Избирательный подход к защите

Исследовательская лаборатория NSS Labs представила результаты очередного тестирования корпоративных антивирусных решений. Помимо прочего, специалисты решили проверить, соблюдают ли производители принцип равнопрочности рубежей защиты; оказалось, что не все разработчики знакомы с этим основополагающим требованием.



Принцип равнопрочности гласит: уровень безопасности, обеспечиваемый различными элементами одного и того же защитного контура, должен быть одинаковым или, в худшем случае, слабо различимым. Грубо говоря, если в охраняемом помещении три окна, а решетки стоят только на двух, то их прочность и надежность не имеют никакого значения - злоумышленник просто не станет с ними связываться и проникнет через незащищенный проем. В теории, аналогичный подход должен соблюдаться и при построении антивирусного пакета: он должен одинаково хорошо бороться с угрозами из любых источников вне зависимости от того, через какие именно входные ворота проникает инфекция. Тем не менее, результаты тестирования NSS Labs, похоже, свидетельствуют об обратном.


Исследователи проверили десять популярных бизнес-продуктов на предмет эффективности предоставляемой ими защиты от проникновения вредоносных программ по различным каналам: загрузка из Интернета или интранета, с файловых серверов, через  пиринговые файлообменные сети, со съемных USB-дисков, посредством электронной почты и за счет эксплуатации уязвимостей. Безусловно, можно возразить, что исходящая от этих каналов опасность неравнозначна, но специалисты NSS Labs подчеркивают: "нечасто атакуемый" и "безопасный" - не синонимы.


Итак, поговорим для начала об электронной почте. По статистике, на которую ссылается лаборатория, до 15% атак вредоносных программ приходится на опасные вложения, прикрепляемые к нежелательным письмам; тем не менее, многие из протестированных решений не обратили никакого внимания на входящую почту и позволили инфицированному содержимому попасть в почтовый ящик клиента. Средний уровень безопасности по данному параметру в конечном счете составил 36%; в связи с этим NSS Labs напомнила о целесообразности применения особых серверных анализаторов почты, которые могут отсечь вредоносный код еще до попадания письма в ящик сотрудника. Впрочем, в пользу "проштрафившихся" участников исследования говорит тот факт, что они нередко реагировали на зараженное вложение при попытке его открытия или сохранения  - при таком подходе качество обороны доросло до 74%.


Что касается обработки документов и программ, которые хранятся на файловых серверах, то в среднем 10 продуктов успешно перехватили около 70% загружавшихся оттуда вредоносных объектов. Специалисты не могли не отметить тот факт, что для обеспечения безопасности подобных хранилищ существуют особые защитные решения, однако подчеркнули: пользователю не стоит полагаться лишь на серверные антивирусы, и клиентские приложения тоже должны уметь бороться с такими угрозами.


Наиболее уверенно защитные пакеты чувствовали себя в тесте на противодействие уже проникнувшим на компьютер и пытающимся там запуститься вредоносным программам. В отчете сказано, что все продукты - за исключением Panda IS Enterprise - при исполнении опасного кода отловили больше образцов, чем при его же доставке в систему теми или иными способами. Лидерами здесь оказались Trend Micro, McAfee и Sophos.


Самой неудачной для корпоративных антивирусов оказалась проверка на детектирование инфекции, существующей только в оперативной памяти - т.н. "single-use malware" (вредоносное ПО одноразового использования). Исследователи NSS Labs пишут, что такие порождения вирусописательской мысли могут, к примеру, выдавать себя за доверенные библиотеки и обходить таким образом систему защиты от исполнения данных (DEP); функционал, позволяющий бороться с подобными нападениями, нашелся только в арсенале продуктов "Лаборатории Касперского", McAfee и Sophos.


Тестированию были подвергнуты следующие решения: AVG Internet Security Business Edition, ESET Smart Security Enterprise, F-Secure Client Security for Business, Kaspersky Business Space Security with Internet Security, McAfee Total Protection for Endpoint, Norman Endpoint Protection, Panda Internet Security (Enterprise), Sophos Endpoint Security and Control, Symantec Endpoint Protection, Trend Micro OfficeScan Plus IDF Plug-in. Версии продуктов не указаны.


PC World

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

За $500 в даркнете можно купить одну дозу вакцины от COVID-19

«Лаборатория Касперского» изучила 15 теневых площадок и обнаружила объявления о продаже трёх видов запатентованных вакцин от коронавируса — Pfizer/BioNTech, AstraZeneca и Moderna, а также некоторых ещё не запатентованных. Цены на дозу, необходимую одному человеку, варьируются от 250 до 1200 долларов США и в среднем держатся на отметке 500 долларов.

По данным «Лаборатории Касперского», объявления приходят преимущественно из Франции, Германии, Великобритании и США. Общение с продавцами происходит через защищённые мессенджеры с функцией удаления сообщений по таймеру. Оплата в основном требуется в биткойнах. Судя по анализу трансакций, многие авторы объявлений, обнаруженных «Лабораторией Касперского», провели от 100 до 500 операций.

«Сделать однозначный вывод, являются ли предложения о продаже вакцин в даркнете скамом или покупатели действительно получают то, что ищут, невозможно. Под некоторыми из таких объявлений были положительные отзывы. Можно предположить, что в результате части сделок люди действительно приобретали нужный товар. Теоретически это возможно, поскольку в медицинских учреждениях по всему миру при вскрытии упаковки с вакциной иногда остаются неиспользованные дозы. Однако получить гарантию, что все условия правильного хранения вакцины соблюдались, вряд ли получится. Нет гарантии и в том, что в ампулах действительно продаётся вакцина», — отмечает Дмитрий Галов, эксперт по кибербезопасности «Лаборатории Касперского».

Также на чёрном рынке продаются фальшивые сертификаты о вакцинации. Например, соответствующий документ европейского образца стоит около 20-25 долларов США. Кроме того, в некоторых странах требуется справка об отсутствии COVID-19, например для похода в офис или командировок, поездок в отпуск. В русскоязычном сегменте даркнета её стоимость оценивается в 3500-5000 рублей.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru