Vídeo: Imunidade de Rebanho (Novembro 2024)
Na Conferência Internacional deste ano sobre software malicioso e indesejado, também conhecida como MalCon 2015, Fanny Lalonde Lévesque, Ph.D. Um aluno da École Polytechnique de Montréal demonstrou os resultados fascinantes que podem ser obtidos quando você tem grandes quantidades de informações sobre a proteção antivírus em um bilhão de computadores. Usando uma abordagem extraída do estudo de ecossistemas naturais, ela desenvolveu algumas métricas para medir a saúde de todo o ecossistema antivírus.
Você deve ter notado a Ferramenta de Remoção de Software Mal-Intencionado (MSRT) que é executada como parte de cada atualização da Microsoft. Ele procura e elimina muito especificamente algumas dezenas de famílias de malware predominantes, selecionadas mensalmente pela equipe de segurança da Microsoft. Ele também envia de volta telemetria significativa para a Microsoft. De acordo com Dennis Batchelder, diretor do Microsoft Malware Protection Center (MMPC), essa telemetria é a razão pela qual a Microsoft não precisa de testes antivírus. Em uma palestra realizada alguns anos atrás na MalCon, ele expôs em detalhes a enorme quantidade de dados coletados pelo MSRT e convidou acadêmicos a enviar propostas para o uso desses dados em pesquisas.
Milhões e Milhões
Entre outras coisas, o MSRT relata se encontrou algum malware, qual antivírus (se houver) foi instalado e se o antivírus foi configurado e funcionando corretamente. Lalonde Lévesque começou com quatro meses de dados MSRT da Microsoft. Depois de eliminar as entradas de máquinas sem antivírus, ela ainda tinha quase um bilhão de entradas. Há um certo viés no conjunto de amostras, pois alguns usuários optaram por não executar o Windows Update ou o MSRT. Para ajudar a superar esse viés, ela selecionou 10% das entradas aleatoriamente. Ainda são mais de 90 milhões de amostras.
Com a população-alvo selecionada, ela analisou a saúde de todo o sistema. Esta análise analisa especificamente três áreas, derivadas da análise natural do ecossistema: Atividade, Diversidade e Estabilidade.
No ecossistema antivírus, o grau de proteção representa atividade. Um antivírus instalado pode estar desatualizado, desativado ou ter sua proteção em tempo real adiada. Lalonde Lévesque descobriu que, ao longo dos quatro meses, o número de instalações atualizadas adequadamente configuradas oscilava em torno de 87 a 88%.
Diversidade em um ecossistema natural significa que nenhuma espécie é totalmente dominante. Lalonde Lévesque examinou os mais de 100 produtos antivírus distintos no ecossistema antivírus e encontrou um alto grau de diversidade. O produto dominante, aquele com a maior base instalada, nunca conquistou mais de 18% do mercado.
Para examinar a estabilidade, ela estreitou a lista primeiro aos computadores que responderam ao MSRT nos quatro meses. Ela analisou as mudanças no status do antivírus e encontrou resultados encorajadores. Apenas cerca de 3% dos computadores que tinham antivírus ativo e atualizado chegaram a um estado menos seguro, e muitos computadores nos outros estados melhoraram.
Aqui está uma surpresa, no entanto. Ao longo do estudo, um terço dos computadores mudou para um antivírus diferente. Alguns participantes especularam sobre a possibilidade de um resultado distorcido com base no vencimento do antivírus gratuito em novos computadores. Seja qual for o motivo, é muita mudança.
A etapa final foi examinar quais computadores de relatório foram atingidos por malware, apesar de o antivírus estar instalado. Não é de surpreender que a baixa taxa de infecção por malware esteja fortemente correlacionada com antivírus atualizado e funcionando. Por outro lado, uma baixa taxa de estabilidade, significando muitas mudanças no antivírus instalado ou no status do antivírus, correlacionou-se fortemente com uma maior taxa de infecção.
Monocultura e imunidade de rebanho
A próxima etapa envolveu a quebra dos dados de cada um dos 126 países envolvidos e a correspondência da saúde do ecossistema antivírus em todo o país com as taxas de infecção em todo o país. Nesta parte do estudo, Lalonde Lévesque analisou os computadores protegidos por antivírus e aqueles sem proteção.
Alguns países exibiram uma classificação de diversidade sombria, com um produto protegendo a maioria de todos os sistemas. Esses países exibiam rotineiramente uma taxa de infecção acima da média, enquanto aqueles com mais diversidade tinham uma taxa mais baixa. Seu relatório completo detalha como ela verificou a significância estatística desse resultado. No ecossistema antivírus, como na vida, a monocultura não é saudável.
Não é de surpreender que remotamente uma porcentagem maior de computadores com antivírus funcional atualizado se correlacione fortemente com uma menor taxa de infecção. Se não fosse esse o caso, algo estaria muito, muito errado. O motivo é que essa mesma correlação se mantém quando se olha para computadores sem antivírus no mesmo país. Parece que um tipo de imunidade de rebanho pode surgir aqui, então mesmo quem renuncia à proteção antivírus ganha ao ter seus vizinhos totalmente blindados.
Depois, há o efeito MSRT. Os países com uma alta taxa de infecção também mostraram uma alta taxa de "rotatividade", com muitos usuários trocando produtos antivírus. Será que o simples fato de ver o MSRT eliminar o malware levou o usuário a ficar insatisfeito com a proteção existente e a escolher um fornecedor diferente? Isso seria difícil de provar, uma vez que não há computadores no estudo que nunca experimentaram o uso do MSRT.
Apenas uma visualização
Lalonde Lévesque se esforçou ao apontar que os resultados deste estudo têm certas limitações. Apenas computadores conectados ao sistema MSRT foram incluídos, por um lado. E os resultados de infecção estão disponíveis apenas para as famílias de malware amplamente selecionadas pela Microsoft todos os meses. Além disso, as teorias de monocultura e imunidade de rebanho não são as únicas explicações para as correlações descobertas.
A enorme coleta de dados da Microsoft está disponível para uso por pesquisadores qualificados. Outros podem expandir o estudo de Lalonde Lévesque, ou decolar em uma direção completamente diferente. Estou ansioso para ver o que eles inventam.