This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Сравнительный защиты от вредоносных программ испытаний: правильный путь, чтобы сделать их

Filed Under: Featured, Malware, Security threats, SophosLabs

Примечание: В интересах раскрытия информации открытыми, я старший научный сотрудник вредоносных программ на SophosLabs с большим интересом в улучшении процедуры тестирования и членом-основателем Anti-Malware Тестирование организация по стандартизации (AMTSO).

Последний защиты от вредоносных программ испытаний , выполненных Dennis Technology Labs, показали, что сравнительное тестирование действительно может быть сильным индикатором того, насколько хорошо решения безопасности могут защитить пользователя.

simon edwards blog

Проведение этих типов тестов, не является легким или даже прямо вперед, но Dennis Technology показала, что это действительно возможно.

Интернет полон так называемых тестирования органов, которые сканировать свои коллекции вредоносных программ с горсткой по требованию сканеры и публиковать рейтинги.

Измерение по требованию уровень обнаружения обеспечивает показатель, но он на самом деле не сообщить пользователям, что они хотят знать: это их систем как можно более безопасным от избытка вредоносных атак там?

Полное тестирование продукта представляет то, что известно как «вредоносный сценарий атаки" на компьютере-жертве.

Хорошие тесты пытаются подражать известной атаки в реальных условиях, с целью записи защитных мер, используемых для обеспечения безопасности, чтобы остановить атаку на самой ранней стадии. Конечной целью является оценить, насколько хорошо решение защищено жертвой системы от атак.

Эти типы тестов необходимо учитывать настройки системы, поведение пользователей, установка конфигурации и т.д. Это сложный набор параметров, чтобы получить права.

Чтобы проиллюстрировать это, давайте посмотрим на веб-атак с использованием самых успешных подвиг комплекта мы видели в последние несколько лет, Blackhole набор эксплойтов . Есть целый ряд этапов в атаке, и многослойные современные решения безопасности должны попытаться предотвратить инфекцию на каждом этапе.

thumbs up

Этапы веб-атак с использованием набора эксплойтов Blackhole

Во-первых, этот тип вредоносных атак обычно начинается через простой веб-ссылка. Это может быть доставлен по электронной почте, проезжавшего мимо эксплойт или в браузере результаты поиска (результат поиска отравления двигателя).

В случае распределения электронной почты, спам-фильтры присутствуют для фильтрации нежелательных и вредоносных сообщений. С проезжавшего мимо автомобиля или поиск атак двигателя отравления, веб-фильтрацию, чтобы поймать плавающие фреймы указывая на известные шаблоны URL и должны поднять тревогу.

Во-вторых, атака обычно используют простые скрипты редиректор. Они часто зашифрованы, который предупреждает обнаружения вредоносных сценариев. Если редиректор сценарии не быть зашифрованы, фильтрации URL и защиты репутации предназначены для предупреждения пользователя или администратора подозрительной деятельностью.

Эти перенаправления указывают на хостинг-сервер, который, в случае набора эксплойтов Blackhole, есть "направление движения системы" (TDS). Сбор браузер и ОС версии информацией, TDS возвращает набор эксплойтов с учетом конкретных уязвимостей, присутствующих в жертву окружающей среды.

В-третьих, подвиги доставляются на атакуемой системы. Поставка контента может содержать простые VBScript загрузчиков, PDF, Flash или Java-эксплойтов, а также некоторые редко используемые для Windows уязвимостей. Этот вредоносный контент надежно обнаружить до современных Exploit Prevention модулей, по доступу сканеры и фильтрации содержимого компонентов.

В-четвертых, следует подвиги быть успешным, зараженного компьютера подключается к хостинг-сервер для двоичных полезной нагрузки, которая затем загружается и выполняется.

И именно на этой четвертой стадии, когда большинство режиме реального времени Проверка защиты начать их оценки; в точке, где URL указывает на исполняемый содержание. Атака этапы от одного до трех редко, если вообще когда-либо, по мнению большинства режиме реального времени испытания защиты.

Этот недостаток в тестах была отмечена на 2007 Международный семинар тестирование антивируса . Дискуссия по этой теме задуман рождения Anti-Malware Тестирование организации по стандартизации (AMTSO) на следующий год.

Для улучшения качества тестирования - проверить и в пути, который действительно подражал в режиме реального времени пользовательский опыт - казалось невыполнимой миссией в то время. К счастью, объединенные силы тестеров и антивирусные эксперты создали несколько очень полезных рекомендаций и лучших практик .

dennis technology labs

Dennis Labs активно участвовала с самых ранних дней AMTSO, работы с документами, как все руководящие принципы тестирования продукта. Это приятно видеть, что они не были заинтересованы только в теории, но приняли эти руководящие принципы на практике, а также.

Вы можете читать Dennis Labs в добровольном руководящие принципы для тестирования веб-угроз, но вот основные моменты:

  • Они не берут образцы кормов от поставщиков
  • Они стараются всегда использовать URL, содержащих эксплойты
  • Они могут включать в себя социально-инженерной атаки
  • Они используют сложные образцы.

Конечно, для многослойной защиты от вредоносного решение разработчика, приоритетом номер один является безопасность системы своих пользователей.

Люди на рынок новых подходов к обеспечению безопасности обратиться к независимым тестам в качестве ориентира.

И, да, все производители хотят, чтобы преуспеть на тесты, но они гораздо более ценным, если испытания надлежащим образом оформленные и посмотреть на весь решение для обеспечения безопасности, а не только некоторые из компонентов.


Протестировано изображения и Недурно Изображение предоставлено ShutterStock.

You might like

About the author

Gabor Szappanos is a Principal Malware researcher at SophosLabs. He started anti-virus work in 1995, and joined VirusBuster in 2001, and became the head of VirusBuster's virus lab in 2002. Since 2008 Gabor has been a member of the board of directors in AMTSO (Anti Malware Testing Standards Organizations).