סקירה כללית סיכום התוצאות רבעון שני, 2020 דוח בדיקה השוואתית ברבעון השני של שנת 2020, Labs NSS ביצעה בדיקה בלתי-תלויה של אמצעי ההגנה מפני תוכנות זדוניות שדפדפני אינטרנט מספקים: 32,267 בדיקות פרטניות )לכל דפדפן אינטרנט(, תוך שימוש ב- 1,065 דגימות ייחודיות במהלך 34 ימים. כדי להגן מפני תוכנות זדוניות, Microsoft Edge משתמש ב- Microsoft Defender Google Chrome ;SmartScreen ו Firefox- Mozilla משתמשים ב- API ;Google Safe Browsing ואילו Opera משתמש ב -. Yandex Microsoft Edge סיפק את רמת ההגנה הגבוהה ביותר, עם חסימה של 98.5% מהתוכנות הזדוניות, וסיפק גם את השיעור הגבוה ביותר של הגנה בשעת אפס )96.7%(. Firefox סיפק את ההגנה השנייה ברמתה, עם חסימה של 86.1% בממוצע, ואחריו Google Chrome עם חסימה של 86.0%. Opera חסם 5.6%. מערכות המנוהלות על סמך מוניטין מקצרות את הזמן שעומד לרשות התוקפים להשגת מטרותיהם, על-ידי מניעה או אזהרת המשתמשים שמדובר בכתובת,URL בקובץ או באפליקציה מסוכנים. אולם המשתמשים מבקרים כל העת באתרי אינטרנט חדשים, מורידים קבצים ומתקינים אפליקציות. מערכות המנוהלות על סמך מוניטין לא יכולות פשוט לחסום כל דבר חדש. לפיכך, הקמפיינים של התוכנות הזדוניות של התוקפים משתנים כל העת, והשעות הראשונות אחרי השקת הקמפיין הן הזמן שבו מתרחשות רוב ההתקפות. לכן, כדי להגן בהצלחה, יש צורך מהותי בסיווג מהיר ומדויק של תוכן. NSS Labs העריכה את יכולתם של הדפדפנים לחסום תוכנות זדוניות מיד לאחר שמצאנו אותן באינטרנט. המשכנו לבדוק את כתובות ה- URL, הקבצים והאפליקציות הזדוניים כל שש שעות, כדי לברר כמה זמן נדרש לספק מסוים כדי להוסיף הגנה, אם בכלל עשה כן. הגנה מפני תוכנות זדוניות לאורך זמן לאורך הבדיקה, נוספו כל העת תוכנות זדוניות חדשות. הוסרו כתובות,URL קבצים ואפליקציות שנעשו בלתי-נגישים, או שהפסיקו לארח תוכנה זדונית. כל נקודת נתונים מחושבת ממדידות שתועדו בנקודת זמן ספציפית. חסימה מוקדמת של תוכנה זדונית שיפרה את הניקוד של הדפדפן מבחינת עקביות ההגנה לאורך זמן. לחלופין, אם הדפדפן לא חסם את התוכנה הזדונית, הניקוד ירד. הבדיקה התבססה על מתודולוגיית Web Browser Test Methodology v4.0 )זמינה באתר.)www.nsslabs.com 1
רקע התקפות תוכנה זדונית מסוג הנדסה חברתית )SEM( משתמשות בשילוב דינמי של מדיה חברתית, חשבונות דואר אלקטרוני שנחטפו, הודעות כוזבות על בעיות במחשב ואמצעי הטעיה נוספים, כדי לעודד את המשתמשים להוריד תוכנה זדונית. פושעי סייבר משתמשים בחשבונות דואר אלקטרוני שנחטפו כדי לנצל את האמון המשתמע בין אנשי הקשר וכדי לגרום לקורבנות לתת אמון בקישורים שמובילים אל קבצים זדוניים. בחשבונות מדיה חברתית שנחטפו נעשה אותו שימוש שנעשה בחשבונות דואר אלקטרוני שנחטפו. אולם במקרה של רשתות חברתיות, המעגל מתרחב: חברים ואפילו חברים של חברים עלולים ליפול קורבן. הטקטיקות להנדסה חברתית עשויות לכלול הודעות קופצות; לדוגמה, הודעה המודיעה למשתמשים שצריך להתקין יישומים כמו,Adobe Flash Player או שהמחשבים שלהם נגועים או זקוקים לעדכונים. לאחר ההתקנה של התוכנה הזדונית, הקורבנות פגיעים לגניבת זהות, לפריצה לחשבון הבנק ולהשלכות הרסניות נוספות. ההגנה של דפדפני אינטרנט מפני תוכנות