NSS Labs: Tests zeigen, dass die meisten AV-Suites gegen Exploits versagen

Ein Großteil der Sicherheits-Software-Suites kann Angriffe auf PCs auch dann nicht erkennen, wenn die Art des Angriffs seit längerem bekannt ist, was Cyberkriminelle immer noch unterstützt die Oberhand.

NSS Labs, die Tests von Sicherheitssoftware-Suites durchführt, hat getestet, wie Sicherheitspakete von 10 großen Unternehmen sogenannte "clientseitige Exploits" erkennen. Bei solchen Vorfällen greift ein Hacker eine Schwachstelle in Software wie Webbrowsern, Browser-Plugins oder Desktop-Anwendungen wie Adobe Acrobat und Flash an.

NSS Labs ist ein unabhängiges Sicherheitssoftwarehersteller, das im Gegensatz zu vielen anderen Testfirmen keine Anbieter akzeptiert Geld für die Durchführung vergleichender Bewertungen. Anbieter werden jedoch benachrichtigt und können vor der Auswertung von NSS Labs einige Konfigurationsänderungen vornehmen.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

"Dieser Test - der erste seiner Art in Die Branche - wurde entwickelt, um zu ermitteln, wie effektiv die beliebtesten Endpoint-Produkte für Unternehmen vor Exploits schützen ", heißt es in dem Bericht. "Alle Schwachstellen, die während dieses Tests ausgenutzt wurden, waren vor dem Test monatelang (wenn nicht Jahre) öffentlich verfügbar und wurden auch bei echten Angriffen auf reale Unternehmen beobachtet."

Die Angriffe werden oft durch Austricksen eines Benutzers ausgeführt beim Besuch einer feindlichen Website, die einen Exploit liefert, oder einer speziell gestalteten Codefolge, die eine Schwachstelle in einer Softwareanwendung auflöst, gemäß dem NSS Labs-Bericht.

Es kann verschiedene Varianten von Exploits geben, die dieselbe Schwachstelle, aber dasselbe Ziel angreifen verschiedene Teile des Computerspeichers. Sicherheitsanbieter fügen ihren Datenbanken häufig Signaturen hinzu, die es der Software ermöglichen, bestimmte Exploits zu erkennen, aber diese Exploits können sich weiterentwickeln.

"Ein Anbieter kann eine Signatur für den ersten Exploit entwickeln, um später Signaturen zu liefern", heißt es in dem Bericht. "Unsere Tests haben ergeben, dass die meisten Anbieter diese wichtigen zusätzlichen Schritte nicht durchführen."

Nur eine der zehn getesteten Software-Suites hat alle 123 Exploits und Varianten erkannt, die Schwachstellen in Software wie Microsoft Internet Explorer angreifen. Firefox, Adobe Acrobat, Apples QuickTime und andere.

Die 10 Software-Suiten erzielten sehr unterschiedliche Ergebnisse, wobei einer alle Exploits am oberen Ende und 29 Prozent am unteren Ende abfing.

NSS Labs sagte die durchschnittliche Schutzpunktzahl war 76 Prozent unter den 10 Suites für "Original-Exploits" oder der erste Exploit, der öffentlich gegen eine bestimmte Software-Schwachstelle veröffentlicht wurde. Drei der zehn haben alle ursprünglichen Exploits gefangen. Bei den Exploits der Varianten lag der durchschnittliche Schutzwert bei 58 Prozent.

"Laut Marktbericht sind zwischen 70 und 75 Prozent des Marktes geschützt", heißt es in dem Bericht. "AV-Software auf dem neuesten Stand zu halten, bietet keinen ausreichenden Schutz vor Exploits, wie zum Beispiel durch Lücken bei der Abdeckung von Schwachstellen, die mehrere Jahre alt sind."

NSS Labs-Präsident Rick Moy sagte, alle Schwachstellen seien "niedrig hängende Früchte". " Informationen über die Schwachstellen sind seit 2006 teilweise verfügbar, was bedeutet, dass die Hacker alle mit den Problemen vertraut sind und die Exploits weiterhin genutzt werden.

Sicherheitssoftwarefirmen haben sich jedoch auf die nach einem Exploit ausgelieferte Schadsoftware konzentriert. Diese Proben zählen jetzt zu Millionen. Die Anzahl der Exploits ist jedoch viel, viel weniger zahlreich und wäre ein besserer Schutz für den Computer.

"Ich denke, ein Teil des Problems liegt darin, dass sich die Industrie mehr auf Malware als auf Exploit konzentriert", sagte Moy. "Sie müssen beide sehen, aber … Sie müssen wirklich einen Schutz auf Schwachstellenbasis suchen und die Exploits stoppen."

Das Patchen der bekannten Sicherheitslücken wird auch die Exploits stoppen, aber viele Firmen werden nicht sofort alle Patches anwenden, da sie andere Software zerstören könnten, die diese Firmen verwenden, sagte Moy. Sicherheitssoftware stellt einen guten "virtuellen Patch" dar, aber nur, wenn sie diese Exploits und nachfolgende Malware erkennen kann.

NSS Labs stellt die Suites in drei Kategorien: "empfehlen", was bedeutet, dass ein Produkt gut funktioniert und sein sollte in einem Unternehmen verwendet werden; "neutral", was bedeutet, dass ein Produkt einigermaßen gut funktioniert und weiterhin verwendet werden sollte, wenn es bereits verwendet wird; und "Vorsicht", was bedeutet, dass das Produkt schlechte Testergebnisse aufwies und Organisationen, die es verwenden, sollten ihre Sicherheitslage überprüfen.

NSS Labs entschied sich, die Sicherheitssuiten als "Vorsicht" zu enthüllen: AVG Internet Security Business Edition 9.0.733, ESET Smart Security Enterprise Business 4.474, Norman Endpoint Protection 7.2 und Panda Internet Security 2010 (Enterprise) 15.01. Der vollständige Bericht kostet 495 US-Dollar und ist auf der Website von NSS Labs verfügbar.

Senden Sie News-Tipps und Kommentare an [email protected]