Antywirusy kontra szkodniki...czy w tej walce jest szansa na sukces?

[ichito]

Dwa różne raporty od dwóch niezwiązanych ze sobą firm, ale obydwa wiążą się mocno ze sobą, pokazując możliwości...a może raczej bezsilność...tradycyjnych rozwiązań w walce ze szkodnikami. To, co chciałbym zaprezentować to 4 obrazki, które powinny dobrze unaocznić skalę problemu, z jakim borykają się producenci programów/rozwiązań AV i w efekcie skalę potencjalnego wciąż zagrożenia, na jakie jest narażony użytkownik indywidualny czy biznesowy.

AV-Test to znane laboratorium badające szkodniki oraz skuteczność w walce z nimi programów AV i od czasu do czasu publikujące wyniki swoich analiz. Na ich stronie dostępna jest zbiorcza analiza, którą można filtrować na kilka sposobów dotycząca malware już istniejącego oraz tego, które pojawia się jako nowe.
Pierwszy z obrazków pokazuje wzrost ilości szkodników w ostatnich 10 latach...trudno tu przeliczać dokładnie wzrost zagrożenia, niemniej widać od razu, że np. w 2012 roku zagrożeń było ok. 100 milionów, ale to i tak 3-krotnie mniej, niż w w 2014.

[Aby zobaczyć linki, zarejestruj się tutaj]

Kolejny obrazek to ilość nowych szkodników zanotowanych w ostatnich 10 latach - w całym roku 2014 było ich ponad 140 milionów, czyli ok. 3-krotnie więcej niż w 2012, a na początku 2015 jest ich więcej niż w całym 2009 i niemal tyle tyle co w 2010 i w 2011.

[Aby zobaczyć linki, zarejestruj się tutaj]

Na koniec ilość nowych szkodników w ostatnich kilkunastu miesiącach - jak widać średnio jest ok. 12-14 milionów miesięcznie (maksymalnie ponad 18), co 400-500 tys. dziennie. Te liczby porażają...

[Aby zobaczyć linki, zarejestruj się tutaj]

Źródło danych i grafik

[Aby zobaczyć linki, zarejestruj się tutaj]

A teraz dla porównania w formie infografiki rezultat innych badań, które pokazują jak szybko producenci AV i ich programy reagują na nowe szkodniki. Dane opublikowała amerykańska firma Damballa zajmująca się ochroną przed zaawansowanymi atakami - to raport za 4 kwartał 2014 na podstawie dziesiątków tysięcy własnych analiz ze zgłoszeń.

[Aby zobaczyć linki, zarejestruj się tutaj]

Jak widać te dane również porażają...w ciągu pierwszej godziny zaledwie 30% szkodników jest wykrywanych, ok 66% w ciągu 24 godzin, a po 7 dniach jedynie 72%...po 1 miesiącu wciąż niewykrytych jest 10%, a wszystkie 100% udaje się wykryć dopiero po 6 miesiącach.
Wnioski zostawiam wszystkim do samodzielnego wysnucia

Źródło

[Aby zobaczyć linki, zarejestruj się tutaj]

Pełny raport do pobrania

[Aby zobaczyć linki, zarejestruj się tutaj]

[Konto usunięte]

natomiast na początku 2015 jest już więcej, niż wszystkich odnotowanych w roku poprzednim

Ale to logiczne, bo przecież sumuje się
Pierwszy wykres pokazuje ogólną liczbę malware.
Na drugim widać, że w 2015 nie powstało jeszcze aż tak bardzo dużo.

[zbc]

Według COMODO (Egemen), jakieś 50% zagrożeń zero-day, nie jest wykrywana od 2-7 dni.
Moim zdaniem same antywirusy nie zaradzą problemowi jakim jest szkodliwe oprogramowanie (jednak antywirusy są użyteczne), ale technologie proaktywne są tu potrzebne (w przypadku COMODO, np: HIPS, Piaskownica i Viruscope [piaskownica w wersji 8 domyślnie już w pełni izoluje pliki].
Coż, chyba niektórzy producenci AV będą zmuszeni zastosować rozwiązania typu HIPS.

[Konto usunięte]

Problem w tym, że nawet Comodo idzie w kierunku user-friendly. Zautomatyzowali pakiet i obecnie jest on bądź co bądź znacznie mniej szczelny.
Z punktu widzenia użytkownika pracującego nad czymś przy komputerze: bardzo dobrze, nie zawraca gitary.
Z punktu widzenia bezpieczeństwa: wolałbym czasy Comodo 3.x, gdzie był mega-upierdliwy, ale zapewniał wysoką kontrolę.

Teraz jest wsparcie dla np. VT-x. Ale co z tego, skoro to program decyduje i po prostu może się pomylić.

[ichito]

Ma rację Lukas, że tak musi być bo wyniki są narastająco
Natomiast odnośnie danych z początku roku...na następnym wykresie widać, że ilość podchodzi pod 14 milionów, więc mnożąc przez 12 miesięcy w roku można się spodziewać sumarycznie 170-200 milionów w skali roku, a to przyrost o ok.1/3 w stosunku do 2014...czy ja wiem, czy to mało?

[zbc]

Problem w tym, że nawet Comodo idzie w kierunku user-friendly. Zautomatyzowali pakiet i obecnie jest on bądź co bądź znacznie mniej szczelny.
Z punktu widzenia użytkownika pracującego nad czymś przy komputerze: bardzo dobrze, nie zawraca gitary.
Z punktu widzenia bezpieczeństwa: wolałbym czasy Comodo 3.x, gdzie był mega-upierdliwy, ale zapewniał wysoką kontrolę.

Teraz jest wsparcie dla np. VT-x. Ale co z tego, skoro to program decyduje i po prostu może się pomylić.

Mogę się z tobą po części zgodzić. Moim zdaniem najlepszym rozwiązaniem tego problemu byłoby coś takiego,że po instalacji CIS wyświetlałby komunikat, który prosi o dobranie odpowiedniej konfiguracji dla użytkownika (Dla zwykłego kowalskiego, Dla zaawansowanego i Własna).

[chomikos]

[...] ale technologie proaktywne są tu potrzebne (w przypadku COMODO, np: HIPS, Piaskownica i Viruscope [piaskownica w wersji 8 domyślnie już w pełni izoluje pliki].

To, zgadzam się w stu procentach. Antywirus wychwyci suche pliki, lecz brak mu swego rodzaju "inteligencji". Właśnie ochrona behawioralna/HIPS lub oprogramowanie typu Emet/MBAE są przyszłością oprogramowań ochronnych.

[zbc]

[...] ale technologie proaktywne są tu potrzebne (w przypadku COMODO, np: HIPS, Piaskownica i Viruscope [piaskownica w wersji 8 domyślnie już w pełni izoluje pliki].

To, zgadzam się w stu procentach. Antywirus wychwyci suche pliki, lecz brak mu swego rodzaju "inteligencji". Właśnie ochrona behawioralna/HIPS lub oprogramowanie typu Emet/MBAE są przyszłością oprogramowań ochronnych.

Sztucznej inteligencji nie posiada raczej antywirus, a inne mechanizmy.
Natomiast Prawdziwa inteligencja jest zawsze najlepsza.

[M'cin]

EMET Ciężko skonfigurować, żeby nic nie psuł, a Wszystkie Hipsopodobne trzeba konfigurować po każdej instalacji nowego oprogramowania. Przeciętny człowiek, nawet obeznany w komputerach, ma zwyczaj "okejować" wszystkie zagrożenia. W dużych firmach, które stać na administratora zabezpieczeń tak, w domach i mniejszych spółkach mniej inwazyjne mechanizmy będą dominować, bo konfiguracja to czas, a czas to pieniądz.

[ichito]

Programy, o których wspominacie - restrykcje, izolacja, monitory, blokery - to wszystko już było i powiem więcej...programy do monitorowania systemu i nadzorowania aplikacji swój "zloty wiek" mają za sobą od kilku lat. Część zniknęła bezpowrotnie, część została zaimplementowana do rozwiązań "all-in-one", a część dogorywa właściwie w zakamarkach portali z aplikacjami czy działając wciąż na maszynach tych nielicznych, którzy czują do nich wyjątkowy sentyment i znają ich możliwości. Inna jeszcze sprawa, że rozwój Windowsów pochłonął sporo "ofiar" wśród tych programów, bo część zwyczajnie nigdy nie została wydana dla jego nowszych wersji....już na Viście nie da się niektórych uruchomić, a niektórych nawet zainstalować.
Tendencja jest prosta i wynika zwyczajnie ze stabilności biznesu...klient płaci i klient wymaga...program ma być dla wszystkich, więc na tyle prosty, by był do pojęcia przez tych najmniej zaawansowanych nawet. Niestety takie automatyzacje i uproszczenia "zabijają" sporo możliwości, a tym samym obniżają skuteczność i wszechstronność. To chyba trochę tak, jak rozkład normalny...najszybciej i najskuteczniej wykrywa się te popularne zagrożenia, a te rzadsze czy nowsze zostają pominięte (przynajmniej tymczasowo).

[Houdini]

...do monitorowania systemu i nadzorowania aplikacji swój "zloty wiek" mają za sobą...

Dużą rolę w tym odegrał PatchGuard.