時には技術は、その有用性を長生き。 良い例が、自動車のキャブレターです。 我々は何十年ものパフォーマンス向上とマルチポートの直接燃料噴射の燃料の節約を知られているが、一部(NASCAR!)はまだ時代遅れの、まだ馴染みのキャブレターを使用することに固執する。 ずっと同じマルウェアと戦うために技術が発生しました。 Anti-Virusは、我々のシステムの悪意のあるコードをオフに保つための "キャブレター"となっている。
/ Vソフトウェアは何ですか?
アンチウイルスは、主にまだシグネチャベースのシステムです。 言い換えれば、我々が検出し、メモリやそのパターンのハードディスクを検索するコードパターンを定義します。 我々がシステムからログオフしておきたい悪いアプリケーションを定義しているので、これは、 "アプリケーションのブラックリスト"と呼ばれています。
/ Vのシグネチャがどこから来るのか?
通常は/ Vの顧客が感染し、それらのベンダーに問題を報告します。 A / Vベンダーは、自分の他のクライアントが同じ株から保護することが可能にパターンを生成することができます。 コードは以前のリリースへ、または他のベンダーが署名を生成する場合、野生で発見された場合、署名が生成されるためにのために、その可能性も。
ヒューリスティックはどうですか?
ヒューリスティックは疑わしい動作し、優れたアプリケーションであることが知られているホワイトリストを調べます。 例えば、我々は、システム上のユーザーアカウントを作成するための試みをすべてチェックし、アプリケーションは、既知の管理ツールであるかどうかを確認することがあります。 この技術は、いくつかの本当にクールな可能性を秘めているが、それはまた、多数の欠陥を持っています。 主要な問題は、とヒューリスティックなしの使用にはほとんど見ている理由は、事実であること、偽陽性にその傾向があります。 ユーザーアカウントを管理するために、およびA / Vヒューリスティックエンジンはおそらくそれを阻止しようとしているサードパーティのツールを使用してみてください。
マルウェアのビジネスモデル
アンチウイルスが最初に開発されたときに、マルウェアは2つの特定の形質を持っていた。
- マルウェア配布には、署名の分布よりも遅くなりました。
- マルウェアの作成者は、主に大量増殖を試みてスクリプトキディであった。
これらの項目のどちらも、今日の環境では適用されます。 2009年には、新しいマルウェアのシグネチャを平均化されているシマンテックの状態ごとに8秒 。 F-Secureの場合は、この周波数は4秒ごとに新しいシグネチャに近いです。 あなたはyouy / V毎に4から8秒に更新するには? あなたの/ Vのベンダーも、すべての4から8秒に新しい署名ファイルを解放していますか? あなたが問題を参照してください。 あなたが熱心に毎晩/ Vを更新する場合でも、11,000-20,000新しい署名とマルウェアの部分はでチェックが入っています。
しかし、のアイテム#2についてもう少しお話しましょう。スクリプトキディと大量増殖。 2001年かそこら、私はマルウェアの世界の変化に気づいた。 本当に彼らが何をしていたか知っていた人々は質量放出をして停止しました。 彼らは非常に若いときにそれについて考え、ほとんどのマルウェア作家が通常起動します。 無料であなたのコードを解放するために自宅で学校生活にまだある場合は、その些細な。 いくつかの点でしかし、あなたは、ジョブを取得し、いくつかの収入を得る開始する必要があります。 あなたが個人の生活の中でその場所に到達したとき、あなたは何をしましたか? 私達のほとんどは、それは我々が得意とは何かを見て、高収入の仕事にそれをマッチさせようとするが含まれます。
あなたがマルウェアを書くのが得意ですので、もし、高収入の仕事はどこですか? いくつかの可能性:
- 恐喝 -情報を盗み、それをバック販売しています。
- スパイ -競合企業、政府などの情報を盗む
- 野生の値を持つデータを盗む - 銀行のログオン、クレジットカード情報など
- ボットネットとマルウェアサービスを再販 -レンタル用の銃になります。 DDoS攻撃の典型的スパム分布。
我々はまだ大量の伝播(トレーニングのマルウェア作家と考える)を行うスクリプトキディのいくつかの番号を持っているが、スマートな攻撃者は有益なビジネスモデルにそれをなっている。 それはビジネスモデルだときは、もちろんコードが金銭的価値を持っています。 これにより、攻撃者は、ハイエンドのマルウェアのコードの大量増殖を危険にさらすないことを意味します。 彼らはそれの上に座ると財務リターンの高い率の可能性がある場合にのみそれを使用しようとしている。 だから我々は本当に厄介なものの質量はもう伝播さに頼ることはできません。 あなたが最も心配する必要はものはで使用されているターゲットを絞ったファッション。
なぜ/ Vはそれほど頻繁に失敗するのですか?
