Видео: Experts argue about herd immunity as a strategy in the fight against coronavirus | COVID-19 Special (Октября 2024)
В этом году на Международной конференции по вредоносному и нежелательному программному обеспечению, известной как MalCon 2015, Фанни Лалонд Левеск, к.т.н. Студент Политехнической школы Монреаля продемонстрировал потрясающие результаты, которые можно получить, если у вас есть огромное количество информации об антивирусной защите на миллиарде компьютеров. Используя подход, взятый из исследования природных экосистем, она разработала несколько метрик для измерения здоровья всей антивирусной экосистемы.
Возможно, вы заметили Средство удаления вредоносных программ (MSRT), которое запускается как часть каждого обновления Microsoft. Он очень точно ищет и устраняет несколько десятков очень распространенных семейств вредоносных программ, выбираемых каждый месяц командой безопасности Microsoft. Он также отправляет обратно значительную телеметрию в Microsoft. По словам Денниса Батчелдера, директора Центра защиты от вредоносных программ Microsoft (MMPC), эта телеметрия является причиной, по которой Microsoft не нуждается в антивирусных тестах. В своей программной речи пару лет назад в MalCon он подробно изложил огромный объем данных, собранных MSRT, и предложил ученым представить предложения по использованию этих данных в исследованиях.
Миллионы и Миллионы
Помимо прочего, MSRT сообщает, было ли найдено какое-либо вредоносное ПО, какой антивирус (если есть) был установлен и был ли антивирус настроен и работает правильно. Г-жа Лалонд Левеск начала с четырехмесячных данных MSRT от Microsoft. После удаления записей с компьютеров без антивируса у нее все еще оставалось почти миллиард записей. В наборе образцов есть определенный уклон, поскольку некоторые пользователи решили не запускать Центр обновления Windows или MSRT. Чтобы помочь преодолеть эту предвзятость, она выбрала случайные 10 процентов записей. Это все еще более 90 миллионов образцов.
Выбрав целевую группу, она проанализировала состояние всей системы. Этот анализ посвящен, в частности, трем областям, полученным в результате анализа природных экосистем: активность, разнообразие и стабильность.
В антивирусной экосистеме степень защиты представляет активность. Установленный антивирус может быть устаревшим, отключен или иметь защиту в режиме реального времени. Г-жа Лалонд Левеск обнаружила, что за четыре месяца количество правильно настроенных современных установок колебалось от 87 до 88 процентов.
Разнообразие в естественной экосистеме означает, что ни один вид не является полностью доминирующим. Г-жа Лалонд Левеск изучила более 100 различных антивирусных продуктов в антивирусной экосистеме и обнаружила высокую степень разнообразия. Доминирующий продукт с самой большой установленной базой никогда не занимал более 18 процентов рынка.
Чтобы проверить стабильность, она сначала сузила список компьютеров, которые отвечали на MSRT в течение всех четырех месяцев. Она посмотрела на изменения в статусе антивируса и нашла обнадеживающие результаты. Лишь около 3 процентов компьютеров с установленным антивирусом и современным антивирусом перешли в менее безопасное состояние, а многие компьютеры в других штатах улучшились.
Вот сюрприз, хотя. В ходе исследования одна треть компьютеров перешла на другой антивирус. Некоторые участники размышляли о возможности искаженного результата, основанного на истечении срока действия бесплатного антивируса на новых компьютерах. Безотносительно причины это - большое изменение.
Последний шаг заключался в том, чтобы выяснить, какие компьютеры, на которые были отправлены отчеты, были подвержены вредоносным программам, несмотря на наличие антивируса. Неудивительно, что низкий уровень заражения вредоносным ПО сильно коррелировал с современным и работающим антивирусом. И наоборот, низкий уровень стабильности, означающий значительные изменения в установленном антивирусном или антивирусном статусе, сильно коррелировал с более высоким уровнем заражения.
Монокультура и стадный иммунитет
Следующим шагом было получение данных по каждой из 126 участвующих стран и сопоставление здоровья антивирусной экосистемы по всей стране с показателями распространенности инфекции по всей стране. В этой части исследования г-жа Лалонд Левеск изучала как компьютеры, защищенные антивирусом, так и компьютеры без защиты.
Некоторые страны продемонстрировали мрачную оценку разнообразия: один продукт защищал большинство всех систем. В этих странах уровень заболеваемости был выше среднего, в то время как в странах с большим разнообразием этот показатель был ниже. В ее полном отчете подробно рассказывается, как она проверила статистическую значимость этого результата. В антивирусной экосистеме, как и в жизни, монокультура не здорова.
Неудивительно, что наличие большего количества компьютеров с современным функциональным антивирусом сильно коррелирует с более низким уровнем заражения. Если бы это было не так, что-то было бы очень, очень неправильно. Самое интересное, что такая же корреляция сохраняется, если смотреть на компьютеры без антивируса в одной и той же стране. Похоже, что здесь может появиться своего рода стадный иммунитет, поэтому даже те, кто отказывается от антивирусной защиты, получают полную защиту своих соседей.
Тогда есть эффект MSRT. Страны с высоким уровнем заражения также показали высокий уровень «оттока», при этом многие пользователи переключаются на антивирусные продукты. Может ли быть так, что простой факт, что MSRT устраняет вредоносное ПО, приводит к тому, что пользователь становится недовольным существующей защитой и выбирает другого поставщика? Это было бы трудно доказать, учитывая, что в исследовании нет компьютеров, которые никогда не использовали MSRT.
Только один вид
Г-жа Лалонд Левеск старалась изо всех сил указывать, что результаты этого исследования имеют определенные ограничения. Только компьютеры, подключающиеся к системе MSRT, были включены, с одной стороны. А результаты заражения доступны только для широко распространенных семейств вредоносных программ, выбранных Microsoft каждый месяц. Кроме того, теории монокультуры и стадного иммунитета - не единственные объяснения обнаруженных корреляций.
Массовый сбор данных Microsoft доступен для использования квалифицированными исследователями. Другие могут расширить исследование г-жи Лалонд Левеск или взлететь в совершенно ином направлении. Я с нетерпением жду встречи с тем, что они придумали.
