Komponen

Perangkat Lunak Keamanan Berkinerja Buruk dalam Uji Eksploitasi

Developer Keynote: Get to the Fun Part (Cloud Next '19)

Developer Keynote: Get to the Fun Part (Cloud Next '19)
Anonim

Paket perangkat lunak keamanan melakukan pekerjaan yang buruk dalam mendeteksi ketika perangkat lunak PC diserang, menurut vendor Denmark Secunia.

Secunia menguji seberapa baik selusin perangkat keamanan Internet dapat mengidentifikasi ketika kerentanan perangkat lunak dieksploitasi, kata Thomas Kristensen, CTO Secunia.

Itu adalah pendekatan yang berbeda dari bagaimana program-program itu diarsipkan hari ini. Perangkat lunak keamanan cenderung fokus pada deteksi perangkat lunak berbahaya yang berakhir di PC setelah kerentanan dieksploitasi. Perangkat lunak ini diperbarui dengan tanda tangan, atau file data, yang mengenali muatan berbahaya tertentu yang dikirimkan ke exploit pasca PC.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Ada keuntungan tersendiri dalam pemfokusan pada mendeteksi mengeksploitasi daripada membela terhadap muatan yang tak terhitung, kata Kristensen. Eksploitasi itu sendiri tidak berubah dan harus digunakan dengan cara yang sama untuk PC untuk diretas.

Jumlah muatan yang tak terhitung - mulai dari penebang keystroke hingga perangkat lunak botnet - dapat digunakan selama serangan terhadap kerentanan.

Mengidentifikasi exploit bukanlah pekerjaan mudah, namun, kata Kristensen. Versi program yang dipengaruhi oleh kerentanan harus dianalisa sebelum dan sesudah patch diterapkan untuk mencari tahu cara kerja exploit.

Untuk pengujiannya, Secunia mengembangkan eksploitasi kerjanya sendiri untuk kerentanan perangkat lunak yang diketahui. Dari eksploitasi itu, 144 adalah file berbahaya, seperti file multimedia dan dokumen kantor. Sisanya, 156 adalah eksploit yang dimasukkan ke dalam halaman Web jahat yang mencari browser dan kerentanan ActiveX, antara lain.

Symantec keluar sebagai yang teratas, tetapi bahkan kemudian, hasilnya tidak begitu mencolok: Internet Security Suite 2009 mendeteksi 64 dari 300 eksploitasi, atau 21,33 persen dari sampel yang ditetapkan.

Hasilnya kemudian menjadi jauh lebih buruk. BitDefender Internet Security Suite 2009 membangun 12.0.10 berada di posisi kedua, mendeteksi 2,33 persen dari kumpulan sampel. Trend Micro Internet Security 2008 memiliki tingkat deteksi yang sama seperti BitDefender, diikuti oleh Internet Security Suite McAfee 2009 di posisi ketiga dengan 2 persen.

Kristensen memperingatkan bahwa Secunia sadar bahwa kebanyakan vendor tidak fokus pada mendeteksi eksploitasi. Tapi itu akan menguntungkan vendor untuk mulai membuat tanda tangan untuk eksploitasi daripada hanya muatan, karena bisa menghemat lebih banyak waktu. Ada eksploitasi yang jauh lebih sedikit daripada payload, katanya.

Vendor seperti Symantec tampaknya bergerak ke arah itu, karena telah menciptakan tanda tangan untuk eksploitasi terkait Microsoft, Kristensen mengatakan.

"Kami tidak melihat salah satu dari vendor lain yang memiliki sesuatu yang mirip dengan itu, "kata Kristensen.

Sementara itu, pengguna harus menerapkan tambalan perangkat lunak segera setelah patch tersebut dirilis. Jika ada penundaan antara saat eksploit dipublikasikan dan patch dirilis, pengguna juga dapat dengan mudah menghindari penggunaan program tertentu.

"Terlalu banyak orang berpikir mereka tidak perlu khawatir jika mereka hanya memiliki [perangkat lunak antivirus]," Kata Kristensen. "Sayangnya, itu tidak benar."