Поведенческое обнаружение - будущее антивирусной защиты

2014-01-11 8889 комментарии
Редактор портала PC Magazine взял интервью у Роджера Томпсона, ведущего исследователя цифровых угроз в ICSA Labs, поинтересовавшись как должны измениться антивирусные программы, а, следовательно, и методики тестов этих программ

Поведенческое обнаружение - будущее антивирусной защиты

Компьютерные вирусы существуют большое количество лет.  Когда они только появились, обнаружение было основано на простом сопоставлении анализируемых файлов с набором сигнатур известных угроз. Некоторые антивирусные программы включали большой набор всех видов угроз, которые они могли потенциально обнаружить. В наши дни ситуация изменилась, киберпреступники теперь создают вирусы, которые могут самостоятельно трансформироваться и развиваться, обнаружить их сигнатурным методом невозможно. Редактор портала PC Magazine взял интервью у Роджера Томпсона, ведущего исследователя цифровых угроз в ICSA Labs, поинтересовавшись как должны измениться антивирусные программы, а, следовательно, и методики тестов этих программ.

Как было раньше

Рубенкинг: Расскажите, что из себя представляет ICSA Labs и чем она занимается?

Томпсон: Мы сертифицируем антивирусные продукты по актуальным на текущий момент времени критериям. Даже в 90-х годах была необходимости в различиях между официальными заявлениями вендоров и реальными результатами антивирусных программ. Люди могли говорить что угодно о своих продуктах, и никто не мог ни подтвердить, ни опровергнуть эту информацию. Нужно было третье лицо, которое могло сказать: «это решение работает,  а это не работает».

Вендоры согласились, что нужна третья нейтральная сторона для решения данной задачи. Конечно, всегда важнее тестировать реальные угрозы, которые встречаются обычным пользователям по всему миру. Таким образом, база данных угроз непрерывно росла, появлялись все новые виды известных вредоносных программ.

Также, еще в 90-х годах Алан Соломон подтвердил, что традиционные методы обнаружения угроз не обеспечивают стопроцентную защиту. Нужен был сканер, который мог определять зловреды и избавляться от них. Общественность согласилась и проголосовала в поддержку данного вида сканера.

Основная проблема с общим обнаружением – большое количество звонков в техническую поддержку. Антивирус выводит оповещение: «Некоторые процессы на вашем компьютере модифицируют исполняемые файлы или кто-то это делает самостоятельно. Вы изменяли их?». Это ставит в тупик многих пользователей, и они звонят в поддержку. Антивирусные программы, которые работают на основе сигнатур либо выводят оповещение «Найден вирус», либо никак не реагируют вообще.

Как будет теперь

Томпсон: До сих пор остается необходимость в тестировании сканеров, основанных на сигнатурном обнаружении для проверки их актуальности. Могут ли они обнаруживать вирусы? Эти тесты по-прежнему нужно проводить. Как бы то ни было, сегодня количество угроз увеличилось в несколько раз, и каждый день создается огромное количество угроз нулевого дня. Поэтому наиболее острая необходимость  в наше время заключается в обнаружении неизвестных зловредов.

Рубенкинг: Расскажите, про какое количество угроз нулевого дня идет речь.

Томпсон:  Никто не знает конечных цифр. Мои коллеги из ESET за кружкой пива сообщили, что они сталкиваются с 600 000 новых уникальных угроз каждый день. Многие помнят официальный доклад от Symantec, в котором упоминается о 1 миллионе новых  ежедневных угроз. На самом деле, многие из них создаются на базе одних и тех же алгоритмов. Киберпреступники просто изменяют некоторые строчки кода, переупаковывают и зашифровывают файлы.  Затем они проверяют файл на предмет уязвимости современным сканерам, а потом запускают в сеть.

Очень легко обнаружить вредоносную программу, о существовании которой известно. В случае с угрозами нулевого дня основное поведение зловредов не меняется, изменяются только некоторые биты кода. Процессы, изменение реестра и исполняемых файлов практически не изменяется. Поэтому при тестировании существенное внимание нужно уделять поведенческому анализу и другим эвристическим механизмам обнаружения.

Рубенкинг: Будут ли изменения в тестах в ближайшее время?

Томпсон: Да, мы уже пытаемся согласовать с вендорами тесты нового поколения. Однако, проводить новые тесты будет совсем непросто.

Рубенкинг:  Как будет проходить новые процессы тестирования?

Томпсон: Тестирование начинается на чистой системе, затем запускаются угрозы и фиксируется реакция защиты. После окончания этой фазы тестирования систему нужно будет тщательно проверить. Была ли инфицирована система? Были ли изменения в системном реестре? Появились ли новые постоянные процессы, которые остаются даже после перезагрузки? Затем нужно восстановиться до первоначального состояния системы для повторного теста.

Рубенкинг: Это очень похоже на динамическое тестирование, проводимое AV-Comparatives.

Томпсон: Да, это очень похоже.

Рубенкинг: Получается, вендоры сопротивляются новым методиками тестирования, Вы не знаете, когда новые правила вступят в силу?

Томпсон: Мы уже готовы проводить новые тесты. Я сейчас не могу точно сказать о статусе договоренности с вендорами. Мы ориентируемся на второй квартал 2014 года. Сейчас мы сконцентрировались на составлении собственной базы вредоносных программ, спам-каналов и т.д. Мы должны быть полностью в курсе.

Киберпреступников ждет нелегкая жизнь

Томпсон: Это правильный путь развития. Мы не прекращаем делать то, что делали, мы просто добавляем тестирование поведенческих механизмов обнаружения, т.к. они эффективно находят даже модифицированные угрозы. Раньше для того чтобы обойти защиту злоумышленникам нужно было всего-навсего изменить несколько строчек кода, а теперь придется изменять поведенческие алгоритмы.

Рубенкинг: Различные виды поведенческой блокировки затруднят жизнь киберперступников?

Томпсон: Именно так.  Приведу пример с швейцарским сыром. Кусок сыра имеет много дырок, но если на него положить еще один кусок – дырок станет меньше. Несколько кусочков и дыр не останется вообще.

Рубенкинг: Спасибо, Роджер.

Оригинал интервью доступен на сайте PC Magazine

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте