Будинки Securitywatch Антивірус краще виявляти шкідливі програми електронної пошти, ніж веб-загрози

Антивірус краще виявляти шкідливі програми електронної пошти, ніж веб-загрози

Відео: Маленькое королевство Бена и Холли - Вылазка ⭐Лучшие моменты (Листопад 2024)

Відео: Маленькое королевство Бена и Холли - Вылазка ⭐Лучшие моменты (Листопад 2024)
Anonim

За даними Palo Alto Networks, веб-зловмисне програмне забезпечення краще обходити традиційні засоби захисту, ніж шкідливі програми, що передаються електронною поштою.

Хоча електронна пошта продовжує залишатися головним джерелом зловмисного програмного забезпечення, переважна більшість невідомих зловмисних програм надсилається через веб-додатки, Palo Alto Networks знайдений у своєму звіті "Сучасний перегляд програмного забезпечення", опублікованому в понеділок. Майже 90 відсотків "невідомих зловмисних програм", з якими стикалися користувачі, переглядали Інтернет, порівняно лише 2 відсотки, що надходили з електронної пошти.

"Невідома зловмисна програма" у цьому звіті стосувалась зловмисних зразків, виявлених хмарною службою Wildfire компанії, пропущеної шістьма "провідними" в галузі антивірусними продуктами, повідомляє Palo Alto Networks. Дослідники проаналізували дані більш ніж 1000 клієнтів, які розгорнули брандмауер нового покоління компанії та підписалися на додатковий сервіс Wildfire. З 68, 047 проб, позначених WildFire як шкідливі програми, 26363 зразки, або 40 відсотків, антивірусні продукти не були виявлені.

"Переважна кількість невідомих зловмисних програм надходить із веб-джерел, а традиційні AV-продукти набагато краще захищають від зловмисного програмного забезпечення, яке доставляється електронною поштою", - сказав Пало Альто Мережі.

Багато зусиль залишаються непоміченими

Пало Альто Мережі виявило, що "велика частина" розвідки зловмисного програмного забезпечення присвячена залишанню не виявленим інструментами безпеки. Дослідники спостерігали понад 30 типів поведінки, присвячених тому, щоб допомогти зловмисному програмному засобу уникнути виявлення, наприклад, тим, щоб зловмисне програмне забезпечення "спало" протягом тривалого часу після первинного зараження, вимкнення засобів захисту та процесів операційної системи. Насправді, зі списку діяльності та поведінки шкідливих програм, які спостерігали Palo Alto Networks, 52 відсотки зосереджувались на ухиленні від безпеки, порівняно з 15 відсотками, які зосереджувались на злому та крадіжці даних.

Попередні звіти інших постачальників вказували на велику кількість невідомих шкідливих програм, які стверджують, що антивірусні продукти були неефективними для забезпечення безпеки користувачів. Пало Альто Мережі заявив, що метою цього звіту було не закликати антивірусні продукти не виявляти ці зразки, а виявити спільність у зразках зловмисного програмного забезпечення, які могли б бути використані для виявлення загроз під час очікування, коли антивірусні продукти зникнуть.

Майже 70 відсотків невідомих зразків виявили "чіткі ідентифікатори або поведінки", які можна було б використовувати для контролю в режимі реального часу та блокування, виявив у своєму звіті Palo Alto Networks. Поведінки включали користувацький трафік, згенерований шкідливим програмним забезпеченням, а також віддалені напрямки, з якими зловмисне програмне забезпечення контактувало. Приблизно 33 відсотки зразків підключалися до щойно зареєстрованих доменів та доменів, що використовують динамічний DNS, тоді як 20 відсотків намагалися надсилати електронні листи. Зловмисники часто використовують динамічний DNS для того, щоб генерувати власні домени на ходу, від яких можна легко відмовитися, коли продукти безпеки починають його чорний список.

Зловмисники також використовували нестандартні веб-порти, такі як надсилання незашифрованого трафіку через порт 443 або використання портів, відмінних від 80, для надсилання веб-трафіку. FTP зазвичай використовує порти 20 та 21, але у звіті виявлено зловмисне програмне забезпечення, яке використовує 237 інших портів для відправлення трафіку FTP.

Затримка виявлення шкідливих програм

Постачальникам антивірусних програм потрібно було в середньому п’ять днів, щоб доставити підписи за невідомі зразки зловмисного програмного забезпечення, виявлені по електронній пошті, порівняно з майже 20 днів для веб-серверів. FTP став четвертим джерелом невідомих шкідливих програм, але майже 95 відсотків зразків залишилися не виявленими через 31 день, виявив Palo Alto Networks. Згідно з повідомленнями, зловмисне програмне забезпечення, яке надходило в соціальних мережах, також не було виявлено антивірусом протягом 30 днів і більше.

"Не тільки традиційні рішення AV мають набагато меншу ймовірність виявлення зловмисного програмного забезпечення поза електронною поштою, але також потребують набагато довшого часу, щоб отримати покриття", - йдеться у звіті.

Відмінність у розмірі вибірки вплинула на ефективність антивірусу у виявленні зловмисного програмного забезпечення, зазначив Palo Alto Networks. У випадку загроз, пов’язаних з електронною поштою, одне і те ж зловмисне програмне забезпечення часто надходить до багатьох цілей, що робить більш імовірним, що постачальник антивірусів виявить і проаналізує файл. На відміну від цього, веб-сервери використовують поліморфізм на стороні сервера, щоб налаштувати шкідливий файл щоразу при завантаженні веб-сторінки атаки, створюючи більшу кількість унікальних зразків і ускладнюючи виявлення зразків. Той факт, що електронну пошту також не потрібно доставляти в режимі реального часу, означає, що засоби захисту від зловмисного програмного забезпечення встигають аналізувати та перевіряти файли. Веб - це "набагато більше в режимі реального часу" і надає інструментам безпеки "набагато менше часу для огляду" шкідливих файлів, перш ніж доставляти їх користувачеві.

"Ми вважаємо, що для підприємств дуже важливо зменшити загальний обсяг заражень від різних відомих зловмисних програм, щоб групи безпеки мали час зосередитись на найбільш серйозних та цілеспрямованих загрозах", - йдеться у повідомленні.

Антивірус краще виявляти шкідливі програми електронної пошти, ніж веб-загрози