Video: Best Antivirus in 2020 [Top 5 Malware, Ransomware & Virus Protection For Mac & PC] (September 2024)
Datorvirus har funnits i många, många år. Under de första dagarna var upptäckten en enkel fråga om att matcha filer mot en känd uppsättning signaturer. Vissa antivirusprogram inkluderade även en lista över alla hot de kunde upptäcka. Sakerna är helt annorlunda idag, med malware-författare som arbetar hårt för att skapa skadlig programvara som förändras och utvecklas så att det inte kan fångas av signaturbaserad upptäckt. Jag talade med Roger Thompson, Chief Emerging Threat Researcher för ICSA Labs, om hur anti-malware-program måste förändras och hur testning av dessa produkter måste förändras.
Vägen saker var
Rubenking: Kan du säga några ord om exakt vad ICSA Labs är och vad det gör?
Thompson: Vi certifierar antivirusprodukter mot överenskomna historiska kriterier. Redan på 90-talet fanns det ett behov av att skilja mellan antivirushype och verkliga resultat i verkligheten. Som ni minns, då kunde folk säga vad de gillade om sina produkter, och ingen kunde bevisa eller motbevisa det. Det fanns ett behov av någon med en hjärna att säga, "Det här fungerar, det här fungerar inte, det här gör inte vad det står."
Leverantörerna enades om att de behövde en neutral tredje part för att göra detta. Naturligtvis är det alltid viktigare att testa mot virus som verkligen finns i naturen än mot en känd "zoo". Så vildlistan växte ur det behovet - en säljarneutral sammansättning av känd skadlig programvara.
Även på 90-talet övertygade Alan Solomon alla att generiska metoder för att upptäcka skadlig programvara var en dålig idé. Det som ville i stället var någon skanner som kunde avgöra exakt vilket virus som finns och exakt hur man tar bort det. Världen gick med och röstade med sina fickböcker för att stödja den typen av skanner.
Problemet med generisk detektion är historiskt sett att det orsakar supportsamtal. Antiviruset säger att vi ser att någon process på ditt system är att ändra körbara filer eller att någon körbar fil har ändrats; ändrade du det? Det resulterar i ett supportsamtal och Fortune 500 godkänner inte. En signaturbaserad antivirus säger antingen "det är ett virus!" eller säger ingenting alls.
Hur det kommer att bli
Thompson: Det finns fortfarande ett grundläggande behov att testa signaturbaserade skannrar för att se till att de håller uppe. Kan de upptäcka det? Det är vad som har gjorts och det finns fortfarande ett behov. Men antalet har ändrats så mycket, det finns ett stort antal fluff saker som skapas varje dag. Det som krävs nu är också att testa förmågan hos anti-malware att upptäcka saker de aldrig sett tidigare.
Rubenking: Fluff saker? Vad menar du med det?
Thompson: Du vet, ingen vet de verkliga siffrorna. ESET-killarna sa till mig över en öl att de ser 600 000 nya, unika skadliga prover varje dag. Jag minns en rapport från Symantec som hävdar en miljon nya och unika artiklar varje dag. Men sanningen är att majoriteten skapas algoritmiskt. De onda killarna ändrar bara någon obetydlig kod, rekompilerar, packar om och krypterar på nytt. Därefter kontrollerar de om aktuella skannrar upptäcker den nya versionen. Om inte släpper de det.
Det är verkligen lätt att upptäcka vad du redan vet om. Det är som aktiemarknaden; "bara" köpa lågt och sälja högt. Saken är att med dessa unika virus förändras inte det underliggande beteendet, bara de fluffiga bitarna. Aktiviteten, registerändring, ändring av filer… det beteendet förändras inte. Så testning måste flytta för att införliva beteende blockering som en del av affären.
Rubenking: Kommer du att lägga till nästa generations test snart?
Thompson: Vi försöker få leverantörer att komma överens om att det är bra. De håller i allmänhet med, men faktiskt att testa är inte så lätt.
Rubenking: Hur ser din nya process ut?
Thompson: Det är svårt; det är därför människor inte vill göra det. Du börjar med ett rent system, kör skadlig programvara och ser om det installeras. Du måste kunna undersöka systemet förensiskt efteråt. Infekterade skadlig programvara systemet? Ändrade det registernycklar? Blev det ihållande för att överleva en omstart? Då måste du återställa till en ren baslinje för att göra det igen.
Rubenking: Det låter mycket som den dynamiska testningen som utförs av AV-Comparatives.
Thompson: Ja, det är väldigt likt.
Rubenking: Du är redo att gå, men säljarna är det inte? Så du vet inte när den nya testningen träder i kraft?
Thompson: Vi är redo att gå. Jag vet inte riktigt vad statusen är hos leverantörerna. vi kommer tillbaka till dig om det.] En del av problemet är också att hitta våra egna källor till skadlig programvara, skörda skräppostfoder och sådant. Vi måste veta vad som verkligen finns där ute.
Gör livet tufft för de onda killarna
Thompson: Det här är rätt väg framåt. Vi kan inte sluta göra vad vi alltid har gjort, men när leverantörer av skadlig kod lägger till beteendebaserad blockering blir det mycket svårare för de onda att slå. De kan slå signaturer genom att finjustera obetydliga grejer, men för att slå beteende som blockerar måste de faktiskt ändra beteenden och hantera olika definitioner av beteende.
Rubenking: Så en mångfaldig uppsättning av leverantörer av anti-malware med olika typer av beteende som blockerar kommer att göra livet tufft för de onda?
Thompson: Exakt. Det är som den schweiziska ostanalogin. En bit ost har hål, men om du lager på en annan bit täcker det hålen. Sätt på tillräckliga bitar så att det inte finns några hål kvar.
Rubenking: Tack, Roger!
