Các chuyên gia nghiên cứu chống vi-rút imperva

Công ty bảo mật Imperva đã công bố một nghiên cứu nghiệt ngã vào tháng trước cho thấy rằng các bộ bảo mật tốn kém có thể không đáng giá và tất cả các chương trình chống vi-rút phải chịu những điểm mù lớn. Nghiên cứu ảm đạm như thế này luôn đòi hỏi một hạt muối khổng lồ, nhưng sau khi nói chuyện với nhiều chuyên gia trong ngành, toàn bộ máy lắc có thể là cần thiết.

Imperva đã xem xét một loạt các giải pháp bảo mật từ các nhà cung cấp như Kaspersky, Avast, AVG, Microsoft và McAfee, để nêu tên một số. Họ đã đọ sức với các mẫu tin độc hại này với 82 mẫu phần mềm độc hại được thu thập ngẫu nhiên, xem xét mức độ thành công của phần mềm bảo mật trong việc phát hiện phần mềm giả mạo.

Từ công việc của họ, Imperva khẳng định rằng phần mềm chống phần mềm độc hại không đủ nhanh hoặc đáp ứng đủ để chống lại các mối đe dọa hiện đại. Phần mềm bảo mật, viết Imperva, "tốt hơn nhiều trong việc phát hiện phần mềm độc hại phát tán nhanh chóng với số lượng lớn các mẫu giống hệt nhau, trong khi các biến thể được phân phối hạn chế (như các cuộc tấn công do chính phủ tài trợ) thường để lại một cơ hội lớn."

Họ cũng không tìm thấy mối tương quan giữa số tiền người dùng chi cho việc bảo vệ vi rút và bảo mật được cung cấp bởi phần mềm và đề nghị cả khách hàng cá nhân và doanh nghiệp xem xét các lựa chọn thay thế phần mềm miễn phí.

Phòng thí nghiệm độc lập Đẩy lùi

Nghiên cứu đã thu hút được rất nhiều sự chú ý, nhưng khi nói chuyện với các chuyên gia bảo mật và một số công ty có tên trong nghiên cứu, Security Watch đã tìm thấy nhiều người tin rằng nghiên cứu này rất thiếu sót.

Gần như mọi phòng thí nghiệm hoặc công ty bảo mật đều cảm thấy rằng kích thước mẫu phần mềm độc hại của Imperva quá nhỏ để hỗ trợ cho kết luận mà nghiên cứu đưa ra. Andreas Marx của AV-Test nói với chúng tôi rằng công ty của anh ta nhận được khoảng một triệu mẫu phần mềm độc hại mới, độc nhất mỗi tuần. Tương tự, Peter Stelzhammer từ AV-So sánh nói với chúng tôi rằng họ nhận được 142.000 tệp độc hại mới mỗi ngày.

Về phần mình, Imperva đã viết trong nghiên cứu rằng họ cố tình sử dụng một mẫu nhỏ, nhưng nhấn mạnh rằng đó là minh chứng cho các mối đe dọa hiện có. "Lựa chọn phần mềm độc hại của chúng tôi không thiên vị nhưng được lấy ngẫu nhiên từ Web phản ánh một phương pháp tiềm năng để xây dựng một cuộc tấn công", Imperva viết.

Tuy nhiên, giám đốc nghiên cứu của NSS Labs, Randy Abrams, đã có một cách giải thích khác biệt rõ ràng về phương pháp của Imperva. "Tìm kiếm tên tệp được đảm bảo bỏ lỡ các cuộc tấn công tinh vi và hầu hết các phần mềm độc hại khác", Abrams nói với Security Watch, nhận xét về phương tiện mà Imperva sử dụng để xác định vị trí phần mềm độc hại cho nghiên cứu. "Tập trung vào các diễn đàn Nga thiên vị đáng kể bộ sưu tập mẫu. Rõ ràng là không có suy nghĩ nào có được một bộ mẫu đại diện trong thế giới thực."

Các vấn đề về phương pháp

Để thực hiện nghiên cứu của họ, Imperva đã sử dụng công cụ trực tuyến VirusTotal để thực hiện các bài kiểm tra của họ được coi là một điểm yếu quan trọng của bài kiểm tra. "Vấn đề với thử nghiệm này là nó đã xé toạc các mối đe dọa, dưới dạng các tệp thực thi và sau đó quét chúng bằng VirusTotal", Simon Edwards của Dennis Labs nói. "VT không phải là một hệ thống phù hợp để sử dụng khi đánh giá các sản phẩm chống phần mềm độc hại phần lớn do các máy quét được sử dụng trong VT không được hỗ trợ bởi công nghệ bổ sung như hệ thống danh tiếng web."

