Tradycyjne testy oprogramowania antywirusowego dają złudne poczucie bezpieczeństwa!
Dlaczego firma Trend Micro odmówiła udziału w niektórych wyspecjalizowanych
testach oprogramowania antywirusowego – wyjaśnia Rik Ferguson, doradca
ds. bezpieczeństwa z firmy Trend Micro. – Uznaliśmy, że testy te nie
odzwierciedlają rzeczywistych sposobów przenikania zagrożeń do firm i mogą
dawać złudne poczucie bezpieczeństwa.
Na ogół w tradycyjnych testach zostaje załadowany plik repozytorium zawierający
zbiór różnych wirusów, koni trojańskich i innego szkodliwego oprogramowania.
Następnie jest instalowany i uaktualniany program zabezpieczający, który po odłączeniu
od Internetu zostaje uruchomiony i próbuje wykryć szkodliwe oprogramowanie. Kolejny
krok to wygenerowanie wyników zgodnie z odsetkiem wykrytych szkodliwych plików. Autorzy
tych testów zapewne uważają, że tworzą w ten sposób obiektywne warunki, w których
można porównywać różne programy zabezpieczające. Rozumiem ich, ale w rzeczywistości
taki test nie odzwierciedla rzeczywistych zagrożeń dla firm lub użytkowników indywidualnych.
Najczęstszym źródłem zagrożeń jest obecnie Internet. Drugie miejsce zajmuje szkodliwe
oprogramowanie, które pobiera inne szkodliwe programy przez Internet. Zainfekowane
strony internetowe, pliki PDF, serwisy społecznościowe i usługi przetwarzania w chmurze
— to tylko niektóre z ważnych rzeczywistych lub potencjalnych zagrożeń, jakich nie
uwzględnia tradycyjne laboratoryjne środowisko testowe. Tradycyjne testy koncentrują
się na pliku — sprawdzają, czy dany program zabezpieczający prawidłowo rozpoznaje
określony plik.
Konieczne jest bardziej całościowe podejście. Szkodliwe oprogramowanie i inne zagrożenia
przedostają się różnymi kanałami. Już sam fakt, że się przedostały, oznacza, że jakiś
element zabezpieczeń zawiódł. I nie musi to być spowodowane naruszeniem reguł przez
człowieka. Przykładowo — przychodzi wiadomość e-mail od dyrektora z propozycją
zapoznania się z pewnym serwisem internetowym. W tej sytuacji większość odbiorców po
prostu kliknie odpowiednie łącze. Dobre rozwiązanie zabezpieczające powinno zadać w
imieniu użytkownika kilka pytań, które dotyczą nie tylko wirusów, lecz generalnie
bezpieczeństwa.
Czy ta wiadomość rzeczywiście jest od dyrektora?
*Czy łącze, które ona zawiera, nie jest udostępniane w hostingu w niebezpiecznym otoczeniu
i czy nie zawiera podejrzanych elementów?
*Czy taka wiadomość była ostatnio widziana przez kogoś innego?
*Czy próbuje ona dostarczyć jakieś pliki lub zachęca do zmiany ustawień?
*Czy te pliki są szkodliwe?
Tę listę można wydłużać niemal bez końca, jednakże tradycyjny test sprawdza tylko ostatnią
linię obrony. Zadaje jedno pytanie. To tak, jak zostawić otwarte drzwi i okna bez nadzoru,
ale zainstalować alarm przeciw włamaniowy przy biżuterii schowanej w szufladzie ze
skarpetkami. Uważamy, że system zabezpieczający powinien zainteresować się już pierwszym
ogniwem tego łańcucha zdarzeń, a nie tylko ostatnim. Żadne rozwiązanie na żadnym poziomie
nie jest w stu procentach niezawodne, ale jeżeli ma się wiele poziomów kontroli, z których każdy
informuje pozostałe, szanse uniknięcia kłopotów są dużo większe. W takich sytuacjach
zapobieganie jest zdecydowanie lepsze niż leczenie.
Idąc dalej — przejście na holistyczne sieci zabezpieczające i centralizację sygnatur zagrożeń
jest nieuniknione. Nowe zagrożenia są wykrywane co półtorej sekundy i ta tendencja narasta.
Rozwiązania oparte na sygnaturach pobieranych do komputerów Klientów nie są w stanie
dotrzymać jej kroku, a jeśli próbują, nie pozwalają tym urządzeniom działać z wymaganą
wydajnością.
/Trend Micro
Zaloguj się Logowanie