Video: Imperva WAF & RASP (November 2024)
Bezpečnostná spoločnosť Imperva minulý mesiac zverejnila ponurú štúdiu, v ktorej naznačila, že nákladné bezpečnostné balíčky nemusia stáť za cenu a všetky antivírusové programy trpia veľkými slepými škvrnami. Výskum typu „do-and-gloom“ si vyžaduje vždy silné zrno soli, ale po rozhovore s mnohými odborníkmi v odbore môže byť potrebná celá trepačka.
Imperva sa pozrel na rad bezpečnostných riešení od takých výrobcov, ako sú Kaspersky, Avast, AVG, Microsoft a McAfee. Tieto sentinely postavili proti 82 náhodne zozbieraným vzorkám škodlivého softvéru a skúmali, ako úspešný bol bezpečnostný softvér pri detekcii nečestného softvéru.
Imperva vo svojej práci tvrdí, že softvér proti malvéru nie je rýchly a dostatočne citlivý na boj proti moderným hrozbám. Bezpečnostný softvér, píše Imperva, je „oveľa lepší pri detekcii škodlivého softvéru, ktorý sa rýchlo šíri v obrovských množstvách identických vzoriek, zatiaľ čo varianty, ktoré majú obmedzenú distribúciu (napríklad útoky sponzorované vládou), zvyčajne nechávajú veľké možnosti.“ “
Tiež nenašli žiadnu koreláciu medzi peniazmi, ktoré používatelia vynaložia na ochranu pred vírusmi, a bezpečnosťou poskytovanou softvérom, a naznačujú, že jednotliví zákazníci aj zákazníci z podnikovej sféry hľadajú alternatívy freewaru.
Nezávislé laboratóriá tlačia späť
Štúdia si vyžiadala veľkú pozornosť, ale pri rozhovore s odborníkmi v oblasti bezpečnosti a niektorými zo spoločností uvedených v štúdii našla spoločnosť Security Watch mnoho ľudí, ktorí sa domnievajú, že štúdia je hlboko chybná.
Takmer každé laboratórium alebo bezpečnostná spoločnosť cítili, že veľkosť vzorky malvéru spoločnosti Imperva bola príliš malá na to, aby podporila závery štúdie. Andreas Marx od spoločnosti AV-Test nám povedal, že jeho firma dostáva týždenne asi milión vzoriek nového unikátneho škodlivého softvéru. Podobne nám Peter Stelzhammer z AV-Comparatives povedal, že každý deň dostávajú 142 000 nových škodlivých súborov.
Imperva v štúdii napísal, že úmyselne použil malý výber, ale trvá na tom, že je to demonštrácia existujúcich hrozieb. „Náš výber škodlivého softvéru nebol neobjektívny, ale náhodne bol prevzatý z webu, čo odrážalo potenciálnu metódu vytvorenia útoku, “ píše Imperva.
Randy Abrams, výskumný riaditeľ NSS Labs, však mal výrazne odlišný výklad impervovej metodológie. „Pri hľadaní názvov súborov je zaručené, že budú chýbať dômyselné útoky a väčšina ďalšieho škodlivého softvéru, “ povedal Abrams pre Security Watch a komentoval prostriedky, ktoré Imperva použila na nájdenie škodlivého softvéru pre štúdium. „Zameranie sa na ruské fóra významne ovplyvňuje zbierku vzoriek. Je zrejmé, že sa nezískala žiadna myšlienka na získanie reprezentatívnej vzorky vzoriek v reálnom svete.“
Problémy metodológie
Na vykonanie svojej štúdie použila spoločnosť Imperva online nástroj VirusTotal na vykonanie testov, ktoré boli citované ako kritická slabina testu. „Problém tohto testu spočíva v tom, že roztrhol hrozby vo forme spustiteľných súborov a potom ich naskenoval pomocou VirusTotal, “ povedal Simon Edwards z Dennis Labs. „VT nie je vhodný systém, ktorý by sa mal používať pri hodnotení anti-malvérových produktov, pretože skenery používané vo VT nie sú podporované ďalšími technológiami, ako sú napríklad systémy reputácie webu.“
Spoločnosť Kaspersky Labs, ktorej produkt bol použitý v štúdii, tiež spochybnila metodiku testovania, ktorú použila spoločnosť Imperva v experimente. „Pri vyhľadávaní potenciálne nebezpečných súborov služba VirusTotal, ktorú používajú špecialisti spoločnosti Imperva, nevyužíva úplné verzie antivírusových produktov, ale spolieha sa iba na samostatný skener, “ napísala spoločnosť Kaspersky Labs vo vyhlásení vydanom bezpečnostnej službe Watch Watch.
„Tento prístup znamená, že väčšina technológií ochrany dostupných v modernom antivírusovom softvéri sa jednoducho ignoruje. Ovplyvňuje to aj proaktívne technológie určené na zisťovanie nových neznámych hrozieb.“
Najmä časť webovej stránky VirusTotal odrádza niekoho od používania ich služieb v antivírusovej analýze. V časti „O spoločnosti“ sa uvádza, že „sme unavení z opakovania, že služba nebola navrhnutá ako nástroj na vykonávanie porovnávacích antivírusových analýz. Tí, ktorí používajú VirusTotal na vykonávanie porovnávacích antivírusových analýz, by mali vedieť, že vo svojej metodológii robia veľa implicitných chýb."
Abrams sa na vykonávanie štúdie VirusTotal tiež nezaujímal a tvrdil, že tento nástroj možno použiť na skreslenie výsledkov smerom k výsledkom požadovaným testermi. „Kompetentní a skúsení testeri vedia lepšie ako používať program VirusTotal na posúdenie ochranných schopností čohokoľvek iného ako iba skeneru na príkazovom riadku, “ uviedol.