Kaspersky Labs, sản phẩm được sử dụng trong nghiên cứu, cũng đặt câu hỏi về phương pháp thử nghiệm được Imperva sử dụng trong thử nghiệm. "Khi quét các tệp nguy hiểm tiềm tàng, dịch vụ VirusTotal được các chuyên gia của Imperva sử dụng không sử dụng các phiên bản đầy đủ của các sản phẩm chống vi-rút mà chỉ dựa vào một máy quét độc lập", Kaspersky Labs viết trong một tuyên bố phát hành cho Security Watch.

"Cách tiếp cận này có nghĩa là phần lớn các công nghệ bảo vệ có sẵn trong phần mềm chống vi-rút hiện đại chỉ đơn giản là bị bỏ qua. Điều này cũng ảnh hưởng đến các công nghệ chủ động được thiết kế để phát hiện các mối đe dọa mới, chưa biết."

Đáng chú ý, một phần của trang web của VirusTotal không khuyến khích bất kỳ ai sử dụng dịch vụ của họ trong phân tích chống vi-rút. Phần 'Giới thiệu' của công ty viết: "Chúng tôi mệt mỏi khi nhắc lại rằng dịch vụ không được thiết kế như một công cụ để thực hiện các phân tích so sánh chống vi-rút Những người sử dụng VirusTotal để thực hiện các phân tích so sánh chống vi-rút nên biết rằng họ đang mắc nhiều lỗi ngầm trong phương pháp của họ. "

Abrams cũng có một cái nhìn mờ nhạt về việc sử dụng VirusTotal để thực hiện nghiên cứu, nói rằng công cụ này có thể được sử dụng để làm lệch kết quả đối với những người thử nghiệm mong muốn. "Những người thử nghiệm có năng lực, có kinh nghiệm biết rõ hơn là sử dụng VirusTotal để đánh giá khả năng bảo vệ của bất cứ thứ gì ngoài máy quét dòng lệnh thuần túy", ông nói.

Imperva bảo vệ việc sử dụng VirusTotal trong nghiên cứu của họ. "Bản chất của báo cáo không phải là so sánh các sản phẩm chống vi-rút", Imperva viết. "Thay vào đó, mục đích là để đo lường hiệu quả của một giải pháp chống vi-rút đơn lẻ cũng như các giải pháp chống vi-rút kết hợp được cung cấp một bộ mẫu phần mềm độc hại ngẫu nhiên."

Mặc dù các chuyên gia mà chúng tôi đã nói chuyện đã đồng ý rằng các lỗ hổng zero-day và phần mềm độc hại mới được tạo ra là một vấn đề, không ai hỗ trợ các xác nhận của Imperva về thời gian hoặc tỷ lệ phát hiện thấp. "Tỷ lệ bảo vệ thấp nhất trong cuộc kiểm tra 0 ngày trong thế giới thực là 64-69%", Marx nói với Security Watch. "Trung bình, chúng tôi đã thấy tỷ lệ bảo vệ 88-90 phần trăm cho tất cả các sản phẩm được thử nghiệm, điều này có nghĩa, 9 trong số 10 cuộc tấn công sẽ bị chặn thành công, chỉ có 1 sẽ thực sự gây nhiễm trùng."

Một kết luận quan trọng khác của báo cáo Imperva là phần mềm chống phần mềm độc hại được hiểu rõ bởi những người tạo phần mềm độc hại, những người điều chỉnh sáng tạo của họ để lật đổ các hệ thống bảo vệ. "Những kẻ tấn công hiểu sâu các sản phẩm chống vi-rút, làm quen với các điểm yếu của chúng, xác định các điểm mạnh của sản phẩm chống vi-rút và hiểu các phương pháp của chúng để xử lý tỷ lệ lây lan vi-rút mới trên Internet cao", Imperva viết trong nghiên cứu.

Nghiên cứu tiếp tục, "các biến thể phân phối hạn chế (như các cuộc tấn công do chính phủ tài trợ) thường để lại một cơ hội lớn."

