Видео: Case Study: Republic Bank Protects Data with Imperva SecureSphere (Ноември 2024)
Защитната компания Imperva пусна мрачно проучване миналия месец, като предположи, че скъпите пакети за сигурност може да не струват цената и че всички антивирусни програми страдат от огромни слепи места. Изследването на мрачни и мрачни като това винаги изисква обилно зърно сол, но след разговор с многобройни експерти в бранша може да се наложи цял шейкър.
Imperva разгледа различни решения за сигурност от такива доставчици като Kaspersky, Avast, AVG, Microsoft и McAfee, за да назовем само няколко. Те изпратиха тези часовници срещу 82 случайно събрани проби от злонамерен софтуер, изследвайки колко успешен е софтуерът за сигурност при откриването на нелоялния софтуер.
От своята работа Imperva твърди, че анти-зловредният софтуер не е достатъчно бърз или отзивчив, за да се бори със съвременните заплахи. Софтуерът за сигурност, пише Imperva, е "много по-добър в откриването на злонамерен софтуер, който се разпространява бързо в масивни количества идентични проби, докато вариантите, които са с ограничена дистрибуция (като правителствени атаки, спонсорирани) обикновено оставят голям прозорец на възможности".
Те също така не откриват връзка между парите, които потребителите харчат за защита от вируси, и сигурността, осигурена от софтуера, и предполагат, че както индивидуалните, така и корпоративните клиенти търсят безплатни алтернативи.
Независими лаборатории Push Back
Проучването е спечелило много внимание, но когато говори с професионалисти по сигурността и някои от компаниите, посочени в проучването, Security Watch намери много, които смятат, че изследването е дълбоко недостатъчно.
Почти всяка лаборатория или охранителна компания смяташе, че размерът на извадката на Imperva от зловреден софтуер е твърде малък, за да подкрепи заключенията, направени от проучването. Андреас Маркс на AV-Test ни каза, че фирмата му получава около милион проби от нов, уникален зловреден софтуер седмично. По подобен начин Питър Стелхаммер от AV-Comparatives ни каза, че получават 142 000 нови злонамерени файла всеки ден.
От своя страна Imperva пише в проучването, че умишлено са използвали малка извадка, но настояват, че това е демонстративно на съществуващите заплахи. „Изборът ни от злонамерен софтуер не беше предубеден, а беше взет на случаен принцип от мрежата, отразяващ потенциален метод за конструиране на атака“, пише Imperva.
Изпълнителният директор на NSS Labs Ранди Абрамс обаче имаше рязко различна интерпретация на методологията на Imperva. „Търсенето на имена на файлове гарантирано ще пропусне сложни атаки и повечето други зловредни програми“, каза Абрамс пред Security Watch, коментирайки средствата, които Imperva използва за намиране на зловреден софтуер за проучването. „Фокусирането върху руските форуми значително обезпокоява колекцията от извадки. Очевидно е, че не се е замислила за получаване на реални, представителни образци.“
Проблеми на методологията
За да извърши своето проучване, Imperva използва онлайн инструмента VirusTotal за извършване на своите тестове, което беше посочено като критична слабост на теста. "Проблемът с този тест е, че той изтръгна заплахи под формата на изпълними файлове и след това сканира тези, които използват VirusTotal", каза Саймън Едуардс от Dennis Labs. „VT не е подходяща система, която да се използва при оценяване на анти-зловреден софтуер до голяма степен, защото скенерите, използвани в VT, не се поддържат от допълнителни технологии, като например системи за уеб репутация.“
Kaspersky Labs, чийто продукт е използван в проучването, също постави под въпрос методологията за тестване, използвана от Imperva в експеримента. "При сканиране за потенциално опасни файлове услугата VirusTotal, използвана от специалистите на Imperva, не използва пълните версии на антивирусни продукти, а просто разчита на самостоятелен скенер", пише Kaspersky Labs в изявление, издадено на Security Watch.
"Този подход означава, че повечето технологии за защита, налични в съвременния антивирусен софтуер, просто се игнорират. Това се отразява и на проактивните технологии, предназначени да откриват нови, неизвестни заплахи."
По-специално, част от уебсайта на VirusTotal обезкуражава всеки да използва тяхната услуга в антивирусен анализ. Разделът „За“ на компанията гласи: „Ние сме уморени да повтаряме, че услугата не е проектирана като инструмент за извършване на антивирусни сравнителни анализи. Тези, които използват VirusTotal за извършване на антивирусни сравнителни анализи, трябва да знаят, че правят много неявни грешки в своята методология."