זדוניות כדי להגן מפני תוכנות זדוניות, דפדפנים משתמשים במערכות המנוהלות על סמך מוניטין הנמצאות בענן, הסורקות את האינטרנט בחיפוש אחר אתרי אינטרנט זדוניים, ולאחר מכן מסווגות את התוכן בהתאם, על-ידי הוספתו לרשימות חסימה או לרשימות היתרים, או על-ידי הקצאת ניקוד לתוכן )בהתאם לגישה של הספק(. שיטות סיווג אלה יכולות להתבצע ידנית או באופן אוטומטי. במרכיב הפונקציונלי השני של ההגנה מפני תוכנות זדוניות, דפדפן האינטרנט מבקש מהמערכת המנוהלת על סמך מוניטין שבענן מידע מוניטין על כתובות,URL קבצים או אפליקציות ספציפיים, ולאחר מכן מזהיר מפני התוכנה הזדונית, או חוסם אותה. אם התוצאה מלמדת על נוכחות של תוכנה זדונית, דפדפן האינטרנט ינתב את המשתמש מחדש אל הודעת אזהרה, שמסבירה שמדובר בכתובת,URL בקובץ או באפליקציה זדוניים. מערכות המנוהלות על סמך מוניטין מסוימות כוללות גם תוכן הסברתי נוסף. לעומת זאת, אם התוכן יימצא "תקין", דפדפן האינטרנט לא יבצע שום פעולה, והמשתמש לא יודע שהדפדפן ביצע זה עתה בדיקת אבטחה. משתמש ב- SmartScreen,Microsoft Defender בכלל זה שירות המוניטין של אפליקציות, כדי לספק הגנה מפני איומי דיוג ותוכנות זדוניות. Opera משתמש בשילוב של רשימות חסימה מאת PhishTank 2,Netcraft 1 ו- Metamask 3 וכן ברשימת 4 חסימות של תוכנות זדוניות מאת.Yandex כמו כן, Microsoft Defender SmartScreen שולב בתור תכונה כללית של מערכת ההפעלה, במסגרת העדכון של Windows 10 מאוקטובר 2017. גירסת מערכת ההפעלה של הגנת SmartScreen היא קיר מגן לכל הדפדפנים, לקוחות הדואר האלקטרוני, חיבורי USB ואפליקציות אחרות, כחלק מההגנה של מערכת ההפעלה מפני תוכנה זדונית. כך המשתמשים נהנים מהגנה מפני כתובות URL בדפדפן, מהגנה מפני אפליקציות/קבצים בדפדפן וכן מהגנה ברמת מערכת ההפעלה. הרכב הבדיקה דגימות של תוכנה זדונית הנתונים בדוח זה מגיעים מתקופת בדיקה באורך 34 ימים, מ- 21 באפריל 2020 ועד ל- 25 במאי 2020. כל הבדיקות בוצעו במתקן הבדיקות של NSS באוסטין, טקסס. במהלך הבדיקה, המהנדסים של NSS ניטרו את הקישוריות באופן שוטף, כדי לוודא שהדפדפן הנבדק מצליח לגשת לתוכנות הזדוניות, כמו גם אל שירותי המוניטין שבענן. הושם דגש על רענון, ולכן מספר גדול של דגימות עבר הערכה, ובסופו של דבר נשמר כחלק ממערך הבדיקה שהתקבל, משום שדגימות חדשות נוספו כל העת לבדיקה, ודגימות מתות הוסרו. סה"כ דגימות זדוניות שנבדקו בסך הכול, 1,844 דגימות גולמיות ולא מאומתות נבדקו מספר פעמים בכל דפדפן אינטרנט, למספר כולל של 182,676 בדיקות נפרדות שנערכו ללא הפרעה במהלך 822 שעות )כל 6 שעות, למשך 34 ימים(. המהנדסים של NSS הסירו דגימות שלא עמדו בקריטריוני האימות, בכלל זה אלה שנגועות בניצול לרעה )שאינו נכלל בבדיקה זו(. בסופו של דבר, 1,065 דגימות ייחודיות ותקפות של תוכנה זדונית נכללו ב- 129,068 בדיקות תוכנה זדונית תקפות נפרדות )32,267 לכל דפדפן אינטרנט(, עם טווח טעות הקטן מ- 2 אחוז )2%>( ורמת סמך של 95%.,Google Safe Browsing ב- API משתמשים ו- Firefox Google הן לבירור מוניטין של כתובות URL והן לחסימה או לאזהרת משתמשים מפני הורדת קבצים מסוגים מסוימים. Microsoft Edge https://github.com/metamask/eth-phishing-detect 3 https://yandex.com 4 2 http://www.netcraft.com/ 1 http://www.phishtank.com/ 2
