Rezultatų santrauka Apžvalga 2020 m. II ketvirtis LYGINAMOJI BANDYMŲ ATASKAITA Per 2020 m. II ketvirtį NSS Labs atliko nepriklausomus interneto naršyklių teikiamos apsaugos nuo kenkėjiškų programų bandymus: 32 267 atskirus bandymus (per interneto naršyklę) naudojant 1065 unikalius pavyzdžius per 34 dienas. Apsaugai nuo kenkėjiškų programų Microsoft Edge naudoja Microsoft sargybos SmartScreen ; Google Chrome ir Mozilla Firefox naudoja Google saugaus naršymo API; o Opera naudoja Yandex. Microsoft Edge taiko didžiausią apsaugą blokuoja 98,5 % kenkėjiškų programų ir kartu užtikrina aukščiausią nulinės valandos apsaugos lygį (96,7 %). Antroje vietoje Firefox apsauga blokuoja vidutiniškai 86,1 %, o Google Chrome 86,0 % kenkėjiškų programų. Opera blokavo 5,6 %. Reputacijos sistemos apsaugo ar naudotojus įspėja apie URL, failo ar programos pavojų, todėl įsilaužėliai turi pasiekti savo tikslus greičiau. Tačiau naudotojai nuolat lankosi naujose svetainėse, atsisiunčia failus ir diegia programas. Reputacijos sistemos negali blokuoti visko, kas nauja. Įsilaužėliai tai žino, todėl kenkėjiškų programų kampanijos nuolat keičiamos ir dauguma visų atakų įvyksta per pirmąsias kelias valandas nuo kampanijos pradžios. Todėl norint greitai apsisaugoti ypač svarbu tiksliai klasifikuoti turinį. NSS Labs įvertino naršyklių galimybes blokuoti kenkėjiškas programas taip greitai, kaip jas radome internete. Kas šešias valandas atlikome kenksmingų URL, failų ir programų bandymus, kad nustatytume, kiek laiko užtruko, kol tiekėjai įtraukė apsaugos priemones, jei tuo naudojosi. Apsauga nuo kenkėjiškų programų pagal laiką Viso bandymo metu buvo nuolat įtraukiama nauja kenkėjiška programa. Buvo pašalinti URL, failai ir programos, kurie buvo nebepasiekiami arba kuriuose buvo kenkėjiškų programų. Kiekvienas duomenų elementas apskaičiuojamas pagal parametrus, registruotus tam tikru laiko momentu. Jei kenkėjiška programa buvo užblokuota anksti, laikui bėgant pagerėjo naršyklės apsaugos nuoseklumo rezultatas. O jei naršyklė kenkėjiškų programų neužblokavo, rezultatas mažėjo. Bandymas pagrįstas Naršyklės bandymų metodika, 4.0 versija (pateikta www.nsslabs.com). 1
Įvadas Socialinės inžinerijos kenkėjiškų programų (SEM) atakoms pasitelkiami įvairūs socialinės medijos, el. pašto paskyrų grobimo, melagingų pranešimų apie kompiuterio problemas ir kitokios apgaulės deriniai, skatinant naudotojus atsisiųsti kenkėjiškas programas. Kibernetiniai nusikaltėliai, užgrobę el. pašto paskyras, naudojasi tikėtinu kontaktų pasitikėjimu ir apgauna aukas, kurios kenksmingų failų saitus laiko patikimais. Užgrobtos socialinės medijos paskyros naudojamos taip pat kaip užgrobtos el. pašto paskyros. Tačiau socialinės medijos atveju ratas didesnis: galima apgauti aukos draugus ir net draugų draugus. Socialinės inžinerijos taktikos dalis gali būti iššokantys pranešimai; pavyzdžiui, vartotojams nurodoma įdiegti tokias programas kaip Adobe Flash Player arba įspėjama, kad kompiuteris užkrėstas arba reikia atnaujinti. Įdiegus kenkėjišką programą, auka gali nukentėti nuo asmens tapatybės vagystės, kyla pavojus banko sąskaitai ir gresia kiti žalingi padariniai. Žiniatinklio naršyklės apsauga nuo kenkėjiškų programų Naršyklėse apsaugai nuo kenkėjiškų programų naudojamos debesų technologijos pagrindo reputacijos sistemos, kurios internete