Het onderzoeksbureau NSS Labs heeft een test uitgevoerd waarin 10 populaire beveiligingssuites een client-side aanval moesten detecteren. De aanvallers maken daarbij gebruik van kwetsbaarheden in webbrowsers, plug-ins of applicaties zoals Adobe Acrobat en Flash. “Deze test – de eerste in zijn soort – is ontworpen om er achter te komen hoe effectief de meest populaire professionele endpoint producten beveiligen tegen exploits”, staat in het rapport. “Alle kwetsbaarheden die worden misbruikt in deze test zijn al maanden (zo niet jaren) openbaar, en zijn al gebruikt in echte aanvallen op echte bedrijven.”

NSS Labs is onafhankelijk en laat zich niet betalen door producenten. Die producenten worden wel van tevoren gewaarschuwd dat hun producten aan tests worden onderworpen, en ze mogen de configuratie tweaken voordat NSS echt gaat testen.

Exploits en varianten

De aanvallen worden uitgevoerd door de gebruiker een besmette website te laten bezoeken die gebruik maakt van een bekend lek om een exploit op de computer te installeren. Daarbij werden verschillende varianten gebruikt van exploits op dezelfde kwetsbaarheden, die verschillende delen van het geheugen aanspreken. Dit is gedaan omdat beveiligers regelmatig signatures voor bepaalde exploits aan hun database toevoegen, maar die exploits ontwikkelen zich en de beveiligers moeten die ontwikkelingen bijhouden.

Het rapport stelt dat juist dat laatste er aan schort bij de meeste beveiligers. Slechts één van de tien suites detecteerde alle 123 exploits en varianten daarop, die gemaakt waren voor onder andere Internet Explorer, Firefox, Adobe Acrobat en QuickTime. De slechtst scorende suite detecteerde nog geen 30 procent van de aanvallen.

Laaghangend fruit

Over de hele linie werd 76 procent van de originele exploits gedetecteerd, en maar 58 procent van de varianten. Als je dat vertaalt naar het marktaandeel, dan is 70 tot 75 procent van de bedrijven niet goed beveiligd. “Het up-to-date hoduen van je AV software betekent niet dat je goed beschermd bent tegen exploits”, stelt het rapport. “Dat wordt bewezen doordat jarenoude kwetsbaarheden nog open staan.”

Tegen de IDG Nieuwsdienst zei de directeur van NSS Labs Rick Moy dat de kwetsbaarheden laaghangend fruit zijn voor de aanvallers, omdat ze in een aantal gevallen al sinds 2006 bekend zijn. Maar ze kunnen dus nog steeds succesvol worden gebruikt.

Volgens Moy richt de beveiligingsindustrie zich te veel op malware in plaats van op exploits. Maar er zijn veel minder exploits, en dus zou daar makkelijker op gefilterd kunnen worden. Het patchen van bekende lekken kan de exploits ook afstoppen, maar veel bedrijven passen die patches niet toe omdat er dan andere software stuk gaat. Op dat moment moet de beveiligingssoftware de gaten stoppen. Maar dat gebeurt alleen als die software de exploits detecteren en de daarbij behorende malware, zei hij.

Scorebord

NSS Labs heeft de suites onderverdeeld in drie categorieën: ‘aanbevolen’, wat betekent dat een product goed scoorde in de test en dat het aangeschaft kan worden; ‘neutraal’, wat betekent dat een product redelijk scoorde en dat bedrijven die het gebruiken het kunnen blijven gebruiken; en ‘waarschuwing’, wat wil zeggen dat het product heel slecht scoorde in de test en dat organisaties er nog eens goed naar moeten kijken.

In de laatste categorie zitten AVG Internet Security Business Edition 9.0.733, ESET Smart Security Enterprise Business 4.474, Norman Endpoint Protection 7.2 en Panda Internet Security 2010 (Enterprise) 15.01. Als je wilt weten welk product het beste scoorde, dan zul je 495 dollar neer moeten tellen voor het hele rapport.

Bron: Techworld