Video: Imperva WAF & RASP (Oktober 2024)
Varnostno podjetje Imperva je prejšnji mesec objavilo mračno študijo, v kateri je pokazalo, da dragi varnostni paketi morda ne bodo vredni cen in da vsi protivirusni programi trpijo zaradi ogromnih slepih točk. Raziskovanje nesreč in mrakov vedno zahteva zajeten zrn soli, toda po pogovoru s številnimi strokovnjaki v industriji bo morda potreben celoten stresalnik.
Imperva si je nadela nekaj različnih varnostnih rešitev takšnih prodajalcev, kot so Kaspersky, Avast, AVG, Microsoft in McAfee. Ti poslanci so poslali proti 82 naključno zbranim vzorcem zlonamerne programske opreme in preučili, kako uspešna je bila varnostna programska oprema pri odkrivanju lopovske programske opreme.
Imperva iz svojega dela zatrjuje, da programska oprema za preprečevanje zlonamerne programske opreme ni dovolj hitra ali odzivna za boj proti sodobnim grožnjam. Varnostna programska oprema, piše Imperva, je "veliko boljša pri odkrivanju zlonamerne programske opreme, ki se hitro širi v ogromnih količinah enakih vzorcev, medtem ko različice z omejeno distribucijo (kot so napadi, ki jih sponzorira vlada) običajno puščajo veliko okno priložnosti."
Prav tako niso našli povezave med denarjem, ki ga uporabniki porabijo za zaščito pred virusi, in varnostjo, ki jo zagotavlja programska oprema, ter predlagajo, da tako posamezne kot poslovne stranke iščejo brezplačne alternative.
Neodvisni laboratoriji Push Back
Študija je pritegnila veliko pozornosti, toda v pogovoru z varnostnimi strokovnjaki in nekaterimi podjetji, imenovanimi v študiji, je varnostni nadzornik ugotovil, da je študija močno napačna.
Skoraj v vsakem laboratoriju ali varnostnem podjetju se je zdelo, da je velikost zlonamerne programske opreme Imperva premajhna, da bi podprla sklepe študije. Andreas Marx iz AV-testa nam je povedal, da njegova družba prejme približno milijon vzorcev nove, edinstvene zlonamerne programske opreme na teden. Podobno nam je Peter Stelzhammer iz podjetja AV-Comparatives povedal, da vsak dan prejmejo 142.000 novih zlonamernih datotek.
Imperva je v svoji študiji zapisala, da so namerno uporabili majhno vzorčenje, vendar vztrajajo, da je to dokaz obstoječih groženj. "Naša izbira zlonamerne programske opreme ni bila pristranska, ampak je bila naključno vzeta iz spleta, kar odraža potencialno metodo konstrukcije napada, " piše Imperva.
Direktor raziskav NSS Landy Randy Abrams pa je imel močno drugačno interpretacijo Impervine metodologije. "Zagotovljeno je, da z iskanjem imenskih datotek zamudite napredne napade in večino druge zlonamerne programske opreme, " je Abrams povedal Security Watch in komentiral sredstva, ki jih je Imperva uporabljala za iskanje zlonamerne programske opreme za študijo. "Če se osredotočimo na ruske forume, je bistveno pristransko zbiranje vzorcev. Očitno je, da ni razmišljala o tem, da bi dobili resnično reprezentativne vzorce.
Problemi metodologije
Za izvedbo svoje študije je Imperva za izvedbo svojih testov uporabila spletno orodje VirusTotal, ki ga je navedlo kot kritično šibkost testa. "Težava tega preskusa je, da je raztrgal grožnje v obliki izvršljivih datotek in nato skeniral tiste, ki uporabljajo VirusTotal, " je dejal Simon Edwards iz podjetja Dennis Labs. "VT ni primeren sistem, ki bi ga uporabljali pri ocenjevanju izdelkov proti zlonamerni programski opremi, ker skenerji, ki se uporabljajo v VT, ne podpirajo dodatne tehnologije, kot so sistemi spletnih ugled."
Podjetje Kaspersky Labs, katerega izdelek je bil uporabljen v raziskavi, je podvomilo tudi v metodologijo testiranja, ki jo je v poskusu uporabila Imperva. "Pri iskanju potencialno nevarnih datotek storitev VirusTotal, ki jo uporabljajo strokovnjaki podjetja Imperva, ne uporablja celotnih različic protivirusnih izdelkov, temveč se samo opira na samostojni optični bralnik, " so v izjavi, ki jo je izdal Security Watch, zapisali Kaspersky Labs.
"Ta pristop pomeni, da se večina zaščitnih tehnologij, ki so na voljo v sodobni protivirusni programski opremi, preprosto ne upošteva. To vpliva tudi na proaktivne tehnologije, namenjene odkrivanju novih, neznanih groženj."
Zlasti del spletnega mesta VirusTotal odvrača vsakogar od uporabe njihove storitve v protivirusni analizi. V razdelku podjetja »O« piše: »utrujeni smo ponavljati, da storitev ni bila zasnovana kot orodje za izvajanje protivirusnih primerjalnih analiz. Tisti, ki VirusTotal uporabljajo za izvajanje protivirusnih primerjalnih analiz, bi morali vedeti, da v svoji metodologiji delajo veliko implicitnih napak."
