Video: Remove Antivirus Security Pro (Octombrie 2024)
Compania de securitate Imperva a lansat luna trecută un studiu sumbru care sugerează că apartamentele de securitate costisitoare ar putea să nu merite prețul prețului și că toate programele antivirus suferă de puncte oarbe uriașe. Cercetări despre acest fel și cu tristețe necesită întotdeauna un grăunte de sare, dar, după ce au vorbit cu numeroși experți din industrie, ar putea fi necesar un întreg agitator.
Imperva a analizat o varietate de soluții de securitate de la furnizori precum Kaspersky, Avast, AVG, Microsoft și McAfee, pentru a numi câteva. Aceștia au pus aceste santinele împotriva a 82 de probe de malware colectate la întâmplare, examinând cât de reușit a avut software-ul de securitate în detectarea software-ului necinstit.
Din munca lor, Imperva afirmă că software-ul anti-malware nu este suficient de rapid sau suficient de atent pentru a combate amenințările moderne. Software-ul de securitate, scrie Imperva, este „mult mai bun la detectarea programelor malware care se răspândesc rapid în cantități masive de eșantioane identice, în timp ce variantele cu distribuție limitată (precum atacurile sponsorizate de guvern) lasă de obicei o fereastră mare de oportunități."
De asemenea, nu au găsit nicio corelație între banii cheltuiți de utilizatorii pentru protecția împotriva virusului și securitatea oferită de software și sugerează că atât clienții individuali cât și cei din întreprindere analizează alternative freeware.
Laboratoare independente Push Back
Studiul a atras multă atenție, dar când vorbim cu specialiști în securitate și unele dintre companiile numite în studiu, Security Watch a găsit mulți care cred că studiul este profund defect.
Aproape fiecare laborator sau companie de securitate a considerat că dimensiunea eșantionului de Imperva de malware este prea mică pentru a susține concluziile obținute de studiu. Andreas Marx de la AV-Test ne-a spus că firma sa primește aproximativ un milion de probe de malware nou, unic pe săptămână. În mod similar, Peter Stelzhammer de la AV-Comparatives ne-a spus că primesc 142.000 de noi fișiere dăunătoare în fiecare zi.
La rândul lor, Imperva a scris în studiu că au folosit în mod intenționat un eșantion mic, dar insistă că acesta demonstrează amenințările existente. "Selecția noastră de malware nu a fost părtinitoare, ci a fost luată la întâmplare de pe Web, reflectând o metodă potențială pentru construirea unui atac", scrie Imperva.
Directorul de cercetare NSS Labs, Randy Abrams, a avut, însă, o interpretare foarte diferită a metodologiei Imperva. „Căutarea numelor de fișiere este garantată că ar lipsi de atacuri sofisticate și de cele mai multe alte programe malware”, a spus Abrams pentru Security Watch, comentând mijloacele pe care Imperva le-a folosit pentru a localiza malware pentru studiu. "Concentrarea pe forumurile ruse păstrează în mod semnificativ colectarea eșantioanelor. Este evident că niciun gând nu a intrat în obținerea unui set de mostre reprezentative din lumea reală."
Probleme de metodologie
Pentru a-și desfășura studiul, Imperva a folosit instrumentul online VirusTotal pentru a-și efectua testele, care a fost menționat ca o slăbiciune critică a testului. "Problema cu acest test este că a fost amenințat, sub formă de fișiere executabile, apoi le-a scanat pe cele care folosesc VirusTotal", a declarat Simon Edwards, de la Dennis Labs. "VT nu este un sistem adecvat pentru a utiliza atunci când evaluați produsele anti-malware, în mare parte deoarece scanerele utilizate în VT nu sunt acceptate de tehnologie suplimentară, cum ar fi sistemele de reputație web."
Kaspersky Labs, al cărui produs a fost utilizat în studiu, a pus sub semnul întrebării metodologia de testare folosită de Imperva în experiment. "Atunci când scanează fișierele potențial periculoase, serviciul VirusTotal utilizat de specialiștii Imperva nu folosește versiunile complete ale produselor antivirus, ci se bazează doar pe un scaner autonom", a scris Kaspersky Labs într-un comunicat emis pentru Security Watch.
"Această abordare înseamnă că majoritatea tehnologiilor de protecție disponibile în software-ul antivirus modern sunt pur și simplu ignorate. Acest lucru afectează, de asemenea, tehnologii proactive concepute pentru a detecta amenințări noi, necunoscute."
În special, o parte din site-ul web VirusTotal descurajează pe oricine să folosească serviciul său în analiza antivirus. Secțiunea „Despre” a companiei arată: „ne-am săturat să repetăm că serviciul nu a fost conceput ca un instrument pentru a efectua analize comparative antivirus Cei care folosesc VirusTotal pentru a efectua analize comparative antivirus ar trebui să știe că fac multe erori implicite în metodologia lor."
Abrams a avut o viziune slabă asupra utilizării VirusTotal pentru a efectua studiul, spunând că instrumentul poate fi folosit pentru a obține rezultatele față de cele dorite de testeri. "Testerii competenți, cu experiență, știu mai bine decât să folosească VirusTotal pentru a evalua abilitățile de protecție a oricărui alt lucru decât un scaner pur de linie de comandă", a spus el.
