Video: Windows Defender Sandbox Test vs Malware (Octombrie 2024)
Dennis Batchelder, directorul Microsoft Malware Protection Center (MMPC), a prezentat discursul principal al celei de-a 8-a Conferințe internaționale privind software-ul rău și nedorit (Malware 2013 pe scurt). După încheierea conferinței principale, s-a întâlnit cu un grup select pentru o prezentare post-conferință despre modul în care Microsoft își evaluează propriul succes antimalware. Nu pot intra în detalii complete, deoarece părți ale prezentării au fost puse la dispoziție în condiții de dezvăluire, dar vă pot spune, ceea ce fac este destul de uimitor.
Jucătorul cheie în autocontrolul Microsoft este ceva ce ați văzut în fiecare Patch Tuesday, Instrumentul de eliminare software rău intenționat. MSRT rulează scurt în timpul actualizării Windows și apoi pleacă până la luna următoare. Ca parte a activității sale, acesta raportează o colecție de informații de sistem complet non-personale înapoi la Microsoft. Agregând numeroasele milioane de rapoarte astfel generate, Microsoft poate învăța multe. Puteți consulta un rezumat limitat al rezultatelor lor pe site-ul MMPC, dar pe plan intern, au multe informații.
Cine este neprotejat?
Este un lucru complicat pentru orice program pentru a afla exact versiunea Windows pe care o rulează. Un simplu calcul făcut posibil prin raportul MSRT este o defalcare a prevalenței versiunilor Windows. Acest lucru este deosebit de semnificativ în urma stingerii oficiale a Windows XP. Mai important, Windows va raporta, de asemenea, securitatea la orice program care îl solicită. Mai exact, va identifica, dacă este cazul, programul antivirus înregistrat și va indica dacă programul respectiv este actualizat.
Batchelder a raportat că aproximativ 21 la sută dintre sistemele examinate nu au fost protejate de antivirus, în scădere de la 40 la sută înainte de apariția Windows 8. Asta nu înseamnă că nu au antivirus instalat. Printre acest procent de 21% sunt sisteme al căror antivirus nu este actualizat sau este prezent, dar a expirat. Aceasta include, de asemenea, sisteme în care utilizatorul a oprit protecția. Numărul real fără protecție este o fracțiune minusculă dintre cei neprotejați.
Ce ne-a lipsit?
Intregul scop al Instrumentului de eliminare a software-ului rău intenționat este să detecteze și să șteargă o colecție mică, dar activă, de malware prevalent - nasties pe care cercetările Microsoft le-a marcat ca fiind cele mai importante. Dacă MSRT șterge una dintre aceste amenințări pe un sistem care are o protecție antivirus instalată, înseamnă că antivirus nu a reușit să prevină infecția.
Da, asta înseamnă că Microsoft poate identifica foarte clar eșecurile prin anumite produse antivirus, inclusiv prin propriile lor. Aceasta este informația foarte sensibilă, în mod natural, și… dar nu pot spune mai mult. Ceea ce înseamnă, este că gașca Microsoft Malware Protection Center primește feedback extrem de precis în fiecare lună cu privire la instalațiile antimalware Microsoft. Acest lucru le permite să vadă exact cum fac, fără a fi nevoie de teste de laborator.
Desigur, de fiecare dată când se publică un rezultat nefast al testului, Powers That Be at Microsoft solicită să știe de ce. Batchelder mi-a spus că i-au oferit o echipă pe care o poate atribui sarcinii de a obține scoruri mai bune la testele de laborator independente. „Le-am spus să meargă înainte”, a spus el. "Dă-mi echipa respectivă. Dar nu le voi folosi pentru a trece testele. Le voi atribui mai bine clienților noștri."
Acum văd…
La începutul acestui an am raportat că Microsoft a depus un test de către Dennis Technology Labs, câștigând un scor sub zero și, de asemenea, a eșuat în certificarea AV-Test. Microsoft a dat înapoi cu o afirmație că testul în cauză nu a fost real, că „99, 997 la sută dintre clienții noștri au lovit cu 0 zi nu au întâlnit probele de malware testate în acest test”.
În momentul în care am simțit că această afirmație trebuie să fie hiperbole, în cel mai bun caz. Cum ar putea ei să știe asta? După ce am văzut ce primește Microsoft în telemetrie de la produsele sale, trebuie să spun, cred.
Cu toate acestea, având în vedere imensele resurse ale Microsoft, de ce să nu funcționăm ambele capete ale ecuației? De ce să nu creezi un produs care să facă o treabă bună și să treacă și toate testele? Batchelder a explicat că scopul Microsoft este de a asigura protecția pentru clienții Windows, nu de a fi cel mai mare și mai rău antivirus din jur. Din punctul său de vedere, cu cât este mai divers software instalat de protecție, cu atât mai multe informații obțin Microsoft și cu atât mai bine își pot proteja clienții.
În timpul prezentării, el a indicat un grafic care arată o ușoară scădere a instalațiilor active ale produselor antivirus Microsoft. „Asta ne dorim”, a spus el, pentru consternarea vizibilă a unor participanți. „Avem nevoie de o colecție diversă de metode de protecție, pentru a putea face cu toții o treabă mai bună.” S-a încheiat amintindu-ne de un punct important din nota sa principală. Există un ecosistem uriaș de malware al infractorilor și al actorilor care susțin securitatea tuturor. Dacă industria antimalware nu funcționează la fel ca ecosistem, dacă fiecare companie insistă pe succesul individual în detrimentul concurenței, suntem condamnați.
Așteptând cu nerăbdare, Batchelder speră să împărtășească cât mai mult din datele colectate Microsoft cu cercetătorii interesați. Acest lucru ar putea duce la unele lucrări foarte interesante la conferința Malware 2014. Vom vedea!
