Vídeo: Тестирование Zillya! Total Security 3.0 (Setembre 2024)
La companyia de seguretat Imperva va publicar un estudi tènue el que va suggerir que les suites de seguretat costoses no poden valer la pena el preu i que tots els programes antivirus pateixen de grans punts cecs. Una investigació com si fos necessària sempre requereix un gran gra de sal, però després de parlar amb nombrosos experts de la indústria, pot ser necessària una agitació sencera.
Imperva va examinar diverses solucions de seguretat de venedors com Kaspersky, Avast, AVG, Microsoft i McAfee, per citar-ne algunes. Van fer front a aquests sentinelles contra 82 mostres de programari maliciós recollides aleatòriament, examinant l’èxit que va tenir el programari de seguretat en detectar el programari malaurat.
Des de la seva feina, Imperva afirma que el programari antivirus no és prou ràpid ni respon per combatre les amenaces modernes. El programari de seguretat, escriu Imperva, és "molt millor per detectar programari maliciós que es propaga ràpidament en quantitats massives de mostres idèntiques, mentre que les variants de distribució limitada (com els atacs patrocinats pel govern) solen deixar una gran oportunitat".
Tampoc han trobat cap correlació entre els diners que els usuaris gasten en protecció contra virus i la seguretat que proporciona el programari, i suggereixen que tant clients individuals com empresarials busquen alternatives freeware.
Independent Labs Push Back
L’estudi ha captat molt l’atenció, però quan es parla amb professionals de la seguretat i algunes de les empreses nomenades en l’estudi, Security Watch va trobar molts que creuen que l’estudi estava profundament defectuós.
Gairebé tots els laboratoris o empreses de seguretat van pensar que la mida de mostres de malware de Imperva era massa petita per donar suport a les conclusions de l'estudi. Andreas Marx, de l'AV-Test, ens va dir que la seva empresa rep aproximadament un milió de mostres de programari maliciós únic a la setmana. De la mateixa manera, Peter Stelzhammer de AV-Comparatives ens va dir que reben 142.000 nous fitxers maliciosos cada dia.
Per la seva banda, Imperva va escriure a l'estudi que utilitzaven intencionadament un petit mostreig, però insisteixen que és demostrador de les amenaces existents. "La nostra selecció de programari maliciós no va ser esbiaixada, però es va treure aleatòriament de la web, reflectint un mètode potencial per a la creació d'un atac", escriu Imperva.
El director de recerca NSS Labs, Randy Abrams, va tenir, però, una interpretació força diferent de la metodologia d'Imperva. "La cerca de noms de fitxers està garantit per no tenir atacs sofisticats i la majoria d'altres programari maliciós", va dir Abrams a Security Watch, comentant els mitjans que Imperva utilitzava per localitzar programari maliciós per a l'estudi. "Centrar-se en fòrums russos biaixa significativament la recollida de mostres. És obvi que cap idea va entrar en l'obtenció de mostres representatives del món real".
Problemes de metodologia
Per dur a terme el seu estudi, Imperva va utilitzar l'eina en línia VirusTotal per realitzar les seves proves, que es va citar com a debilitat crítica de la prova. "El problema d'aquesta prova és que es van produir amenaces, en forma de fitxers executables, i després es van escanejar els que utilitzen VirusTotal", va dir Simon Edwards, de Dennis Labs. "VT no és un sistema adequat per utilitzar-los quan s'avaluen productes anti-malware, en gran mesura perquè els escàners utilitzats en VT no són compatibles amb tecnologia addicional, com ara sistemes de reputació web."
Kaspersky Labs, el producte del qual es va utilitzar en l'estudi, també va posar en qüestió la metodologia de proves emprada per Imperva en l'experiment. "Quan es busquen fitxers potencialment perillosos, el servei VirusTotal que utilitzen els especialistes d'Imperva no utilitza les versions completes de productes antivirus, sinó que només es basa en un escàner autònom", va escriure Kaspersky Labs en un comunicat emès a Security Watch.
"Aquest enfocament significa que la majoria de les tecnologies de protecció disponibles en els programes antivirus moderns són simplement ignorades. Això també afecta tecnologies proactives dissenyades per detectar amenaces noves i desconegudes."
Cal destacar que una part del lloc web de VirusTotal desalienta qualsevol persona que utilitzi el seu servei en l’anàlisi antivirus. La secció "Sobre" de la companyia diu que "estem cansats de repetir que el servei no ha estat dissenyat com una eina per realitzar anàlisis comparatives antivirus. Aquells que utilitzen VirusTotal per realitzar anàlisis comparatives antivirus han de saber que estan cometent molts errors implícits en la seva metodologia."
