Video: Herd Immunity: Understanding COVID-19 (Oktober 2024)
På årets internasjonale konferanse om ondsinnet og uønsket programvare, alias MalCon 2015, Fanny Lalonde Lévesque, Ph.D. student ved École Polytechnique de Montréal, demonstrerte de fascinerende resultatene som kan avledes når du har enorme mengder informasjon om antivirusbeskyttelse på en milliard datamaskiner. Ved å bruke en tilnærming hentet fra studien av naturlige økosystemer, tenkte hun noen beregninger for å måle helsen til hele antivirusøkosystemet.
Du har kanskje lagt merke til skadelig programvare for fjerning av programvare (MSRT) som kjøres som en del av hver Microsoft-oppdatering. Den ser veldig spesifikt etter og eliminerer noen få dusin veldig utbredte malware-familier, valgt hver måned av Microsofts sikkerhetsteam. Det sender også betydelig telemetri tilbake til Microsoft. I følge Dennis Batchelder, direktør for Microsoft Malware Protection Center (MMPC), er denne telemetrien grunnen til at Microsoft ikke trenger antivirusprøver. I en hovedtaler for et par år siden på MalCon, redegjorde han detaljert for den enorme mengden data samlet inn av MSRT, og inviterte akademikere til å sende inn forslag om å bruke disse dataene i forskning.
Millioner og millioner
Blant annet rapporterer MSRT om den fant skadelig programvare, hvilket antivirusprogram (hvis noe) var installert, og om antivirusprogrammet var konfigurert og fungerer riktig. Lalonde Lévesque startet med fire måneders MSRT-data fra Microsoft. Etter å ha eliminert oppføringer fra maskiner uten antivirus, hadde hun fortsatt nesten en milliard oppføringer. Det er en viss skjevhet i prøvesettet, siden noen brukere valgte å ikke kjøre Windows Update eller MSRT. For å hjelpe med å overvinne den skjevheten valgte hun tilfeldige 10 prosent av oppføringene. Det er fremdeles over 90 millioner prøver.
Med valgt målpopulasjon analyserte hun helsen til det samlede systemet. Denne analysen ser spesifikt på tre områder, avledet fra naturlig økosystemanalyse: Aktivitet, mangfoldighet og stabilitet.
I antivirusøkosystemet representerer beskyttelsesgraden aktivitet. Et installert antivirus kan være utdatert, slått av eller ha sanntidsbeskyttelsen utsatt. Ms. Lalonde Lévesque fant ut at antallet riktig konfigurerte oppdaterte installasjoner svevde rundt 87 til 88 prosent i løpet av de fire månedene.
Mangfold i et naturlig økosystem betyr at ingen enkelt art er totalt dominerende. Lalonde Lévesque undersøkte 100+ distinkte antivirusprodukter i antivirusøkosystemet og fant en høy grad av mangfoldighet. Det dominerende produktet, det med den største installerte basen, hevdet aldri mer enn 18 prosent av markedet.
For å undersøke stabilitet, begrenset hun først listen til datamaskiner som hadde svart på MSRT i alle fire måneder. Hun så på endringer i antivirusstatus, og fant oppmuntrende resultater. Bare rundt 3 prosent av datamaskinene som hadde fungerende og oppdatert antivirus, kjørte til en mindre sikker tilstand, og mange datamaskiner i de andre statene forbedret seg.
Her er imidlertid en overraskelse. I løpet av studien byttet en tredjedel av datamaskinene til et annet antivirus. Noen deltagere spekulerte i om muligheten for et skjevt resultat basert på utløp av gratis antivirus på nye datamaskiner. Uansett årsak, det er mye forandring.
Det siste trinnet var å undersøke hvilke rapporteringsdatamaskiner som ble rammet av skadelig programvare til tross for at antivirus er installert. Ikke overraskende korrelerte lav infeksjonsgrad med skadelig malware med oppdatert og fungerende antivirus. Motsatt, en lav stabilitetsrate, noe som betyr mye endring i installert antivirus- eller antivirusstatus, korrelerte sterkt med en høyere infeksjonsrate.
Monokultur og hjerdimmunitet
Neste trinn innebar å bryte ut dataene for hvert av de 126 landene som er involvert, og å matche landsomfattende antivirusøkosystemhelse med landsdekkende infeksjonsrater. For denne delen av studien så Lalonde Lévesque både på datamaskiner beskyttet av antivirus og de uten beskyttelse.
Noen land hadde en dystre mangfoldighetsvurdering, med ett produkt som beskyttet flertallet av alle systemer. Disse landene viste rutinemessig en høyere infeksjonsrate enn gjennomsnittet, mens de med mer mangfold hadde en lavere frekvens. Hennes fulle rapport beskriver hvordan hun bekreftet den statistiske betydningen av dette resultatet. I antivirusøkosystemet, som i livet, er ikke monokultur sunt.
Det er ikke overraskende at det å ha en større prosentdel datamaskiner med oppdatert funksjonelt antivirus korrelerer sterkt med en lavere infeksjonsrate. Hvis det ikke var tilfelle, ville noe være veldig, veldig galt. Kickeren er, den samme korrelasjonen har når du ser på datamaskiner uten antivirus i samme land. Det ser ut som en slags flokkunimmunitet kan komme inn her, så selv de som glemmer antivirusbeskyttelse får ved å ha naboene sine fullstendig pansret.
Så er det MSRT-effekten. Land med høy infeksjonshastighet viste også en høy "rate", med mange brukere som byttet antivirusprodukter. Kan det være at det enkle faktum å se MSRT eliminere skadelig programvare fikk brukeren til å bli misfornøyd med eksisterende beskyttelse, og velge en annen leverandør? Det vil være vanskelig å bevise, gitt at det ikke er datamaskiner i studien som aldri opplevde bruk av MSRT.
Bare ett syn
Lalonde Lévesque gjorde det vanskelig å påpeke at resultatene fra denne studien har visse begrensninger. Bare datamaskiner som koblet til MSRT-systemet var inkludert, for en ting. Og infeksjonsresultater er bare tilgjengelige for de utbredte skadeprogrammene som Microsoft velger ut hver måned. I tillegg er teoriene om monokultur og flokkunimmunitet ikke de eneste forklaringene på korrelasjonene som er oppdaget.
Microsofts enorme datainnsamling er tilgjengelig for bruk av kvalifiserte forskere. Andre kan utvide studien til Ms Lalonde Lévesque, eller ta av i en helt annen retning. Jeg ser frem til å se hva de kommer på.
