1. Як було раніше
2. Як буде тепер
3. Кіберзлочинців чекає нелегке життя

Редактор порталу PC Magazine взяв інтерв'ю у Роджера Томпсона, провідного дослідника цифрових загроз в ICSA Labs, поцікавившись як повинні змінитися антивірусні програми, а, отже, і методики тестів цих програм

Комп'ютерні віруси існують багато років. Коли вони тільки з'явилися, виявлення було засновано на простому зіставленні аналізованих файлів з набором сигнатур відомих загроз. Деякі антивірусні програми включали великий набір всіх видів загроз, які вони могли потенційно виявити. У наші дні ситуація змінилася, кіберзлочинці тепер створюють віруси, які можуть самостійно трансформуватися і розвиватися, виявити їх сигнатурним методом неможливо. Редактор порталу PC Magazine взяв інтерв'ю у Роджера Томпсона, провідного дослідника цифрових загроз в ICSA Labs, поцікавившись як повинні змінитися антивірусні програми, а, отже, і методики тестів цих програм.

Як було раніше

Рубенкінг: Розкажіть, що з себе представляє ICSA Labs і чим вона займається?

Томпсон: Ми сертифікуємо антивірусні продукти з актуальних на поточний момент часу критеріям. Навіть в 90-х роках була необхідність у відмінностях між офіційними заявами вендорів і реальними результатами антивірусних програм. Люди могли говорити що завгодно про свої продукти, і ніхто не міг ні підтвердити, ні спростувати цю інформацію. Потрібно було третя особа, яке могло би мовити: «це рішення працює, а це не працює».

Вендори погодилися, що потрібна третя нейтральна сторона для вирішення даного завдання. Звичайно, завжди важливіше тестувати реальні загрози, які зустрічаються звичайним користувачам по всьому світу. Таким чином, база даних загроз безперервно зростала, з'являлися все нові види відомих шкідливих програм.

Також, ще в 90-х роках Алан Соломон підтвердив, що традиційні методи виявлення загроз не забезпечують стовідсотковий захист. Це мала бути сканер, який міг визначати зловредів і позбавлятися від них. Громадськість погодилася і проголосувала в підтримку даного виду сканера.

Основна проблема із загальним виявленням - велика кількість дзвінків в технічну підтримку. Антивірус виводить оповіщення: «Деякі процеси на вашому комп'ютері модифікують виконувані файли або хтось це робить самостійно. Ви змінювали їх? ». Це ставить у глухий кут багатьох користувачів, і вони дзвонять на підтримку. Антивірусні програми, які працюють на основі сигнатур або виводять оповіщення «Знайдений вірус», або ніяк не реагують взагалі.

Як буде тепер

Томпсон: До сих пір залишається необхідність в тестуванні сканерів, заснованих на сигнатурному виявленні для перевірки їх актуальності. Чи можуть вони виявляти віруси? Ці тести і раніше потрібно проводити. Як би там не було, сьогодні кількість загроз збільшилася в кілька разів, і кожен день створюється величезна кількість загроз нульового дня. Тому найбільш гостра необхідність в наш час полягає в виявленні невідомих зловредів.

Рубенкінг: Розкажіть, про яку кількість загроз нульового дня йде мова.

Томпсон: Ніхто не знає кінцевих цифр. Мої колеги з ESET за кухлем пива повідомили, що вони стикаються з 600 000 нових унікальних загроз кожен день. Багато хто пам'ятає офіційну доповідь від Symantec, в якому згадується про 1 мільйон нових щоденних загроз. Насправді, багато хто з них створюються на базі одних і тих же алгоритмів. Кіберзлочинці просто змінюють деякі рядки коду, переупаковують і зашифровують файли. Потім вони перевіряють файл на предмет уразливості сучасним сканерів, а потім запускають в мережу.

Дуже легко виявити шкідливу програму, про існування якої відомо. У випадку з погрозами нульового дня основне поведінку зловредів не змінюється, змінюються лише деякі біти коду. Процеси, зміна реєстру і виконуваних файлів практично не змінюється. Тому при тестуванні значну увагу потрібно приділяти поведінкового аналізу і іншим наближеним механізмам виявлення.

Рубенкінг: Чи будуть зміни в тестах найближчим часом?

Томпсон: Так, ми вже намагаємося погодити з вендорами тести нового покоління. Однак, проводити нові тести буде зовсім непросто.

Рубенкінг: Як буде проходити нові процеси тестування?

Томпсон: Тестування починається на чистій системі, потім запускаються загрози і фіксується реакція захисту. Після закінчення цієї фази тестування систему потрібно буде ретельно перевірити. Чи була інфікована система? Чи були зміни в системному реєстрі? Чи з'явилися нові постійні процеси, які залишаються навіть після перезавантаження? Потім потрібно відновитися до початкового стану системи для повторного тесту.

Рубенкінг: Це дуже схоже на динамічне тестування, що проводиться AV - Comparatives.

Томпсон: Так, це дуже схоже.

Рубенкінг: Виходить, вендори пручаються новим методиками тестування, Ви не знаєте, коли нові правила вступлять в силу?

Томпсон: Ми вже готові проводити нові тести. Я зараз не можу точно сказати про статус домовленості з вендорами. Ми орієнтуємося на другий квартал 2014 року. Зараз ми сконцентрувалися на складанні власної бази шкідливих програм, спам-каналів і т.д. Ми повинні бути повністю в курсі.

Кіберзлочинців чекає нелегке життя

Томпсон: Це правильний шлях розвитку. Ми не припиняємо робити те, що робили, ми просто додаємо тестування поведінкових механізмів виявлення, тому що вони ефективно знаходять навіть модифіковані загрози. Раніше для того щоб обійти захист зловмисникам потрібно було всього-на-всього змінити кілька рядків коду, а тепер доведеться змінювати поведінкові алгоритми.

Рубенкінг: Різні види поведінкової блокування ускладнять життя кіберперступніков?

Томпсон: Саме так. Наведу приклад з швейцарським сиром. Шматок сиру має багато дірок, але якщо на нього покласти ще один шматок - дірок стане менше. Кілька шматочків і дірок не залишиться взагалі.

Рубенкінг: Дякую, Роджер.

Оригінал інтерв'ю доступний на сайті PC Magazine

Знайшли друкарську помилку? Виділіть і натисніть Ctrl + Enter