Video: Don't buy an anti-virus in 2020 - do THIS instead! (Oktober 2024)
Computervirus har eksisteret i mange, mange år. I de tidlige dage var detektion et simpelt spørgsmål om at matche filer mod et kendt sæt underskrifter. Nogle antivirusprogrammer inkluderede endda en liste over alle de trusler, de kunne opdage. Tingene er meget forskellige i disse dage, med malware-forfattere, der arbejder hårdt for at skabe malware, der forandres og udvikles, så det ikke kan blive fanget af signaturbaseret detektion. Jeg talte med Roger Thompson, Chief Emerging Threat Researcher for ICSA Labs, om, hvordan anti-malware-programmer skal ændres, og hvordan test af disse produkter skal ændres.
Måden tingene var
Rubenking: Kan du sige et par ord om nøjagtigt, hvad ICSA Labs er, og hvad det gør?
Thompson: Vi certificerer antivirusprodukter i henhold til aftalte historiske kriterier. Tilbage i 90'erne var der et behov for at skelne mellem antivirushype og faktiske resultater i den virkelige verden. Som du husker, kunne folk tilbage sige hvad de kunne lide om deres produkter, og ingen kunne bevise eller modbevise det. Der var behov for nogen med en hjerne for at sige, "Dette fungerer, dette fungerer ikke, dette gør ikke, hvad det siger."
Sælgerne var enige om, at de havde brug for en neutral tredjepart for at gøre dette. Selvfølgelig er det altid mere vigtigt at teste mod vira, der faktisk findes i naturen end mod en kendt "zoologisk have". Så wildlisten voksede ud af dette behov - en sælgerneutral sammensætning af kendt malware.
Også tilbage i 90'erne overbeviste Alan Solomon alle om, at generiske metoder til at opdage malware var en dårlig idé. Hvad der ønskede i stedet var en scanner, der kunne bestemme nøjagtigt, hvilken virus der er til stede, og nøjagtigt hvordan man fjerner den. Verden var enig og stemte med deres lommebøger for at støtte den slags scanner.
Problemet med generisk detektion er historisk set, at det forårsager supportopkald. Antivirus siger, vi ser, at en proces på dit system er at ændre eksekverbare filer, eller en eller anden eksekverbar fil er ændret; ændrede du det? Det resulterer i et supportopkald, og Fortune 500'er godkender det ikke. En signaturbaseret antivirus siger enten "det er en virus!" eller siger overhovedet intet.
Hvordan det bliver
Thompson: Der er stadig et grundlæggende behov for at teste signaturbaserede scannere for at sikre, at de følger med. Kan de opdage det? Det er hvad der er gjort, og der er stadig et behov. Dog har antallet ændret sig så meget, der er et stort antal fluff ting oprettet hver dag. Hvad der kræves nu er også at teste anti-malware's evne til at opdage ting, de aldrig har set før.
Rubenking: Fluff ting? Hvad mener du med det?
Thompson: Du ved, ingen kender de reelle tal. ESET-fyre fortalte mig over en øl, at de ser 600.000 nye, unikke malware-prøver hver dag. Jeg kan huske en rapport fra Symantec, der hævdede en million nye og unikke genstande hver dag. Men sandheden er, at flertallet er oprettet algoritmisk. De dårlige fyre ændrer bare nogle uvæsentlige kode, rekompilerer, pakker om igen og krypterer dem igen. Derefter kontrollerer de, om aktuelle scannere registrerer den nye version. Hvis ikke, frigiver de det.
Det er virkelig nemt at opdage, hvad du allerede ved om. Det er som aktiemarkedet; "bare" købe lavt og sælge højt. Sagen er, at med disse unikke viraer ændrer den underliggende adfærd sig ikke, bare de fluffy bits. Aktiviteten, Registreringsmodifikation, ændring af filer… denne adfærd ændres ikke. Så test skal flytte for at indarbejde blokering af adfærd som en del af handlen.
Rubenking: Vil du tilføje denne næste generations test snart?
Thompson: Vi prøver at få leverandører til at blive enige om, at det er en god ting. De er generelt enige, men det er faktisk ikke så let at udføre testingen.
Rubenking: Hvordan ser din nye proces ud?
Thompson: Det er svært; det er derfor, folk ikke ønsker at gøre det. Du starter med et rent system, kører malware og se, om det bliver installeret. Du skal kunne undersøge systemet forensisk bagefter. Inficerede malware malware? Ændrede det Registreringsnøgler? Blev det vedvarende for at overleve en genstart? Derefter skal du gendanne til en ren baseline for at gøre det igen.
Rubenking: Det lyder meget som den dynamiske test udført af AV-Comparatives.
Thompson: Ja, det er meget ens.
Rubenking: Du er klar til at gå, men sælgerne er det ikke? Så du ved ikke, hvornår den nye test træder i kraft?
Thompson: Vi er klar til at gå. Jeg ved ikke helt, hvad status er hos leverandørerne; vi kommer tilbage til dig om det.] En del af problemet er også at finde vores egne kilder til malware, høste spamfeeds og sådan. Vi er nødt til at vide, hvad der virkelig er derude.
Gør livet hårdt for de onde fyre
Thompson: Dette er den rigtige vej frem. Vi kan ikke stoppe med at gøre, hvad vi altid har gjort, men når anti-malware-leverandører tilføjer adfærdsbaseret blokering, bliver det meget sværere for de onde at slå. De kan slå underskrifter ved at finpudse uvæsentlige ting, men for at slå adfærdsblokering må de faktisk ændre adfærd og håndtere forskellige definitioner af adfærd.
Rubenking: Så et forskelligt sæt anti-malware-leverandører med forskellige typer adfærdsblokering vil gøre livet hårdt for de onde fyre?
Thompson: Præcis. Det er som den schweiziske oste-analogi. En bit ost har huller, men hvis du lægger på en anden bit dækker det huller. Sæt nok bit på, og der er ingen huller tilbage.
Rubenking: Tak, Roger!
