Czy antywirusy mają jeszcze przyszłość?
- Patryk Królikowski,
- 11.03.2013
Oprogramowanie ochronne w firmie tak mocno weszło do kanonu, że dyrektorzy ds. bezpieczeństwa nie zadają sobie nawet pytania o potrzebę posiadania rozwiązania tego typu, przyjmując je apriorycznie. Starają się jedynie minimalizować koszty jego utrzymania i kiedy przychodzi do odnowienia wsparcia producenta, twardo negocjują warunki, strasząc zmianą dostawcy. Może jednak warto zatrzymać się na chwilę i zastanowić - trochę przewrotnie - czy antywirusy są absolutnie niezbędne?
W dużych organizacjach funkcjonują rozmaite programy bezpieczeństwa. Jednym z nich jest ten, dotyczący ochrony stacji roboczych - może przyjmować różne nazwy, jak chociażby "Bezpieczna stacja robocza". Na taki program składają się zarówno elementy proceduralne, jak i technologiczne. Wśród tych drugich kluczowe miejsce zajmuje oprogramowanie antywirusowe.
Dyskusja na temat skuteczności i potrzeby posiadania antywirusów wybucha co kilka lat - przeważne z powodu pojawienia się jakiegoś zabójczego kodu złośliwego lub opublikowania badań o kontrowersyjnych wynikach. W ostatnim czasie mieliśmy przykłady zarówno pierwszego, jak i drugiego.
Kilka tygodni temu Imperva opublikowała wyniki badań, które przeprowadziła w 2012 roku wspólnie ze studentami The Technion - Israeli Institute of Technology. Chodziło o zbadanie skuteczności typowych antywirusów. W celu przeprowadzenia badania, zgromadzono 82 próbki rozmaitego kodu złośliwego, który cyklicznie "wrzucany" był poprzez API do serwisu VirusTotal. Badanie trwało 6 tygodni. Wyniki okazały się dość intrygujące. Do najważniejszych wniosków płynących z badania należą następujące tezy:
• Tylko około 5% nowo tworzonych wirusów jest wykrywane tuż po stworzeniu wirusa.
• Czas przygotowania szczepionki dla niektórych producentów może wynosić nawet 4 tygodnie.
• Nie zawsze płatny znaczy lepszy.
• Wysokość wydatków ponoszonych na AV nie jest adekwatna do efektywności.
• mechanizm infekcji - spear-phishing/whaling,
• komputery magazynu zostają zainfekowane krótko po opublikowaniu artykułu o zamożności premiera Chin,
• sprawcy starają się zatrzeć ślady poprzez przejęcie szeregu komputerów na uniwersytetach w USA i puszczenie przez nie swojego ruchu,
• uzyskano dostęp do komputerów 53 pracowników,
• w wyniku ataku przejęte zostają hasła pracowników NYT,
• NYT po dowiedzeniu się o ataku nie odcina sprawców, ale bada ich działania - zatrudnia firmę Mandiant,
• nie potwierdzono ani kradzieży danych klientów NYT, ani prób poszukiwań informacji innych niż te, związane z publikacją,
• z 45 elementów rozsianego po firmie kodu złośliwego oprogramowanie antywirusowe chroniące redakcję wykryło tylko jeden.
Co więcej, nawet przedstawiciele firm z antywirusowym rodowodem przyznają, że w tym przypadku standardowe mechanizmy wykrywcze zawiodły. Twierdzi tak m.in. Mikko Hypponen, założyciel F-Secure.