Imperva a apărat utilizarea VirusTotal în studiul lor. „Esența raportului nu este o comparație a produselor antivirus”, scrie Imperva. „Mai degrabă, scopul este măsurarea eficacității unei soluții antivirus unice, precum și a soluțiilor antivirus combinate, oferite unui set aleator de probe malware.”
Deși experții cu care am vorbit au fost de acord că vulnerabilitățile din ziua zero și malware-ul nou creat sunt o problemă, niciunul nu a susținut afirmațiile Imperva cu privire la calendarul sau la ratele scăzute de detectare. "Cele mai mici rate de protecție în timpul unui test real din ziua zero" sunt de 64-69 la sută ", a declarat Marx pentru Security Watch. „În medie, am observat o rată de protecție de 88-90 la sută pentru toate produsele testate, aceasta înseamnă că 9 din 10 atacuri vor fi blocate cu succes, doar 1 va provoca efectiv o infecție”.
O altă concluzie cheie a raportului Imperva a fost că software-ul anti-malware este bine înțeles de creatorii de malware, care își modifică creațiile pentru a subverti sistemele de protecție. „Atacatorii înțeleg în profunzime produsele antivirus, se familiarizează cu punctele lor slabe, identifică punctele tari ale produsului antivirus și înțeleg metodele lor pentru manipularea incidenței mari a propagării de noi virusuri pe Internet”, scrie Imperva în studiu.
Studiul continuă, „variantele care au o distribuție limitată (cum ar fi atacurile sponsorizate de guvern), de obicei, lasă o fereastră mare de oportunități”.
Stuxnet nu este după tine
"Băieții malware sunt cu adevărat duri, sunt puternici și inteligenți", a spus Stelzhammer. "Un atac vizat este întotdeauna periculos." Dar el și alții au subliniat că atacurile vizate în care malware-ul este adaptat în mod special împotriva anti-malware este la fel de rar pe cât este periculos.
Efortul și informațiile necesare pentru a crea o bucată de malware pentru a învinge fiecare strat de protecție este mare. "Un astfel de test necesită mult timp și abilități, deci nu sunt ieftine", a scris Marx. „Dar acesta este motivul pentru care sunt numiți„ vizați ”.
Cu privire la acest aspect, Abrams a prezentat: "Sincer, nu mă preocupă Stuxnet să intre în computerul meu și să atac o centrifugă care îmbogățește uraniu la mine acasă sau la angajatorul meu."
Aproape toată lumea cu care am vorbit am convenit, cel puțin în principiu, că soluțiile gratuite anti-malware ar putea oferi utilizatorilor o protecție demnă. Cu toate acestea, cei mai mulți nu au fost de acord că este o opțiune viabilă pentru clienții întreprinderii. Stelzhammer subliniază faptul că, chiar dacă utilizatorii corporativi doreau să utilizeze software gratuit, acordurile de licență le împiedică uneori.
„Nu este vorba doar despre detecție”, a spus Stelzhammer într-un interviu acordat Security Watch. "Este vorba despre administrare, este despre difuzarea către clienți, despre privire de ansamblu. Nu veți obține acest lucru cu un produs gratuit."
Un utilizator informat acasă, a continuat Stelzhammer, ar putea utiliza straturi de software gratuit pentru a oferi o protecție comparabilă cu software plătit, dar cu costul simplității. "El poate aranja un sistem bine protejat cu software gratuit, dar cel mai mare avantaj al software-ului plătit este comoditatea."
Cu toate acestea, Edwards din Dennis Labs nu a fost de acord cu comparația favorabilă cu software-ul liber. "Acest lucru este contrar tuturor descoperirilor noastre de-a lungul mai multor ani de testare", a spus Edwards. "Aproape fără excepție, cele mai bune produse sunt plătite." Aceste descoperiri sunt similare cu testarea PC-ului cu software anti-malware.
De la publicarea studiului luna trecută, Imperva a scris o postare pe blog apărându-și poziția. Vorbind cu Security Watch, directorul Imperva al strategiei de securitate, Rob Rachwald, a spus: „Orice critică care se axează pe metodologia noastră lipsește realitatea pe care o vedem astăzi. El a continuat să spună că majoritatea încălcărilor de date sunt rezultatul intruziunii malware, ceea ce compania consideră o dovadă că modelul actual anti-malware nu funcționează pur și simplu.
Deși poate exista un adevăr inerent concluziilor Imperva, niciunul dintre experții cu care am vorbit nu a văzut studiul în mod pozitiv. "În mod obișnuit, avertizez împotriva testelor sponsorizate de către furnizori, dar dacă acest test ar fi fost efectuat de o organizație independentă, aș avertiza împotriva organizației în sine", a scris Abrams of NSS Labs. „Este rar că întâlnesc o astfel de metodologie incredibil de nesofisticată, criterii de culegere a eșantioanelor necorespunzătoare și concluzii neacceptate înglobate într-un singur PDF."
Pentru mai multe de la Max, urmați-l pe Twitter @wmaxeddy.
