Новости
- [+] Сьогодні в програмі
- Статистика заражень ОС Windows крізь призму наявності антивіруса
- Чи потрібен антивірус досвідченим користувачам
- Дотримуйтесь рекомендацій Microsoft
- Альтернатива: SRP або AppLocker
- Посилення Windows 7 і Windows 8.1: EMET
- Дискусія і опитування
Це питання неодноразово спливав в форумі і коментарях блогу, а минулого тижня мені поставив його в пошті читач Ігор. Причому лист прийшов в той момент, коли я читав свіжий звіт з безпеки Microsoft за другу половину 2012 року. Це збіг примітно тим, що саме аспект роботи без актуальною антивірусного захисту потрапив у фокус фахівців компанії на цей раз.
Я пропоную вам подивитися на велику картину роботи без антивіруса в Windows, а також розібратися, чи потрібен антивірус досвідченим користувачам.
[+] Сьогодні в програмі
Статистика заражень різних ОС Windows
Постійні читачі блогу вже знайомі з записами, в яких я розбирав цікаві факти зі звітів з безпеки Microsoft, наприклад, за другу половину 2011 року і першу половину 2012 року . У порівнянні з другим з них мало що змінилося:
- Уразливості в Java і Adobe експлуатуються в рази активніше, ніж уразливості ОС Windows.
- Пристрасть до халяви не йде на спад, і найпопулярнішим сімейством шкідливих програм залишається Win32 / Keygen .
- Росія міцно утримує четверте місце в світі за кількістю заражених ПК, а рівень шкідливих і фішингових сайтів на території країни перевищує середньосвітовий в 1.5 рази.
І навіть статистика заражень ОС Windows не підносить сюрпризів, незважаючи на появу в списку Windows 8. Стрибок рівня заражень Windows XP в четвертому кварталі 2012 року пов'язано з вибуховим зростанням активності фальшивого антивіруса Win32 / OneScan в Кореї. Нагадаю, що рівень означає число ПК з виявленими шкідливими програмами на кожну тисячу комп'ютерів, просканованих MSRT .
збільшити малюнок
Такий низький рівень заражень Windows 8 пояснюється в першу чергу тим, що поки на неї перейшли, в основному, ентузіасти, що володіють більш високим рівнем комп'ютерної грамотності. Вони ж схильні свідомо вибирати 64-розрядні системи, забезпечені захисними технологіями, недоступними в 32-розрядних ОС.
збільшити малюнок
Але є і ще один фактор, який посприяє тому, що в майбутньому Windows 8 продемонструє рівень заражень нижче, ніж у Windows 7. Це - вбудований антивірус Windows Defender, що володіє тим же інтерфейсом, движком і базами оновлень, що і Microsoft Security Essentials, призначений для попередніх версій Windows.
Статистика заражень ОС Windows крізь призму наявності антивіруса
В принципі, Капітан Очевидність підказує, що з антивірусом ймовірність зараження нижче, ніж без оного. Однак хіба не цікаво подивитися на конкретні статистичні дані, зібрані за допомогою MSRT з мільйонів ПК?
У своєму звіті Microsoft використовує термін «незахищені ПК», відносячи до таких системи, на яких антивірус не встановлено або працює із застарілими базами. Як з'ясувалося, у другій половині 2012 року в цю категорію потрапляв кожен четвертий ПК!
збільшити малюнок
Не дивно, що незахищені ПК (червоний графік) заражалися в середньому в 5.5 разів частіше, ніж системи з оновленими антивірусами (зелений графік).
збільшити малюнок
Цікавий також розклад незахищених ПК по операційним системам. Чесно кажучи, я очікував навіть більш високого рівня заражень на Windows XP. Але зате зовсім не здивувався тому, що власники Windows 7 без SP1 відносяться безвідповідально не тільки до оновленню ОС , А й наявності антивірусного захисту.
збільшити малюнок
Зверніть увагу, що на Windows 8 зафіксовано найнижчий рівень незахищених ПК, завдяки наявності Windows Defender.
Проте, 7-8% людей примудряються відключати вбудовану антивірусний захист Windows 8, не встановлюючи нічого натомість!
Нарешті, погляньте на розклад по операційним системам і розрядні в контексті наявності актуального антивіруса. Незахищені ПК позначені штрихуванням, а захищені - суцільною заливкою.
збільшити малюнок
Очікувано, системи без належного захисту заражаються частіше незалежно від версії і розрядності. Зокрема:
- Windows XP в 4.7 рази
- Windows 7 SP1 в 9.4 рази (х86) і 7.3 рази (х64)
- Windows 8 x64 в 13.5 разів
Адепти Windows XP навряд чи втримаються від виведення, що стара ОС майже в три рази стійкіше до заражень при роботі без антивіруса, ніж Windows 8. Однак я бачу два фактора, що роблять таке судження кілька поверхневим.
- Зараження - це виявлена шкідлива програма, але зовсім не факт, що вона може завдати шкоди конкретної операційної системи. Класичний приклад - сімейство INF / Autorun , Включене в усі набори для атаки , Але не представляє ніякої загрози для Windows 7 і новіших ОС (втім, як і для Windows XP з встановленим оновленням).
- Windows 8 щойно вийшла, тобто встановлена начисто на всіх ПК. А що люди роблять після установки ОС? Правильно, встановлюють програми. тепер згадайте про невгамовну пристрасть до халяви , І все стане на свої місця.
