Видео: Маленькое королевство Бена и Холли - Вылазка ⭐Лучшие моменты (Септември 2024)
На тазгодишната международна конференция за злонамерен и нежелан софтуер, известен още като MalCon 2015, доктор на феновете Фани Лалонда Левеск. студент от Политехниката на Монреал École, демонстрира увлекателните резултати, които могат да бъдат получени, когато разполагате с огромно количество информация за антивирусна защита на милиард компютри. Използвайки подход, изготвен от изследването на природните екосистеми, тя разработи някои показатели за измерване на здравето на цялата антивирусна екосистема.
Може би сте забелязали инструмента за премахване на злонамерен софтуер (MSRT), който работи като част от всяка актуализация на Microsoft. Той много специално търси и елиминира няколко десетки много разпространени семейства на зловреден софтуер, подбрани всеки месец от екипа за сигурност на Microsoft. Освен това изпраща значителна телеметрия на Microsoft. Според Денис Батхълдър, директор на Центъра за защита от злонамерен софтуер на Microsoft (MMPC), тази телеметрия е причината Microsoft да не се нуждае от антивирусни тестове. В основна реч преди няколко години в МалКон той разказа подробно за огромния обем данни, събран от MSRT, и покани академици да представят предложения за използването на тези данни в изследванията.
Милиони и милиони
Наред с други неща, MSRT съобщава дали е открил злонамерен софтуер, какъв антивирус (ако има такъв) е инсталиран и дали антивирусът е конфигуриран и работи правилно. Г-жа Lalonde Lévesque започна с четири месеца данни на MSRT от Microsoft. След елиминирането на записи от машини без антивирусна програма, тя все още има близо милиард записи. Има определен пристрастие в набора от проби, тъй като някои потребители избраха да не стартират Windows Update или MSRT. За да помогне за преодоляването на тази пристрастие, тя избра произволни 10 процента от записите. Това все още са над 90 милиона проби.
С избраната целева група тя анализира здравето на цялостната система. Този анализ разглежда конкретно три области, получени от анализа на естествените екосистеми: активност, разнообразие и стабилност.
В антивирусната екосистема степента на защита представлява активност. Инсталираният антивирус може да бъде остарял или изключен или да бъде отложен защитата му в реално време. Г-жа Lalonde Lévesque установи, че за четирите месеца броят на правилно конфигурираните актуални инсталации се движи около 87 до 88 процента.
Разнообразието в естествена екосистема означава, че нито един вид не е напълно доминиращ. Г-жа Lalonde Lévesque разгледа 100+ различни антивирусни продукти в антивирусната екосистема и установи висока степен на разнообразие. Доминиращият продукт, този с най-голямата инсталирана база, никога не е искал повече от 18 процента от пазара.
За да проучи стабилността, тя първо стеснява списъка до компютри, които са отговорили на MSRT през всичките четири месеца. Тя разгледа промените в антивирусния статус и намери окуражаващи резултати. Само около 3 процента от компютрите, които имаха работещ и актуален антивирус, преминаха в по-малко сигурно състояние, а много компютри в другите държави се подобриха.
Ето обаче изненада. В хода на изследването напълно една трета от компютрите преминаха към различен антивирус. Някои от присъстващите спекулираха с възможността за изкривен резултат въз основа на изтичане на безплатен антивирус на новите компютри. Каквато и да е причината, това е много промяна.
Последната стъпка беше да се проучи кои отчитащи компютри са засегнати от зловреден софтуер, въпреки че е инсталиран антивирус. Не е изненадващо, че ниският процент на заразяване с зловреден софтуер силно корелира с актуален и работещ антивирус. Обратно, нисък процент на стабилност, което означава много промени в инсталирания антивирусен или антивирусен статус, силно свързан с по-високия процент на инфекция.
Монокултура и имунитет на стадото
Следващата стъпка включваше разбиване на данните за всяка от участващите 126 държави и съпоставяне на здравето на антивирусната екосистема в цялата страна с процента на заразяване в цялата страна. В тази част на изследването г-жа Лалонде Левеск разглежда както компютрите, защитени от антивирусни продукти, така и тези, които нямат защита.
Някои страни демонстрираха мрачно разнообразие, като един продукт защитаваше по-голямата част от всички системи. Тези страни рутинно показват по-висок от средния процент на зараза, докато тези с по-голямо разнообразие имат по-ниска честота. Пълният ѝ доклад описва как тя проверява статистическата значимост на този резултат. В антивирусната екосистема, както в живота, монокултурата не е здравословна.
Не е изненадващо отдалеч, че наличието на по-голям процент компютри с актуален функционален антивирус корелира силно с по-нисък процент на инфекция. Ако не беше така, нещо би било много, много грешно. Това е същата корелация, когато гледаме компютри без антивирус в една и съща държава. Изглежда, че един вид имунитет на стадото може да навлезе тук, така че дори и тези, които се отказват от антивирусна защита, придобиват, като съседите си са напълно бронирани.
Тогава има ефекта на MSRT. Страните с висок процент на зараза също показаха висок процент на „бърнане“, като много потребители сменят антивирусни продукти. Възможно ли е простият факт, когато виждате MSRT да премахва злонамерен софтуер, да доведе до недоволство на потребителя от съществуващата защита и да избере друг доставчик? Това би било трудно да се докаже, като се има предвид, че в изследването няма компютри, които никога не са използвали MSRT.
Само един изглед
Г-жа Lalonde Lévesque положи усилия, за да посочи, че резултатите от това проучване имат определени ограничения. Бяха включени само компютри, свързващи се към системата MSRT, за едно нещо. И резултатите от инфекцията са налични само за широко разпространените семейства на зловреден софтуер, избрани от Microsoft всеки месец. В допълнение, теориите за монокултура и имунитет на стадото не са единствените обяснения за откритите корелации.
Масовото събиране на данни на Microsoft е достъпно за използване от квалифицирани изследователи. Други може да се разширят върху изследването на г-жа Lalonde Lévesque или да тръгнат в съвсем друга посока. С нетърпение очаквам да видя какво измислят.
