Видео: Incapsula’s DDoS Protection (Ноябрь 2024)
Охранная компания Imperva в прошлом месяце опубликовала мрачное исследование, в котором говорилось, что дорогостоящие комплекты безопасности могут не стоить того, и что все антивирусные программы страдают от огромных слепых зон. Подобное исследование мрака и мрака всегда требует огромного количества соли, но после разговора с многочисленными отраслевыми экспертами может понадобиться целый шейкер.
Imperva рассмотрела различные решения в области безопасности от таких поставщиков, как Kaspersky, Avast, AVG, Microsoft и McAfee. Они сравнили этих стражей с 82 случайно собранными образцами вредоносного ПО, изучая, насколько успешно программное обеспечение безопасности обнаружило мошенническое программное обеспечение.
В своей работе Imperva утверждает, что антивирусное программное обеспечение недостаточно быстрое и не реагирует на угрозы современных угроз. Программное обеспечение для безопасности, пишет Imperva, «намного лучше обнаруживает вредоносные программы, которые быстро распространяются в огромном количестве идентичных образцов, в то время как варианты с ограниченным распространением (такие как спонсируемые правительством атаки) обычно оставляют большие возможности».
Они также не обнаружили корреляции между деньгами, которые пользователи тратят на защиту от вирусов, и безопасностью, обеспечиваемой программным обеспечением, и предложили, чтобы как индивидуальные, так и корпоративные клиенты рассматривали бесплатные альтернативы.
Независимые лаборатории отодвигают
Исследование привлекло большое внимание, но когда беседовали с профессионалами в области безопасности и с некоторыми из компаний, упомянутых в исследовании, Security Watch обнаружила, что многие считают, что исследование имеет серьезные недостатки.
Почти каждая лаборатория или охранная компания считали, что размер выборки вредоносного ПО в Imperva был слишком мал, чтобы поддержать выводы, сделанные в ходе исследования. Андреас Маркс (Andreas Marx) из AV-Test сообщил нам, что его фирма получает около миллиона образцов новых уникальных вредоносных программ в неделю. Петер Стельжаммер из AV-Comparatives также сообщил нам, что каждый день он получает 142 000 новых вредоносных файлов.
Со своей стороны, Imperva написала в исследовании, что они намеренно использовали небольшую выборку, но настаивают на том, что она демонстрирует существующие угрозы. «Наш выбор вредоносных программ не был предвзятым, но был случайным образом взят из Интернета, отражая потенциальный метод для построения атаки», пишет Imperva.
Однако директор по исследованиям NSS Labs Рэнди Абрамс по-разному интерпретировал методологию Imperva. «Поиск имен файлов гарантированно пропускает изощренные атаки и большинство других вредоносных программ», - сказал Абрамс Security Watch, комментируя средства, используемые Imperva для обнаружения вредоносных программ для исследования. «Сосредоточение внимания на российских форумах значительно смещает коллекцию образцов. Очевидно, что ни одна мысль не пошла на получение представительного набора реальных образцов».
Проблемы методологии
Для проведения своего исследования Imperva использовала онлайн-инструмент VirusTotal для выполнения своих тестов, что было названо критической слабостью теста. «Проблема этого теста в том, что он копировал угрозы в виде исполняемых файлов, а затем сканировал те, которые использовали VirusTotal», - сказал Саймон Эдвардс из Dennis Labs. «VT не подходит для использования при оценке продуктов, защищающих от вредоносных программ, в основном потому, что сканеры, используемые в VT, не поддерживаются дополнительными технологиями, такими как системы репутации в Интернете».
Лаборатории Касперского, чей продукт использовался в исследовании, также подвергли сомнению методологию тестирования, использованную Imperva в эксперименте. «При сканировании потенциально опасных файлов служба VirusTotal, используемая специалистами Imperva, не использует полные версии антивирусных продуктов, а просто использует автономный сканер», - пишет «Лаборатория Касперского» в заявлении, выпущенном для Security Watch.
«Этот подход означает, что большинство технологий защиты, доступных в современном антивирусном программном обеспечении, просто игнорируются. Это также влияет на проактивные технологии, предназначенные для обнаружения новых, неизвестных угроз».
Примечательно, что часть веб-сайта VirusTotal не рекомендует никому использовать их сервис для антивирусного анализа. Раздел «О компании» гласит: «Мы устали повторять, что служба не была разработана в качестве инструмента для проведения сравнительного анализа антивируса. Те, кто использует VirusTotal для проведения сравнительного анализа антивируса, должны знать, что они допускают много неявных ошибок в своей методологии."
Абрамс также не совсем понял, как использовать VirusTotal для проведения исследования, заявив, что этот инструмент можно использовать для искажения результатов в соответствии с желаниями тестировщиков. «Компетентные, опытные тестировщики знают лучше, чем использовать VirusTotal для оценки защитных возможностей чего-либо, кроме чистого сканера командной строки», - сказал он.
