Domov Varnostna ura Protivirusna industrija se mora osredotočiti na odkrivanje na podlagi vedenja

Protivirusna industrija se mora osredotočiti na odkrivanje na podlagi vedenja

Video: 川普混淆公共卫生和个人医疗重症药乱入有无永久肺损伤?勿笑天灾人祸染疫天朝战乱不远野外生存食物必备 Trump confuses public and personal healthcare issue (November 2024)

Video: 川普混淆公共卫生和个人医疗重症药乱入有无永久肺损伤?勿笑天灾人祸染疫天朝战乱不远野外生存食物必备 Trump confuses public and personal healthcare issue (November 2024)
Anonim

Računalniški virusi obstajajo že vrsto, veliko let. V zgodnjih dneh je bilo odkrivanje preprosta stvar ujemanja datotek z znanim naborom podpisov. Nekateri protivirusni programi so celo vključili seznam vseh groženj, ki bi jih lahko odkrili. V teh dneh so stvari precej drugačne, saj se pisci zlonamerne programske opreme močno trudijo, da bi ustvarili zlonamerno programsko opremo, ki se spreminja in razvija, da je ne bi bilo mogoče ujeti z odkrivanjem na podlagi podpisov. Pogovarjal sem se z Rogerjem Thompsonom, glavnim raziskovalcem nevarnosti groženj v laboratorijih ICSA, o tem, kako se morajo programi proti zlonamerni programski opremi spremeniti in kako se mora spremeniti testiranje teh izdelkov.

Način, kako so bile

Rubenking: Lahko rečete nekaj besed o tem, kaj natančno je ICSA Labs in kaj počne?

Thompson: Protivirusne izdelke certificiramo po dogovorjenih zgodovinskih merilih. Še v 90. letih je bilo treba razlikovati med protivirusnim hypeom in dejanskimi rezultati v resničnem svetu. Kot se spomnite, so ljudje takrat o svojih izdelkih lahko povedali, kar jim je bilo všeč, in tega nihče ni mogel dokazati ali oporekati. Nekdo z možgani je moral reči: "To deluje, to ne deluje, ne naredi, kot pravi."

Prodajalci so se strinjali, da za to potrebujejo nevtralno tretjo osebo. Seveda je vedno pomembneje testirati na viruse, ki so dejansko prisotni v naravi, kot pa na znani "živalski vrt". Torej, divja lista je izrasla iz te potrebe - nevtralni sestavni del znane zlonamerne programske opreme.

Tudi v 90-ih je Alan Solomon prepričal vse, da so metode generičnega odkrivanja zlonamerne programske opreme slaba ideja. Namesto tega so želeli nekaj optičnega bralnika, ki bi lahko natančno določil , kakšen virus je prisoten in kako natančno ga odstraniti. Svet se je strinjal in s svojimi žepnimi knjigami glasoval za podporo takšnemu skenerju.

Zgodovinsko težava s generičnim odkrivanjem je, da povzroča klice podpore. Antivirus pravi, da vidimo, da je v vašem sistemu nek postopek spreminjanje izvedljivih datotek ali spremenjena kakšna izvršljiva datoteka; ste ga spremenili? Posledica tega je klic podpore in Fortune 500 tega ne odobri. Antivirus, ki temelji na podpisu, bodisi piše, "to je virus!" ali pa sploh ne reče ničesar.

Kako bo

Thompson: Še vedno obstaja osnovna potreba po preizkušanju skenerjev, ki temeljijo na podpisih, in se prepričajte, da ne bodo imeli novice. Ali ga lahko zaznajo? To je bilo storjeno in še vedno je treba. Vendar so se številke toliko spremenile, vsak dan se ustvari veliko število puhastih stvari. Zdaj je treba tudi preizkusiti sposobnost proti zlonamerne programske opreme zaznati stvari, ki jih še nikoli niso videli.

Rubenking: Fluff stvari? Le kaj mislite s tem?

Thompson: Veste, nihče ne pozna pravih številk. Fantje ESET so mi ob pivu povedali, da vsak dan vidijo 600.000 novih, edinstvenih vzorcev zlonamerne programske opreme. Spomnim se poročila iz Symanteca, ki navaja milijon novih in edinstvenih izdelkov vsak dan. Toda resnica je, da večina nastane algoritmično. Slabi fantje samo spremenijo kakšno nepomembno kodo, jo prekomponirajo, prepakirajo in ponovno šifrirajo. Nato preverijo, ali trenutni bralniki zaznajo novo različico. Če ne, ga izpustijo.

Res je enostavno zaznati, kaj že veste. Kot na borzi; "samo" kupujte nizko in prodajajte visoko. Stvar je v tem, da se pri teh edinstvenih virusih osnovno vedenje ne spremeni, samo puhasti koščki. Dejavnost, spreminjanje registra, spreminjanje datotek…, da se vedenje ne spremeni. Tako se mora testiranje premakniti, da bo del posel vključil blokado vedenja.

Rubenking: Boste kmalu dodali to testiranje naslednje generacije?

Thompson: Poskušamo, da se prodajalci strinjajo, da je to dobra stvar. Na splošno se strinjajo, toda dejansko testiranje ni tako enostavno.

Rubenking: Kakšen je vaš novi postopek?

Thompson: Težko je; zato ljudje tega nočejo storiti. Začnete s čistim sistemom, zaženete zlonamerno programsko opremo in preverite, ali se namesti. Sistem morate pozneje pregledati. Ali je zlonamerna programska oprema okužila sistem? Ali je spremenilo registrske ključe? Ali je postal vztrajen, da bi preživel ponovni zagon? Nato se morate vrniti na čisto osnovno linijo, da to storite znova.

Rubenking: To zveni veliko kot dinamično testiranje, ki ga je opravilo podjetje AV-Comparatives.

Thompson: Da, zelo podobno je.

Rubenking: Pripravljeni ste, vendar prodajalci niso? Torej ne veste, kdaj bo začelo veljati novo testiranje?

Thompson: Pripravljeni smo iti. Ne vem čisto, kakšen je status pri prodajalcih; o tem se bomo vrnili.] Del težave je tudi iskanje lastnih virov zlonamerne programske opreme, pridobivanje virov neželene pošte in podobno. Vedeti moramo, kaj je v resnici tam.

Naredi življenje težko za slabe fante

Thompson: To je prava pot naprej. Ne moremo nehati delati tistega, kar smo že od nekdaj, toda ko prodajalci proti zlonamerni programski opremi dodajo blokado, ki temelji na vedenju, postane slabe fante veliko težje premagati. Podpise lahko premagajo s prepletanjem nepomembnih stvari, toda za blokiranje vedenja morajo dejansko spremeniti vedenja in se spopadati z različnimi definicijami vedenja.

Rubenking: Torej bo raznolik nabor prodajalcev proti zlonamerne programske opreme z različnimi vrstami preprečevanja vedenja za hude fante otežil življenje?

Thompson: Točno tako. To je kot analogija švicarskega sira. En košček sira ima luknje, če pa nanesete na drugi košček, to zakrije luknje. Vstavite dovolj koščkov in ni več lukenj.

Rubenking: Hvala, Roger!

Protivirusna industrija se mora osredotočiti na odkrivanje na podlagi vedenja