שיעור החסימה של תוכנה זדונית היכולת להזהיר קורבנות אפשריים, מכך שהם עומדים לעבור לאתר אינטרנט זדוני, מציבה את דפדפני האינטרנט בעמדה ייחודית למאבק בתוכנות זדוניות המהונדסות חברתית. משום שמשך החיים של אתרי תוכנה זדונית קצר, חשוב מאוד לגלות, לאמת, לסווג ולהוסיף את האתר למערכת המוניטין כמה שיותר מהר. לכן, מערכת טובה לניהול מוניטין חייבת להיות גם מדויקת וגם מהירה, כדי להשיג שיעורי תפיסה גבוהים. מפתחי הדפדפנים בהחלט מבינים את הקשר הזה, והרבה יותר תוכנות זדוניות נחסמות במהלך 24 השעות הראשונות מאשר לאחר מכן. טכנולוגיית הליבה של ההגנה ב- Edge היא,SmartScreen המספקת הגנה מבוססת URL מפני התקפות, דרך שירות ענן משולב לניהול מוניטין של כתובות,URL כמו גם מוניטין של אפליקציות לצורך חסימה של קבצים זדוניים. SmartScreen עם מוניטין האפליקציות חסם 98.5% עבור Mozilla.Edge Safe Browsing משתמשים ב- Google ו- Chrome Firefox Firefox.API חסם.86.1% Chrome Google חסם 86.0%.,Opera שמשתמש בשילוב של רשימות חסימה מכמה מקורות שונים, חסם 5.6%. כמו כן, Microsoft Defender SmartScreen חסם 93.1% עבור ;Opera 13.1% עבור ;Chrome 13.0% עבור ;Firefox ו- 0.7% קבצים זדוניים עבור,Edge בעת הניסיון להפעיל אותם. היסטוגרמה של הגנה מפני תוכנה זדונית הגנה מיידית מפני תוכנות זדוניות חדשות היא צורך קריטי. כשאתרים שמארחים תוכנה זדונית מתגלים הם מוסרים מהאינטרנט, במקרים רבים תוך זמן קצר. מוצרים שלא מצליחים להוסיף הגנה בזמן עלולים להגיב מאוחר מדי לאיום. ההיסטוגרמה מראה כמה זמן נדרש לכל דפדפן כדי לחסום תוכנה זדונית, לאחר כניסתה של הדגימה למחזור הבדיקה. במסגרת חלון זמן שנמשך שבוע ימים, שיעורי ההגנה המצטברים חושבו מדי יום עד לחסימת האיומים. במהלך הבדיקה, Microsoft Edge השיג שיעור הגנה התחלתי של 96.7% מפני תוכנות זדוניות. Google Chrome ו- Firefox Mozilla השיגו שיעור הגנה התחלתי של 86.2% ו- 80.8%, בהתאמה. שיעור ההגנה ההתחלתי של Opera היה 6.8%. נכון לסוף היום השביעי של הבדיקה, כל דפדפני האינטרנט הראו עלייה בשיעור ההגנה. Microsoft Edge עלה ב- 4.5% ל- 98.2%. Google Chrome עלה ב- 6.7% ל- 92.9% ; Mozilla Firefox עלה ב- 8.4% ל- 89.2% ; Opera עלה ב- 0.1% ל- 6.9%. 3
עקביות ההגנה לאורך זמן לאורך הבדיקה, נוספו כל העת תוכנות זדוניות חדשות. הוסרו כתובות,URL קבצים ואפליקציות שנעשו בלתי-נגישים, או שהפסיקו לארח תוכנה זדונית. כל נקודת נתונים מחושבת ממדידות שתועדו בנקודת זמן ספציפית. חסימה מוקדמת של תוכנה זדונית שיפרה את הניקוד של הדפדפן מבחינת עקביות ההגנה לאורך זמן. לחלופין, אם הדפדפן לא חסם את התוכנה הזדונית, הניקוד ירד. הבדיקה גילתה שלוש שכבות הגנה: מוניטין של כתובות,URL מוניטין של אפליקציות בדפדפן ומוניטין של אפליקציות במערכת ההפעלה. המערכת לניהול מוניטין של כתובות URL הציעה רמת הגנה סבירה. הוספת השכבה של מוניטין אפליקציות שיפרה את רמת ההגנה. ניהול מוניטין ברמת מערכת ההפעלה הוסיף רמת הגנה נוספת. באופן אידאלי, דפדפן האינטרנט יחסום תוכנה זדונית, כך שלעולם לא תגיע למערכת ההפעלה. אולם מהבדיקות עולה שניהול המוניטין ברמת מערכת ההפעלה היה יעיל ביותר. 4
