Soms is een techniek overleeft het nut. Een goed voorbeeld is de auto-carburateur. Terwijl we gekend hebben van de prestaties winsten en een brandstofbesparing van multi-port directe benzine-injectie voor tientallen jaren, sommige (NASCAR!) nog steeds vast aan het gebruik van de verouderde, maar toch vertrouwd carburateur. Ongeveer hetzelfde heeft plaatsgevonden met de technologie om malware te bestrijden. Anti-virus is uitgegroeid tot de "carburateur" van het houden van kwaadaardige code off van onze systemen.
Wat is A / V-software?
Anti-virus is nog steeds in de eerste plaats een handtekening gebaseerd systeem. Met andere woorden, definiëren we een code patroon dat we willen dan detecteren en het geheugen of de harde schijf voor dat patroon zoeken. Dit wordt aangeduid als "application zwarte lijst", want wij zijn het definiëren van de slechte toepassingen die we willen af te houden van het systeem.
Waar komen A / V handtekeningen vandaan?
Typisch een A / V-klant zal besmet raken en het verslag van de problemen aan hun leverancier. De A / V-leverancier kan dan het genereren van een patroon, die toestaat dat zij onder andere cliënten worden beschermd tegen deze zelfde stam. Het is ook mogelijk om de handtekening te krijgen gegenereerd als de code wordt gevonden in het wild voorafgaand aan de release, of als een andere leverancier genereert een handtekening.
Hoe zit het met heuristiek?
Heuristiek kijkt naar verdacht gedrag en dan witte lijsten bekend goed te zijn toepassingen. Zo kunnen we controleren alle pogingen om een user account op het systeem maken en vervolgens controleren of de applicatie is een bekende administrator tool. Deze technologie heeft een aantal echt cool potentieel, maar het heeft ook een aantal gebreken. Het primaire probleem, en de reden heuristiek ziet weinig tot geen gebruik van, is het feit dat de kans op valse positieven. Probeer een 3 rd party tool gebruiken om uw gebruikersaccounts en de A / V heuristische engine is waarschijnlijk gaan om deze te blokkeren beheren.
Het business model van Malware
Bij het anti-virus het eerst werd ontwikkeld, Malware had twee specifieke kenmerken:
- De verspreiding van malware was langzamer dan handtekening distributie.
- Malware schrijvers waren meestal script kiddies een poging de massa vermeerdering.
Geen een van deze punten zijn van toepassing in omgevingen van vandaag. Symantec stelt dat in 2009 zijn ze gemiddeld een nieuw Malware handtekening elke acht seconden . Voor F-Secure, deze frequentie is dichter bij een nieuwe handtekening om de vier seconden. Heeft u een update youy A / V om de 4-8 seconden? Heeft uw A / V-leverancier gelijkmatige afgifte een nieuwe handtekening bestand om de 4-8 seconden? Je ziet het probleem. Zelfs als je ijverig A / V-update elke avond, hebben 11,000-20,000 nieuwe handtekeningen en stukjes Malware aangekruist door.
Maar laten we een beetje meer te praten over post # 2, script kiddies en massa vermeerdering. Rond 2001 of zo merkte ik een verandering in de Malware wereld. De mensen die echt wisten wat ze deden mee gestopt massa release. Denk er eens over, de meeste schrijvers van malware beginnen meestal als ze nog erg jong. Wanneer u nog steeds op school en thuis woont, zijn triviale om uw code in het vrije. Op een bepaald moment echter je nodig hebt om een baan te krijgen en het verdienen van wat geld te beginnen. Wanneer u persoonlijk die plaats bereikt in het leven, wat heb je gedaan? Voor de meesten van ons, het gaat om te kijken naar wat we goed in zijn en proberen om die wedstrijd tot een hoog betaalde baan.
Dus als je goed bent in het schrijven van malware, waar zijn de hoge betaalde banen? Enkele mogelijkheden:
- Afpersing - Steal info en het terug te verkopen.
- Spionage - Steal info voor een concurrerend bedrijf, overheid, enz.
- Stelen gegevens met waarde in het wild - bank inloggen, credit card info, etc.
- Verkopen botnet-en Malware diensten - Word een pistool te huur. Typisch spam verdeling van de DDoS.
