Видео: 4 Unicode and N character in SQL Server (Ноябрь 2024)
Этим летом конференция Black Hat собрала более 7 000 человек, а весной - 25 000. Напротив, участие в 8-й Международной конференции по вредоносному и нежелательному программному обеспечению измеряется десятками, а не тысячами. Он направлен на продвижение последних научных исследований в области безопасности в атмосфере, которая позволяет прямое и откровенное взаимодействие между всеми участниками. В этом году конференция (Malware 2013 для краткости) началась с выступления Дениса Батчелдера, директора Центра защиты от вредоносных программ Microsoft, в котором были отмечены серьезные проблемы, с которыми сталкивается отрасль защиты от вредоносных программ.
Во время презентации я спросил г-на Батчелдера, есть ли у него какие-либо мысли о том, почему Microsoft Security Essentials достигает или приближается к нижней отметке во многих независимых тестах, достаточно низких, чтобы многие лаборатории в настоящее время рассматривают его как базовый уровень для сравнения с другими продуктами. На фотографии вверху этой статьи он подражает тому, как члены антивирусной команды Microsoft не относятся к этому вопросу.
Бэтчелдер объяснил, что так хочет Microsoft. Вендоры в области безопасности могут продемонстрировать, какую ценность они могут добавить к встроенным. Он также отметил, что данные Microsoft показывают, что только 21 процент пользователей Windows незащищен, благодаря MSE и Защитнику Windows, по сравнению с более чем 40 процентами. И, конечно же, в любое время, когда Microsoft может поднять этот базовый уровень, сторонние поставщики обязательно должны будут соответствовать или превышать его.
Плохие парни не убегают
Батчелдер указал на серьезные проблемы в трех основных областях: проблемы для отрасли в целом, проблемы масштаба и проблемы для тестирования. Из этого увлекательного разговора меня поразил один момент: его описание того, как преступные синдикаты могут заставить антивирусные инструменты выполнять за них грязную работу.
Бэтчелдер объяснил, что стандартная антивирусная модель предполагает, что плохие парни убегают и прячутся. «Мы стараемся найти их все лучше и лучше», - сказал он. «Локальный клиент или облако говорит« заблокируйте это! » или мы обнаруживаем угрозу и пытаемся исправить ситуацию ». Но они больше не убегают; они атакуют.
Поставщики антивирусов обмениваются образцами и используют телеметрию из своей установленной базы и анализа репутации для обнаружения угроз. В последнее время, однако, эта модель не всегда работает. «Что делать, если вы не можете доверять этим данным», - спросил Батчелдер. «Что делать, если плохие парни атакуют ваши системы напрямую?»
Он сообщил, что Microsoft обнаружила «созданные файлы, предназначенные для наших систем, созданные файлы, которые похожи на обнаружение некоторых других поставщиков». Как только один поставщик обнаруживает ее как известную угрозу, он передает ее другим, что искусственно увеличивает ценность созданного файла. «Они находят дыру, создают образец и создают проблемы. Они могут вводить телеметрию, чтобы фальсифицировать распространенность и возраст», - отметил Батчелдер.
Разве мы не можем просто работать вместе?
Итак, зачем преступному синдикату беспокоиться о предоставлении ложной информации антивирусным компаниям? Цель состоит в том, чтобы ввести слабую антивирусную сигнатуру, которая также будет соответствовать действительному файлу, необходимому целевой операционной системе. Если атака будет успешной, один или несколько поставщиков антивирусных программ будут помещать в карантин невинный файл на ПК жертвы, возможно, отключая их операционную систему хоста.
Этот тип атаки коварен. Подделяя ложные обнаружения в поток данных, распространяемый поставщиками антивирусных программ, преступники могут повредить системы, на которые они никогда не смотрели (или руки). В качестве дополнительного преимущества это может замедлить обмен образцами между поставщиками. Если вы не можете предположить, что обнаружение, переданное другим поставщиком, является действительным, вам придется потратить время на его повторную проверку у своих собственных исследователей.
Большая новая проблема
Батчелдер сообщает, что они получают около 10 000 таких «отравленных» файлов в месяц с помощью обмена образцами. Около десятой части их собственной телеметрии (от пользователей антивирусных продуктов Microsoft) состоит из таких файлов, и это много.
Этот новый для меня, но это не удивительно. У преступных синдикатов вредоносных программ есть тонны ресурсов, и они могут направить некоторые из этих ресурсов на подрыв обнаружения их врагами. Я буду опрашивать других поставщиков об этом типе «оружейного антивируса», как только у меня появится возможность.