Видео: Маленькое королевство Бена и Холли - Вылазка ⭐Лучшие моменты (Ноябрь 2024)
Компьютерные вирусы существуют уже много-много лет. В первые дни обнаружение было простым вопросом сопоставления файлов с известным набором сигнатур. Некоторые антивирусные программы даже включали список всех угроз, которые они могли обнаружить. В наши дни все обстоит иначе: авторы вредоносных программ усердно работают над созданием вредоносных программ, которые изменяются и развиваются, поэтому их невозможно обнаружить при обнаружении на основе сигнатур. Я поговорил с Роджером Томпсоном (Roger Thompson), главным исследователем возникающих угроз для ICSA Labs, о том, как нужно менять антивирусные программы и как нужно менять тестирование этих продуктов.
Как все было
Рубенкинг: Не могли бы вы сказать несколько слов о том, что такое ICSA Labs и чем она занимается?
Томпсон: Мы сертифицируем антивирусные продукты по согласованным историческим критериям. Еще в 90-х годах было необходимо проводить различие между шумихой против вирусов и реальными реальными результатами. Как вы помните, тогда люди могли говорить все, что им нравится в их продуктах, и никто не мог доказать или опровергнуть это. Нужно было, чтобы кто-то с умом сказал: «Это работает, это не работает, это не делает то, что говорит».
Поставщики согласились, что для этого им нужна нейтральная третья сторона. Конечно, всегда важнее тестировать на наличие вирусов, присутствующих в дикой природе, чем на известный «зоопарк». Таким образом, дикий список вырос из этой потребности - независимый от производителя набор известных вредоносных программ.
Также в 90-х годах Алан Соломон убедил всех, что универсальные методы обнаружения вредоносных программ - плохая идея. Вместо этого требовался какой-то сканер, который мог бы точно определить , какой вирус присутствует и как именно его удалить. Мир согласился и проголосовал со своими карманными книгами за поддержку такого рода сканера.
Исторически проблема с общим обнаружением заключается в том, что он вызывает обращения в службу поддержки. Антивирус говорит, что мы видим, что какой-то процесс в вашей системе изменяет исполняемые файлы или изменен некоторый исполняемый файл; ты изменил это? Это приводит к звонку в службу поддержки, и Fortune 500 не одобряют. Антивирус на основе сигнатур либо говорит: «Это вирус!» или вообще ничего не говорит.
Как это будет
Томпсон: По-прежнему существует базовая необходимость в тестировании сканеров на основе сигнатур, чтобы убедиться в их работоспособности. Могут ли они обнаружить это? Это то, что было сделано, и это все еще необходимо. Тем не менее, цифры сильно изменились, каждый день создается большое количество пуховых вещей. Теперь необходимо также проверить способность анти-вредоносных программ обнаруживать вещи, которые они никогда не видели раньше.
Рубенкинг: Пуховые вещи? Что ты имеешь в виду под этим?
Томпсон: Вы знаете, никто не знает реальные цифры. Ребята из ESET сказали мне за пивом, что каждый день видят 600 000 новых, уникальных образцов вредоносных программ. Я помню отчет Symantec, в котором каждый день требовалось миллион новых уникальных предметов. Но правда в том, что большинство создано алгоритмически. Плохие парни просто меняют неважный код, перекомпилируют, перепаковывают и повторно шифруют. Затем они проверяют, обнаруживают ли текущие сканеры новую версию. Если нет, они выпускают это.
Это действительно легко обнаружить то, что вы уже знаете. Это похоже на фондовый рынок; «просто» покупай дешево и продавай дорого. Дело в том, что с этими уникальными вирусами основное поведение не меняется, только пушистые кусочки. Активность, изменение реестра, изменение файлов… это поведение не меняется. Таким образом, тестирование должно включать блокировку поведения как часть сделки.
Рубенкинг: Будете ли вы добавлять это тестирование следующего поколения в ближайшее время?
Томпсон: Мы пытаемся убедить поставщиков согласиться, что это хорошо. Они в целом согласны, но на самом деле сделать тестирование не так просто.
Рубенкинг: Как выглядит твой новый процесс?
Томпсон: это сложно; Вот почему люди не хотят этого делать. Вы начинаете с чистой системы, запускаете вредоносную программу и проверяете, установлена ли она. Вы должны быть в состоянии исследовать систему впоследствии. Заражало ли вредоносное ПО систему? Это изменило ключи реестра? Стало ли оно постоянным, чтобы пережить перезапуск? Затем вы должны восстановить чистую базовую линию, чтобы сделать это снова.
Рубенкинг: Это очень похоже на динамическое тестирование, проводимое AV-Comparatives.
Томпсон: Да, это очень похоже.
Рубенкинг: Вы готовы идти, а поставщики - нет? Таким образом, вы не знаете, когда новое тестирование вступит в силу?
Томпсон: мы готовы к работе. Я не совсем знаю, каков статус с продавцами; мы свяжемся с вами по этому вопросу.] Кроме того, частью проблемы является поиск собственных источников вредоносных программ, сбор спам-рассылок и тому подобное. Нам нужно знать, что там на самом деле.
Сделай жизнь тяжелой для плохих парней
Томпсон: Это верный путь вперед. Мы не можем перестать делать то, что мы всегда делали, но когда производители антивирусных программ добавляют блокировку на основе поведения, плохим парням становится намного труднее победить. Они могут побеждать подписи, изменяя неважные вещи, но чтобы побороть блокирование поведения, они должны фактически изменить поведение и иметь дело с различными определениями поведения.
Рубенкинг: Значит, разнообразные поставщики анти-вредоносных программ с различными типами блокировки поведения сделают жизнь плохих парней тяжелой?
Томпсон: Точно. Это как аналог швейцарского сыра. У одного кусочка сыра есть отверстия, но если вы наложите слой на другой кусочек, он закроет отверстия. Положите достаточно битов и не осталось никаких отверстий.
Рубенкинг: Спасибо, Роджер!