ieško kenkėjiškų svetainių ir tada atitinkamai klasifikuoja turinį, įtraukdamos jį į blokuojamųjų ar baltuosius sąrašus arba priskirdamos įvertį (pagal tiekėjo metodą). Šiuos klasifikavimo būdus galima naudoti rankiniu būdu arba automatiškai. Antrasis apsaugos nuo kenkėjiškų programų funkcinis komponentas yra interneto naršyklė, kuri debesų technologijos pagrindo reputacijos sistemų prašo reputacijos informacijos apie tam tikrus URL, failus ar programas, o tada perspėja apie kenkėjišką programą arba ją blokuoja. Jei rezultatai rodo kenkėjišką programą, žiniatinklio naršyklė nukreipia naudotoją į įspėjamąjį pranešimą, kur paaiškinama, kad URL, failas ar programa yra kenksminga. Kai kuriose reputacijos sistemose taip pat įtrauktas papildomas mokomasis turinys. Kita vertus, kai turinys įvertinamas kaip geras, žiniatinklio naršyklė nesiima jokių veiksmų, o vartotojas net nežino apie naršyklės ką tik atliktą saugumo patikrą. Google ir Firefox naudoja Google saugaus naršymo API ir URL reputacijai, ir naudotojams blokuoti arba įspėti apie tam tikrų tipų failų atsisiuntimą. Apsaugai nuo sukčiavimo apsimetant ir kenkėjiškų programų grėsmės Microsoft Edge naudoja Microsoft sargybos SmartScreen, įskaitant programos reputacijos paslaugą. Opera naudoja Netcraft, 1 PhishTank 2 ir Metamask 3 blokuojamųjų sąrašų, taip pat Yandex blokuojamų kenkėjiškų programų sąrašų derinius. 4 Be to, kartu su 2017 m. spalio mėn. Windows 10 naujinimu kaip visos OS funkcija buvo įtraukta Microsoft sargybos SmartScreen. SmartScreen apsaugos operacinės sistemos versija yra visų naršyklių, el. pašto klientų, USB ir kitų programų apsauginė priemonė, taikoma kaip OS apsaugos nuo kenkėjiškų programų dalis. Taigi naudotojams naudinga naršyklės URL apsauga, naršyklės programų / failų apsauga, taip pat operacinės sistemos apsauga. Bandymų sudėtis kenkėjiškų programų pavyzdžiai Šios ataskaitos duomenys atitinka 34 dienų bandymų laikotarpį nuo 2020 m. balandžio 21 d. iki gegužės 25 d. Visi bandymai buvo atlikti NSS bandymų infrastruktūroje Austine, Teksase. Bandymų metu NSS inžinieriai reguliariai stebėjo ryšį, siekdami užtikrinti, kad bandomos naršyklės galėtų pasiekti kenkėjiškas programas ir reputacijos paslaugas debesyje. Buvo pabrėžiamas naujumas, taigi įvertinta daugiau pavyzdžių nei jų iki galo išsaugota gautame bandymo rinkinyje, nes į bandymą nuolat buvo įtraukiama naujų pavyzdžių, o nebeveikiantys pavyzdžiai buvo pašalinti. Bendras išbandytų kenksmingų pavyzdžių skaičius Iš viso 1844 neapdoroti nepatvirtinti pavyzdžiai buvo išbandyti kelis kartus su kiekviena žiniatinklio naršykle, iš viso atlikti 182 676 atskiri bandymai be pertraukų per 822 valandas (kas 6 valandas 34 dienas). NSS inžinieriai pašalino patvirtinimo kriterijų neatitinkančius pavyzdžius, įskaitant tuos, kurie buvo sugadinti dėl eksploatavimo (į šį bandymą neįtraukta). Galiausiai į 129 068 atskirus galiojančius kenkėjiškų programų bandymus buvo įtraukti 1065 unikalūs tinkami kenkėjiškų programų pavyzdžiai (po 32 267 kiekvienoje žiniatinklio naršyklėje), o paklaida buvo mažesnė nei 2 procentai (< 2 %) esant 95 % patikimumo lygiui. 1 http://www.netcraft.com/ 2 http://www.phishtank.com/ 3 https://github.com/metamask/eth-phishing-detect 4 https://yandex.com 2
