Video: Don't buy an anti-virus in 2020 - do THIS instead! (November 2024)
Palo Alto Networks je po spletu zlonamerne programske opreme bolje zaobiti tradicionalne varnostne zaščite kot zlonamerna programska oprema, ki se prenaša po e-pošti.
Medtem ko je e-pošta še naprej glavni vir zlonamerne programske opreme, se velika večina neznanih zlonamernih programov potiska prek spletnih aplikacij, je Palo Alto Networks našel v svojem poročilu o pregledu zlonamerne programske opreme, objavljenem v ponedeljek. Skoraj 90 odstotkov uporabnikov "neznane zlonamerne programske opreme" je naletelo na brskanje po spletu, v primerjavi z le 2 odstotki e-pošte.
"Neznana zlonamerna programska oprema" se je v tem poročilu nanašala na zlonamerne vzorce, ki jih je odkrila oblačna storitev Wildfire, ki jih je šest protivirusnih izdelkov v industriji zgrešilo, je v poročilu navedel Palo Alto Networks. Raziskovalci so analizirali podatke več kot 1.000 strank, ki so vgradile požarni zid nove generacije podjetja in se naročile na izbirno storitev Wildfire. Od 68.047 vzorcev, ki jih WildFire označi kot zlonamerno programsko opremo, 26.363 vzorcev ali 40 odstotkov antivirusni izdelki niso odkrili.
"Ogromna količina neznane zlonamerne programske opreme izvira iz spletnih virov, tradicionalni izdelki AV pa se veliko bolje obnesejo pri zaščiti pred zlonamerno programsko opremo, ki se pošilja po e-pošti, " je dejal Palo Alto Networks.
Veliko truda je ostalo neodkritih
Palo Alto Networks je ugotovil, da veliko informacij o zlonamerni programski opremi ostaja neodkritih z varnostnimi orodji. Raziskovalci so opazili več kot 30 vedenj, namenjenih pomaganju zlonamerni programski opremi, da se izognejo odkrivanju, na primer spavanju zlonamerne programske opreme dlje časa po začetni okužbi, onemogočenju varnostnih orodij in procesov v operacijskem sistemu. V poročilu je bilo ugotovljeno, da se je na seznamu dejavnosti in vedenj zlonamerne programske opreme Palo Alto Networks 52 odstotkov osredotočilo na izogibanje varnosti v primerjavi s 15 odstotki, ki so se osredotočili na kramp in krajo podatkov.
Prejšnja poročila drugih prodajalcev so opozorila na veliko število neznanih zlonamernih programov, ki trdijo, da so protivirusni izdelki neučinkoviti za varovanje uporabnikov. Palo Alto Networks je dejal, da cilj poročila ni razkriti antivirusnih izdelkov za odkrivanje teh vzorcev, temveč ugotoviti skupne vzorce zlonamerne programske opreme, ki bi jih lahko uporabili za odkrivanje groženj, medtem ko čakajo, da se protivirusni izdelki dohitijo.
Skoraj 70 odstotkov neznanih vzorcev je imelo "različne identifikatorje ali vedenja", ki bi jih bilo mogoče uporabiti za nadzor in blokiranje v realnem času, je v svojem poročilu ugotovil Palo Alto Networks. Vedenja so vključevala promet po meri, ustvarjen z zlonamerno programsko opremo, pa tudi oddaljene cilje, na katere je zlonamerna programska oprema vzpostavila stik. Približno 33 odstotkov vzorcev se je povezalo z novo registriranimi domenami in domenami, ki uporabljajo dinamični DNS, medtem ko jih je 20 odstotkov poskušalo poslati elektronsko pošto, je ugotovilo poročilo. Napadalci pogosto uporabljajo dinamični DNS za generiranje domen po meri, ki jih je mogoče hitro opustiti, ko jih varnostni izdelki začnejo črno objavljati.
Napadalci so uporabljali tudi nestandardna spletna vrata, na primer pošiljanje nešifriranega prometa na vrata 443 ali uporabo drugih vrat, razen 80, za pošiljanje spletnega prometa. FTP običajno uporablja vrata 20 in 21, vendar je poročilo našlo zlonamerno programsko opremo, ki uporablja 237 drugih vrat za pošiljanje prometa FTP.
Zamude Zaznavanje škodljive programske opreme
Prodajalci protivirusnih programov so v povprečju potrebovali pet dni, da so poslali podpise za neznane vzorce zlonamerne programske opreme, odkrite po e-pošti, v primerjavi s skoraj 20 dnevi za spletne. FTP je bil četrti vir neznane škodljive programske opreme, toda skoraj 95 odstotkov vzorcev je po 31 dneh ostalo neodkritih, je ugotovil Palo Alto Networks. Ugotovljeno je bilo tudi, da je zlonamerna programska oprema, ki se je pošiljala prek družbenih medijev, odkrila različice, ki jih antivirus ni odkril 30 dni ali več.
"Ne samo, da imajo tradicionalne rešitve AV veliko manj verjetno, da bodo odkrile zlonamerno programsko opremo zunaj e-pošte, ampak tudi traja veliko dlje, da bi bili zajeti, " so zapisali v poročilu.
Palo Alto Networks je dejal, da so razlike v velikosti vzorca vplivale na učinkovitost antivirusa pri odkrivanju zlonamerne programske opreme. Pri grožnjah, ki jih prenašajo po e-pošti, se enaka zlonamerna programska oprema pogosto pripelje do številnih ciljev, zato je večja verjetnost, da bo protivirusni prodajalec datoteko zaznal in analiziral. Nasprotno pa spletni strežniki uporabljajo polimorfizem na strani strežnika za prilagajanje zlonamerne datoteke vsakič, ko se spletna stran napada, ustvari večje število edinstvenih vzorcev in oteži zaznavanje vzorcev. Dejstvo, da e-pošte tudi ni treba dostavljati v realnem času, pomeni, da imajo orodja za preprečevanje zlonamerne programske opreme čas za analizo in pregled datotek. Splet je "veliko bolj v realnem času" in varnostnim orodjem daje "veliko manj časa za pregled" zlonamernih datotek, preden jih pošlje uporabniku.
"Verjamemo, da je za podjetja ključnega pomena, da zmanjšajo celoten obseg okužb z različicami znanih zlonamernih programov, tako da se imajo varnostne ekipe čas, da se osredotočijo na najbolj resne in ciljno nevarne nevarnosti, " je zapisano v poročilu.