Абрамс също погледна мрачно към използването на VirusTotal за извършване на проучването, като каза, че инструментът може да се използва за наклоняване на резултатите към желаните от тестерите. "Компетентните, опитни тестери знаят по-добре, отколкото да използват VirusTotal за оценка на способностите за защита на всичко друго, освен чист скенер на команден ред", каза той.
Imperva защитиха използването на VirusTotal в своето проучване. „Същността на доклада не е сравнение на антивирусни продукти“, пише Imperva. „По-скоро целта е да се измери ефективността на едно антивирусно решение, както и на комбинирани антивирусни решения, дадени на случаен набор от проби от зловреден софтуер.“
Докато експертите, с които разговаряхме, се съгласиха, че уязвимостите с нулев ден и новосъздаденият зловреден софтуер са проблем, никой не подкрепя твърденията на Imperva относно времето или ниските нива на откриване. "Най-ниските степени на защита по време на тест за нулев ден в реалния свят са 64-69 процента", каза Маркс пред Security Watch. "Средно видяхме степен на защита от 88-90 процента за всички тествани продукти. Това означава, че 9 от 10 атаки ще бъдат успешно блокирани, само 1 всъщност ще причини инфекция."
Друг ключов извод от доклада на Imperva беше, че анти-зловредният софтуер се разбира добре от създателите на зловреден софтуер, които преправят своите творения към подривни системи за защита. „Атакуващите разбират в дълбочина антивирусните продукти, запознават се със слабите им точки, идентифицират силните страни на антивирусния продукт и разбират методите им за справяне с високата честота на разпространение на нови вируси в Интернет“, пише Imperva в изследването.
Проучването продължава, „вариантите, които са с ограничено разпространение (като например спонсорирани от правителството атаки), обикновено оставят голям прозорец на възможности“.
Stuxnet не е след теб
"Момчетата със злонамерен софтуер наистина са трудни, те са силни и интелигентни", каза Стелзамър. "Целенасочената атака винаги е опасна." Но той и други подчертават, че целенасочените атаки, при които зловредният софтуер е специално пригоден за анти-малуер, са толкова редки, колкото и опасни.
Усилията и информацията, необходими за създаването на парче злонамерен софтуер, за да победите всеки слой защита, е голямо. "Такъв тест изисква много време и умения, така че те не са евтини", написа Маркс. „Но това е причината те да се наричат„ насочени “.
В този момент Ейбрамс отвърна: "Честно казано, аз наистина не се занимавам със Stuxnet да влезе в компютъра ми и да атакува центрофуга за обогатяване на уран в дома или офиса на работодателя."
Почти всички, с които говорихме, се съгласиха, поне по принцип, че безплатните решения срещу анти-малуер могат да осигурят полезна защита на потребителите. Повечето от тях обаче не са съгласни, че това е жизнеспособна опция за корпоративните клиенти. Stelzhammer посочва, че дори и корпоративните потребители да искат да използват безплатен софтуер, лицензионните споразумения понякога им пречат да го правят.
„Не всичко е свързано с откриването“, каза Стелхаммер в интервю за Security Watch. "Става дума за администрацията, за това, че ще се разгърнем до клиентите, за обзор. Няма да получите това с безплатен продукт."
Информиран потребител у дома, продължи Stelzhammer, може да използва слоеве безплатен софтуер, за да осигури защита, сравнима с платения софтуер, но с цената на простотата. „Той може да организира добре защитена система с безплатен софтуер, но най-голямото предимство на платения софтуер е удобството.“
Едвардс от Денис Лабс обаче не се съгласи с благоприятното сравнение с безплатен софтуер. „Това е в противоречие с всички наши открития в продължение на много години на тестване“, каза Едуардс. „Почти без изключение най-добрите продукти се плащат.“ Тези констатации са подобни на тестването на PC Magazine за анти-зловреден софтуер.
След публикуването на проучването миналия месец, Imperva написа публикация в блог, защитавайки позицията си. В обръщение към Security Watch директорът на Imperva по стратегията за сигурност Роб Рачвалд каза: „Всяка критика, фокусирана върху нашата методология, липсва на реалността, която виждаме днес“. Той продължи да казва, че повечето нарушения на данните са резултат от проникване на зловреден софтуер, което компанията вижда като доказателство, че настоящият модел на анти-зловреден софтуер просто не работи.
Въпреки че може да има някаква присъща истина в заключенията на Imperva, никой от експертите, с които говорихме, не гледа на изследването положително. "Обикновено предупреждавам за спонсорирани от доставчици тестове, но ако този тест беше извършен от независима организация, бих предупредил срещу самата организация", пише Абрамс от NSS Labs. „Рядко се случва такава невероятно неподправена методология, критерии за неправилно събиране на проби и неподдържани заключения, обвити в един PDF файл.“
За повече от Макс, следвайте го в Twitter @wmaxeddy.