反病毒软件在检测已知和新的威胁方面是否越来越差?
本周早些时候,斯图Sjouwerman,安全意识培训公司的CEOKnowBe4,看了由病毒公告,跟踪防病毒检测率的站点。而这些数字看上去并不好。
对于已知恶意软件平均检测率两个百分点小幅下滑2015年至2016年,他说,而对于零天检测率的一大途径下降 - 从平均80%下降到70%或更低。
他说:“如果整个行业的主动保护降低了10到15个百分点,那就真的很糟糕了。”“反病毒算不上是一笔交易,但它闻起来确实很有趣。”
据Sjouwerman,Virus Bulletin的是业界首屈一指的测试网站。该测试是全面的,并且每年保持一致,从而使历史比较有效。
几个主要的供应商不包括在这些统计数据,他说,因为他们拒绝参加 - 并暗示有可能是一个原因。
发生了什么事是,目前的反病毒厂商都无法跟上攻击,他说,谁能够动态生成新的恶意软件。
“坏家伙已经完全自动化这个过程,”他说。“现在的工业实力,数以百万计的新变种每天,企图压倒现有的反病毒引擎 - 你猜怎么着,坏人都赢了。”
他并不是唯一一个指出反病毒软件最近遇到的问题的人,其他人也同意他分析的主旨。
“该报告确实声音非常符合我的感觉是什么,什么行业都在谈论同步,”阿莫尔Sarwate,在漏洞实验室主任Qualys。“这不是容易解决的问题,如果他们做杀毒过于激进,它会导致太多的误报。我认为未来的希望是多种技术的组合。反病毒本身不能削减它了。”
该公司网络情报和分析主任贾斯汀·菲尔说Darktrace
这是不好的,而且会继续恶化,贾斯汀·费里,在网络情报和分析总监Darktrace。
“我永远不会告诉客户不要投资它,”他说。“但关于杀毒软件是否还能工作,我不这么认为。”
在它的核心,安全性反应事件。
他说:“很难预测下一波恶意软件浪潮或下一个大的攻击平台会是什么,并加以防范。”
Ransomware特别是造成问题,说KnowBe4的Sjouwerman,因为恶意软件是如此有利可图的网络犯罪分子正在把越来越多的资源投入到开发。
去年,犯罪分子从他们的勒索软件中赚取了10亿美元,这表明勒索软件一直在通过防御。
但也有一些新的,早期的产品,专门针对勒索,他补充说。
“他们中的一些工作,他们中的一些不 - 这仍然是非常早期的日子里,”他说。“Sophos的收购这样的一个公司,现在有一个额外的模块,专门防止勒索,和实际工作正常,因此Sophos的实际得分不错,但他们是做屈指可数。”
Sophos的,它提供了网络和端点安全产品,不包括在Virus Bulletin的,但获得了100%的成绩在阻断最新的防病毒报告零日攻击。
“我们的一个主要优势是,我们不依赖于任何一种技术,解释说:”丹Schiappa,高级副总裁,并在最终用户和网络安全组总经理Sophos。“我们有一点点小分析引擎,当它的扫描文件或寻找一个行为,它可以在很多不同的技术杰作的调用,以确定是否是恶意软件。”
新的Intercept X产品专门针对零日威胁设计,研究恶意软件如何攻击系统。
“只有大约24种不同的方式,你可以利用漏洞,”他说。“我们可能会在一年拿到两个新的技术,只要我们跟上这些技术,我们是在非常良好的状态。例如,一个新的技术是进入预引导环境,而我们”再针对建筑的保护“。
一些供应商质疑这一组测试的结果是否具有结论性。
“随着攻击者创造新技术,防御者不断创新,考试分数往往会波动,”麻省理工学院(mit)云研究副总裁马克·纳尼霍文(Mark Nunnikhoven)说趋势科技。
病毒公告报告中没有包括趋势科技。
“我不能告诉他为什么我们没有参加这个特定的轮测试中说,我们确实有很多关于Virus Bulletin的尊重,” Nunnikhoven说。
相反,他指出,他的公司与性能AV测试。在过去的14次Windows 7和Windows 10零日检测测试中,趋势科技在11次中获得了100%的分数,在其他3次测试中获得了99%的分数。
事实上,在零日检测的AV测试平均成绩已经下了97%,到2015年年初最后的Windows 10测试轮时往上走,从超过百分之99.7。
一些测试的另一个问题是,他们如何衡量成功的检测,大卫·杜福尔,在工程的高级主管Webroot。
基于签名的防病毒软件可以及早发现恶意软件,但基于行为的系统必须等待恶意软件真正尝试做些什么。
他说:“许多测试方法仍然依赖于较老的技术,来衡量出现在一台机器上的威胁的数量,而不是花时间去了解零天和未知的恶意软件将需要时间来识别。”
Webroot没有出现在病毒公告和AV测试报告中。
这个故事,“反病毒变得更糟了吗?”最初发表方案 。