У дома Securitywatch Антивирусната индустрия трябва да се съсредоточи върху откриването на базата на поведение

Антивирусната индустрия трябва да се съсредоточи върху откриването на базата на поведение

Видео: Маленькое королевство Бена и Холли - Вылазка ⭐Лучшие моменты (Ноември 2024)

Видео: Маленькое королевство Бена и Холли - Вылазка ⭐Лучшие моменты (Ноември 2024)
Anonim

Компютърните вируси съществуват от много, много години. В първите дни откриването беше просто въпрос на съпоставяне на файлове с известен набор от подписи. Някои антивирусни програми дори включват списък на всички заплахи, които биха могли да открият. Нещата са доста различни в наши дни, като писателите на зловреден софтуер работят усилено, за да създадат зловреден софтуер, който се преобразува и еволюира, така че да не може да бъде уловен чрез откриване въз основа на подписа. Разговарях с Роджър Томпсън, главен изследовател на възникващите заплахи в лабораториите на ICSA, за това как трябва да се променят анти-зловредните програми и как трябва да се промени тестването на тези продукти.

Начинът, по който бяха нещата

Rubenking: Можете ли да кажете няколко думи за това какво точно е ICSA Labs и какво прави?

Томпсън: Ние сертифицираме антивирусни продукти според съгласувани исторически критерии. Още през 90-те имаше нужда да се прави разлика между антивирусен свръх и действителни резултати в реалния свят. Както си спомняте, тогава хората можеха да кажат каквото им харесва за своите продукти и никой не можеше да го докаже или опровергае. Трябваше някой с мозък да каже: „Това работи, това не работи, това не прави това, което казва“.

Продавачите се съгласиха, че за това е нужна неутрална трета страна. Разбира се, винаги е по-важно да се тествате срещу вируси, които действително присъстват в природата, отколкото срещу известна „зоологическа градина“. И така, списъкът с дивата природа израсна от тази нужда - неутрален за доставчика състав от известен зловреден софтуер.

Още през 90-те Алън Соломон убеждава всички, че методите от общ тип за откриване на злонамерен софтуер са лоша идея. Вместо това се искаше някакъв скенер, който можеше да определи точно какъв вирус присъства и как точно да го премахне. Светът се съгласи и гласува с джобните си книжки да подкрепят този тип скенер.

Проблемът с общото откриване в исторически план е, че той предизвиква обаждания за поддръжка. Антивирусът казва, че виждаме, че някакъв процес във вашата система променя изпълними файлове или е променен някакъв изпълним файл; променихте ли го? Това води до обаждане за поддръжка и Fortune 500 не одобрява. Антивирусът на базата на подпис казва или "това е вирус!" или не казва нищо.

Как ще бъде

Томпсън: Все още има основна необходимост от тестване на скенери, базирани на подписи, за да се уверите, че те са в крак. Могат ли да го открият? Това е направено и все още има нужда. Но числата са се променили толкова много, има голям брой пухкави неща, създадени всеки ден. Това, което се изисква сега, е също да се тества способността на анти-зловредния софтуер да открива неща, които никога досега не са виждали.

Рубенинг: Разпуснете нещата? Само какво искаш да кажеш с това?

Томпсън: Знаеш ли, никой не знае истинските числа. Момчетата от ESET ми казаха за една бира, че всеки ден виждат 600 000 нови, уникални проби от зловреден софтуер. Спомням си доклад от Symantec, който твърди милион нови и уникални артикули всеки ден. Но истината е, че мнозинството са създадени алгоритмично. Лошите момчета просто променят някакъв маловажен код, прекомпилират, репакират и повторно шифроват. След това проверяват дали настоящите скенери откриват новата версия. Ако не, те го освобождават.

Наистина е лесно да откриете това, което вече знаете. Това е като фондовата борса; "просто" купувайте ниско и продавайте високо. Работата е там, че при тези уникални вируси основното поведение не се променя, а само пухкавите парченца. Дейността, модификацията на регистъра, промяната на файлове… това поведение не се променя. Така че тестването трябва да премине, за да включи блокиране на поведението като част от сделката.

Rubenking: Ще добавите ли скоро това тестване от следващо поколение?

Томпсън: Опитваме се да накараме продавачите да се съгласят, че е хубаво нещо. По принцип са съгласни, но всъщност извършването на тестването не е толкова лесно.

Rubenking: Какъв е новият ви процес?

Томпсън: Трудно е; затова хората не искат да го правят. Започвате с чиста система, пускате зловредния софтуер и виждате дали той се инсталира. Трябва да можете да изследвате системата след това. Зарази ли зловредният софтуер системата? Промени ли ключовете в системния регистър? Стана ли устойчиво, за да оцелея при рестартиране? След това трябва да се възстановите до чиста основна линия, за да го направите отново.

Rubenking: Това звучи много като динамичното тестване, извършено от AV-Comparatives.

Томпсън: Да, много е подобно.

Rubenking: Готови ли сте да тръгнете, но продавачите не са, тогава? Значи не знаете кога ще влезе в сила новото тестване?

Томпсън: Готови сме да тръгнем. Не знам съвсем какъв е статусът с доставчиците; ще се свържем с вас по въпроса.] Освен това част от проблема е намирането на собствени източници на злонамерен софтуер, събиране на емисии от спам и други. Трябва да знаем какво е наистина там.

Направете живота труден за лошите момчета

Томпсън: Това е правилният път напред. Не можем да спрем да правим това, което винаги сме правили, но когато доставчиците на анти-зловреден софтуер добавят блокиране, основано на поведение, става много по-трудно да победят лошите. Те могат да побеждават подписи чрез настройване на маловажни неща, но за да победят блокирането на поведението, те всъщност трябва да променят поведението и да се справят с различни дефиниции на поведението.

Rubenking: Значи, разнообразен набор от анти-зловреден софтуер с различни видове блокиране на поведение ще направи живота труден за лошите?

Томпсън: Точно така. Това е като швейцарската аналогия на сиренето. Един бит сирене има дупки, но ако слоя върху друг бит, той покрива дупките. Поставете достатъчно бита и няма останали дупки.

Рубенкинг: Благодаря, Роджър!

Антивирусната индустрия трябва да се съсредоточи върху откриването на базата на поведение