Slutten på antivirusprogramvare? Ikke så fort

Antivirusprogrammer er avhengige av signaturer om malware, antivirusprogrammer er ikke proaktive, antivirusprogramvare er ineffektiv. Høres kjent ut? Jeg har selv gitt etter for mantraet og skrevet - "Hvordan antivirusprogramvare fungerer: Er det verdt det?" og "Tradisjonell antivirusprogramvare er ubrukelig mot militær skadelig programvare."

Hvis det er sant, hvorfor slutter de samme rapportene som dreper antivirusprogrammer med CYA - aldri forlater det digitale hjemmet ditt uten AV-programvare. I det tilfelle er de siste tankene mine om den første artikkelen koblet over:

Å være en av disse "snarere være trygg enn beklager" -typene, vil jeg fortsette å foreslå å bruke et antivirusprogram.

Så hva gir?

Jeg bestemte meg for å ignorere formodningen, innuendoen, til og med min egen, og spør en ekspert. Helst en som tester antivirusprogrammer dag inn og ut, kanskje til og med styreleder for en eller annen testorganisasjon.

Det bare så hender jeg støt på en slik person; han heter Simon Edwards. Han er teknisk direktør for Dennis Technology Labs, og - nåværende styreleder i AMTSO, AntiMalware Testing Standards Organization ..

For å være ærlig, var AMTSO ikke på radaren min. Noe som er merkelig - medlemslisten er en veritabel "hvem er hvem" i antivirusindustrien. Jeg syntes det var interessant å se testorganisasjoner og leverandører som jobber sammen.

Jeg sjekket ut noen av AMTSOs organisasjonsdokumenter - ganske dyptgående ting. For eksempel fant jeg et dokument som brukte 19 sider på å diskutere fordeler og ulemper med å lage malware spesielt for testing:

Et av de mest omdiskuterte problemene i antimalware-bransjen i dag, er spørsmålet om det noen gang er riktig å lage et nytt stykke malware for å teste antimalware-programvare.

Der er den. Vi har kontroversen, og vi har en ekspert som kjenner AV-programvare inne og ute. La oss se hva han har å si.

Kassner : Velkommen Simon. Noe av det første jeg ønsker å rydde opp er om antivirusprogramvare og antimalware er det samme eller ikke, og hvilket begrep foretrekker bransjen? Edwards : Det er et interessant spørsmål. All såkalt "antivirus" -programvare gjør langt mer enn å oppdage og fjerne virus. Bedrifter bruker bare denne frasen fordi forbrukere er kjent med den.

For å være ærlig, håndterer AV-programvare ofte mer enn malware - som blokkerer phishing-angrep for eksempel. Det er sannsynligvis mer realistisk å beskrive det som "internettsikkerhetsprogramvare", men det er så uspesifikt at jeg kan forstå hvorfor firmaer holder fast med antivirus.

Kassner : Bra nok for meg, vi holder også med antivirus. Simon, du har på deg to forskjellige, men likevel beslektede hatter - den til teknisk direktør for Dennis Technology Labs og styreleder i AMTSO. Kunne du fortelle oss om hvert, med teknisk direktør? Edwards : Dennis Technology Labs spesialiserer seg på internett-trusseltesting, og har den nødvendige metodikken og ekspertisen på dette utfordrende området. Som teknisk direktør handler hovedoppgaven min om at tester blir utført på riktig måte. Et annet fokus for meg er å utvikle nye tester for å møte de siste utfordringene. Jeg personlig har testet antivirusprogramvare i godt over ti år.

Det er vanskelig å gjøre å teste antivirusprogramvare. Så dessverre er det mye dårlig testing som foregår. Resultatet er forvirring for forbrukerne, og frustrasjon fra antivirusleverandører. For å prøve å løse denne situasjonen, dannet alle de mest kjente leverandørene og testerne den ideelle organisasjonen AMTSO.

AMTSOs oppgave er å fremme best mulig testing. En god test er en som er objektiv mot leverandører, metodikken er gjennomsiktig, og resultatene er både meningsfulle og vitenskapelige. Alle testere bør ønske å nå disse målene. Jeg ble stemt inn som styreleder i fjor.

Kassner : IT-fagfolk og sikkerhetsundersøkere sier at antivirusprogramvare er en tapt sak. Den er basert på en reaksjonær modell, og dermed bestemt til aldri å oppfylle forventningene. Hvordan vil du svare på disse bekymringene? Edwards : Mye kritikk mot antivirusløsninger er basert på et utdatert syn på hvordan disse produktene fungerer. Noen antar for eksempel at "antivirusprogramvare" bare er en enkel filskanner.

I gamle dager ble ondsinnede filer analysert, hvoretter en "definisjon" ble lagt til i antivirusdatabasen. Dette ble distribuert til PCer som kjører skanneren, som deretter vil kunne oppdage den nye filen som skadelig.

Dette er langt fra virkeligheten i dag. Moderne antivirusprodukter inkluderer atferdskomponenter, omdømme-systemer for filer og nettsteder, og en rekke andre lagdelte forsvar. Noen inkluderer blokkering av utnyttingskoder, noe som er spesielt effektivt.

Er alt reaktivt? I en grad, ja, det er umulig å forutsi hvilke nettsteder kriminelle vil gå på akkord med. Også ondsinnede filer endres raskt. Imidlertid bruker mange angrep de samme verktøysettene, så produkter som støtter utnyttelse av gjenkjenning og blokkering, skal kunne stoppe disse angrepene, selv etter at kriminelle finjusterte innstillingene sine.

