近日,Secunia公司在对大量安全软件套装(包括来自McAfee、赛门铁克以及趋势科技等知名安全软件套装)进行300多次测试攻击后表示,安全软件套件在实际情况中并不能保护用户免受攻击。Secunia是一家致力于漏洞研究的专业安全公司。
Secunia的首席技术官Thomas Kristensen表示,“互联网安全软件套装都标榜自己是能够保障用户在线安全的唯一解决方案,在我们看来,实际情况并不像他们标榜的那样。”
Secunia公司对12个安全软件套装(包括赛门铁克的Norton Internet Security 2009、微软的Windows Live OneCare、AVG的Internet Security 8.0以及McAfee的Internet Security Suite 2009)发起了数以百计的漏洞攻击,其中一些攻击利用的引发漏洞的POC攻击代码,而其他则利用了包含附件的攻击。这些攻击代码是通过各种格式的文件传递的,包括office文件和恶意图片等;还有的攻击是通过可以引发浏览器及Active漏洞的恶意网站来实施攻击。Secunia公司表示,所有这些攻击的目标都是那些没有及时升级安全补丁以及存在漏洞程序的Windows XP SP2电脑。
虽然赛门铁克的Norton Internet Security 2009在测试中获得最好成绩,但是该软件包也只检验出300个漏洞攻击中的64个,或者说只检验出全部漏洞攻击的21%。趋势科技的Internet Security 2008,只检验出所有漏洞攻击的2.3%,而McAfee的Internet Security Suite 2009只鉴定出2%,微软的OneCare仅发现1.8%的漏洞攻击。
为什么现有的这些安全软件套装都无法完整地检验出这300个漏洞攻击呢?
Kristensen解释说,这是因为防病毒软件供应商们总是把工作重点放在检测攻击包的签名问题上。通常情况下,蠕虫、木马和间谍软件等恶意软件在互联网中被发现后,防病毒软件供应商们会给它们命名,然后他们再向其软件增加一项新的检测项目,而没有从根本来解决问题。
“他们没有把工作重点放在检测漏洞上,而是侧重于检测样本特征,”Kristensen表示,“但是检测样本特征,却总是落后于黑客攻击,黑客能够迅速的创建出一个新的变种而不被扫描软件和当前的特征匹配所检测。”
供应商们在针对一个特定的攻击代码而创建签名的时候,必须首先获取黑客的攻击样品,然后对该恶意软件进行分析,再编写检测指纹。接着,供应商们必须让用户开始病毒库更新,这个过程可能至少要花费几个小时的时间,而且必须尽快在一种新的恶意软件绑定在漏洞上前推广到用户处。
安全软件就必须保证只使用一个签名就能组织多种恶意软件,从长远角度来看需要一种更加有效的防御方式,即使这种恶意软件特征提取时间会相对缓慢,但也是十分必要的。总而言之,用户们应该迅速地修补漏洞,修补所有软件的漏洞,而不只是操作系统的漏洞。
Kristensen表示,“单靠安全软件是不能够完全保护一台电脑的,用户们需要修补电脑中所有的应用程序,修补工作绝对是有必要的,而且不能只是对主要程序进行修复,第三方软件同样也需要修复。”
Secunia公司在其网站上发布了一份他们进行安全软件包测试的过程描述以及测试结果名单。
标签: