Конец эры антивирусов? Еще не время

Приведем одно из исходных утверждений: «Антивирусные программы в своей работе используют сигнатуры вирусов, они не являются проактивными, а потому неэффективны». Звучит знакомо?

Майкл Кесснер серьезно заинтересовался этой темой в своих работах «Как работают антивирусы? Стоит ли ими пользоваться?» и «Традиционные антивирусы бесполезны против вредоносных программ спецслужб».

Майкл Кесснер задается вопросом, если антивирусы действительно неэффективны, почему принято обязательно пользоваться данным классом программ при работе на ПК. Чтобы прояснить ситуацию исследователь обращается к эксперту, который постоянно занимается тестированием и анализом работы антивирусных программ.

Собеседником Кесснера стал Симон Эдвардс, технический директор компании Dennis Technology Labs и нынешний председатель организации по стандартизации тестирования средств защиты от вредоносных программ (AMTSO). Кесснер заранее изучил документы AMTSO, выявив несколько спорных вопросов, например, необходимость разработки вирусов исключительно для тестирования антивирусных программ.

Кесснер: Здравствуйте Симон! В первую очередь хотелось бы спросить является антивирусная программа и антивирусная утилита схожими понятиями? Какой путь избрала индустрия для развития?

Эдвардс: Это интересный вопрос. Так называемая «антивирусная программа» имеет гораздо больше возможностей, чем просто обнаружение и удаление вирусов. Вендоры используют это название, т.к. оно знакомо потребителям. Настоящий комплексный антивирус очень часто позволяет, например, блокировать фишинг-атаки. Исходя из этого его бы могли назвать Internet Security – программой для защиты в сети, однако, разработчики на деле так не поступают.

Кесснер: Хорошо, тогда будем придерживаться термина антивирусная программа. Симон, вы являетесь руководителем в двух различных организациях - Dennis Technology Labs и AMTSO. Можете ли вы поподробнее остановиться на деятельности каждой?

Эдвардс: Dennis Technology Labs специализируется на анализе интернет-угроз. Компания имеет собственную методику тестирования. Мои основные обязанности в качестве технического директора включают контроль правильности проведения тестирований. Кроме того, я занимаюсь разработкой тестов новейших угроз. Я лично занимался тестированием антивирусных программ более 10 лет.

Тестирование антивирусов не является простым занятием. Как бы то ни было, в настоящее время существует множество слабых методик и недостоверных тестирований. В результате пользователя вводят в заблуждение относительно вендоров антивирусного ПО. Собственно говоря, именно для разрешения этой ситуации была сформирована некоммерческая организация AMTSO.

Главная задача AMTSO – продвижение корректных методик тестирования антивирусов. Методика абсолютно прозрачна, не зависит от желаний вендоров, а ее результат является относительно достоверным и научным.

Кесснер: аналитики IT рынка и эксперты в области компьютерной безопасности утверждают что антивирусы утратили свою значимость, они развиваются по инерционной модели и как правило, не оправдывают надежд пользователя. Как вы прокомментируете это?

Эдвардс: Критика антивирусов связано с неправильным представлением работы современных антивирусов. Некоторые пользователи считают, что антивирусы это всего лишь сканеры файлов.

Раньше, чтобы антивирус смог противодействовать угрозе, нужно было проанализировать образец вредоносного кода и добавить его в базу данных. Затем запускался сканер, который мог выявить вредоносный файл.

Сейчас уже все поменялось. Современные антивирусные программы включают компоненты поведенческого анализа, системы репутации файлов и веб-ресурсов и несколько уровней защиты. Некоторые даже включают автоматическую блокировку эксплойтов, что также является очень эффективной мерой.

Современные комплексные антивирусы успешно справляются с видоизмененными видами атак, использующими схожие механизмы. Поэтому я не считаю, что антивирусы развиваются инерционно, наоборот они способны противостоять широкому спектру угроз, подтверждая свою эффективность.

Кесснер: Симон, как человек, хорошо знакомый с антивирусной технологией, расскажите о современной ситуации в индустрии?

Эдвардс: В то время как обычные виды атак также остаются проблемой, вендоры антивирусного ПО все больше внимание уделяют таргетированным (целенаправленным) атакам.

