Lar Securitywatch O setor de antivírus deve se concentrar na detecção baseada em comportamento

O setor de antivírus deve se concentrar na detecção baseada em comportamento

Vídeo: Vale a pena usar antivírus no PC? | Showmetech (Novembro 2024)

Vídeo: Vale a pena usar antivírus no PC? | Showmetech (Novembro 2024)
Anonim

Os vírus de computador existem há muitos, muitos anos. Nos primeiros dias, a detecção era uma simples questão de comparar arquivos com um conjunto conhecido de assinaturas. Alguns programas antivírus incluíam uma lista de todas as ameaças que podiam detectar. Hoje em dia, as coisas são bastante diferentes, com os criadores de malware trabalhando duro para criar malware que se transforma e evolui, para que não seja detectado pela detecção baseada em assinatura. Conversei com Roger Thompson, pesquisador-chefe de ameaças emergentes do ICSA Labs, sobre como os programas anti-malware precisam mudar e como os testes desses produtos precisam mudar.

Como as coisas eram

Rubenking: Você pode dizer algumas palavras sobre exatamente o que é o ICSA Labs e o que ele faz?

Thompson: Certificamos produtos antivírus de acordo com critérios históricos acordados. Nos anos 90, havia uma necessidade de distinguir entre hype de antivírus e resultados reais do mundo real. Como você se lembra, naquela época as pessoas podiam dizer o que quisessem sobre seus produtos e ninguém podia provar ou refutar. Havia uma necessidade de alguém com cérebro dizer: "Isso funciona, isso não funciona, isso não faz o que diz".

Os fornecedores concordaram que precisavam de um terceiro neutro para fazer isso. Obviamente, é sempre mais importante testar contra vírus realmente presentes na natureza do que contra um "zoológico" conhecido. Portanto, a lista selvagem cresceu a partir dessa necessidade - um composto neutro de fornecedor de malware conhecido.

Também nos anos 90, Alan Solomon convenceu a todos de que métodos genéricos de detecção de malware eram uma má idéia. O que se queria era um scanner que pudesse determinar exatamente qual vírus está presente e exatamente como removê-lo. O mundo concordou e votou com seus bolsos para apoiar esse tipo de scanner.

O problema com a detecção genérica, historicamente, é que causa chamadas de suporte. O antivírus diz que vemos que algum processo no seu sistema está modificando executáveis ​​ou que algum arquivo executável foi alterado; você mudou isso? Isso resulta em uma ligação de suporte e as empresas da Fortune 500 não aprovam. Um antivírus baseado em assinatura diz "é um vírus!" ou não diz nada.

Como será

Thompson: Ainda há uma necessidade básica de testar scanners baseados em assinaturas, para garantir que eles continuem. Eles podem detectá-lo? Foi o que foi feito e ainda há necessidade. No entanto, os números mudaram tanto, há um grande número de coisas fofas criadas todos os dias. O que é necessário agora é também testar a capacidade do anti-malware para detectar coisas que nunca haviam visto antes.

Rubenking: Coisas fofas ? O que você quer dizer com isso?

Thompson: Você sabe, ninguém sabe os números reais. Os caras da ESET me disseram, durante uma cerveja, que veem 600.000 novas amostras de malware exclusivas todos os dias. Lembro-me de um relatório da Symantec reivindicando um milhão de itens novos e exclusivos todos os dias. Mas a verdade é que a maioria é criada algoritmicamente. Os bandidos apenas alteram algum código sem importância, recompilam, reembalam e criptografam novamente. Em seguida, eles verificam se os scanners atuais detectam a nova versão. Caso contrário, eles o liberam.

É realmente fácil detectar o que você já conhece. É como o mercado de ações; "apenas" compre na baixa e venda na alta. O problema é que, com esses vírus únicos, o comportamento subjacente não muda, apenas os bits fofos. A atividade, modificação do Registro, alteração de arquivos… esse comportamento não muda. Portanto, o teste deve passar para incorporar o bloqueio de comportamento como parte do acordo.

Rubenking: Você adicionará esse teste de próxima geração em breve?

Thompson: Estamos tentando convencer os fornecedores de que é uma coisa boa. Eles geralmente concordam, mas, na verdade, fazer o teste não é tão fácil.

Rubenking: Como é o seu novo processo?

Thompson: É difícil; é por isso que as pessoas não querem fazer isso. Você começa com um sistema limpo, executa o malware e verifica se ele é instalado. Você deve poder examinar o sistema forense posteriormente. O malware infectou o sistema? Ele mudou as chaves do Registro? Tornou-se persistente, a fim de sobreviver a um reinício? Em seguida, você deve restaurar para uma linha de base limpa para fazê-lo novamente.

Rubenking: Isso parece muito com o teste dinâmico realizado pelo AV-Comparatives.

Thompson: Sim, é muito parecido.

Rubenking: Você está pronto para ir, mas os fornecedores não estão, então? Então você não sabe quando o novo teste entrará em vigor?

Thompson: Estamos prontos para ir. Não sei bem qual é o status dos fornecedores; nós entraremos em contato com você.] Além disso, parte do problema é encontrar nossas próprias fontes de malware, coletar feeds de spam e outras coisas. Precisamos saber o que realmente está por aí.

Tornar a vida difícil para os bandidos

Thompson: Este é o caminho certo a seguir. Não podemos parar de fazer o que sempre fizemos, mas quando os fornecedores de antimalware adicionam bloqueio baseado em comportamento, fica muito mais difícil para os bandidos vencerem. Eles podem vencer assinaturas aprimorando coisas sem importância, mas para vencer o bloqueio de comportamentos, eles precisam realmente mudar comportamentos e lidar com diferentes definições de comportamento.

Rubenking: Então, um conjunto diversificado de fornecedores de antimalware com diferentes tipos de bloqueio de comportamento tornará a vida difícil para os bandidos?

Thompson: Exatamente. É como a analogia do queijo suíço. Um pedaço de queijo tem buracos, mas se você colocar outro pedaço, ele encobre os buracos. Coloque pedaços suficientes e não há mais buracos.

Rubenking: Obrigado, Roger!

O setor de antivírus deve se concentrar na detecção baseada em comportamento