Tradisjonell antivirusprogramvare er ubrukelig mot militær skadelig programvare

Ikke gå på Internett ubeskyttet. Hvis du gjør det, vil du angre. Råd som det er vanlig hverdagspris. Det som følger er ikke:

"Hva dette betyr er at vi alle hadde savnet å oppdage denne skadelig programvaren i to år eller mer. Det er en fantastisk svikt for selskapet vårt, og for antivirusindustrien generelt."

Det er fra "Hvorfor antivirusfirmaer som mine ikke klarte å fange Flame og Stuxnet, " et nylig innlegg av Mikko Hypponen, grunnlegger og forskningsansvarlig for F-Secure - en betydelig aktør når det gjelder å beskytte digitalt utstyr.

Uttalelser som det er ikke normalt for Mikko (TED-praten hans); den vel ansett datasikkerhetsguruen er typisk opptatt av digitale ting. Jeg kontaktet Mikko og spurte om han hadde noen ytterligere tanker:

"Vanlig antivirus fungerer bra for vanlig malware der ute. Det fungerer ikke bra mot statlig finansiert super-malware. Hvor sannsynlig er det at du kanskje blir målrettet av super-malware? Jeg antar at det kommer an på hva du gjør.

Kulssikre vester og hjelmer fungerer fint mot en gate-raner som er ute etter å få noen han kan finne. De fungerer ikke bra mot en regjeringsmorder som er ute etter å skaffe deg og bare deg. Hvor sannsynlig er det at du kan bli målrettet av en regjeringsmorder? Jeg antar at det også kommer an på hva du gjør. "

Mikko viser til den nye familien med stealthy malware (militær malware og super-malware er navn jeg har funnet) som inkluderer Stuxnet, DuQu og Flame. Når jeg samlet fakta for denne artikkelen, fant jeg ut at dette ikke var første gang folk stilte spørsmål ved tradisjonelle antivirusprogrammer.

Jeg vil presentere Paul Schmehl, senior informasjonssikkerhetsanalytiker ved University of Texas-Dallas. Paul, en fin forfatter, skrev "Past its Prime: Er Antivirus Scanning foreldet?" for SecurityFocus. Ledende avsnitt:

"Tittelen og emnet på denne artikkelen er tydelig kontroversiell. Det er garantert å få en sterk reaksjon fra antivirusindustrien, som er overbevist om at den ser klar seiling fremover. Så er antivirus-skanning foreldet? Med et ord, ja, men ikke ikke kast skanneren. "

Det virker som om Mikko ikke er alene og ikke den første. Paul skrev det for 1 0 år siden.

Den siste personen jeg vil presentere er Bruce Schneier. Bruce er høyt ansett når det gjelder noen form for sikkerhet. For å se hva jeg mener, sjekk ut Bruces nye bok, Liars and Outliers . I 2009 gjennomførte Magazine for informasjonssikkerhet "Er Antivirus Dead?", En diskusjon om poeng / kontrapunkt mellom Bruce og Marcus Ranum. Bruce hadde dette å si:

"Ja, antivirusprogrammer har blitt mindre effektive ettersom nye virus er hyppigere og eksisterende virus muteres raskere. Ja, antivirusbedrifter spiller for alltid innhenting og prøver å lage signaturer for nye virus. Ja, signaturbasert antivirusprogramvare vant ' t beskytter deg når et virus er nytt, før signaturen legges til deteksjonsprogrammet. Antivirus er på ingen måte et universalmiddel. "

For å være rettferdig, føler alle tre at antivirusprogrammer har sin plass, men de metodologiske signaturbaserte antivirusprogrammene som abonnerer på virker mindre enn tilstrekkelig.

Spiller fangst

Under vår telefonsamtale liknet Paul problemet med tradisjonelle antivirusprogrammer med "Whac-A-Mole" -spillet, der en late føflekk dukker opp og deltakeren prøver å slå den stakkars kritikeren før den forsvinner. Paulus forklarer likheten:

"Antivirusskanning er basert på Newtons lov; for hver handling er det en like og motsatt reaksjon. Hver gang et nytt virus, eller en ny viral tilnærming blir oppdaget, må antivirusskannere oppdateres."

Paul fortsetter:

"Det er ikke vanskelig å se at det er et poeng av å redusere avkastningen, der oppdatering ikke lenger er mulig fordi testing tar for lang tid. På det tidspunktet begynner kundene å lete etter andre løsninger for å overvinne ondsinnede trusler."

Noen håp?

Bruce og Paul har ideer til hva som kan gjøres for å forbedre situasjonen. Jeg begynner med Paul. Tilbake i 2002 var han spent på noe som heter Oppførselsblokkering. Jeg lar ham forklare:

"Løsningen er å kjøre uprovoserte programmer i et beskyttet, virtuelt miljø. Dette vil tillate at programmet kan utføre alle funksjoner det normalt ville gjort, både under installasjonen og etter at det kjører normalt. Hver handling som programmet gjør kan sammenlignes med et sett med regler, og vurdert til sannsynligheten for å være ondsinnet eller ikke.

Programmer som rangerer over et bestemt antall eller utfører visse handlinger, vil automatisk bli slettet. De i et lavere område ville bli satt i karantene slik at sikkerhetsadministratorer kunne undersøke dem nærmere. Resten vil ganske enkelt bli ført tilbake til nettverket intakt. "

Paul mener denne tilnærmingen har en viss fortjeneste. Dessverre har atferdsblokkering ikke skaffet fart hos andre sikkerhetseksperter, men det har en prosess som heter Whitelisting. I følge Bruce:

"Sikkerheten ville blitt forbedret hvis folk brukte hvitelisteprogrammer som Bit9 Parity og Savant Protection - og jeg personlig anbefaler Malwarebytes 'Anti-Malware."

Selv med sin optimisme, er begge forsiktige med at hvitlisting har problemer:

  • Det er ikke brukervennlig.
  • Administrativt overhead fra endringsforespørsler og programvaretillegg.
  • Ingen måte å håndtere skadelig programvare som er knyttet til datafiler.
  • Det er ikke vanskelig å gi nytt navn til filer.

I tillegg til atferdsblokkering og hvitlisting, er det oppstartsbedrifter som chipper bort problemet - for eksempel CrowdStrike og Shape Security. Begge fremsetter interessante påstander, har mottatt betydelig finansiering, men ingen av selskapene vil gi ut informasjon om deres teknologi.

Oppdatering : Jeg har nettopp mottatt en e-post fra Mikko, han følte det som viktig å avklare følgende: "Ett poeng om hvitlisting: praktisk talt alle Windows-hvitlistingsapper tillater å utføre ukjente kjørbare filer hvis de er signert av Microsoft (ellers vil Windows-lapping mislykkes). Det er bra - bortsett fra at Flame ble signert av Microsoft. "

Siste tanker

Med mindre jeg savnet noe, ser jeg ingen effektive tekniske løsninger på dette tidspunktet. Jeg spurte Paul, og han var enig. Paul la til at å jobbe for en lærerinstitusjon, det var bare naturlig for avdelingen hans å fokusere på å utdanne studenter og fakultet om datasikkerhet. Jeg spurte Paul om de merket noen forbedringer. Paul svarte entusiastisk: "Bedre enn de hadde håpet."

Da jeg koblet på telefonen, husket jeg en artikkel av TechRepublic-forfatteren, Chad Perrin, "Lær en mann å fiske."

© Copyright 2020 | mobilegn.com