未来恶意软件防御有何值得期待

网络安全研究公司NSS实验室的一项研究发现，五款防御社会工程恶意软件(SEM)的安全产品总体性能差异甚微。SEM包括虚假系统升级以及假冒反病毒和木马应用程序等。所以企业应如何选择最好的保护呢?

“社会工程恶意软件是今天网络面临的最大威胁之一，人们通常被骗去网站并下载文件，”NSS实验室研究主管Randy Abrams说，“网络上有各种各样的社会工程技术和有效下载，所以今天我们正在测试的是一款产品如何防止社会工程。”

虽然目前在终端保护有了显著改善，NSS实验室仍然建议企业或组织寻找能够提供持续保护和快速响应社会工程恶意软件威胁的产品。

NSS实验室如何测试

2013年12月15日到1月19日期间，Abrams和他的团队不断测试反SEM工具，包括Bitdefender的端点安全，飞塔FortiClient的端点保护，McAfee的企业反间谍软件，赛门铁克的端点保护和趋势科技的办公室扫描等。测试是在不运行Bitdefender的32位微软Windows 7操作系统上IE浏览器智能滤网禁用的环境下进行的。

NSS看重产品在阻止恶意软件上两方面的能力：下载和执行。团队也会比较产品如何防御最常见的威胁：SEM、攻击和钓鱼。

Abrams说：人们通常使用各种网站抓取工具，所以我们生活在社会工程恶意软件实时存在的基础上。在互联网可及的范围内，我们将找到它们并继续测试。

“这不是一个单时间点测试。这是一个几周都将持续进行的测试，所以随着时间的推移我们能够看到真实的性能而不是单点快照，”他说。

第一个七天接近尾声时，SEM的平均拦截率范围从飞塔的92%到迈克菲的100%。再过七天，综合拦截率增长至：

趋势科技SEM拦截率98%;

赛门铁克达到了98.80%;

Fortinet突增达到99.40%;

Bitdefender达到99.60%;

McAfee持稳于100%。

根据4月份NSS实验室公布的“企业EPP比较分析：社会工程恶意软件报告”，终端保护产品平均每天测试218次，每六个小时添加一个新url。在测试期间共使用过497个独特的SEM样品。

产品的差异

根据此报告，在防御开始时的测试显示综合下载和实施拦截的比率，Bitdefender和Fortinet偏低，为 88.5%，McAfee达到99.8%。根据报告，防御开始指新漏洞第一次为人所知的时间。

“他们在防御开始时能做到的保护比一天之后明显要少，但一天之后他们会表现很好，” Abrams说，“两天后，表现最弱的产品也有显著改善，产品都能够提供相当高水平的保护。当你的产品表现达到那种程度，防御开始时的保护就开始成为区分点。”

因为SEM在url中快速移动，被威胁的节点被迅速发现和阻止。一个端点的产品能够越快地防御SEM，那么就能越快地针对所有包含SEM的恶意url提供防御和保护，报告说。

迈克菲的产品以平均31秒添加保护的成绩赢得了比赛，但赛门铁克的解决方案同样可圈可点，平均时间15分钟添加保护，平均SEM保护率100%。

“看到这些产品做得有多好真的很惊讶，” Abrams说，“当你把他们现在和过去的表现作比较时，会发现他们真的把性能提高到了一个新的层次。”

Abrams说，NSS通常基于市场份额和NSS用户感兴趣的产品进行有选择的测试，尽管它也着眼于技术原则。在这种情况下，McAfee、赛门铁克和趋势科技都是大玩家，至少在美国是这样，而Bitdefender在欧洲有不小的吸引力，Fortinet正从其网络焦点构建包括终点保护在内的新分支。

Abrams说，测试也为企业提供了一个良好的基准来保护其组织，但如果结果显示全面保护，那必然是不准确的。

Abrams说：这些是真实的样品，然而我们却不知道。McAfee推出100%加载拦截，事实上，我们知道这些产品都并非完美，但我们不知道他们到底哪里不完美。Abrams最后补充道，一些研究人员估计产品检测出的还不到70%。