Imperva vo svojej štúdii obhajoval používanie VirusTotal. „Podstatou správy nie je porovnanie antivírusových produktov, “ píše Imperva. „Účelom je skôr zmerať účinnosť jediného antivírusového riešenia, ako aj kombinovaných antivírusových riešení pri náhodnom výbere vzoriek škodlivého softvéru.“
Kým odborníci, s ktorými sme hovorili, sa zhodli na tom, že zraniteľnosť v nultom dni a novo vytvorený malware sú problémom, žiadna z nich nepodporovala tvrdenia spoločnosti Imperva o načasovaní alebo nízkej miere detekcie. „Najnižšia miera ochrany počas nulového dňa testu v reálnom svete je 64-69 percent, “ povedal Marx pre Security Watch. „V priemere sme pre všetky testované produkty videli mieru ochrany 88 - 90 percent, to znamená, že 9 z 10 útokov bude úspešne blokovaných, iba 1 skutočne spôsobí infekciu.“
Ďalším kľúčovým záverom správy Impervy bolo, že autori škodlivého softvéru dobre rozumejú tvorcom škodlivého softvéru, ktorí vylepšujú svoje výtvory tak, aby narušili systémy ochrany. „Útočníci rozumejú antivírusovým produktom do hĺbky, zoznámia sa s ich slabými stránkami, identifikujú silné stránky antivírusových produktov a rozumejú ich metódam na zvládnutie vysokého výskytu šírenia nových vírusov na internete, “ píše Imperva v štúdii.
Štúdia pokračuje, „varianty, ktoré sú obmedzené (napríklad vládne sponzorované útoky), zvyčajne ponechávajú veľké možnosti.“
Stuxnet nie je po vás
„Chlapci so škodlivým softvérom sú skutočne tvrdí, sú silní a inteligentní, “ povedal Stelzhammer. „Cielený útok je vždy nebezpečný.“ Ale on a iní zdôraznili, že cielené útoky, pri ktorých je malware špecificky prispôsobený proti anti-malvéru, sú také zriedkavé, ako je nebezpečné.
Úsilie a informácie potrebné na vytvorenie časti škodlivého softvéru na prekonanie každej vrstvy ochrany sú veľké. „Taký test si vyžaduje veľa času a zručností, takže nie sú lacné, “ napísal Marx. „Ale to je dôvod, prečo sa im hovorí„ cielené “.“ “
V tomto bode Abrams vyslovil: „Úprimne povedané, naozaj sa nezaujímam o to, ako sa Stuxnet dostane do môjho počítača a zaútočí na odstredivku obohacujúcu urán v mojom dome alebo v kancelárii zamestnávateľa.“
Takmer všetci, s ktorými sme hovorili, prinajmenšom v zásade súhlasili s tým, že bezplatné riešenia proti malvéru by mohli používateľom poskytnúť užitočnú ochranu. Väčšina však nesúhlasila s tým, že to bola realizovateľná možnosť pre podnikových zákazníkov. Stelzhammer zdôrazňuje, že aj keď firemní používatelia chceli používať slobodný softvér, licenčné dohody im niekedy bránia.
„Nejde iba o detekciu, “ povedal Stelzhammer v rozhovore pre bezpečnostnú hliadku. „Je to o administratíve, je to o rozširovaní sa o klientov, o ich prehľade. Toto dostanete za bezplatný produkt.“
Informovaný užívateľ doma, pokračujúci v Stelzhammer, by mohol používať vrstvy slobodného softvéru na zabezpečenie ochrany porovnateľnej s plateným softvérom, ale za cenu jednoduchosti. „Dokáže zariadiť dobre chránený systém s bezplatným softvérom, ale najväčšou výhodou plateného softvéru je pohodlie.“
Edwards of Dennis Labs však nesúhlasila s priaznivým porovnaním so slobodným softvérom. „Je to proti všetkým našim zisteniam počas mnohých rokov testovania, “ povedal Edwards. „Takmer bez výnimky sú najlepšie produkty platené.“ Tieto zistenia sú podobné testovaniu antivírusového softvéru na PC Magazine.
Od uverejnenia štúdie minulý mesiac Imperva napísal blogový príspevok obhajujúci svoju pozíciu. Riaditeľ bezpečnostnej stratégie spoločnosti Imperva Rob Rachwald v rozhovore pre bezpečnostné hliadky povedal: „V kritike zameranej na našu metodológiu chýba realita, ktorú dnes vidíme.“ Ďalej uviedol, že väčšina prípadov porušenia údajov je výsledkom vniknutia škodlivého softvéru, čo spoločnosť považuje za dôkaz toho, že súčasný model škodlivého softvéru jednoducho nefunguje.
Hoci závery Impervy môžu mať nejakú prirodzenú pravdu, žiadny z expertov, s ktorými sme hovorili, túto štúdiu nepozrel pozitívne. „Zvyčajne varujem pred testami sponzorovanými predajcami, ale ak by tento test vykonala nezávislá organizácia, varoval by som proti samotnej organizácii, “ napísal Abrams z NSS Labs. „Je zriedkavé, že sa stretávam s tak neuveriteľne neopodstatnenou metodológiou, nevhodnými kritériami na odber vzoriek a nepodporovanými závermi zabalenými do jedného dokumentu PDF.“
Ak chcete získať viac od Maxa, sledujte ho na Twitteri @ Wmaxeddy.