MRG Effitas: Время обнаружения и устранения угроз (Q2 2013)

Содержание

- Введение
- Цель тестирования
- Тестируемые решения безопасности
- Используемые вредоносные образцы
- Результаты тестирования
- Выводы
- Методология тестирования

Введение

За последние четыре года MRG Effitas опубликовала ряд отчетов, большинство из которых касались безопасности браузеров и финансовых вредоносных программ. В лаборатории продолжают работу в этой области, но по состоянию на конец 2013 года за счет характера работы, которая выполняется для клиентов, в MRG Effitas решили быть более конкретными, чтобы сосредоточить внимание на те показатели, которые "имеют значение".

В лаборатории работают с IEEE и рядом ведущих разработчиков решений безопасности над проектом по разработке методологий и показателей тестирования, которые будут соответствовать новым технологиям в течение ближайших 15-20 лет.

При разработке новой методики главным девизом служит "обнаружения не достаточно", когда дело доходит до эффективности измерения.

Два показателя, по мнению MRG Effitas, являются наиболее актуальными:

• Время, необходимое для защиты системы . Есть два подэлемента для этого показателя:
- время обнаружения;
- время устранения.

• Оценка эксфильтрации данных. Есть три подэлемента для этого показателя:
- Определение: произошло нарушения данных или нет (неповрежденные данные:
· расчет того, что было нарушено; · измерение показателя, как долго происходило нарушение.

В настоящее время MRG Effitas оценивает эти два показателя отдельно, однако к 4 кварталу 2014 года, должны появиться тесты, которые оценивают их вместе.

Этот тест является первым из нового типа тестирования, который фокусируется на времени, необходимом приложениям безопасности для обнаружения вредоносных программ и устранения угроз.

Цель тестирования

Должно быть принято как данность, что ни одно решение безопасности не сможет обнаружить 100% угроз "In the Wild" (активные вредоносные программы, распространяющиеся через реальные URL-ссылки).

Всесторонние тестирования показали, что защиту абсолютно всех решений безопасности, можно обойти в какой-то момент, следовательно, имеет смысл исследовать эффективность продукта в соответствии с текущим состоянием угрозы.

В данном отчете оценивается способность решений безопасности предотвращать заражение конечной точки от вредоносных программ "In the Wild" . Если система заражена, то измеряется время для продукта, которое необходимо предпринять, чтобы обнаружить заражение и восстановить систему (вплоть до максимум двадцати четырех часов).

Для того, чтобы схема тестирования была близка к реальным ситуациям в жизни, используется 250 свежих образцов вредоносных программ "In the Wild", с помощью которых осуществляется попытка заразить систему с использованием активных URL-адресов в браузере Internet Explorer.

Тестируемые решения безопасности

1. Avast Internet Security 8.0
2. AVG Internet Security 2013-2014
3. BitDefender Internet Security 2013-2014
4. Emsisoft Anti-Malware 8.0-8.1
5. ESET Smart Security 6.0
6. GFI Vipre Internet Security 2013-2014
7. Kaspersky Internet Security 2013-2014
8. Malwarebytes Anti-Malware 1.74-1.75
9. McAfee Internet Security 2013
10. Microsoft Security Essentials 4.3
11. Panda Internet Security 2013-2014
12. SourceFire Immunet Protect Plus 3.1
13. SUPERAntiSpyware 5.5-5.6
14. Symantec Norton Internet Security 2013-2014
15. Trend Micro Titanium Internet Security 2013
16. Trusteer Rapport Emerald Build 1302.61
17. Webroot SecureAnywhere Internet Security Plus 2013

Используемые вредоносные образцы

- ZeuS (185)
- Carberp (34)
- Totpig (28)
- SpyEye(3)

Результаты тестирования

Уровень обнаружения

Приведенный ниже график и таблица показывают первоначальный уровень обнаружения для тестируемых приложений безопасности:

нажмите на изображение, чтобы увеличить

Время обнаружения

Приведенный ниже график показывает время обнаружения (в часах) для всех решений безопасности в данном тесте:

нажмите на изображение, чтобы увеличить

Уровень устранения угроз

Приведенный ниже график показывает уровень устранения угроз для тех приложений, которые не обнаружили/блокировали вредоносные образцы при первоначальном воздействии:

нажмите на изображение, чтобы увеличить

Примечание - A = полное устранение, В = устранение только удалением вредоносного кода, С = неспособность устранить.

