This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Comparativos anti-malware testes: o caminho certo para fazê-los

Filed Under: Featured, Malware, Security threats, SophosLabs

Nota: No interesse da divulgação aberta, sou pesquisador sênior de malware SophosLabs com um grande interesse em melhorar os procedimentos de teste e um membro fundador da Anti-Malware Testing Standards Organization (AMTSO).

Os últimos testes anti-malware , realizado por Dennis Technology Labs, mostram que o teste comparativo pode realmente ser um forte indicador de quão bem uma solução de segurança pode proteger o usuário.

simon edwards blog

Condução desses tipos de testes não é fácil ou mesmo simples e direta, mas Dennis Technology mostrou que é realmente possível.

A internet está cheia de corpos chamados testes que digitalizam suas coleções de malware com um punhado de on-demand scanners e publicar os rankings.

Medição on-demand taxas de detecção fornece um indicador de desempenho, mas que na verdade não informar aos usuários o que eles querem saber: são seus sistemas tão seguros quanto possível a partir do excesso de ataques maliciosos por aí?

Testes de produtos completa introduz o que é conhecido como um "cenário de ataque malicioso" para um computador da vítima.

Bons testes tentar imitar um ataque conhecido em um cenário da vida real, com o objetivo de registrar as medidas de proteção utilizadas pelo software de segurança para parar o ataque na primeira etapa. O objetivo final é avaliar quão bem a solução protegeu o sistema vítima de um ataque.

Estes tipos de testes precisa levar em conta a configuração do sistema, o comportamento do usuário, configurações de instalação, etc É um complicado conjunto de parâmetros para obter direito.

Para ilustrar este ponto, vamos olhar para ataques na web usando o exploit kit de maior sucesso que temos visto nos últimos anos, o exploit kit Blackhole . Há um número de etapas no ataque, e as soluções de hoje multi-camadas de segurança deve tentar prevenir a infecção em cada fase.

thumbs up

Etapas de um ataque web usando o exploit kit Blackhole

Em primeiro lugar, este tipo de ataque malicioso geralmente é iniciada através de um link da web simples. Ele pode ser entregue via e-mail exploit, drive-by ou em resultados de busca do navegador (resultado de envenenamento motor de busca).

No caso de distribuição de email, filtros de spam estão presentes para filtrar mensagens indesejadas e malicioso. Com drive-by ou ataques de envenenamento de motores de busca, filtragem web está lá para pegar os iFrames que apontam para padrões de URL conhecidos e deve levantar um alerta.

Em segundo lugar, o ataque geralmente emprega os scripts redireccionador simples. Estes são muitas vezes criptografados, que alerta de detecção de script malicioso. Não devem os scripts de redirecionador ser criptografados filtragem de URL, e as defesas de reputação são projetados para alertar o usuário ou administrador de atividades suspeitas.

Esses redirecionamentos apontam para um servidor que hospeda, que, no caso de o kit exploit Blackhole, apresenta um "sistema de orientação de trânsito" (TDS). Coleta de navegador e sistema operacional informações sobre a versão, a TDS retorna uma coleção de feitos sob medida para as vulnerabilidades específicas presentes no ambiente vítima.

Terceiro, exploits são entregues ao sistema sob ataque. Conteúdo entregue podem conter simples VBScript downloaders, PDF, Flash ou Java façanhas, juntamente com algumas vulnerabilidades raramente usados ​​no Windows. Este conteúdo malicioso é detectado de forma confiável pelos up-to-date módulos de exploração de prevenção, ao acessar scanners, ou componentes de filtragem de conteúdo.

Quarto, devem as façanhas ser bem sucedida, a máquina da vítima volta a ligar ao servidor de hospedagem para a carga binário, que posteriormente é baixado e executado.

E é nesta fase quarto onde a maioria dos testes de proteção em tempo real começar a sua avaliação; no ponto onde a URL aponta para o conteúdo executável. Estágios de ataque de um a três são raramente, ou nunca, considerado pela maioria dos testes de proteção em tempo real.

Esta falha em testes foi destaque em 2007 um Workshop de Testes Internacional Antivírus . Discussão sobre este tema concebeu o nascimento da Anti-Malware Testing Standards Organization (AMTSO) no ano seguinte.

Para melhorar a qualidade dos testes - e para testar de uma forma que realmente imitou uma experiência de usuário em tempo real - parece ser missão impossível naquele momento. Felizmente, as forças combinadas de testadores e peritos anti-vírus criado alguns muito orientações úteis e melhores práticas .

dennis technology labs

Dennis Labs participou ativamente dos primórdios da AMTSO, trabalhar em documentos como diretrizes de teste total do produto. É bom ver que eles não estavam interessados ​​apenas em teoria, mas adotaram essas diretrizes em prática também.

Você pode ler Dennis Labs de auto-impostas diretrizes para testar as ameaças da web, mas aqui estão os destaques:

  • Eles não têm feeds de amostra de fornecedores
  • Eles tentam sempre usar exploits URLs contendo
  • Eles podem incluir sociais-ataques de engenharia
  • Eles usam amostras complexas.

Claro que, para um multi-camadas desenvolvedor de soluções, anti-malware, a prioridade número um é a segurança dos sistemas de seus usuários.

Pessoas no mercado para novas abordagens de segurança olhar para testes independentes como um guia.

E, sim, todos os fornecedores querem fazer bem nos testes, mas eles são muito mais valiosa se os testes são executados corretamente e olhar para a solução de segurança de todo, e não apenas alguns dos componentes.


Testado imagem e polegares para cima imagem cortesia do Shutterstock.

You might like

About the author

Gabor Szappanos is a Principal Malware researcher at SophosLabs. He started anti-virus work in 1995, and joined VirusBuster in 2001, and became the head of VirusBuster's virus lab in 2002. Since 2008 Gabor has been a member of the board of directors in AMTSO (Anti Malware Testing Standards Organizations).