Обзор Agnitum: тесты безопасности показали дыры в 64-битных антивирусах

I. Общая картина безопасности 64-битных ОС

С увеличением вычислительной мощности и быстрым снижением цен на память, 64-битные системы становятся основными (по результатам сбора статистических данных для «игровых» компьютеров видно, что 64-битные системы используются более чем на 60% современных ПК). По большому счету, любой компьютер, произведенный за прошедшие 3 года, совместим с 64-битной Windows, и все высокотехнологичные системы – 64-битные.

64-битные системы более изощренные в плане защиты - они имеют преимущество в виде улучшенной собственной системы безопасности, присутствующей в 64-битных версиях Windows Vista и Windows 7; эти повышенные меры защиты базируются на таких механизмах обеспечения безопасности, как обязательная проверка подписи драйверов, защита ядра от изменений и предотвращение выполнения данных (Data Execution Prevention, DEP) на аппаратном уровне. Эти инструменты разработаны специально для того, чтобы минимизировать воздействие руткитов и других сложных вредоносных кодов. Благодаря этим и некоторым другим функциям, 64-битные системы более защищены и безопасны, чем их 32-битные «родственники», по крайней мере, при поверхностном анализе.

Чтобы дополнить собственную систему защиты 64-битных Windows, разработчики антивирусов, разумеется, бросились предлагать инструменты для спасения пользователей этих ОС исключительно от вирусного порабощения, утверждая, что они защищают от всех типов угроз или инфекций. Но если верить результатам тестирования защиты для 64-битных систем, проведенного порталом Matousec.com, большинство решений потерпело полную неудачу в реальной защите. Реальность такова, что сейчас владельцы 64-битных систем Windows фактически менее защищены, чем их коллеги, пользующиеся 32-битными системами, и сильно проигрывают им в доступном уровне защищенности.

II. Результаты тестов проактивной защиты

Сравнивая результаты теста на 64-битных ОС (проводимого с зимы 2011-2012) с результатами теста для 32-битных (общие итоги подведены в октябре 2011), становится ясно, что большинство производителей терпит неудачу, когда дело доходит до защиты 64-битных систем. Мы должны задаться вопросом: является ли это нехваткой опыта работы в «новой» архитектуре или просто ленью со стороны разработчиков? Но, так или иначе, пользователи не защищены. И мы не думаем, что это правильно.

III. Комментарии производителей

Еще большее уныние вызывают ответы к опубликованным результатам последнего тестирования (комментарии доступны в разделе «последние новости» (Latest News на Matousec.com) для публикации «Тестирование проактивной безопасности 64-битных систем»). Читая между строк, производители явно говорят: «Дайте нам больше времени, и мы придумаем лучшее решение, которое сможет пройти ваши тесты». Но не будем забывать, что 64-битные Windows существуют уже более пяти лет, а платформе Windows 7, использованной для текущего теста, уже больше двух с половиной лет. Возникает вопрос: как пользователи были защищены все это время? И печально, что не единственный антивирусный производитель занимает такую позицию, а большинство.

Слишком часто кажется, что крупные игроки рынка информационной безопасности игнорируют необходимость обращать внимание на тесты защиты от вторжений и блокирование уязвимостей на 64-битных Windows, а именно подобные вещи составляют львиную долю инструментов, используемых в глубоких исследованиях Matousec.com. Эти инструменты моделируют типичные вторжения при помощи стандартных векторов атаки и методов проникновения, используемых реальным вирусами и «угрозами нулевого дня» (Zero-Day), выискивая недостатки систем, которые позволяют настоящим неизвестным вирусам проникать через текущую защиту и наносить ущерб системе.

Большинство продавцов решений безопасности, присутствующих в таблице, исторически избегают участия их продуктов в таких тестах; они считают, что требуемые дополнительные меры защиты будут в ущерб удобству и простоте использования продукта. Выбирая между удобством и простотой использования и увеличением безопасности, они предпочитают первое.

IV. Точка зрения Agnitum

Как менее «именитый» игрок антивирусного рынка, мы смотрим на ситуацию немного иначе. Чтобы избежать потенциальных проблем с большим количеством обращений к пользователю и сообщений об угрозах безопасности системы, мы разработали механизм автоматической обработки подобных запросов. Это позволило нам увеличить безопасность, не раздражая пользователей постоянными вопросами, на которые большинство из них все равно не знают, что ответить. Это привело к приятному 86%-ому результату в тестах Matousec.com, и мы работаем над улучшением этого показателя, продолжая далее анализировать способы обхода защиты Outpost.

Если посмотреть на картину в целом, главный вывод из результатов отчета Matousec.com это то, что пользователи 64-битных систем крайне уязвимы даже с решениями безопасности от «именитых» производителей антивирусов. Только по работе с известными угрозами они обеспечивают необходимый уровень защиты.

Продукты Agnitum не блокируют атаки точечно, а контролируют целостность всего периметра пользовательской системы и блокируют источники нападения вне зависимости от методов проникновения/обхода. Благодаря такому подходу в превентивной защите такие продукты более качественно и надежно защищают именно от неизвестных угроз, нежели конкуренты, которые сверяются только с известными им образцами вредоносного кода и реагируют на те из них, которые уже исследованы и внесены в базу.