Hoewel we nog een aantal aantal script kiddies te doen massa voortplanting (denk aan hen als schrijvers van malware in opleiding), hebben de slimme aanvallers veranderde het in een winstgevend business model. Als het een business model, de code van de cursus is de monetaire waarde. Dit betekent dat een aanvaller niet riskeren massale verspreiding van high-end Malware code. Gaan ze om op te zitten en alleen gebruiken als er het potentieel voor een hoog percentage van de financiële return. Dus we kunnen niet rekenen op de echt nare dingen worden massaal meer. De spullen die je zorgen hoeft te maken over de meeste wordt gebruikt in een gerichte manier.
Waarom heeft mijn A / V-fail zo vaak?
Een paar van de problemen moet onmiddellijk duidelijk zijn met het bovenstaande model. Om te beginnen, want wij zijn zwarte lijst slechte toepassingen, in de veronderstelling is alles OK is. Als we niet hebben een handtekening het identificeren van de toepassing als kwaadaardig, nemen we aan dat het veilig is te lopen. Dit betekent dat alle Malware zonder handtekening is vrij om het systeem te infecteren. Dit model veronderstelt ook een zekere mate van acceptabele verliezen. Doorgaans is er een vertraging tussen het moment waarop systemen besmet raken en als we een handtekening om onszelf te beschermen. Dit kan uren, dagen of in sommige gevallen zelfs maanden .
Problemen onder de motorkap
Een van de grootste problemen met A / V-software is de handtekeningen. De meesten van ons niet eens overwegen de aankoop van een NIDS of NIPS die geen toegang tot de handtekeningen, maar dat is precies wat je krijgt met een A / V-systeem. Dit leidt tot weinig tot geen verstand controle van handtekeningen in de industrie, evenals beperkte maatwerk mogelijkheden. Ik bijvoorbeeld nog te zien een A / V-leverancier geeft mij de mogelijkheid om laat mijn netwerkbeheerder groep wordt beheerd een wachtwoord kraken tool van bekend is dat ze veilig machines. Als ik een maatwerk mogelijkheden op alles wat het is een moeizaam proces om specifieke toepassingen goedgekeurd voor gebruik te krijgen, en dan nog de handhaving is beperkt.
Dus waar gaan we verder?
Met al deze problemen, zijn het geen wonder dat applicatiebeheer (ook wel applicatie white listing) gaat naar A / V-software te vervangen als het middel bij uitstek voor de controle van Malware. Ik krijg van toepassing wordt controle in deel 2 van dit bericht.
Gerelateerde berichten:
Als een individuele gebruiker van een HP met Vista 64 piekeren over de vraag of de moeite om Norton 360 versie 3.0 te kopen, kwam ik uw post en vind de argumenten buiten kijf. Maar u bent natuurlijk te maken met enterprise software, dus ik vraag me af of er een applicatie white listing-software voor de gemiddelde gebruiker? Op naar google, maar ik denk dat je misschien een paragraaf op dat punt aan personen die komen in uw onweerlegbare redenering, en dus te realiseren dat er een betere manier zijn, indien beschikbaar, omdat je zou kunnen noemen die volgens u de beste zijn, te helpen onder meer dat zou zeer relevant. In ieder geval bedankt voor wat je schreef.
Hey Anthony,
U bent dood op in, dat vandaag is het slechts een enterprise oplossing. Terwijl sommige AV-leveranciers beginnen toe te voegen in het wit lijst ondersteuning van hun desktop suites, is het vrij minimaal.
Ik ben momenteel bezig met een paar verkopers om te proberen deze technologie ter beschikking van de typische thuisgebruiker te maken. Ik kom na een update wanneer er een beta is release (moet worden tegen het einde van het jaar).
Bedankt voor de post,
Chris
Bedankt, naar uit, en ook, ik hoop, om uw commentaar op aan degenen die zeggen dat de witte lijst onpraktisch is, of niet werkt, of iets dergelijks, welke mening merkte ik sinds het lezen van je berichten, maar die als gevolg van de uitwissen van de verwijzing bladwijzer door een groot falen van het systeem kan ik niet punt dat u specifiek.
Als ik mag toevoegen, Zone Alarm Extreme lijkt een whitelisting oplossing nu beschikbaar voor consumenten, en goed ontworpen. Is dat niet zo? Ik kocht het toch.
Hey Anthony,
Bedankt voor de tip. Ik nodig hebt om een kijkje op te nemen. De weinige producten die ik ben tot nu toe beoordeeld (McAfee en Kaspersky) claim witte lijst vermogen, maar ze niet ver genoeg gaan bij het controleren van bestanden (datum / tijd, locatie, soms een enkel hash alleen). Zou cool zijn om iets dat de trend dollar te vinden.