Выводы

Avast и Bitdefender, Emsisoft, Kaspersky, Trend Micro, Trusteer и Webroot обнаружили/заблокировали все 250 вредоносных файлов и таким образом защитили тестируемую систему от заражения.

ESET, Symantec и Malwarebytes удалили все следы инфекции, в том числе любых загруженных файлов, временных файлов и записи реестра.

Следует отметить, что оба решения Malwarebytes Anti-Malware и SUPERAntiSpyware являются дополнительными инструментами, Однако и инструменты предназначены для защиты от угроз, используемых в данном тесте.

SUPERAntiSpyware был единственным тестируемого приложения, которые не смогли обнаружить все образцы в течении 24 часов, он пропустил в общей сложности 28 образцов.

Данное тестирование было сосредоточено на проверке защиты только от финансовых вредоносных программ. ZeuS и Torpig являются старейшими финансовыми угрозами, которые до сих пор активны. (Torpig также известен как Sinowal).

Полный отчет (English, pdf).

Методология тестирования

1. Операционная система Windows 7 Ultimate Service Pack 1 64 bit установлена на виртуальную машину со всеми обновлениями, и все сторонние приложения установлены и обновлены в соответствии со спецификацией MRG Effitas "Average Endpoint Specification".

"Average Endpoint Specification" включает Adobe Flash, Adobe Reader, Java, Microsoft Office 2007 & Mozilla Firefox - полностью обновленные.

2. Создается образ операционной системы.

3. Копия образа системы создается для каждого защитного решения, которое используются в данном тесте.

4. Отдельные приложения безопасности установлены с настройками по умолчанию на каждой системе, созданной на шаге 3, а затем при необходимости обновляются.

5. Создается копия системы, после завершения шага 4.

6. Проверяется каждая активная URL-ссылка:

a) Загрузка одного вредоносного образца с использованием Internet Explorer на рабочий стол, закрывается Internet Explorer, а затем выполняется запуск образца.

b) Защитное приложение блокирует URL-ссылку, по которой расположен вредоносный образец.

c) Защитное приложение обнаруживает и блокирует вредоносный образец, пока он загружается на компьютер.

d) Защитное приложение обнаруживает вредоносный образец при ее выполнении в соответствии со следующим критериям:
i. Оно определяет файл как вредоносный и либо автоматически блокирует его, или откладывает его выполнение и предупреждает пользователя о вредоносном файле, ожидая решения пользователя.

7. Система, используемая в тесте, считается зараженной по следующему критерию:

a) Защитное приложение не в состоянии обнаружить или блокировать вредоносный образец на любой стадии пункта 6 и позволяет ему запуститься.

8. Тестирование на зараженной системе продолжается в течение 24 часов с помощью следующего процесса:

a) Быстрое сканирование выполняется каждые 30 минут, чтобы дать возможность решению безопасности обнаружить заражение.

9. Процесс устранения угроз классифицируется в три этапа определением отличия зараженной системы от чистой системы, созданной на этапе 4. Три классификации:

a) "A" = все следы заражения были удалены; "B" = вредоносный код был удален, но невредоносные остатки, записи реестра и т.п. остались; "C" = вредоносный код не был удален.

10. Тестирование проводится с системами, имеющими доступ в Интернет.

11. Каждое отдельное испытание для каждого защитного приложения ведется с уникальным IP-адресом.

12. Все защитные приложения использовались с полностью работоспособными незарегистрированными версиями или версиями зарегистрированными анонимно, без связи с MRG Effitas.

13. Все испытания проводились в течение второго квартала (Q2) 2013 года.