การปะทะกันระหว่าง Fortinet, McAfee, Trend Micro, Symantec และ Bitdefender ในการทดสอบการป้องกันมัลแวร์ประเภทโซเชียลเอนจิเนียร์

มัลแวร์ประเภทโซเชียลเอนจิเนียร์ (Socially-engineered Malware: SEM) จะพยายามหลอกผู้ใช้งานให้กดดาวน์โหลดและรันการทำงานมัลแวร์โดยผ่านการล่อลวงหรือกลวิธีต่างๆ เช่น หลอกว่าเป็นแอนตี้ไวรัส, หลอกว่าเป็นการอัพเกรดเฟิร์มแวร์ หรือเป็นแอพพลิเคชันที่มีโทรจันแฝงอยู่

NSS Labs บริษัทชั้นนำทางด้านงานวิจัยทางความปลอดภัยของข้อมูล ได้ทำการทดสอบผลิตภัณฑ์ประเภทใช้ป้องกันเครื่องลูกข่าย (Endpoint Security Product) เป็นระยะเวลา 36 วัน เพื่อตรวจสอบความสามารถในการป้องกัน SEM ประกอบด้วย

• FortiClient Endpoint Protection โดย Fortinet
• McAfee VirusScan Enterprise and Anti-spyware Enterprise
• Symantec Endpoint Protection
• Trend Micro OfficeScan
• Endpoint Security โดย Bitdefender

จากรายงานของ NSS Labs สรุปได้ว่า เกือบทุกผลิตภัณฑ์มีความสามารถในการป้องกัน SEM ได้เป็นอย่างดี แต่ความเร็วในการป้องกันค่อนข้างแตกต่างกันอย่างเห็นได้ชัด ซึ่งผลิตภัณฑ์ป้องกันเครื่องลูกข่ายของ McAfee มีความเร็วสูงเป็นพิเศษ

สภาพแวดล้องในการทดสอบ คือ Windows 7 Enterprise Service Pack 1 32-bit, ไม่เปิดใช้งาน Windows Defender และ Internet Explorer 10.0.9200.16660 ซึ่งไม่ใช้งาน Smart Screen Filter นอกจากนี้ ทาง NSS Labs หมายเหตุไว้ว่า บางเบราเซอร์ เช่น IE ของ Microsoft สามารถป้องกัน SEM ในระดับหนึ่งอยู่แล้ว ซึ่งอาจจะทำงานซ้ำซ้อนกับซอฟต์แวร์เพื่อป้องกันมัลแวร์ (Anti-malware Agent Softwae) ของผลิตภัณฑ์ที่นำมาทดสอบ

ผลลัพธ์ที่ได้จากการทดสอบ คือ

• McAfee VirusScan Enterprise สามารถบล็อก SEM จากการดาวน์โหลดได้ 100%
• Symantec Endpoint Protection บล็อก SEM ได้ 100% ซึ่ง 98.8% บล็อกตอนดาวน์โหลด และ 1.2% บล็อกเมื่อมัลแวร์พยายามรันตัวเอง
• Bitdefender Endpoint Security บล็อก SEM ได้ 99.8% ซึ่ง 99.6% บล็อกตอนดาวน์โหลด และ 0.2% บล็อกเมื่อมัลแวร์พยายามรันตัวเอง
• FortiClient Endpoint Protection บล็อก SEM ได้ 99.8% ซึ่ง 99.4% บล็อกตอนดาวน์โหลด และ 0.4% บล็อกเมื่อมัลแวร์พยายามรันตัวเอง
• Trend Micro OfficeScan บล็อก SEM ได้ 99.61% ซึ่ง 98% บล็อกตอนดาวน์โหลด และ 1.61% บล็อกเมื่อมัลแวร์พยายามรันตัวเอง

เนื่องจากเป็นเรื่องปกติของ SEM ที่จะเปลี่ยน URL ไปเรื่อยๆเมื่อถูกค้นพบและมีการบล็อก URL นั้นๆ ความเร็วในการบล็อกจึงถือเป็นอีกปัจจัยหนึ่งที่สำคัญ ซึ่งในส่วนการวัดความเร็ว McAfee VirusScan Enterprise มีความเร็วสูงที่สุดในการตรวจจับ SEM ใหม่ โดยใช้เวลาเฉลี่ยประมาณ 31 วินาที Symantec และ Trend Micro ใช้เวลาประมาณ 15 และ 31 นาที ซึ่ง 3 ผลิตภัณฑ์แรกถือว่ามีความเร็วสูงว่าอีก 2 ผลิตภัณฑ์ที่เหลือเป็นอย่างมาก กล่าวคือ Fortinet ใช้เวลาเฉลี่ย 1.32 ชั่วโมง และ Bitdefender ใช้เวลาเฉลี่ย 2.2 ชั่วโมง

ที่มา: https://www.nsslabs.com/reports/enterprise-end-point-protection-comparative-analysis-socially-engineered-malware