Избирательный подход к защите

Исследовательская лаборатория NSS Labs представила результаты очередного тестирования корпоративных антивирусных решений. Помимо прочего, специалисты решили проверить, соблюдают ли производители принцип равнопрочности рубежей защиты; оказалось, что не все разработчики знакомы с этим основополагающим требованием.



Принцип равнопрочности гласит: уровень безопасности, обеспечиваемый различными элементами одного и того же защитного контура, должен быть одинаковым или, в худшем случае, слабо различимым. Грубо говоря, если в охраняемом помещении три окна, а решетки стоят только на двух, то их прочность и надежность не имеют никакого значения - злоумышленник просто не станет с ними связываться и проникнет через незащищенный проем. В теории, аналогичный подход должен соблюдаться и при построении антивирусного пакета: он должен одинаково хорошо бороться с угрозами из любых источников вне зависимости от того, через какие именно входные ворота проникает инфекция. Тем не менее, результаты тестирования NSS Labs, похоже, свидетельствуют об обратном.


Исследователи проверили десять популярных бизнес-продуктов на предмет эффективности предоставляемой ими защиты от проникновения вредоносных программ по различным каналам: загрузка из Интернета или интранета, с файловых серверов, через  пиринговые файлообменные сети, со съемных USB-дисков, посредством электронной почты и за счет эксплуатации уязвимостей. Безусловно, можно возразить, что исходящая от этих каналов опасность неравнозначна, но специалисты NSS Labs подчеркивают: "нечасто атакуемый" и "безопасный" - не синонимы.


Итак, поговорим для начала об электронной почте. По статистике, на которую ссылается лаборатория, до 15% атак вредоносных программ приходится на опасные вложения, прикрепляемые к нежелательным письмам; тем не менее, многие из протестированных решений не обратили никакого внимания на входящую почту и позволили инфицированному содержимому попасть в почтовый ящик клиента. Средний уровень безопасности по данному параметру в конечном счете составил 36%; в связи с этим NSS Labs напомнила о целесообразности применения особых серверных анализаторов почты, которые могут отсечь вредоносный код еще до попадания письма в ящик сотрудника. Впрочем, в пользу "проштрафившихся" участников исследования говорит тот факт, что они нередко реагировали на зараженное вложение при попытке его открытия или сохранения  - при таком подходе качество обороны доросло до 74%.


Что касается обработки документов и программ, которые хранятся на файловых серверах, то в среднем 10 продуктов успешно перехватили около 70% загружавшихся оттуда вредоносных объектов. Специалисты не могли не отметить тот факт, что для обеспечения безопасности подобных хранилищ существуют особые защитные решения, однако подчеркнули: пользователю не стоит полагаться лишь на серверные антивирусы, и клиентские приложения тоже должны уметь бороться с такими угрозами.


Наиболее уверенно защитные пакеты чувствовали себя в тесте на противодействие уже проникнувшим на компьютер и пытающимся там запуститься вредоносным программам. В отчете сказано, что все продукты - за исключением Panda IS Enterprise - при исполнении опасного кода отловили больше образцов, чем при его же доставке в систему теми или иными способами. Лидерами здесь оказались Trend Micro, McAfee и Sophos.


Самой неудачной для корпоративных антивирусов оказалась проверка на детектирование инфекции, существующей только в оперативной памяти - т.н. "single-use malware" (вредоносное ПО одноразового использования). Исследователи NSS Labs пишут, что такие порождения вирусописательской мысли могут, к примеру, выдавать себя за доверенные библиотеки и обходить таким образом систему защиты от исполнения данных (DEP); функционал, позволяющий бороться с подобными нападениями, нашелся только в арсенале продуктов "Лаборатории Касперского", McAfee и Sophos.


Тестированию были подвергнуты следующие решения: AVG Internet Security Business Edition, ESET Smart Security Enterprise, F-Secure Client Security for Business, Kaspersky Business Space Security with Internet Security, McAfee Total Protection for Endpoint, Norman Endpoint Protection, Panda Internet Security (Enterprise), Sophos Endpoint Security and Control, Symantec Endpoint Protection, Trend Micro OfficeScan Plus IDF Plug-in. Версии продуктов не указаны.


PC World

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Роскомнадзор ограничил использование VyprVPN и Opera VPN

С 17 июня в Рунете с подачи Роскомнадзора вводится запрет на доступ к сервисам VyprVPN и Opera VPN. Исключение составят лишь российские компании, использующие VPN в непрерывных технологических процессах.

По словам регулятора, эта мера принята в рамках реагирования на угрозы обхода ограничений доступа к запрещенному в стране контенту. Названные VPN-сервисы были причислены к таким угрозам в соответствии с постановлением правительства РФ № 127 от 12 февраля 2020 года.

В список организаций, на которые не распространяется запрет, уже включены 130 российских предприятий — по результатам ответов на запросы, направленные в соответствующие ведомства. Информация о возможности включения в белый список была опубликована на сайте РКН 14 мая.

О намерении Роскомнадзора вновь ограничить доступ к VPN-сервисам, игнорирующими его предписания, стало известно в конце мая. Каким образом будет осуществляться блокировка VyprVPN и Opera VPN, пока неизвестно, однако такой опыт у регулятора уже имеется.

Напомним, в 2018 году РКН заблокировал 80 VPN и прокси, открывавших доступ к опальному на тот момент мессенджеру Telegram. Правда, результат тогда оказался неожиданным: россияне начали активно пользоваться зарубежными сервисами, в том числе VyprVPN, и те хорошо на этом заработали.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru