Video: Don't buy an anti-virus in 2020 - do THIS instead! (Oktober 2024)
På dette års internationale konference om ondsindet og uønsket software, alias MalCon 2015, Fanny Lalonde Lévesque, Ph.D. studerende ved École Polytechnique de Montréal, demonstrerede de fascinerende resultater, der kan udledes, når du har enorme mængder information om antivirusbeskyttelse på en milliard computere. Ved hjælp af en fremgangsmåde trukket fra undersøgelsen af naturlige økosystemer, udtænkte hun nogle målinger for at måle helbredet for hele antivirusøkosystemet.
Du har muligvis bemærket det ondsindede værktøj til fjernelse af ondsindet software (MSRT), der kører som en del af hver Microsoft-opdatering. Det ser meget specifikt efter og eliminerer et par dusin meget udbredte malware-familier, der hver måned vælges af Microsofts sikkerhedsteam. Det sender også betydelig telemetri tilbage til Microsoft. Ifølge Dennis Batchelder, direktør for Microsoft Malware Protection Center (MMPC), er denne telemetri grunden til, at Microsoft ikke har brug for antivirusprøver. I en hovedtale for et par år siden på MalCon, uddybede han i detaljer om den enorme mængde data indsamlet af MSRT og opfordrede akademikere til at indsende forslag til anvendelse af disse data i forskning.
Millioner og millioner
MSRT rapporterer blandt andet, om den fandt malware, hvilken antivirus (hvis nogen) var installeret, og om antivirussen var konfigureret og fungerer korrekt. Fru Lalonde Lévesque startede med fire måneders MSRT-data fra Microsoft. Efter at have fjernet poster fra maskiner uden antivirus, havde hun stadig næsten en milliard poster. Der er en vis bias i prøvesættet, da nogle brugere valgte ikke at køre Windows Update eller MSRT. For at hjælpe med at overvinde denne bias valgte hun en tilfældig 10 procent af posterne. Det er stadig over 90 millioner prøver.
Med den valgte målpopulation analyserede hun helbredet i det samlede system. Denne analyse ser specifikt på tre områder, der stammer fra naturlig økosystemanalyse: Aktivitet, mangfoldighed og stabilitet.
I antivirusøkosystemet repræsenterer beskyttelsesgraden aktivitet. En installeret antivirus kan være forældet eller slået fra eller have sin realtidsbeskyttelse udsat. Fru Lalonde Lévesque fandt, at antallet af korrekt konfigurerede up-to-date installationer svingede mellem 87 og 88 procent.
Mangfoldighed i et naturligt økosystem betyder, at ingen enkelt art er fuldstændig dominerende. Ms. Lalonde Lévesque undersøgte 100+ forskellige antivirusprodukter i antivirusøkosystemet og fandt en høj grad af mangfoldighed. Det dominerende produkt, det med den største installerede base, hævdede aldrig mere end 18 procent af markedet.
For at undersøge stabilitet indsnævrede hun først listen til computere, der havde reageret på MSRT i alle fire måneder. Hun kiggede på ændringer i antivirusstatus og fandt opmuntrende resultater. Kun omkring 3 procent af de computere, der havde fungerende og opdateret antivirus, kørte til en mindre sikker tilstand, og mange computere i de andre stater forbedrede sig.
Her er dog en overraskelse. I løbet af undersøgelsen skiftede fuldstændigt en tredjedel af computere til en anden antivirus. Nogle deltagere spekulerede om muligheden for et skævt resultat baseret på udløbet af gratis antivirus på nye computere. Uanset årsagen, det er meget forandring.
Det sidste trin var at undersøge, hvilke rapporteringscomputere der blev ramt af malware på trods af at der er installeret antivirus. Ikke overraskende korrelerede den lave malware-infektionshastighed stærkt med up-to-date og fungerende antivirus. Omvendt korrelerede en lav stabilitetsfrekvens, hvilket betyder meget ændring i installeret antivirus- eller antivirusstatus, kraftigt med en højere infektionshastighed.
Monokultur og flokimmunitet
Det næste trin involverede udbredelse af data for hvert af de 126 involverede lande og sammenligning af landsdækkende antivirusøkosystemes sundhed med landsdækkende infektionshastigheder. For denne del af undersøgelsen kiggede Lalonde Lévesque både på computere beskyttet af antivirus og dem uden beskyttelse.
Nogle lande udviste en dystre mangfoldighedsklassificering, hvor et produkt beskyttede størstedelen af alle systemer. Disse lande viste rutinemæssigt en højere end gennemsnitlig infektionsrate, mens de med mere mangfoldighed havde en lavere sats. Hendes fulde rapport beskriver, hvordan hun verificerede den statistiske betydning af dette resultat. I antivirusøkosystemet, som i livet, er monokultur ikke sund.
Det er ikke fjernt overraskende, at det at have en større procentdel af computere med opdateret funktionel antivirus korrelerer kraftigt med en lavere infektionshastighed. Hvis det ikke var tilfældet, ville noget være meget, meget forkert. Kickeren er, den samme korrelation gælder, når man ser på computere uden antivirus i det samme land. Det ser ud til, at en slags besætningsimmunitet kan sparke ind her, så selv dem, der afstår fra antivirusbeskyttelse, får ved at have deres naboer fuldt rustet.
Så er der MSRT-effekten. Lande med en høj infektionshastighed viste også en høj "rate", hvor mange brugere skiftede antivirusprodukter. Kan det være, at den enkle kendsgerning at se MSRT eliminere malware fik brugeren til at blive utilfreds med den eksisterende beskyttelse og vælge en anden leverandør? Det ville være svært at bevise, i betragtning af at der ikke er computere i undersøgelsen, der aldrig har oplevet brug af MSRT.
Bare én udsigt
Fru Lalonde Lévesque gjorde ondt for at påpege, at denne undersøgelses resultater har visse begrænsninger. Kun computere, der forbinder til MSRT-systemet, var inkluderet for en ting. Og infektionsresultater er kun tilgængelige for de udbredte malware-familier, der er valgt af Microsoft hver måned. Derudover er teorierne om monokultur og flokimmunitet ikke de eneste forklaringer på de fundne korrelationer.
Microsofts massive dataindsamling er tilgængelig til brug af kvalificerede forskere. Andre kan udvide sig til Lalonde Lévesques undersøgelse eller tage af sted i en helt anden retning. Jeg ser frem til at se, hvad de kommer frem til.
