Video: Don't buy an anti-virus in 2020 - do THIS instead! (Oktober 2024)
Datavirus har eksistert i mange, mange år. De første dagene var deteksjon en enkel sak å matche filer mot et kjent sett med signaturer. Noen antivirusprogrammer inkluderte til og med en liste over alle truslene de kunne oppdage. Ting er ganske forskjellige i disse dager, med malware-forfattere som jobber hardt for å lage skadelig programvare som forandres og utvikles, slik at det ikke kan fanges opp av signaturbasert deteksjon. Jeg snakket med Roger Thompson, Chief Emerging Threat Researcher for ICSA Labs, om hvordan anti-malware-programmer må endres, og hvordan testing av disse produktene må endres.
Måten ting var
Rubenking: Kan du si noen ord om nøyaktig hva ICSA Labs er, og hva det gjør?
Thompson: Vi sertifiserer antivirusprodukter mot avtalte historiske kriterier. Tilbake på 90-tallet var det behov for å skille mellom antivirushype og faktiske resultater fra den virkelige verden. Som du husker, da kunne folk si hva de vil om produktene sine, og ingen kunne bevise eller motbevise det. Det var behov for at noen med hjerne sa: "Dette fungerer, dette fungerer ikke, dette gjør ikke det det står."
Selgerne var enige om at de trengte en nøytral tredjepart for å gjøre dette. Selvfølgelig er det alltid viktigere å teste mot virus som faktisk er til stede i naturen enn mot en kjent "dyrehage." Så, wildlisten vokste ut av det behovet - en leverandøytral kompositt av kjent malware.
Også på 90-tallet overbeviste Alan Solomon alle om at generiske metoder for å oppdage malware var en dårlig idé. Det som ønsket var i stedet noen skanner som kunne bestemme nøyaktig hvilket virus som er til stede og nøyaktig hvordan du fjerner det. Verden var enig, og stemte med lommebøkene sine for å støtte den typen skanner.
Problemet med generisk deteksjon er historisk sett at det forårsaker støttesamtaler. Antiviruset sier at vi ser at noen prosesser på systemet ditt er å endre kjørbare filer, eller at noen kjørbar fil er endret; forandret du det? Det resulterer i en støttesamtale, og Fortune 500's godkjenner ikke. En signaturbasert antivirus sier enten "det er et virus!" eller sier ingenting i det hele tatt.
Hvordan det blir
Thompson: Det er fremdeles et grunnleggende behov for å teste signaturbaserte skannere, for å sikre at de holder følge. Kan de oppdage det? Det er det som er gjort, og det er fremdeles et behov. Imidlertid har tallene endret seg så mye, det er et stort antall fluff ting som opprettes hver dag. Det som kreves nå, er også å teste evnen til anti-malware å oppdage ting de aldri har sett før.
Rubenking: Fluff ting? Hva mener du med det?
Thompson: Du vet, ingen vet de reelle tallene. ESET-gutta fortalte meg over en øl at de ser 600 000 nye, unike malware-prøver hver dag. Jeg husker en rapport fra Symantec som hevdet en million nye og unike ting hver dag. Men sannheten er at flertallet er skapt algoritmisk. Skurkene endrer bare noen uviktig kode, rekompilerer, pakker om og krypterer på nytt. Deretter sjekker de om aktuelle skannere oppdager den nye versjonen. Hvis ikke slipper de det.
Det er veldig enkelt å oppdage det du allerede vet om. Det er som aksjemarkedet; "bare" kjøpe lavt og selg høyt. Saken er at med disse unike virusene endrer den underliggende atferden seg ikke, bare de myke bitene. Aktiviteten, endring av registeret, endring av filer… den atferden endres ikke. Så testing må flytte for å innlemme atferdsblokkering som en del av avtalen.
Rubenking: Vil du legge til neste generasjons testing snart?
Thompson: Vi prøver å få leverandører til å bli enige om at det er bra. De er generelt enige, men det er ikke så lett å utføre testingen.
Rubenking: Hvordan er den nye prosessen din?
Thompson: Det er vanskelig; det er grunnen til at folk ikke vil gjøre det. Du starter med et rent system, kjører skadelig programvare og ser om det blir installert. Du må kunne undersøke systemet rettsmedisinsk etterpå. Infiserte skadelig programvare systemet? Har det endret registernøkler? Ble den vedvarende, for å overleve en omstart? Så må du gjenopprette til en ren grunnlinje for å gjøre det igjen.
Rubenking: Det høres mye ut som den dynamiske testen som er utført av AV-Comparatives.
Thompson: Ja, det er veldig likt.
Rubenking: Du er klar til å dra, men det er ikke leverandørene? Så du vet ikke når den nye testingen trer i kraft?
Thompson: Vi er klare til å dra. Jeg vet ikke helt hva statusen er hos leverandørene; Vi kommer tilbake til deg om det.] En del av problemet er også å finne våre egne kilder til skadelig programvare, høste spam-feeds og slikt. Vi må vite hva som virkelig er der ute.
Gjør livet tøft for de dårlige karene
Thompson: Dette er den rette veien videre. Vi kan ikke slutte å gjøre det vi alltid har gjort, men når leverandører av skadelig programvare legger til atferdsbasert blokkering, blir det mye vanskeligere for skurkene å slå. De kan slå signaturer ved å finpusse uvante ting, men for å slå atferdsblokkering må de faktisk endre atferd, og håndtere forskjellige definisjoner av atferd.
Rubenking: Så et mangfoldig sett med leverandører av skadelig programvare med forskjellige typer atferdsblokkering vil gjøre livet tøft for skurkene?
Thompson: Nøyaktig. Det er som den sveitsiske osteanalogien. En bit ost har hull, men hvis du legger på en annen bit dekker de hullene. Ta på nok biter, og det er ingen hull igjen.
Rubenking: Takk, Roger!
