Tradycyjne testy antywirus├│w daj─ů z┼éudne poczucie bezpiecze┼ästwa

Takie zdanie wyra┼╝a coraz wi─Öcej producentów oprogramowania zabezpieczaj─ůcego. W lutym niedoskona┼éo┼Ť─ç statycznych testów obna┼╝yli specjali┼Ťci z Kaspersky Lab. Teraz na ten temat wypowiedzia┼é si─Ö Rik Ferguson, doradca ds. bezpiecze┼ästwa z Trend Micro - jego zdaniem testy te nie odzwierciedlaj─ů rzeczywistych sposobów przenikania zagro┼╝e┼ä do firm.

Na ogó┼é w tradycyjnych testach zostaje za┼éadowany plik repozytorium zawieraj─ůcy zbiór ró┼╝nych wirusów, koni troja┼äskich i innego szkodliwego oprogramowania. Nast─Öpnie jest instalowany i uaktualniany program zabezpieczaj─ůcy, który po od┼é─ůczeniu od internetu zostaje uruchomiony i próbuje wykry─ç szkodliwe oprogramowanie. Kolejny krok to wygenerowanie wyników zgodnie z odsetkiem wykrytych szkodliwych plików. Autorzy tych testów zapewne uwa┼╝aj─ů, ┼╝e tworz─ů w ten sposób obiektywne warunki, w których mo┼╝na porównywa─ç ró┼╝ne programy zabezpieczaj─ůce. Rozumiem ich, ale w rzeczywisto┼Ťci taki test nie odzwierciedla rzeczywistych zagro┼╝e┼ä dla firm lub u┼╝ytkowników indywidualnych.

Najcz─Östszym ┼║ród┼éem zagro┼╝e┼ä jest obecnie internet. Drugie miejsce zajmuje szkodliwe oprogramowanie, które pobiera inne szkodliwe programy przez internet. Zainfekowane strony internetowe, pliki PDF, serwisy spo┼éeczno┼Ťciowe i us┼éugi przetwarzania w chmurze — to tylko niektóre z wa┼╝nych rzeczywistych lub potencjalnych zagro┼╝e┼ä, jakich nie uwzgl─Ödnia tradycyjne laboratoryjne ┼Ťrodowisko testowe. Tradycyjne testy koncentruj─ů si─Ö na pliku — sprawdzaj─ů, czy dany program zabezpieczaj─ůcy prawid┼éowo rozpoznaje okre┼Ťlony plik.

Konieczne jest bardziej ca┼éo┼Ťciowe podej┼Ťcie. Szkodliwe oprogramowanie i inne zagro┼╝enia przedostaj─ů si─Ö ró┼╝nymi kana┼éami. Ju┼╝ sam fakt, ┼╝e si─Ö przedosta┼éy, oznacza, ┼╝e jaki┼Ť element zabezpiecze┼ä zawiód┼é. I nie musi to by─ç spowodowane naruszeniem regu┼é przez cz┼éowieka. Przyk┼éadowo — przychodzi wiadomo┼Ť─ç e-mail od dyrektora z propozycj─ů zapoznania si─Ö z pewnym serwisem internetowym. W tej sytuacji wi─Ökszo┼Ť─ç odbiorców po prostu kliknie odpowiednie ┼é─ůcze. Dobre rozwi─ůzanie zabezpieczaj─ůce powinno zada─ç w imieniu u┼╝ytkownika kilka pyta┼ä, które dotycz─ů nie tylko wirusów, lecz generalnie bezpiecze┼ästwa.

  • Czy ta wiadomo┼Ť─ç rzeczywi┼Ťcie jest od dyrektora?
  • Czy ┼é─ůcze, które ona zawiera, nie jest udost─Öpniane w hostingu w niebezpiecznym otoczeniu i czy nie zawiera podejrzanych elementów?
  • Czy taka wiadomo┼Ť─ç by┼éa ostatnio widziana przez kogo┼Ť innego?
  • Czy próbuje ona dostarczy─ç jakie┼Ť pliki lub zach─Öca do zmiany ustawie┼ä?
  • Czy te pliki s─ů szkodliwe?

T─Ö list─Ö mo┼╝na wyd┼éu┼╝a─ç niemal bez ko┼äca, jednak┼╝e tradycyjny test sprawdza tylko ostatni─ů lini─Ö obrony. Zadaje jedno pytanie. To tak, jak zostawi─ç otwarte drzwi i okna bez nadzoru, ale zainstalowa─ç alarm przeciww┼éamaniowy przy bi┼╝uterii schowanej w szufladzie ze skarpetkami. Uwa┼╝amy, ┼╝e system zabezpieczaj─ůcy powinien zainteresowa─ç si─Ö ju┼╝ pierwszym ogniwem tego ┼éa┼äcucha zdarze┼ä, a nie tylko ostatnim. ┼╗adne rozwi─ůzanie na ┼╝adnym poziomie nie jest w stu procentach niezawodne, ale je┼╝eli ma si─Ö wiele poziomów kontroli, z których ka┼╝dy informuje pozosta┼ée, szanse unikni─Öcia k┼éopotów s─ů du┼╝o wi─Öksze. W takich sytuacjach zapobieganie jest zdecydowanie lepsze ni┼╝ leczenie.

Id─ůc dalej — przej┼Ťcie na holistyczne sieci zabezpieczaj─ůce i centralizacj─Ö sygnatur zagro┼╝e┼ä jest nieuniknione. Nowe zagro┼╝enia s─ů wykrywane co pó┼étorej sekundy i ta tendencja narasta. Rozwi─ůzania oparte na sygnaturach pobieranych do komputerów klientów nie s─ů w stanie dotrzyma─ç jej kroku, a je┼Ťli próbuj─ů, nie pozwalaj─ů tym urz─ůdzeniom dzia┼éa─ç z wymagan─ů wydajno┼Ťci─ů.

Źródło:
Dziennik Internaut├│w