视频: ä¸è¦å²ç¬æåçæ§ (十一月 2024)
安全公司Imperva上个月发布了一份严峻的研究报告,指出昂贵的安全套件可能不值这个价钱,而且所有防病毒程序都存在巨大的盲点。 像这样的厄运和悲观研究总是需要大量的盐,但是在与众多行业专家交谈之后,可能需要整个振荡器。
Imperva考察了来自卡巴斯基,Avast,AVG,Microsoft和McAfee等供应商的各种安全解决方案。 他们将这些标记与82个随机收集的恶意软件样本进行了比较,研究了安全软件在检测恶意软件方面的成功程度。
Imperva从他们的工作中断言,反恶意软件软件的速度或响应能力不足以抵抗现代威胁。 Imperva写道,安全软件“更好地检测了在大量相同样本中迅速传播的恶意软件,而分布有限的变体(例如政府资助的攻击)通常会留下很大的机会。”
他们还发现用户在病毒防护上的花费与软件提供的安全性之间没有关联,并建议个人和企业客户都在寻找免费软件的替代品。
独立实验室推迟
这项研究引起了很多关注,但是当与安全专家以及研究中提到的一些公司交谈时,安全观察发现许多人认为该研究存在严重缺陷。
几乎每个实验室或安全公司都认为Imperva的恶意软件样本数量太小,无法支持该研究得出的结论。 AV-Test的Andreas Marx告诉我们,他的公司每周收到大约一百万个新的独特恶意软件样本。 同样,AV-Comparatives的Peter Stelzhammer告诉我们,他们每天收到142, 000个新的恶意文件。
就他们自己而言,Imperva在研究中写道,他们有意使用了一个小样本,但坚持认为这表明了现有威胁。 Imperva写道:“我们对恶意软件的选择没有偏见,而是从网络上随机抽取的,反映出一种可能构成攻击的方法。”
NSS Labs研究主管Randy Abrams对Imperva的方法有着截然不同的解释。 艾布拉姆斯对安全观察说:“搜索文件名必定会错过复杂的攻击和大多数其他恶意软件。”艾布拉姆斯评论了Imperva用于定位该研究的恶意软件的方式。 “关注俄罗斯论坛会严重影响样本的收集。很明显,没有人想过要获得现实世界中具有代表性的样本集。”
方法论问题
为了进行研究,Imperva使用在线工具VirusTotal进行了测试,这被认为是该测试的一个关键弱点。 Dennis Labs的Simon Edwards说:“此测试的问题在于,它以可执行文件的形式清除了威胁,然后使用VirusTotal扫描了威胁。” “ VT在评估反恶意软件产品时不适合使用系统,这是因为VT中使用的扫描仪不受Web信誉系统等其他技术的支持。”
卡巴斯基实验室(Kaspersky Labs)的产品被用于研究,该实验室也质疑Imperva在实验中采用的测试方法。 卡巴斯基实验室在发给《安全观察》的一份声明中写道:“扫描潜在危险的文件时,Imperva的专家使用的VirusTotal服务不会使用完整版本的防病毒产品,而只能依靠独立的扫描程序。”
“这种方法意味着现代防病毒软件中可用的大多数保护技术都被简单地忽略了。这也影响了旨在检测新的未知威胁的主动技术。”
值得注意的是,VirusTotal网站的一部分不鼓励任何人在防病毒分析中使用其服务。 该公司的“关于”部分写道:“我们厌倦了重复该服务并非设计为执行防病毒比较分析的工具的事实。那些使用VirusTotal进行防病毒比较分析的人应该知道,他们在方法上存在许多隐性错误。 ”
Abrams对使用VirusTotal进行研究也持淡淡看法,他说该工具可用于使结果偏向测试人员想要的结果。 他说:“有能力,经验丰富的测试人员比使用VirusTotal评估除纯命令行扫描仪以外的任何产品的保护功能要了解的多。”
Imperva在他们的研究中捍卫了VirusTotal的使用。 Imperva写道:“该报告的实质不是对防病毒产品的比较。” “相反,其目的是在给定随机恶意软件样本集的情况下,测量单个防病毒解决方案以及组合式防病毒解决方案的功效。”
尽管我们与之交谈的专家都认为零日漏洞和新创建的恶意软件是一个问题,但没有人支持Imperva关于计时或低检测率的主张。 马克思对《安全观察》说:“在“真实世界”的零日测试中,最低的保护率是64-69%。 “平均而言,我们对所有测试产品的保护率均为88-90%,这意味着,成功阻止了10次攻击中的9次,实际上只有1次会导致感染。”
Imperva报告的另一个关键结论是,反恶意软件软件已被恶意软件创建者很好地理解,他们会调整其创建内容以颠覆保护系统。 Imperva在研究中写道:“攻击者深入了解防病毒产品,熟悉其弱点,确定防病毒产品的优势,并了解其处理Internet上新病毒传播高发生率的方法。”
该研究继续说:“分布有限的变量(例如政府资助的攻击)通常会留下很大的机会。”
Stuxnet不在您之后
Stelzhammer说:“这些恶意软件专家确实很强悍,他们强大而聪明。” “有针对性的攻击总是危险的。” 但是他和其他人强调,针对恶意软件专门针对反恶意软件进行的有针对性的攻击既危险又罕见。
创建恶意软件以破坏每一保护层所需的精力和信息非常棒。 马克思写道:“这样的测试需要大量的时间和技能,因此它们并不便宜。” “但这就是为什么将它们称为“针对性”的原因。”
关于这一点,艾布拉姆斯打趣道:“坦白说,我真的不关心Stuxnet进入我的计算机并攻击我家或雇主办公室中的浓缩铀离心机。”
我们几乎与所有人交谈,至少在原则上同意免费的反恶意软件解决方案可以为用户提供有价值的保护。 但是,大多数人都不认为这对企业客户是可行的选择。 Stelzhammer指出,即使企业用户想要使用自由软件,许可协议有时也会阻止他们使用自由软件。
Stelzhammer在接受《安全观察》采访时说:“检测并不仅限于此。” “这与管理有关,与向客户推广有关,与概述有关。您将无法获得免费的产品。”
Stelzhammer继续说,在家中一个知情的用户可以使用免费软件层来提供与付费软件相当的保护,但要以简单为代价。 “他可以使用免费软件来安排一个受良好保护的系统,但是付费软件的最大优点是方便。”
但是,丹尼斯实验室的爱德华兹不同意与自由软件的有利比较。 爱德华兹说:“这与我们经过多年测试的所有发现背道而驰。” “几乎无一例外,最好的产品都是有偿的。” 这些发现与《 PC Magazine》对反恶意软件的测试相似。
自上个月该研究发表以来,Imperva撰写了一篇博客,捍卫他们的立场。 Imperva安全策略主管Rob Rachwald在接受《安全观察》采访时说:“任何对我们方法论的批评都缺少我们今天看到的现实。” 他继续说,大多数数据泄露是恶意软件入侵的结果,该公司认为这证明了当前的反恶意软件模型根本无法正常工作。
尽管Imperva的结论可能有一些内在的真理,但我们与之交谈的专家都没有积极评价这项研究。 NSS Labs的艾布拉姆斯(Abrams)写道:“通常,我警告供应商赞助的测试,但是如果该测试是由独立组织执行的,我会警告该组织本身。” “我很少遇到如此令人难以置信的简单方法,不正确的样品收集标准以及在单个PDF中包裹的不受支持的结论。”
有关Max的更多信息,请在Twitter @wmaxeddy上关注他。
