Будинки Securitywatch Антивірусна галузь повинна зосередитись на виявленні поведінки

Антивірусна галузь повинна зосередитись на виявленні поведінки

Відео: Relax video | with gorgeous Arina and Nissan Skyline ECR33. (Листопад 2024)

Відео: Relax video | with gorgeous Arina and Nissan Skyline ECR33. (Листопад 2024)
Anonim

Комп'ютерні віруси існують вже багато-багато років. У перші дні виявлення було простим питанням відповідності файлів із відомим набором підписів. Деякі антивірусні програми навіть включили список усіх загроз, які вони могли виявити. У наші дні речі зовсім інші, тому що письменники шкідливих програм наполегливо працюють над створенням зловмисного програмного забезпечення, яке перетворюється та розвивається, щоб його не вдалося виявити на основі підпису. Я розмовляв з Роджером Томпсоном, головним дослідником нових загроз для лабораторій ICSA, про те, як потрібно змінити програми проти зловмисного програмного забезпечення, і як потрібно змінити тестування цих продуктів.

Те, як були речі

Рубенкінг : Ви можете сказати кілька слів про те, що саме таке лабораторія ICSA і що вона робить?

Томпсон : Ми сертифікуємо антивірусні продукти за узгодженими історичними критеріями. Ще в 90-х роках виникла необхідність розрізняти антивірусну ажіотаж і фактичні результати в реальному світі. Як ви пам’ятаєте, тоді люди могли говорити все, що їм подобалося, про їхню продукцію, і ніхто не міг це довести чи спростувати. Хтось із мозком повинен був сказати: "Це працює, це не працює, це не робить те, що він говорить".

Продавці погодились, що для цього їм потрібна нейтральна третя сторона. Звичайно, завжди важливіше тестувати на віруси, які насправді є в природі, ніж проти відомого "зоопарку". Тож, із цієї потреби виникла дивна група - нейтральний для продавців композит відомих зловмисних програм.

Ще в 90-х Алан Соломон переконав усіх, що методи загального типу виявлення шкідливих програм були поганою ідеєю. Замість цього шукали сканер, який міг би точно визначити , який вірус присутній, і як саме його видалити. Світ погодився і проголосував зі своїми кишеньковими книжками за підтримку такого сканера.

Проблема з загальним виявленням історично полягає в тому, що він викликає дзвінки підтримки. Антивірус говорить, що ми бачимо, що якийсь процес у вашій системі - це модифікація виконуваних файлів або змінений якийсь виконуваний файл; ти це змінив? Це призводить до виклику підтримки, і Fortune 500 не схвалює. Антивірус на основі підпису або говорить: "це вірус!" або взагалі нічого не каже.

Як це буде

Томпсон : Існує ще основна потреба перевірити сканери на основі підписів, щоб переконатися, що вони йдуть в ногу. Чи можуть вони це виявити? Ось що зроблено, і ще є потреба. Однак цифри настільки змінилися, щодня створюється велика кількість пухнастиків. Зараз потрібно також перевірити здатність анти-шкідливого програмного забезпечення виявляти речі, які раніше ніколи не бачили.

Рубенкінг : Пухнасті речі? Що тільки ти маєш на увазі під цим?

Томпсон : Ви знаєте, ніхто не знає справжніх цифр. Хлопці ESET сказали мені за пивом, що вони щодня бачать 600 000 нових унікальних зразків зловмисного програмного забезпечення. Я пам’ятаю звіт із Symantec, в якому стверджується, що мільйон нових та унікальних предметів щодня. Але правда полягає в тому, що більшість створюються алгоритмічно. Погані хлопці просто змінюють незначний код, перекомпілюють, перепаковують і повторно шифрують. Потім вони перевіряють, чи виявляють поточні сканери нову версію. Якщо ні, вони відпускають її.

Виявити те, про що ви вже знаєте, дуже просто. Це як фондовий ринок; "просто" купуйте низький і продайте високий. Вся справа в тому, що з цими унікальними вірусами основна поведінка не змінюється, лише пухнасті шматочки. Діяльність, модифікація реєстру, зміна файлів …, що поведінка не змінюється. Тож тестування має перейти до включення блокування поведінки як частини угоди.

Rubenking : Чи скоро ви додасте це тестування наступного покоління?

Томпсон : Ми намагаємось змусити продавців погодитися, що це добре. Вони, як правило, згодні, але насправді зробити тестування не так просто.

Рубенкінг : як вам новий процес?

Томпсон : Важко; тому люди не хочуть цього робити. Ви починаєте з чистої системи, запускаєте зловмисне програмне забезпечення і бачите, чи він встановлений. Ви повинні мати змогу згодом вивчити систему. Чи заразили шкідливі програми систему? Це змінило ключі реєстру? Чи стало воно наполегливим, щоб пережити перезавантаження? Потім потрібно відновити до чистої базової лінії, щоб зробити це знову.

Rubenking : Це дуже схоже на динамічне тестування, проведене AV-Comparatives.

Томпсон : Так, це дуже схоже.

Рубенкінг : Ви готові піти, але продавці цього не роблять? Тож ви не знаєте, коли набуде чинності нове тестування?

Томпсон : Ми готові йти. Я не зовсім знаю, який статус у постачальників; ми з вами повернемося з цього приводу. ] Також частина проблеми - це пошук власних джерел зловмисного програмного забезпечення, збирання каналів спаму тощо. Нам потрібно знати, що там насправді.

Зробіть життя важким для поганих хлопців

Томпсон : Це правильний шлях вперед. Ми не можемо перестати робити те, що ми завжди робили, але коли виробники анти-шкідливих програм додають блокування, засноване на поведінці, поганим хлопцям стає набагато складніше. Вони можуть бити підписи, підробляючи неважливі речі, але для того, щоб перемогти блокування поведінки, вони мають фактично змінити поведінку та мати справу з різними визначеннями поведінки.

Rubenking : Отже, різноманітний набір постачальників анти-зловмисних програм з різними типами блокування поведінки зробить життя важким для поганих хлопців?

Томпсон : Саме так. Це як аналогія швейцарського сиру. У одному шматочку сиру є отвори, але якщо ви накладаєте шар на інший шматочок, він закриває отвори. Покладіть достатню кількість шматочків, і отворів не залишилося.

Рубенкінг : Спасибі, Роджере !

Антивірусна галузь повинна зосередитись на виявленні поведінки