Czy antywirusy mają jeszcze przyszłość?

Oprogramowanie ochronne w firmie tak mocno weszło do kanonu, że dyrektorzy ds. bezpieczeństwa nie zadają sobie nawet pytania o potrzebę posiadania rozwiązania tego typu, przyjmując je apriorycznie. Starają się jedynie minimalizować koszty jego utrzymania i kiedy przychodzi do odnowienia wsparcia producenta, twardo negocjują warunki, strasząc zmianą dostawcy. Może jednak warto zatrzymać się na chwilę i zastanowić - trochę przewrotnie - czy antywirusy są absolutnie niezbędne?

W dużych organizacjach funkcjonują rozmaite programy bezpieczeństwa. Jednym z nich jest ten, dotyczący ochrony stacji roboczych - może przyjmować różne nazwy, jak chociażby "Bezpieczna stacja robocza". Na taki program składają się zarówno elementy proceduralne, jak i technologiczne. Wśród tych drugich kluczowe miejsce zajmuje oprogramowanie antywirusowe.

Dyskusja na temat skuteczności i potrzeby posiadania antywirusów wybucha co kilka lat - przeważne z powodu pojawienia się jakiegoś zabójczego kodu złośliwego lub opublikowania badań o kontrowersyjnych wynikach. W ostatnim czasie mieliśmy przykłady zarówno pierwszego, jak i drugiego.

Kilka tygodni temu Imperva opublikowała wyniki badań, które przeprowadziła w 2012 roku wspólnie ze studentami The Technion - Israeli Institute of Technology. Chodziło o zbadanie skuteczności typowych antywirusów. W celu przeprowadzenia badania, zgromadzono 82 próbki rozmaitego kodu złośliwego, który cyklicznie "wrzucany" był poprzez API do serwisu VirusTotal. Badanie trwało 6 tygodni. Wyniki okazały się dość intrygujące. Do najważniejszych wniosków płynących z badania należą następujące tezy:

• Tylko około 5% nowo tworzonych wirusów jest wykrywane tuż po stworzeniu wirusa.

• Czas przygotowania szczepionki dla niektórych producentów może wynosić nawet 4 tygodnie.

• Nie zawsze płatny znaczy lepszy.

• Wysokość wydatków ponoszonych na AV nie jest adekwatna do efektywności.

Infekcja strony The New York Timesa - studium przypadku

• mechanizm infekcji - spear-phishing/whaling,

• komputery magazynu zostają zainfekowane krótko po opublikowaniu artykułu o zamożności premiera Chin,

• sprawcy starają się zatrzeć ślady poprzez przejęcie szeregu komputerów na uniwersytetach w USA i puszczenie przez nie swojego ruchu,

• uzyskano dostęp do komputerów 53 pracowników,

• w wyniku ataku przejęte zostają hasła pracowników NYT,

• NYT po dowiedzeniu się o ataku nie odcina sprawców, ale bada ich działania - zatrudnia firmę Mandiant,

• nie potwierdzono ani kradzieży danych klientów NYT, ani prób poszukiwań informacji innych niż te, związane z publikacją,

• z 45 elementów rozsianego po firmie kodu złośliwego oprogramowanie antywirusowe chroniące redakcję wykryło tylko jeden.

Wyniki badań spotkały się ze sprzeciwem części producentów oprogramowania antywirusowego - zarzuty dotyczą metodologii i podstaw formułowania wniosków. Z częścią z nich można się zgodzić, ale faktem jest, że tradycyjnym metodom wykrywczym daleko jest do 100-proc. skuteczności. Są na to dowody. W zeszłym roku szerokim echem odbiło się ujawnienie aktywności Flame’a, którego określano mianem najbardziej złożonego kodu złośliwego w historii. Smaczku całej historii dodaje fakt, że oprogramowanie działało niewykryte przez antywirusy przez blisko dwa lata. W tym czasie gromadziło informacje - zrzuty ekranu, ruch sieciowy, kopie dokumentów, podsłuchy rozmów na Skypie i - jak na bota przystało - przekazywało je skrupulatnie do swojej centrali. Do podobnych wniosków o skuteczności rozwiązań AV doszli w 2010 roku badacze ze firmy Mandiant (świadczącej między innymi usługi analizy kodu złośliwego). Według nich tylko 24% niestandardowego kodu złośliwego było wykrywane przez antywirusy.

Co więcej, nawet przedstawiciele firm z antywirusowym rodowodem przyznają, że w tym przypadku standardowe mechanizmy wykrywcze zawiodły. Twierdzi tak m.in. Mikko Hypponen, założyciel F-Secure.


TOP 200