Abrams també va tenir una visió escassa de l'ús de VirusTotal per realitzar l'estudi, dient que l'eina es pot utilitzar per disminuir els resultats cap als desitjats pels provadors. "Els provadors competents i amb experiència saben millor que utilitzar VirusTotal per avaluar les habilitats de protecció de qualsevol cosa que no sigui un escàner de línia de comandament pura", va dir.
Imperva va defensar l’ús de VirusTotal en el seu estudi. "L'essència de l'informe no és una comparació de productes antivirus", escriu Imperva. "Més aviat, el propòsit és mesurar l'eficàcia d'una solució antivirus única, així com les solucions antivirus combinades, donat un conjunt aleatori de mostres de programari maliciós."
Si bé els experts amb els quals vam parlar van coincidir que les vulnerabilitats del dia zero i el programari maliciós de nova creació constitueixen un problema, cap va donar suport a les afirmacions d’Imperva sobre el calendari o les baixes taxes de detecció. "Els índexs de protecció més baixos durant un test de dos dies reals del món real són del 64-69 per cent", va dir Marx a Security Watch. "En mitjana, vam veure una taxa de protecció del 88-90 per cent per a tots els productes provats; això vol dir que 9 de cada 10 atacs es bloquejaran amb èxit; només 1 en realitat causarà una infecció".
Una altra conclusió clau de l’informe Imperva va ser que els creadors de programari antimware representen bé el programari antivirus, que modificen les seves creacions per subvertir sistemes de protecció. "Els atacants entenen els productes antivirus en profunditat, es familiaritzen amb els seus punts febles, identifiquen els punts forts del producte antivirus i comprenen els seus mètodes per manejar l'alta incidència de la propagació de nous virus a Internet", escriu Imperva a l'estudi.
Continua l'estudi, "les variants de distribució limitada (com ara atacs patrocinats pel govern) solen deixar una gran oportunitat".
Stuxnet no us passa després
"Els nois de malware són realment durs, són forts i intel·ligents", va dir Stelzhammer. "Un atac dirigit sempre és perillós". Però ell i altres van subratllar que els atacs dirigits en què el programari maliciós està específicament dissenyat contra el programari antimware és tan rar com perillós.
L’esforç i la informació necessaris per crear un programari maliciós per derrotar cada capa de protecció són molt importants. "Aquesta prova requereix molt de temps i habilitats, per la qual cosa no són barats", va escriure Marx. "Però aquesta és la raó per la qual se'ls diu" objectius "."
En aquest sentit, Abrams va dir: "Francament, realment no em preocupa que Stuxnet entri al meu ordinador i que ataci una centrífuga enriquidora d'urani a la meva llar o a l'oficina del patró".
Gairebé tots els que parlàvem van acordar, almenys en principi, que les solucions gratuïtes anti-malware podrien proporcionar una protecció digna per als usuaris. Tot i això, la majoria no estava d’acord amb que es tractés d’una opció viable per als clients empresarials. Stelzhammer remarca que, fins i tot si els usuaris corporatius volien utilitzar programari lliure, els acords de llicència a vegades impedeixen que ho facin.
"No es tracta de detecció", va dir Stelzhammer en una entrevista a Security Watch. "Es tracta d'administració, és de publicar als clients, de la informació general. No obtindreu això amb un producte gratuït."
Un usuari informat a casa, va continuar Stelzhammer, podria utilitzar capes de programari lliure per proporcionar una protecció comparable al programari de pagament però a costa de la simplicitat. "Pot organitzar un sistema ben protegit amb programari lliure, però el major avantatge del programari de pagament és la comoditat."
Tot i això, Edwards de Dennis Labs no estava d'acord amb la comparació favorable amb el programari lliure. "Això és contrari a totes les nostres troballes durant molts anys de proves", va dir Edwards. "Gairebé sense excepció es paguen els millors productes." Aquestes troballes són similars a les proves que PC Magazine va fer del programari antimware.
Des de la publicació de l’estudi el mes passat, Imperva ha escrit una publicació al bloc defensant la seva posició. En declaració a Security Watch, el director d’estratègia de seguretat Imperva, Rob Rachwald, va dir: "Qualsevol crítica centrada en la nostra metodologia no troba la realitat que veiem avui". Va continuar afirmant que la majoria dels incompliments de dades són el resultat de la intrusió del programari maliciós, que la companyia considera una prova que el model antimware no funciona simplement.
Si bé pot haver-hi alguna veritat inherent a les conclusions d’Imperva, cap dels experts amb què vam parlar va veure l’estudi positivament. "Típicament, aviso contra proves patrocinades per venedors, però si aquesta prova hagués estat realitzada per una organització independent, jo advertiria contra l'organització mateixa", va escriure Abrams de NSS Labs. "És rar que trobo una metodologia increïblement insofisticada, criteris de recol·lecció de mostres impropis i conclusions no admeses incloses en un sol PDF."
Per obtenir més informació sobre Max, seguiu-lo a Twitter @wmaxeddy.