Kenkėjiškų programų blokavimo rodiklis Galimybė perspėti potencialias aukas, kad ketina atidaryti kenkėjišką svetainę, tai unikalus žiniatinklio naršyklės pranašumas kovoje su socialinės inžinerijos kenkėjiškomis programomis. Kenkėjiškų programų tinklaviečių eksploatacijos trukmė trumpa, todėl svarbu tinklavietę kuo greičiau rasti, patvirtinti, klasifikuoti ir įtraukti į reputacijos sistemą. Taigi gera reputacijos sistema turi būti tiksli ir greita, kad užtikrintų didelę priegaudą. Naršyklių kūrėjai aiškiai supranta šią sąlygą ir per pirmąsias 24 aptikimo valandas blokuojama gerokai daugiau kenkėjiškų programų nei vėliau. Pagrindinė Edge apsaugos technologija yra SmartScreen, kuri suteikia URL pagrįstą apsaugą nuo atakų pasitelkiant integruotą debesų technologijos pagrindo URL reputacijos paslaugą, taip pat programos reputaciją dėl kenksmingų failų blokavimo. Edge SmartScreen su programos reputacija užblokavo 98,5 %. Mozilla Firefox ir Google Chrome taikoma saugaus naršymo API. Firefox blokavo 86,1 %. Google Chrome blokavo 86.0 %. Naudojant kelių šaltinių blokuojamųjų sąrašus Opera blokavo 5,6 %. Apsaugos nuo kenkėjiškų programų histograma Be to, Microsoft sargybos SmartScreen papildomai blokavo 93,1 % kenksmingų failų naršyklėje Opera, 13,1 % Chrome, 13,0 % Firefox ir 0,7 % Edge kenksmingų failų, kai bandėme juos vykdyti. Neatidėliotina apsauga nuo naujų kenkėjiškų programų ypač svarbu. Aptiktos tinklavietės, kuriose yra kenkėjiškų programų, pašalinamos ir dažnai gana greitai. Produktai, kurie laiku netaiko apsaugos priemonių, gali nespėti pašalinti grėsmės. Histogramoje rodoma, per kiek laiko kiekviena naršyklė užblokavo kenkėjišką programą, įtraukus pavyzdį į bandymo ciklą. Per septynių dienų laikotarpį kumuliaciniai apsaugos rodikliai skaičiuojami kiekvieną dieną, kol grėsmės užblokuojamos. Bandymo metu nustatytas 96,7 % Microsoft Edge pradinis apsaugos nuo kenkėjiškų programų rodiklis. Google Chrome ir Mozilla Firefox pradinis apsaugos rodiklis buvo atitinkamai 86,2 % ir 80,8 %. Opera pradinis apsaugos rodiklis buvo 6,8 %. Septintosios bandymų dienos pabaigoje visų interneto naršyklių apsauga buvo padidinta. Microsoft Edge apsauga padidinta 4,5 % iki 98,2 %. Google Chrome apsauga padidinta 6,7 % iki 92,9 %; Mozilla Firefox apsauga padidinta 8,4 % iki 89,2 %; Opera apsauga padidinta 0,1 % iki 6,9 %. 3
Apsaugos nuoseklumas pagal laiką Viso bandymo metu buvo nuolat įtraukiama nauja kenkėjiška programa. Buvo pašalinti URL, failai ir programos, kurie buvo nebepasiekiami arba kuriuose buvo kenkėjiškų programų. Kiekvienas duomenų elementas apskaičiuojamas pagal parametrus, registruotus tam tikru laiko momentu. Jei kenkėjiška programa buvo užblokuota anksti, laikui bėgant pagerėjo naršyklės apsaugos nuoseklumo rezultatas. O jei naršyklė kenkėjiškų programų neužblokavo, rezultatas mažėjo. Bandymais atskleisti trys apsaugos lygiai: URL reputacija, programos reputacija naršyklėje ir OS programos reputacija. URL reputacija užtikrino pakankamai gerą apsaugą. Paraiškos reputacijos lygiai apsaugą padidino. Operacinės sistemos reputacija suteikė dar papildomą apsaugą. Geriausiu atveju žiniatinklio naršyklė blokuos kenkėjišką programinę įrangą, kad ji nepasiektų operacinės sistemos. Tačiau bandymai atskleidė, kad operacinės sistemos reputacija buvo labai efektyvi. 4