いくつかの問題は、上記のモデルではすぐに明らかにする必要があります。 我々はブラックリスト悪いアプリケーションであるため、開始するには、仮定は他のすべてはOKです。 我々は悪意のあるようなアプリケーションを識別する署名を持っていない場合は、我々はそれが実行しても安全であると仮定します。 これは署名せずに、すべてのマルウェアがシステムに感染して自由であることを意味します。 また、このモデルは、許容損失のいくつかのレベルを想定しています。 一般的にシステムが感染し、我々は自分自身を保護するために署名を取得するときに取得するときの間にタイムラグがあります。 これは、時間、日、またはいくつかのケースでもかもしれません数ヶ月 。
フードの下の問題
/ Vソフトウェアの最大の問題の一つは、署名です。 私たちのほとんどもの署名へのアクセスを提供していませんNIDSまたはNIPSの購入を検討しないだろうが、それは正確にA / Vシステムによって得られるものです。 これは、少しにつながる無署名の妥当性チェックが 、業界内だけでなく、限られたカスタマイズ機能を備えています。 たとえば、私は、A / Vベンダーは私に私のネットワーク管理者のグループが安全なマシンであることが知られてからパスワードクラッキングツールを実行できるようにする能力を与える見ていない。 私はまったくのカスタマイズ機能を備えている場合、それは使用のために承認された特定のアプリケーションを取得する退屈なプロセスであり、その後も執行が制限されています。
だから我々はここからどこに行くのですか?
アプリケーション制御は、(時にはアプリケーションのホワイトリストと呼ばれる)マルウェアを制御するための最適なツールとしてのA / Vソフトウェアを置き換えるために始めていること、これらすべての問題は、そのも不思議である。 私はこの記事のパート2でのアプリケーションのコントロールに得られます。
関連記事:
ノートン360バージョン3.0を購入する気にするかどうかについてはVistaの64陰気を搭載したHPの個々のユーザーとして、私はあなたのポストに出くわしたと引数は議論の余地を見つける。 平均的なユーザーのために任意のアプリケーションのホワイトリストのソフトウェアがある場合は、私が思うので、しかし、あなたは明らかにエンタープライズ·ソフトウェアを扱っていますか? Googleに上のが、私はあなたが最良であると信じているあなたが言及可能性があるため、あなたの反駁推論出くわすため、実現する個人は、可能であれば、もっと良い方法がなければなりません助けるために、その時点での段落を含むかもしれないと思う、どの関連性の高いであろう。 あなたが書いた何のためにとにかく感謝。
ちょっとアンソニー、
あなたは、今日のに死んでいる、それは唯一のエンタープライズ·ソリューションです。 いくつかのAVベンダーがデスクトップスイートにホワイトリストのサポートを追加し始めているが、それはかなり最小限に抑えることができます。
私は現在しようとする典型的なホームユーザーに、この技術を利用できるようにするためにいくつかのベンダーで働いています。 ベータ版のリリース(今年末まででなければなりません)であるとき、私はアップデートを投稿します。
ポストのおかげで、
クリス
おかげで、そのホワイトリストは非現実的であるか、または動作しないと言うもの、または同様ににそれに、また、私は願って、あなたのコメントを楽しみにして、私はあなたの投稿を読んで以来、気づいたが、おかげで意見私は具体的にあなたを指すことはできません卸売システム障害による参照ブックマークの閉塞。
私が追加することができた場合は、ゾーンアラームExtremeは、消費者のための現在利用可能な、よく設計されたホワイトリストの解決策になると思われる。 それはそうではありません? 私はとにかくそれを買った。
ちょっとアンソニー、
ヒントありがとうございました。 私はそれを見てする必要があります。 私はこれまで日よいくつかの製品が(マカフィー·カスペルスキー)ホワイトリスト機能を主張するが、それらはファイル(日付/時刻、場所、場合によっては単一のハッシュのみ)を検証するに十分ではありません。 トレンドをドルに何かを見つけることがクールになる。