Abrams se je za izvedbo študije prav tako zavzel za uporabo VirusTotal, češ da je orodje mogoče uporabiti za izkrivljanje rezultatov, ki jih želijo preizkuševalci. "Pristojni, izkušeni preizkuševalci vedo bolje kot z uporabo VirusTotal za oceno zaščitnih sposobnosti česar koli drugega kot čistega čitalnika ukazne vrstice, " je dejal.
Imperva je v svoji študiji zagovarjala uporabo VirusTotal. "Bistvo poročila ni primerjava protivirusnih izdelkov, " piše Imperva. "Namesto tega je izmeriti učinkovitost posamezne protivirusne rešitve in kombiniranih protivirusnih rešitev z naključnim naborom vzorcev zlonamerne programske opreme."
Medtem ko so se strokovnjaki, s katerimi smo se pogovarjali, strinjali, da so ranljivosti in na novo ustvarjena zlonamerna programska oprema težava nič, noben ni podprl trditev Imperve o časovnem razporedu ali nizki stopnji odkrivanja. "Najnižje stopnje zaščite med preizkusom brez dnevnega testiranja v resničnem svetu so 64-69 odstotkov, " je Marx povedal Security Watch. "V povprečju smo videli stopnjo zaščite 88-90 odstotkov za vse testirane izdelke. To pomeni, da bo 9 od 10 napadov uspešno blokirano, samo 1 bo dejansko povzročil okužbo."
Drugi ključni zaključek poročila Imperva je bil, da ustvarjalci zlonamerne programske opreme dobro razumejo programsko opremo proti zlonamerni programski opremi, ki svoje stvaritve preusmeri na zaščitne sisteme. "Napadalci globinsko razumejo protivirusne izdelke, se seznanijo z njihovimi šibkimi točkami, prepoznajo močne točke antivirusnega izdelka in razumejo njihove metode za obvladovanje visoke pojavnosti novega širjenja novih virusov v internetu, " piše Imperva v študiji.
Študija se nadaljuje: "Različice z omejeno distribucijo (kot so napadi, ki jih sponzorira vlada) običajno puščajo veliko možnosti."
Stuxnet ne tebi
"Fantje z zlonamerno programsko opremo so res težki, močni in inteligentni, " je dejal Stelzhammer. "Ciljni napad je vedno nevaren." Toda on in drugi so poudarili, da so ciljni napadi, pri katerih je zlonamerna programska oprema posebej prilagojena proti-malware, tako redke kot nevarne.
Trud in informacije, potrebne za ustvarjanje delčka zlonamerne programske opreme, s katero bi premagali vsako plast zaščite, je veliko. "Takšen test zahteva veliko časa in spretnosti, zato niso poceni, " je zapisal Marx. "Toda to je razlog, zakaj se imenujejo" ciljno usmerjeni "."
Na tej točki je Abrams odkimaval: "Iskreno, res se ne ukvarjam s tem, da bi Stuxnet prišel v računalnik in napadel centrifugo za obogatitev urana na svojem domu ali v pisarni delodajalca."
Skoraj vsi načeloma smo se strinjali, da bi brezplačne rešitve proti zlonamerni programski opremi uporabnikom lahko nudile koristno zaščito. Vendar se večina ni strinjala, da je to koristna možnost za poslovne odjemalce. Stelzhammer poudarja, da tudi če so podjetniki želeli uporabljati brezplačno programsko opremo, jim licenčne pogodbe včasih to preprečujejo.
"Ne gre le za odkrivanje, " je dejal Stelzhammer v intervjuju za Security Watch. "Gre za administracijo, za uvedbo strank, pregled za pregled. Tega ne boste dobili z brezplačnim izdelkom."
Zaveden uporabnik doma, nadaljuje Stelzhammer, bi lahko uporabljal plasti brezplačne programske opreme za zagotavljanje zaščite, primerljive s plačano programsko opremo, vendar na ceno enostavnosti. "Z brezplačno programsko opremo lahko uredi dobro zaščiten sistem, največja prednost plačljive programske opreme pa je udobje."
Vendar se Edwards iz Dennis Labs ni strinjal z ugodno primerjavo z brezplačno programsko opremo. "To je v nasprotju z vsemi našimi ugotovitvami v dolgoletnih testiranjih, " je dejal Edwards. "Skoraj brez izjeme so najboljši izdelki plačani." Te ugotovitve so podobne testiranju programske opreme proti zlonamerni programski opremi v reviji PC Magazine.
Od objave študije prejšnji mesec je Imperva napisala objavo v blogu, ki zagovarja njihovo stališče. Direktor varnostne strategije podjetja Imperva Rob Rachwald je v pogovoru za Security Watch dejal: "Vsaka kritika, ki se osredotoča na našo metodologijo, manjka resničnosti, ki jo vidimo danes." Nadalje je dejal, da je večina kršitev podatkov posledica vdora zlonamerne programske opreme, kar podjetje vidi kot dokaz, da trenutni model proti zlonamerni programski opremi preprosto ne deluje.
Čeprav je morda ugotovitev Imperve nekaj prirojene resnice, nobeden od strokovnjakov, s katerimi smo govorili, na študijo ni pozitivno gledal. "Običajno opozarjam na preizkuse, ki jih sponzorirajo prodajalci, če pa bi ta test opravila neodvisna organizacija, bi opozoril pred samo organizacijo, " je zapisal Abrams iz NSS Labs. "Redkokdaj naletim na tako neverjetno neodprto metodologijo, neprimerne kriterije za zbiranje vzorcev in nepodprte sklepe, zavite v en sam PDF."
Več o Maxu spremljajte na Twitterju @wmaxeddy.
