06.05.2014, 12:56
Interesujący i chyba nieco kontrowersyjny artykuł po raz kolejny zaprezentowało FireEye ...oryginalny tytuł brzmi "Ghost-Hunting With Anti-Virus" , a jego przesłaniem jest właściwie jedno stwierdzenie - programy AV w swojej klasycznej postaci stają się...właściwie już są...przestarzałe, a ich skuteczność nie dorównuje inwencji twórców malware.
Artykuł nawiązuje do
Artykuł oparty jest na prezentacji Zheng Bu- vice szefa do spraw badań w FireEye - wygłoszonej na ostatniej konferencji RSA. Na podstawie niemal pół miliona próbek przeanalizowanych przez 2 ostatnie lata ustalono ciekawy trend w życiu infekcji - wynika z niego, że
- większość malware nie "żyje" dłużej niż 2 godziny
- 82% zanika przed upływem jednej godziny
- 70% malware pojawia się tylko raz.
Poniższy diagram ukazuje właśnie zależność pomiędzy ilością próbek malware (oś pionowa), a czasem ich życia (oś pozioma)
Tak krótki cykl życia niezwykle mocno wpływa na jakość przygotowywanych przez producentów sygnatur i właściwie w pewnych przypadkach nie jest to możliwe - życie poszczególnych odmian trwa na tyle krótko, że nie da się skutecznie próbek zanalizować, opisać i stworzyć sygnatury. Konkluzją jest następująca: należy przedefiniować własne podejście do budowania skutecznych rozwiązań przeciwko malwaretylko na bazie AV i skupić się na nowoczesnych metodach przeciwdziałania i proaktywnej ochrony.
Problem nie jest wydumany, a na dowód powołują się ostatnie wystąpienie Briana Dye ("senior vice president" w firmie Symantec) - kilka cytatów o tym poniżej
Źródło cytatu
Artykuł nawiązuje do
[Aby zobaczyć linki, zarejestruj się tutaj]
, w których wykazano, że skuteczność programów AV w wykrywaniu nowych zagrożeń jest na poziomie 5%, niektórym producentom wykrycie próbek zajmuje nawet kilka tygodni, a najlepiej w teście spisały się darmowe wersje Avasta I Emsisoft. Nie potwierdza ich bezpośrednio, wskazuje jednak, że "coś jest na rzeczy", bo pokazuje, że wykrywanie malware to jak "polowanie na duchy"...coś jest i zaraz tego już nie ma.Artykuł oparty jest na prezentacji Zheng Bu- vice szefa do spraw badań w FireEye - wygłoszonej na ostatniej konferencji RSA. Na podstawie niemal pół miliona próbek przeanalizowanych przez 2 ostatnie lata ustalono ciekawy trend w życiu infekcji - wynika z niego, że
- większość malware nie "żyje" dłużej niż 2 godziny
- 82% zanika przed upływem jednej godziny
- 70% malware pojawia się tylko raz.
Poniższy diagram ukazuje właśnie zależność pomiędzy ilością próbek malware (oś pionowa), a czasem ich życia (oś pozioma)
[Aby zobaczyć linki, zarejestruj się tutaj]
Tak krótki cykl życia niezwykle mocno wpływa na jakość przygotowywanych przez producentów sygnatur i właściwie w pewnych przypadkach nie jest to możliwe - życie poszczególnych odmian trwa na tyle krótko, że nie da się skutecznie próbek zanalizować, opisać i stworzyć sygnatury. Konkluzją jest następująca: należy przedefiniować własne podejście do budowania skutecznych rozwiązań przeciwko malwaretylko na bazie AV i skupić się na nowoczesnych metodach przeciwdziałania i proaktywnej ochrony.
Problem nie jest wydumany, a na dowód powołują się ostatnie wystąpienie Briana Dye ("senior vice president" w firmie Symantec) - kilka cytatów o tym poniżej
Cytat: Antivirus "is dead,"says Brian Dye, Symantec''s senior vice president for information security."We don''t think of antivirus as a moneymaker in any way."
(...)
Mr. Dye, who has spent more than a decade with Symantec, says it was galling to watch other security companies surge ahead. "It''s one thing to sit there and get frustrated,"he says. "It''s another thing to act on it, go get your act together and go play the game you should have been playing in the first place."
Źródło cytatu
[Aby zobaczyć linki, zarejestruj się tutaj]
Artykuł źródłowy FireEye[Aby zobaczyć linki, zarejestruj się tutaj]