Win32 / Keygen і INF / Autorun були найбільш широко поширеними родинами шкідливих програм упродовж 2012 року (за винятком стрибка рекламного «шкідливий» DealPly на території Бразилії в четвертому кварталі).
збільшити малюнок
У таблиці нижче ті ж сімейства збудовані по ранжиру для кожної ОС. Зверніть увагу, що Keygen і Autorun окупують місця в першій трійці на Windows 8.
збільшити малюнок
Чи потрібен антивірус досвідченим користувачам
Наведені вище дані наочно підтверджують, що наявність актуальної антивірусного захисту в рази знижує рівень заражень по екосистемі Windows в цілому. Іншими словами, переважна більшість користувачів антивірус абсолютно необхідний.
Дотримуйтесь рекомендацій Microsoft
Я завжди підкреслював користь від проходження рекомендаціям Microsoft, які в даному випадку виражені в центрі підтримки . Однак є категорія людей, які вважають себе досить досвідченими, щоб уникнути зараження без резидентного антивіруса (ну, може, тільки один раз за рік зловити здирника :)
У цьому жодному разі і полягає вища ймовірність втрати персональних даних, що може завдати шкоди фінансів або репутації.
Безумовно, жоден антивірус не забезпечує 100% захисту від шкідливих програм. Навіть якщо виключити серйозні уразливості 0-day, які найімовірніше використовуються для цільових атак типу Aurora , Виробники захисного ПЗ з затримкою реагують на будь-які нові загрози .
Проте, антивірус грає важливу роль в комплексі заходів, які працюють в реальному часі і підвищують стійкість Windows до заражень:
Я вважаю, що досвідчений користувач використовує весь захисний арсенал, не нехтуючи жодним зброєю.
Втім, існує один підхід, яким можна виправдати роботу без антивіруса.
Альтернатива: SRP або AppLocker
Windows має технології контролю над запуском виконуваного коду.
основний сенс SRP і AppLocker зводиться до того, що запуск програм і скриптів дозволений тільки з розташувань, в які у вас немає права на запис (наприклад, Windows і Program Files), а спроби виконати їх з інших папок тихо блокуються повністю.
Однак ці технології навіть не включені до складу молодших видань Windows, оскільки розраховані на застосування в організаціях. З цього в домашньому середовищі випливає пара моментів:
1. Потрібна висока кваліфікація користувача. По-справжньому досвідчений користувач, звичайно, розбереться з налаштуванням в графічному інтерфейсі. Але кваліфікація має на увазі також і розуміння принципів роботи технологій, що в свою чергу вимагає більш високої дисципліни. Заманливо ж вивести з-під дії політик, наприклад, папки Downloads і Scripts, але при такому підході годі й город городити.
2. Потрібно відключати обмеження на час встановлення та оновлення додатків. З точки зору SRP або AppLocker ці дії еквівалентні, тому для їх успішного виконання доводиться тимчасово деактивувати захист. Проблема в тому, що відбувається це в найважливіший для безпеки Windows момент - запуск виконуваного коду з повними правами!
Виняток становлять лише програми, оновлення яких реалізовано за допомогою служб, що виконуються від імені облікового запису «Система», на яку політики не поширюються (такими є, наприклад, Adobe Reader і Firefox). Мінімізувати випадки відключення політик також можна, створюючи для конкретних підписаних програм правила сертифікатів, як це робить Вадімс Поданс , В чиєму блозі ви знайдете достатньо матеріалів для грамотної настройки SRP і AppLocker.
Так чи інакше, мені важко рекомендувати всім читачам свого блогу SRP або AppLocker, але настійно рекомендую ці технології тим, хто вважає себе досить досвідченими, щоб працювати без антивіруса :)
Посилення Windows 7 і Windows 8.1: EMET
EMET - це безкоштовний інструмент для управління захисними технологіями Windows. EMET блокує або ускладнює експлуатацію вразливостей, для яких ще немає виправлень. Іншими словами, він значно знижує ймовірність збитку від вразливостей типу 0-day. Однак Microsoft стверджує, що EMET не зміцнює захист Windows 10 , Оскільки в цю ОС вже вбудовані технології, що лежать в основі EMET. Компанія планує припинити його підтримку влітку 2018 року.
Подробиці про EMET ви можете почерпнути з статей Руслана Карманова:
Див. Також інші статті в розділі EMET на цієї сторінці.
Дискусія і опитування
У Windows 7 я користувався MSE, а в Windows 8 у мене працює вбудований Windows Defender. Антивірус Microsoft не володіє найкращим рівнем захисту на ринку, але відповідає моїм навичкам і критеріям вибору , В тому числі і бездоганною сумісністю з Windows. Напишіть в коментарях, яким захисним рішенням ви користуєтеся і чому вибрали саме такий рівень захисту.
Upd. У коментарях багато читачів вказували, що використовують AdBlock Plus, а також вказували на його недоступність в Internet Explorer. Вже є AdBlock Plus для IE :)
Результати голосування загублені в зв'язку з припиненням роботи веб-сервісу опитувань.
Обговорення завершено.
Однак хіба не цікаво подивитися на конкретні статистичні дані, зібрані за допомогою MSRT з мільйонів ПК?А що люди роблять після установки ОС?