Відео: ÐÑÑваемÑо-мÑÑл-мÑÑо (Вересень 2024)
На цьогорічній Міжнародній конференції зі зловмисного та небажаного програмного забезпечення, яка називається MalCon 2015, доктор фін. Фані Лалонде Левеск. студент Політехнічного мистецтва в місті Монреаль, продемонстрував захоплюючі результати, які можна отримати, коли у вас є величезна кількість інформації про антивірусний захист на мільярді комп’ютерів. Використовуючи підхід, вивчений на основі вивчення природних екосистем, вона розробила деякі показники для вимірювання здоров'я всієї антивірусної екосистеми.
Можливо, ви помітили Засіб для видалення зловмисного програмного забезпечення (MSRT), який працює як частина кожного оновлення Microsoft. Він спеціально шукає та усуває кілька десятків дуже поширених сімейств шкідливих програм, щомісяця вибираються командою з питань безпеки Microsoft. Він також надсилає Microsoft значну телеметрію. За словами Денніса Батчелдера, директора Центру захисту від зловмисних програм Microsoft (MMPC), ця телеметрія є причиною того, що Microsoft не потребує антивірусних тестів. У своїй доповіді, яка була пару років тому в Малконі, він детально виклав інформацію про величезний обсяг даних, зібраних MSRT, та запропонував науковцям подати пропозиції щодо використання цих даних у дослідженнях.
Мільйони та мільйони
Крім усього іншого, MSRT повідомляє, чи було знайдено якесь зловмисне програмне забезпечення, який антивірус (якщо такий є) встановлено та чи правильно налаштовано та працює антивірус. Пані Лалонде Левеск розпочала чотири місяці даних MSRT від Microsoft. Після вилучення записів із машин без антивірусу вона все ще мала майже мільярд записів. У наборі зразків є певна упередженість, оскільки деякі користувачі вирішили не запускати оновлення Windows або MSRT. Щоб допомогти подолати цю упередженість, вона вибрала випадкові 10 відсотків записів. Це ще понад 90 мільйонів зразків.
Вибравши цільове населення, вона проаналізувала стан здоров'я загальної системи. Цей аналіз розглядає конкретно три області, отримані в результаті аналізу природних екосистем: активність, різноманітність та стабільність.
В антивірусній екосистемі ступінь захисту представляє активність. Встановлений антивірус може бути застарілим, або вимкненим, або його захист у режимі реального часу відкладений. Пані Лалонде Левеск встановила, що протягом чотирьох місяців кількість належним чином налаштованих сучасних установок коливалася від 87 до 88 відсотків.
Різноманітність природної екосистеми означає, що жоден вид не є домінуючим. Пані Лалонде Левеск вивчила 100+ різних антивірусних продуктів в антивірусної екосистемі та виявила високу ступінь різноманітності. Домінуючий продукт, той, що має найбільшу встановлену базу, ніколи не вимагав більше 18 відсотків ринку.
Щоб вивчити стабільність, вона спочатку звузила список на комп’ютери, які реагували на MSRT протягом усіх чотирьох місяців. Вона вивчила зміни в антивірусному статусі та знайшла обнадійливі результати. Лише близько 3 відсотків комп’ютерів, які мали працюючий та сучасний антивірус, перейшли у менш захищений стан, і багато комп'ютерів в інших штатах покращилися.
Ось сюрприз, хоча. Протягом дослідження повністю третина комп'ютерів перейшла на інший антивірус. Деякі відвідувачі міркували про можливість перекосу результату на основі закінчення терміну дії безкоштовного антивірусу на нових комп’ютерах. Якою б не була причина, це дуже багато змін.
Останнім кроком було вивчення того, які звітні комп’ютери потрапили від зловмисного програмного забезпечення, незважаючи на встановлений антивірус. Не дивно, що низький рівень зараження шкідливим програмним забезпеченням сильно співвідносився із сучасним та працюючим антивірусом. І навпаки, низький рівень стабільності, що означає багато змін встановленого антивірусного або антивірусного статусу, сильно корелює з більш високим рівнем зараження.
Монокультура та імунітет стада
Наступний крок включав вибивання даних для кожної із 126 країн, що займаються, та співставлення здоров’я антивірусної екосистеми в цілому по країні. У цій частині дослідження пані Лалонде Левеск дивилася як на комп'ютери, захищені антивірусом, так і на ті, що не мають захисту.
Деякі країни демонстрували похмурий рейтинг різноманітності, один продукт захищав більшість усіх систем. У цих країнах звичайно спостерігається більший за середній рівень зараження, тоді як у тих, хто має більше різноманітності, спостерігається нижчий показник. Її повний звіт розповідає про те, як вона перевірила статистичну значимість цього результату. Як антивірусна екосистема, як і в житті, монокультура не є здоровою.
Не дивно, що більший відсоток комп'ютерів із сучасним функціональним антивірусом сильно співвідноситься з нижчим рівнем зараження. Якби це не було, щось було б дуже, дуже неправильно. Таке ж співвідношення має місце при перегляді комп’ютерів без антивірусу в одній країні. Схоже, тут може наступити якийсь імунітет стада, тому навіть ті, хто відмовився від антивірусного захисту, отримують повну зброю своїх сусідів.
Тоді є ефект MSRT. Країни з високим рівнем зараження також показали високий показник "нездужання", оскільки багато користувачів перемикають антивірусні продукти. Чи може бути, що простий факт того, як MSRT усуває зловмисне програмне забезпечення, змусив користувача незадоволитися існуючим захистом та обрати іншого постачальника? Це було б важко довести, враховуючи те, що в дослідженні немає комп'ютерів, які ніколи не мали використання MSRT.
Просто один погляд
Пані Лалонде Левеск відчула певні обмеження, що результати цього дослідження мають певні обмеження. Всього було включено лише комп'ютери, що підключаються до системи MSRT. Результати зараження доступні лише для широко розповсюджених сімей шкідливих програм, які Microsoft вибирає щомісяця. Крім того, теорії монокультури та імунітету стада - не єдине пояснення виявлених кореляцій.
Масовий збір даних Microsoft доступний для використання кваліфікованими дослідниками. Інші можуть поширитись на дослідження пані Лалонди Левеск або вилетіти в зовсім іншому напрямку. Я з нетерпінням чекаю, що вони придумають.