Bandymų aplinka BaitNET ( NSS Labs Proprietary ) 64-bit Microsoft Windows 10 Pro (1909 versija (komponavimo versija: 18363.592) Ubuntu 18.04.3 LTS Kali ( Kernel leidimas, 4.19.0-kali5-amd64) VMware vcenter (6.7u2 versija, \6.7.0.30000 komponavimo versija) VMware vsphere (6.7.0.20000 versija) VMware ESXi (6.7u3 versija, 14320388 komponavimo versija) VMware Tools 10.3.5 Wireshark 2.6.3 versija WinPcap 4.1.3 Filezilla Server 0.9.6 SSH Secure Shell 3.2.9 (283 komponavimo versija) GNU Wget 1.19.4 Curl 7.58.0 Išbandyti produktai Google Chrome : 81.0.4044.113 81.0.4044.138 vers. Microsoft Edge : 83.0.478.10 84.0.516.1 vers. Mozilla Firefox : 75.0 76.0.1 vers. Opera : 67.0.3575.137 68.0.3618.125 vers. 5
Autoriai Dipti Ghimire, Thomas Skybakmoen, Vikram Phatak Bandymų metodika NSS Labs Web Browser Security (WBS) bandymų metodikos 4.0 versija pateikta www.nsslabs.com. Kontaktinė informacija NSS Labs, Inc. 3711 South Mopac Expressway Building 1, Suite 400 Austin, TX 78746 info@nsslabs.com www.nsslabs.com Šis ir kiti susiję dokumentai pateikti adresu: www.nsslabs.com. Norėdami gauti licencijuotą kopiją ar pranešti apie netinkamą naudojimą, kreipkitės į NSS Labs. 2020 m., NSS Labs, Inc.. Visos teisės saugomos. Jokios šio leidinio dalies negalima atgaminti, kopijuoti / nuskaityti, saugoti paieškos sistemoje, siųsti el. paštu ar kitaip platinti ar perduoti be aiškaus rašytinio NSS Labs, Inc. ( mūsų ar mes ) sutikimo. Perskaitykite šiame lauke pateiktą atsakomybės atsisakymą, nes jame išdėstyta jums svarbi saistanti informacija. Jei nesutinkate su šiomis sąlygomis, turite nedelsdami šią ataskaitą grąžinti mums, neskaitę jos likusios dalies. Jūs arba jūsų reiškia asmenį, gavusį šią ataskaitą, ir bet kurį subjektą, kurio vardu šis asmuo ataskaitą gavo. 1. Šioje ataskaitoje pateiktą informaciją galime pakeisti be įspėjimo ir neįsipareigojame jos atnaujinti. 2. Manome, kad publikavimo metu šioje ataskaitoje pateikta informacija yra tiksli ir patikima, tačiau to neužtikriname. Šia ataskaita naudojatės ir remiatės tik savo rizika. Mes neatsakome ir neprisiimame atsakomybės už jokią žalą, nuostolius ar bet kokio pobūdžio išlaidas, patirtos dėl šios ataskaitos klaidų ar trūkstamos informacijos. 3. NESUTEIKIAME JOKIŲ AIŠKIŲ AR NUMANOMŲ GARANTIJŲ. ATSISAKOME IR NEĮSIPAREIGOJAME SUTEIKTI BET KOKIŲ NUMANOMŲ GARANTIJŲ, ĮSKAITANT NETIESIOGINES TINKAMUMO PREKYBAI IR TAM TIKRAM TIKSLUI GARANTIJAS, TAIP PAT GARANTIJAS DĖL TEISIŲ PAŽEIDIMO. JOKIU ATVEJU NEBŪSIME ATSAKINGI UŽ TIESIOGINIUS, SU PADARINIAIS SUSIJUSIUS, ATSITIKTINIUS, BAUDINIUS AR NETIESIOGINIUS NUOSTOLIUS, TAIP PAT UŽ BET KOKIĄ PELNO, PAJAMŲ, DUOMENŲ, KOMPIUTERIŲ PROGRAMŲ ARBA KITO TURTO NETEKTĮ NET TUO ATVEJU, JEI BUVO PRANEŠTA APIE TOKIĄ TIKIMYBĘ. 4. Šia ataskaita nesuteikiama patvirtinimo, rekomendacijų ar garantijų nė vienam iš išbandytų produktų (aparatūrai ar programinei įrangai), taip pat produktams bandyti naudojamai aparatinei ir (arba) programinei įrangai. Bandymais nepatvirtinama, kad produktuose nėra klaidų ar trūkumų ar kad produktai atitiks jūsų lūkesčius, reikalavimus, poreikius ar specifikacijas, arba kad jie veiks be trikdžių. 5. Ši ataskaita nereiškia jokių šioje ataskaitoje paminėtų organizacijų pritarimo, rėmimo, bendradarbiavimo ar patvirtinimo. 6. Visi šioje ataskaitoje naudojami prekių, paslaugų ženklai ir komerciniai pavadinimai yra atitinkamų savininkų prekių, paslaugų ženklai ir komerciniai pavadinimai. 6