Stuxnet không theo bạn

"Những kẻ phần mềm độc hại thực sự khó khăn, chúng mạnh mẽ và thông minh", Stelzhammer nói. "Một cuộc tấn công nhắm mục tiêu luôn luôn nguy hiểm." Nhưng ông và những người khác nhấn mạnh rằng các cuộc tấn công nhắm mục tiêu trong đó phần mềm độc hại được thiết kế riêng để chống phần mềm độc hại là hiếm như nó nguy hiểm.

Nỗ lực và thông tin cần thiết để tạo ra một phần mềm độc hại để đánh bại mọi lớp bảo vệ là rất tốt. "Một bài kiểm tra như vậy đòi hỏi nhiều thời gian và kỹ năng, vì vậy chúng không hề rẻ", Marx viết. "Nhưng đó là lý do tại sao chúng được gọi là" nhắm mục tiêu "."

Về điểm này, Abrams châm biếm: "Thành thật mà nói, tôi thực sự không quan tâm đến việc Stuxnet xâm nhập vào máy tính của tôi và tấn công một máy ly tâm làm giàu uranium tại nhà hoặc văn phòng của chủ nhân."

Gần như tất cả mọi người chúng tôi đã nói chuyện đã đồng ý, ít nhất là về nguyên tắc, các giải pháp chống phần mềm độc hại miễn phí có thể cung cấp sự bảo vệ đáng giá cho người dùng. Tuy nhiên, hầu hết không đồng ý rằng đó là một lựa chọn khả thi cho khách hàng doanh nghiệp. Stelzhammer chỉ ra rằng ngay cả khi người dùng doanh nghiệp muốn sử dụng phần mềm miễn phí, các thỏa thuận cấp phép đôi khi ngăn họ làm như vậy.

"Đó không phải là tất cả về phát hiện, " Stelzhammer nói trong một cuộc phỏng vấn với Security Watch. "Đó là về quản trị, đó là về việc triển khai cho khách hàng, về tổng quan. Bạn sẽ không nhận được điều này với một sản phẩm miễn phí."

Một người dùng thông báo tại nhà, Stelzhammer tiếp tục, có thể sử dụng các lớp phần mềm miễn phí để cung cấp sự bảo vệ tương đương với phần mềm trả phí nhưng với chi phí đơn giản. "Anh ấy có thể sắp xếp một hệ thống được bảo vệ tốt với phần mềm miễn phí, nhưng lợi thế lớn nhất của phần mềm trả phí là sự tiện lợi."

Tuy nhiên, Edwards của Dennis Labs không đồng ý với việc so sánh thuận lợi với phần mềm miễn phí. "Điều này trái với tất cả những phát hiện của chúng tôi trong nhiều năm thử nghiệm, " Edwards nói. "Hầu như không có ngoại lệ, các sản phẩm tốt nhất được trả tiền." Những phát hiện này tương tự như thử nghiệm phần mềm chống phần mềm độc hại của Tạp chí PC.

Kể từ khi công bố nghiên cứu vào tháng trước, Imperva đã viết một bài đăng trên blog để bảo vệ vị trí của họ. Phát biểu với Security Watch, giám đốc chiến lược bảo mật của Imperva, Rob Rachwald, nói: "Bất kỳ bài phê bình nào tập trung vào phương pháp của chúng tôi đều thiếu thực tế mà chúng ta thấy ngày nay". Ông tiếp tục nói rằng hầu hết các vi phạm dữ liệu là kết quả của sự xâm nhập của phần mềm độc hại, mà công ty coi là bằng chứng cho thấy mô hình chống phần mềm độc hại hiện tại đơn giản là không hoạt động.

Mặc dù có thể có một số sự thật cố hữu đối với kết luận của Imperva, nhưng không có chuyên gia nào chúng tôi nói chuyện đã xem nghiên cứu một cách tích cực. "Thông thường, tôi cảnh báo chống lại các thử nghiệm do nhà cung cấp tài trợ, nhưng nếu thử nghiệm này được thực hiện bởi một tổ chức độc lập, tôi sẽ cảnh báo chống lại chính tổ chức đó", Abrams của NSS Labs viết. "Thật hiếm khi tôi gặp phải một phương pháp cực kỳ không phức tạp như vậy, tiêu chí thu thập mẫu không phù hợp và kết luận không được hỗ trợ được gói gọn trong một tệp PDF."

Để biết thêm từ Max, hãy theo dõi anh ấy trên Twitter @wmaxeddy.