser un buen indicador de lo bien que una solución de seguridad puede proteger a un usuario.

simon edwards blog

La realización de este tipo de pruebas no es fácil ni siquiera sencillo, pero Dennis Tecnología demostró que sí es posible.

El Internet está lleno de cuerpos de prueba los llamados que escaneen sus colecciones de malware con un puñado de exploradores a la carta y publicarán las clasificaciones.

Medición on-demand tasas de detección proporciona un indicador de rendimiento, pero en realidad no indicar a los usuarios lo que quieren saber: ¿son sus sistemas lo más seguro posible de la superabundancia de los ataques maliciosos por ahí?

Prueba completa del producto presenta lo que se conoce como un "caso de un ataque malicioso" a una computadora de la víctima.

Buenas pruebas de tratar de emular un ataque conocido en un entorno real, con el objetivo de registrar las medidas de protección empleadas por el software de seguridad para detener el ataque en la primera etapa. El objetivo final es evaluar qué tan bien la solución protegido el sistema de la víctima de un ataque.

Estos tipos de pruebas hay que tener en cuenta la configuración del sistema, el comportamiento del usuario, configuraciones de instalación, etc Se trata de un complejo conjunto de parámetros para hacerlo bien.

Para ilustrar este punto, echemos un vistazo a los ataques web utilizando el paquete de exploits más exitoso que hemos visto en los últimos años, el paquete de exploits Blackhole . Hay una serie de etapas en el ataque, y hoy en día múltiples capas soluciones de seguridad debe tratar de prevenir la infección en cada etapa.

thumbs up

Etapas de un ataque web utilizando el paquete de exploits Blackhole

En primer lugar, este tipo de ataque malicioso se inicia generalmente a través de un enlace simple de la tela. Puede ser entregado por correo electrónico, drive-by exploit o en los resultados de búsqueda del explorador (resultado del envenenamiento de motores de búsqueda).

En el caso de distribución de correo electrónico, los filtros de spam están presentes para filtrar los mensajes no deseados y maliciosos. Con drive-by o ataques de envenenamiento de motores de búsqueda, filtrado web está allí para atrapar a los iFrames apuntan a patrones de URL conocidas y debería generar una alerta.

En segundo lugar, el ataque por lo general emplea scripts simples redirector. A menudo se cifran, que alerta de detección de secuencias de comandos malintencionadas. ¿No deberían ser los guiones redirector filtrado de URL, cifrado y defensas reputación están diseñados para alertar al usuario o administrador a las actividades sospechosas.

Estas redirecciones señalar a un servidor de alojamiento, que, en el caso de la exploit kit Blackhole, incluye un "sistema de tráfico de dirección" (TDS). Recopilación de información del navegador y versión del sistema operativo, el TDS devuelve una colección de exploits adaptados a las vulnerabilidades específicas presentes en el ambiente víctima.

En tercer lugar, las hazañas son entregados al sistema atacado. Entregado contenido puede contener sencillo descargadores VBScript, PDF, Flash o Java hazañas, junto con algunas pocas veces utilizados vulnerabilidades de Windows. Este contenido malicioso se detectan de forma fiable por el up-to-fecha de módulos de prevención de exploits, escáneres en acceso, o componentes de filtrado de contenidos.

En cuarto lugar, si las hazañas de tener éxito, el equipo de la víctima vuelve a conectar al servidor de alojamiento de la carga útil binaria, que posteriormente se descargan y ejecutan.

Y es en esta cuarta etapa donde la mayoría de los test en tiempo real de protección de comenzar su evaluación, en el punto en la dirección URL señala en el contenido ejecutable. Fases de ataque del uno al tres son rara vez, o nunca, considerado por la mayoría de las pruebas de protección en tiempo real.

Esta deficiencia en las pruebas se destacó en un informe de 2007 Taller Internacional de Evaluación Antivirus . La discusión sobre este tema concibió el nacimiento de la Anti-Malware Testing Standards Organization (AMTSO) al año siguiente.

Para mejorar la calidad de las pruebas - y para probar de una manera que imita verdaderamente una experiencia de usuario en tiempo real - parecía ser misión imposible en ese momento. Afortunadamente, las fuerzas combinadas de los probadores y expertos anti-virus creado algunas muy útiles directrices y mejores prácticas .

dennis technology labs

Dennis Labs participó activamente desde los primeros días de AMTSO, trabajar en documentos como guías completas de pruebas de productos. Es bueno ver que no estaban interesados ​​sólo en teoría, sino que adoptó estas directrices en la práctica también.

Usted puede leer autoimpuestas de Dennis Labs directrices para probar las amenazas Web, pero aquí son los aspectos más destacados:

  • No aceptan feeds muestra de los vendedores
  • Tratan de utilizar siempre direcciones URL que contienen exploits
  • Pueden incluir ataques de ingeniería social
  • Ellos usan muestras complejas.

Por supuesto, para una multi-capas, desarrollador de soluciones anti-malware, la prioridad número uno es la seguridad de los sistemas de sus usuarios.

La gente en el mercado para buscar nuevos enfoques de seguridad a pruebas independientes como guía.

Y, sí, todos los vendedores quieren hacer bien en los exámenes, pero son mucho más valioso si las pruebas se ejecutan correctamente y ver la solución de seguridad total, y no sólo algunos de los componentes.


Probado imagen y pulgares arriba imagen cortesía de Shutterstock.

You might like

About the author

Gabor Szappanos is a Principal Malware researcher at SophosLabs. He started anti-virus work in 1995, and joined VirusBuster in 2001, and became the head of VirusBuster's virus lab in 2002. Since 2008 Gabor has been a member of the board of directors in AMTSO (Anti Malware Testing Standards Organizations).