Рассмотрим 2 сценария:

- Злоумышленник создает вредоносный сайт, который заражает посетителя. Зловредный код заражает ПК посетителя и крадет конфиденциальную финансовую информацию.

- Злоумышленник отсылает электронной письмо с вредоносным кодом работникам определенной индустрии. Сообщение содержит ссылку на вредоносный ресурс, посвященный узконаправленной тематике, неинтересной обычному пользователю. Сайт может быть даже не проиндексирован поисковыми системами.

В первом примере пользователи будут заражены. Несколько человек отошлют отчет разработчикам антивируса с помощью электронного письма или специальной службы отчетов антивирусной программы. Вендор проанализирует информацию, выпустит обновление баз и проследит чтобы все клиенты были защищены. Как правило, компании разработчики делятся подобной информацией с конкурентами для поддержания высокой степени сетевой безопасности. Таким образом, угроза в первом примере имеет довольно короткий жизненный цикл, т.к. она затрагивает большое количество пользователей.

Во втором примере угроза является более коварной. Лишь ограниченный круг пользователей подвержен таргетированным атакам, поэтому угроза может оставаться незамеченной длительный промежуток времени.

Кесснер: Расскажи обычным пользователя, что происходит, когда вендор отправляет Dennis Technology Labs антивирус для тестирования?

Эдвардс: Мы используем экспертный подход при тестировании антивирусного ПО. Мы не доверяем заявлениям антивируса. Например, если при посещении зловредного сайта выводится сообщение о его блокировке антивирусом, мы все равно проверяем низкоуровневые детали операций чтобы убедится, что угроза не проскользнула при блокировке.

Иногда антивирус может сначала пропустить угрозу, а затем при инициализации кода в системе обнаружить ее и удалить. Поэтому для определения эффективности антивирусного продукта мы исследуем степень воздействия угрозы.

Мы задаемся несколькими вопросами. Смогла ли угроза воздействовать на компьютер? Какие изменения она внесла в систему? Повреждены ли важные файлы? Смогла ли угоза деактивировать антивирус?

Кесснер: Dennis Technology Labs принадлежит AMTSO. Если мы исключим AMTSO? Как это повлияет на методику тестирования антивирусов?

Эдвардс: Когда AMTSO еще не существовала, и мы проводили тестирования для компьютерного журнала издательства Dennis Publishing, у нас отсутствовал стимул делиться полученной информация с разработчиками антивирусного ПО. AMTSO в корне поменял наш взгляд на это.

Проводя абсолютно прозрачные тестирования и подробно описывая механизмы анализа, мы помогает антивирусным вендорам совершенствовать свои продукты. А это в свою очередь помогает пользователям оставаться в безопасности.

Кесснер: Когда вы просматривает какой-либо из множества отчетов тестирования антивирусных продуктов, на что вы обращаете внимание?

Эдвардс: Существует список рекомендаций, специально созданный специалистами AMTSO. Лично для меня главным критерием выявления некорректного теста является противоречие заключений и тестируемых данных. Например, тест посвящен блокированию эксплойтов, а антивирус, который не справился с их обнаружением называют в заключении бесполезным.

Гораздо уместнее было указать, что антивирус имеет ограниченный уровень обнаружения эксплойтов или что встроенный сканер нуждается в доработке. Однако писать, что весь продукт бесполезен является ошибочным.

Нужно заметить, что не существует идеальных тестирований. Если вы хотите ознакомиться со списком критериев оценки теста, проследуйте на страницу AMTSO «Фундаментальные принципы проведения тестирований».

Кесснер: Скажите на что нужно обратить внимание при выборе антивируса?

Эдвардс: Нужно сопоставить совокупность отдельных тестов различных организаций, а не выбирать продукт- лидер одного из тестирований. Ели 2-3 антивирусных продукта хорошо себя показывают в совокупности тестов различных лабораторий при использовании различных методик, им стоит доверять безопасность своего компьютера. То же самое относится к продуктам, которых следует избегать. Если они неэффективны в нескольких тестах, не стоит доверять им защиту ваших данных даже, несмотря на бесплатность.

Выводы: Всем известно, что антивирус это не панацея от проблем с компьютером. Это лишь группа поддержки для пользователя, который в свою очередь также не должен терять бдительность.

Оригинал интервью доступен на сайте TechRepublic