סביבת בדיקות המוצרים שנבדקו :Google Chrome גירסה 81.0.4044.113 81.0.4044.138 :Microsoft Edge גירסה 83.0.478.10 84.0.516.1 :Mozilla Firefox גירסה 75.0 76.0.1 :Opera גירסה: 67.0.3575.137 68.0.3618.125 )NSS Labs של )קנייני BaitNET מהדורת 64 סיביות של Microsoft Windows 10 Pro )גירסה :Build 1909 )18363.592 Ubuntu 18.04.3 LTS Kali (Kernel release 4.19.0-kali5-amd64) VMware vcenter (Version 6.7u2 Build 6.7.0.30000) VMware vsphere (Version 6.7.0.20000) VMware ESXi (Version 6.7u3 Build 14320388) VMware Tools 10.3.5 Wireshark version 2.6.3 WinPcap 4.1.3 Filezilla Server 0.9.6 SSH Secure Shell 3.2.9 (Build 283) GNU Wget 1.19.4 Curl 7.58.0 5
מחברים: Vikram Phatak,Thomas Skybakmoen,Dipti Ghimire מתודולוגיית הבדיקה מתודולוגיית Web Browser Security (WBS) Test Methodology v4.0 של NSS Labs זמינה באתר www.nsslabs.com. פרטי קשר NSS Labs, Inc. 3711 South Mopac Expressway Building 1, Suite 400 Austin, TX 78746 info@nsslabs.com www.nsslabs.com מסמך זה ומסמכים קשורים נוספים זמינים באתר: www.nsslabs.com. כדי לקבל עותק מורשה או כדי לדווח על שימוש לרעה, נא לפנות אל.NSS Labs 2020 Inc..NSS Labs, כל הזכויות שמורות. אין לשכפל, להעתיק או לסרוק שום חלק מפרסום זה, לאחסנו במערכת אחזור, לשלוח אותו בדואר אלקטרוני או להפיץ או לשדר אותו בכל דרך אחרת, ללא הסכמה מפורשת בכתב מאת Inc. NSS Labs, )"אנו" או "אנחנו"(. נא לקרוא את כתב הוויתור שבתיבה זו, משום שהוא כולל מידע חשוב, המחייב אותך. אם אינך מסכים לתנאים אלה, אל תקרא את שאר הדוח, והחזר את הדוח אלינו מיד. המילים "אתה" ו"שלך" מתייחסות למי שניגש לדוח זה ולכל ישות שמטעמה דוח זה הושג. 1. המידע שבדוח זה נתון לשינויים על-ידנו ללא הודעה על כך, ולא חלה עלינו שום התחייבות לעדכן אותו. 2. להערכתנו, המידע שבדוח זה מדויק ומהימן נכון למועד הפרסום, אך אין ערובה לכך. כל שימוש בדוח זה והסתמכות עליו ייעשו באחריותך בלבד. אנו לא נושאים בחבות או באחריות על שום נזק, הפסד או הוצאה מכל סוג שהוא עקב כל שגיאה או השמטה בדוח זה. 3. אנו לא מספקים שום תערובות, במפורש או במשתמע. אנו דוחים בזאת כל תערובה משתמעת, בכלל זה תערובות משתמעות בנוגע ליכולת סחירה, להתאמה למטרה מסוימת ולאי הפרה של זכויות יוצרים. אנו לא נישא, בשום מקרה, בחבות על שום נזק ישיר, תוצאתי, מקרי, עונשי, לדוגמא או עקיף או על שום אובדן של רווחים, הכנסות, נתונים, תוכניות מחשב או נכסים אחרים, גם אם דווח לנו על אפשרות לכך. 4. דוח זה אינו מהווה המלצה או ערובה על אף אחד מהמוצרים )חומרה או תוכנה( שנבדקו או על החומרה ו/או התוכנה ששימשו לבדיקת המוצרים. הבדיקה אינה מבטיחה שהמוצרים נקיים משגיאות או מפגמים, או שהמוצרים יעמדו בציפיות, בדרישות, בצרכים או במפרט שלך, או שיפעלו ללא הפרעות. 5. אין לפרש דוח זה בתור המלצה, חסות, זיקה או אימות על-ידי אף אחד מהארגונים הנזכרים בדוח זה, או עם אף אחד מהארגונים הללו. 6. כל הסימנים המסחריים, סימני השירות והשמות המסחריים הנזכרים בדוח זה הם הסימנים המסחריים, סימני השירות והשמות המסחריים של בעליהם השונים. 6