Kassner : Som noen som er intimt kjent med antivirus-teknologi, hva bekymrer deg mest for den nåværende skadelige versus antivirussituasjonen? Edwards : Mens generelle angrep som berører alle er en bekymring, er målrettede angrep den virkelige utfordringen som tilbydere av antivirusprodukter står overfor.

Ta disse to scenariene som eksempler:

  • En angriper kompromitterer et nettsted og får det til å smitte enhver besøkende som laster inn nettsiden. Den skadelige programvaren som infiserer PC-ene deres, stjeler bankinformasjon og annen verdifull personlig informasjon.
  • En angriper sender e-post til toppledere som jobber i et bestemt industriområde. Disse e-postene inneholder lenker til et infisert nettsted som ikke er av liten eller liten interesse for allmennheten. Det kan hende at det ikke en gang blir indeksert av en søkemotor.

I det første eksemplet vil folk bli smittet. Noen få kan rapportere om sine erfaringer til et sikkerhetsfirma, enten ved å sende en e-post eller ved å la antivirusprogramvaren rapportere automatisk tilbake.

Firmaet vil deretter undersøke trusselen og ta skritt for å sikre at alle kundene blir beskyttet. Det er vanlig at antivirusfirmaer deler denne typen informasjon med konkurrenter, og sprer beskyttelsens paraply over så mange internettbrukere som mulig.

I det første eksemplet har trusselen en relativt kort levetid, fordi trusselen rammer mange mennesker, derfor kommer raskt under kontroll av sikkerhetsfagfolk.

I kontrast er det andre eksemplet en subtil trussel. Bare noen få mennesker blir utsatt for det målrettede angrepet, og de nedlastede filene vil kanskje aldri bli lagt merke til at de er problematiske.

Kassner : For de av oss som ikke er eksperter, men som ennå er interessert i prosessen, kan du forklare hva som skjer når en utvikler sender Dennis Technology Labs et antivirusprogram som skal testes? Edwards : Vi tar en rettsmedisinsk tilnærming når vi tester antivirusprogramvare. Vi stoler ikke på hva produktene hevder. Hvis vi for eksempel besøker et infisert nettsted, og produktet hevder å ha blokkert det, sjekker vi fortsatt lave nivåer av PC-en vi bruker for å sikre at ingenting har glipp av.

Noen ganger vil et produkt gå glipp av en trussel til å begynne med. Men når den dårlige koden kjører på systemet, kan antivirusprogrammet sparke inn og fjerne det. Vi undersøker omfanget av virkningen trusselen har før vi bedømmer produktets effektivitet.

For eksempel, løp trusselen? I så fall, hvilke endringer gjorde det i systemet? Stjal den noe informasjon? Er viktige systemfiler skadet eller endret på annen måte? Deaktiverte den antivirusprogramvaren?

Kassner : Dennis Technology Labs tilhører AMTSO. Fjern din AMTSO-hatt for nå, hvilken innflytelse har AMTSO på hvordan du tester antivirusprodukter? Edwards : I dagene før AMTSO, da vi testet antivirusprogramvare for Dennis Publishing's datamagasiner, var det ingen insentiv til å dele detaljert informasjon med leverandørene. AMTSO endret vårt syn på det.

Ved å være gjennomsiktig og beskrive alt som testene våre avdekker, slår vi ikke bare fast at vi gjør det vi sier vi er, men vi hjelper antivirusleverandører med å forbedre produktene sine. Dette hjelper forbrukerne igjen.

Kassner : Jeg vil at du skal ta på deg AMTSO-hatten. Hva skal vi se etter noen av de mange antivirus-testrapportene? Edwards : Det er en liste over retningslinjer som AMTSO har publisert for å svare på det spørsmålet. For meg er en av tingene som hopper ut på meg fra en dårlig test, når konklusjonene er i strid med testdataene. For eksempel tar en test et utvalg av fordeler og demonstrerer at et antivirusprodukt ikke oppdager dem. Den konkluderer da at antivirus er ubrukelig.

Det kan være rettferdig å konkludere med at produktet har begrenset utnyttelsesdeteksjon, eller at dets offline filskanner er substandard, men å avskrive hele produktet (og noen ganger blir disse testene brukt til å avskrive hele bransjen) er uten tvil.

Det er rimelig å si at det ikke er noe som heter den perfekte testen, men hvis du vil ha en liste over ting du kan bedømme en test med, kan du bruke AMTSO Fundamental Principles of Testing.

Kassner : Jeg satser på at du blir spurt om dette hele tiden. Men jeg lovet å ta med spørsmålet. Hva skal vi se etter når vi handler etter antivirusprodukter? Edwards : Konsistens. Det er veldig bra å velge et produkt som kommer ut på toppen av en test, men se på flere tester fra samme og forskjellige organisasjoner. Hvis to eller tre produkter konsekvent gir gode resultater, og i tester utført av forskjellige testere ved bruk av forskjellige metodologier; da er det sannsynligvis en sterk utfordrer.

Det samme gjør produkter å unngå. Hvis den konsekvent underpresterer, selv om det er gratis, bør du unngå det.

Siste tanker

Ikke bekymre deg; Jeg skal ikke bruke CYA-uttalelsen denne gangen. Vi vet alle at AV-programvare ikke er den endelige løsningen. Det er en båndhjelp. Men - og hjelp meg her ute - hva skal vi gjøre i mellomtiden?

Takk, Simon for å belyse et komplekst problem og gi innsikt i hvordan du kan sikre at vår nåværende løsning fungerer som den skal.

© Copyright 2020 | mobilegn.com