Imperva отстаивала использование VirusTotal в своем исследовании. «Суть отчета не в сравнении антивирусных продуктов, - пишет Imperva. «Скорее, цель состоит в том, чтобы измерить эффективность одного антивирусного решения, а также комбинированных антивирусных решений с учетом случайного набора образцов вредоносных программ».
Хотя эксперты, с которыми мы говорили, согласились с тем, что уязвимости нулевого дня и недавно созданные вредоносные программы представляют собой проблему, ни один из них не поддержал утверждения Imperva о сроках или низких показателях обнаружения. «Самые низкие показатели защиты во время« реального »теста нулевого дня составляют 64–69 процентов», - сказал Маркс в Security Watch. «В среднем мы видели уровень защиты 88–90% для всех протестированных продуктов, это означает, что 9 из 10 атак будут успешно заблокированы, только 1 фактически вызовет заражение».
Другим ключевым выводом отчета Imperva было то, что антивирусное программное обеспечение хорошо понимают создатели вредоносных программ, которые настраивают свои творения для подрыва систем защиты. «Злоумышленники глубоко разбираются в антивирусных продуктах, знакомятся с их слабыми сторонами, выявляют сильные стороны антивирусных продуктов и понимают их методы для борьбы с высокой распространенностью распространения новых вирусов в Интернете», - пишет Imperva в исследовании.
Исследование продолжается, «варианты, которые имеют ограниченное распространение (например, спонсируемые правительством атаки), обычно оставляют большие возможности».
Stuxnet не после вас
«Парни с вредоносными программами действительно сильные, они сильные и умные», - сказал Стельжаммер. «Целевая атака всегда опасна». Но он и другие подчеркивали, что целевые атаки, когда вредоносные программы специально настроены против анти-вредоносных программ, настолько же редки, насколько и опасны.
Усилия и информация, необходимые для создания вредоносного ПО для защиты от всех уровней защиты, огромны. «Такой тест требует много времени и навыков, поэтому они недешевы», - писал Маркс. «Но это причина, почему они называются« целенаправленными »».
В этот момент Абрамс сказал: «Честно говоря, меня не интересует, как Stuxnet проникнет в мой компьютер и нападет на центрифугу, обогащающую уран, в моем доме или офисе работодателя».
Почти все, с кем мы говорили, согласились, по крайней мере, в принципе, с тем, что бесплатные решения для защиты от вредоносных программ могут обеспечить достойную защиту для пользователей. Однако большинство не согласилось с тем, что это был приемлемый вариант для корпоративных клиентов. Стельжаммер отмечает, что даже если корпоративные пользователи хотели использовать бесплатное программное обеспечение, лицензионные соглашения иногда не позволяют им сделать это.
«Дело не только в обнаружении», - сказал Стельжаммер в интервью Security Watch. «Речь идет об администрировании, о развертывании клиентов, об обзоре. Вы не получите этого с бесплатным продуктом».
Информированный пользователь дома, продолжает Стельжаммер, может использовать уровни бесплатного программного обеспечения для обеспечения защиты, сравнимой с платным программным обеспечением, но за счет простоты. «Он может организовать хорошо защищенную систему с бесплатным программным обеспечением, но самое большое преимущество платного программного обеспечения - это удобство».
Однако Эдвардс из Dennis Labs не согласился с выгодным сравнением с бесплатным программным обеспечением. «Это противоречит всем нашим выводам за многие годы испытаний», - сказал Эдвардс. «Почти все без исключения лучшие продукты оплачены». Эти результаты похожи на тестирование программного обеспечения для защиты от вредоносных программ в журнале PC Magazine.
Со времени публикации исследования в прошлом месяце, Imperva написал сообщение в блоге в защиту своей позиции. В интервью Security Watch директор Imperva по стратегии безопасности Роб Рахвальд сказал: «Любая критика, сосредоточенная на нашей методологии, не соответствует реальности, которую мы видим сегодня». Далее он сказал, что большинство утечек данных являются результатом проникновения вредоносных программ, что компания считает доказательством того, что текущая модель защиты от вредоносных программ просто не работает.
Хотя в выводах Imperva может быть какая-то неотъемлемая правда, ни один из экспертов, с которыми мы общались, не оценил исследование положительно. «Как правило, я предупреждаю против тестов, спонсируемых поставщиком, но если бы этот тест проводился независимой организацией, я бы предостерегал против самой организации», - пишет Абрамс из NSS Labs. «Я редко сталкиваюсь с такой невероятно простой методологией, неправильными критериями отбора образцов и неподдерживаемыми выводами, заключенными в один PDF».
Чтобы узнать больше о Максе, следите за ним в Твиттере @wmaxeddy.