Video: Gatačko sivo goveče (November 2024)
Na letošnji mednarodni konferenci o zlonamerni in nezaželeni programski opremi, aka MalCon 2015, dr. Fanny Lalonde Lévesque. študent na École Polytechnique de Montréal, je pokazal navdušujoče rezultate, ki jih lahko dobimo, če imate na milijardo računalnikov ogromno informacij o protivirusni zaščiti. Z uporabo pristopa, ki je bil izdelan iz preučevanja naravnih ekosistemov, je zasnovala nekaj meritev za merjenje zdravja celotnega protivirusnega ekosistema.
Morda ste opazili orodje za odstranjevanje škodljive programske opreme (MSRT), ki deluje kot del vsake Microsoftove posodobitve. Zelo posebej išče in odstrani nekaj deset zelo razširjenih družin zlonamerne programske opreme, ki jih vsak mesec izbere Microsoftova varnostna ekipa. Prav tako Microsoftu pošlje pomembno telemetrijo. Dennis Batchelder, direktor Microsoftovega centra za zaščito pred zlonamerno programsko opremo (MMPC), je ta telemetrija razlog, da Microsoft ne potrebuje protivirusnih testov. V osrednjem govoru pred nekaj leti na MalConu je podrobno razložil ogromno količino podatkov, ki jih je zbral MSRT, in povabil akademike, naj predložijo predloge za uporabo teh podatkov v raziskavah.
Milijoni in milijoni
Med drugim MSRT poroča, ali je našel kakšno zlonamerno programsko opremo, kateri protivirusni program (če obstaja) je bil nameščen in ali je bil antivirus konfiguriran in deluje pravilno. Gospa Lalonde Lévesque je začela s štirimesečnimi Microsoftovimi podatki MSRT. Po odstranitvi vnosov iz strojev brez protivirusnega programa je imela še skoraj milijardo vnosov. V vzorčnem naboru je določena pristranskost, saj so se nekateri uporabniki odločili, da ne bodo zagnali Windows Update ali MSRT. Da bi premagala to pristranskost, je izbrala naključnih 10 odstotkov vnosov. To je še vedno več kot 90 milijonov vzorcev.
Z izbrano ciljno populacijo je analizirala zdravje celotnega sistema. Ta analiza posebej obravnava tri področja, ki izhajajo iz naravnih analiz ekosistemov: Aktivnost, raznolikost in stabilnost.
V protivirusnem ekosistemu stopnja zaščite predstavlja aktivnost. Nameščen protivirusni program je lahko zastarel ali izklopljen ali pa je zaščita v realnem času prekinjena. Gospa Lalonde Lévesque je ugotovila, da se je v štirih mesecih število pravilno nastavljenih posodobljenih inštalacij gibalo od 87 do 88 odstotkov.
Raznolikost naravnega ekosistema pomeni, da nobena vrsta ni popolnoma prevladujoča. Gospa Lalonde Lévesque je pregledala 100+ različnih protivirusnih izdelkov v protivirusnem ekosistemu in ugotovila visoko stopnjo raznolikosti. Prevladujoči izdelek, tisti z največjo nameščeno osnovo, ni nikoli zahteval več kot 18 odstotkov trga.
Da bi preučila stabilnost, je seznam najprej omejila na računalnike, ki so se v vseh štirih mesecih odzvali na MSRT. Ogledala si je spremembe protivirusnega statusa in ugotovila spodbudne rezultate. Le približno 3 odstotki računalnikov, ki so imeli delujoč in posodobljen antivirus, so prešli v manj varno stanje, številni računalniki v drugih državah pa so se izboljšali.
Vendarle je presenečenje. V času študije je popolnoma tretjina računalnikov prešla na drugačen antivirus. Nekateri udeleženci so špekulirali o možnosti izkrivljenega rezultata, ki temelji na izteku brezplačnega protivirusnega programa na novih računalnikih. Ne glede na razlog, je to veliko sprememb.
Zadnji korak je bil preučiti, kateri računalniki, ki poročajo, so zlonamerno programsko opremo prizadeli, čeprav so imeli nameščen protivirusni program. Ni presenetljivo, da je nizka stopnja okužbe z zlonamerno programsko opremo močno usklajena z najsodobnejšim in delujočim antivirusom. Nasprotno pa je nizka stopnja stabilnosti, kar pomeni veliko sprememb v nameščenem protivirusnem ali protivirusnem statusu, močno povezana z višjo stopnjo okužbe.
Monokultura in imuniteta čred
Naslednji korak je vključeval razčlenitev podatkov za vsako od 126 vključenih držav in usklajevanje zdravja antivirusnih ekosistemov po vsej državi s stopnjo okužbe po vsej državi. V tem delu študije je gospa Lalonde Lévesque gledala tako na računalnike, ki so zaščiteni protivirusno, kot na tiste, ki nimajo zaščite.
Nekatere države so imele strašno oceno raznolikosti, en izdelek pa je zaščitil večino vseh sistemov. Te države so rutinsko prikazovale višjo povprečno stopnjo okužbe, medtem ko so države z večjo raznolikostjo nižje. V njenem celotnem poročilu je opisano, kako je preverila statistično pomembnost tega rezultata. V antivirusnem ekosistemu, tako kot v življenju, monokultura ni zdrava.
Ni na daleč presenetljivo, da ima večji odstotek računalnikov z najsodobnejšim funkcionalnim antivirusom močno povezano z nižjo stopnjo okužbe. Če ne bi bilo tako, bi bilo nekaj zelo, zelo narobe. Slednja je enaka korelacija, če gledamo na računalnike brez protivirusnih programov v isti državi. Videti je, da lahko tu vstopi nekakšna imuniteta črede, zato tudi tisti, ki so se odpovedali protivirusni zaščiti, dobijo svoje sosede v celoti oklepne.
Potem je tu še učinek MSRT. Države z visoko stopnjo okužbe so prav tako pokazale visoko stopnjo "bolečine", saj je veliko uporabnikov zamenjalo protivirusne izdelke. Ali je lahko, da je preprosto dejstvo, kako MSRT odpravlja zlonamerno programsko opremo, uporabnik nezadovoljen z obstoječo zaščito in izbral drugega prodajalca? To bi bilo težko dokazati, saj v raziskavi ni računalnikov, ki nikoli niso doživeli uporabe MSRT.
Samo en pogled
Gospa Lalonde Lévesque si je prizadevala, da je poudarila, da imajo rezultati študije določene omejitve. Vključeni so bili samo računalniki, ki se povezujejo na sistem MSRT. Rezultati okužbe so na voljo samo za razširjene družine zlonamerne programske opreme, ki jih vsak mesec izbere Microsoft. Poleg tega teorije monokulture in imunitete čred niso edina razlaga za odkrite korelacije.
Microsoftovo množično zbiranje podatkov je na voljo za uporabo kvalificiranim raziskovalcem. Drugi se lahko razširijo na študijo gospe Lalonde Lévesque ali pa se odpravijo v povsem drugo smer. Veselim se, ko bom videl, kaj si omislijo.