Video: Skydda din dator gratis med Panda Free Antivirus (September 2024)
Vid årets internationella konferens om skadlig och oönskad programvara, alias MalCon 2015, Fanny Lalonde Lévesque, Ph.D. student vid École Polytechnique de Montréal, visade de fascinerande resultaten som kan härledas när du har enorma mängder information om antivirusskydd på en miljard datorer. Med hjälp av en strategi som har tagits från studien av naturliga ekosystem, tog hon fram några mätvärden för att mäta hälsan för hela antivirusekosystemet.
Du kanske har märkt MSRT (Malicious Software Removal Tool) som körs som en del av varje Microsoft-uppdatering. Den ser mycket specifikt efter och eliminerar ett par dussin mycket utbredda skadefamiljfamiljer, valda varje månad av Microsofts säkerhetsteam. Det skickar också tillbaka betydande telemetri till Microsoft. Enligt Dennis Batchelder, chef för Microsoft Malware Protection Center (MMPC), är denna telemetri anledningen till att Microsoft inte behöver antivirustester. I ett grundläggande anförande för ett par år sedan på MalCon förklarade han i detalj den enorma mängden data som samlats in av MSRT och bjöd in akademiker att lämna in förslag för att använda dessa uppgifter i forskning.
Miljoner och miljoner
Bland annat rapporterar MSRT om den hittade skadlig programvara, vilket antivirusprogram (om något) var installerat och om antiviruset var konfigurerat och fungerade korrekt. Lalonde Lévesque började med fyra månader MSRT-data från Microsoft. Efter att ha eliminerat poster från maskiner utan antivirus hade hon fortfarande nästan en miljard poster. Det finns en viss förspänning i provuppsättningen, eftersom vissa användare väljer att inte köra Windows Update eller MSRT. För att hjälpa till att övervinna den förspänningen, valde hon slumpmässiga 10 procent av posterna. Det är fortfarande över 90 miljoner prover.
Med den valda målpopulationen analyserade hon hälsan i det övergripande systemet. Denna analys tittar specifikt på tre områden härledda från naturlig ekosystemanalys: Aktivitet, mångfald och stabilitet.
I antivirusekosystemet representerar skyddsgraden aktivitet. Ett installerat antivirusprogram kan vara föråldrat eller avstängt eller ha sitt realtidsskydd snoozed. Lalonde Lévesque fann att antalet korrekt konfigurerade aktuella installationer svävde runt 87 till 88 procent.
Mångfald i ett naturligt ekosystem innebär att ingen enskild art är helt dominerande. Lalonde Lévesque undersökte 100+ distinkta antivirusprodukter i antivirusekosystemet och fann en hög grad av mångfald. Den dominerande produkten, den med den största installerade basen, hävdade aldrig mer än 18 procent av marknaden.
För att undersöka stabilitet begränsade hon först listan till datorer som hade svarat på MSRT under alla fyra månaderna. Hon tittade på förändringar i antivirusstatus och fann uppmuntrande resultat. Endast cirka 3 procent av datorerna som hade fungerande och aktuellt antivirus drev till ett mindre säkert tillstånd, och många datorer i de andra staterna förbättrades.
Här är dock en överraskning. Under studiens gång bytte en tredjedel av datorerna till ett annat antivirusprogram. Vissa deltagare spekulerade i om möjligheten till ett snedt resultat baserat på utgången av gratis antivirus på nya datorer. Oavsett anledning, det är mycket förändring.
Det sista steget var att undersöka vilka rapporteringsdatorer som drabbades av skadlig programvara trots att antivirusprogrammet var installerat. Inte överraskande korrelerade den låga infektionsfrekvensen med skadlig programvara starkt med uppdaterat och fungerande antivirus. Omvänt korrelerade en låg stabilitetsfrekvens, vilket innebär en hel del förändringar i installerat antivirus- eller antivirusstatus, starkt med en högre infektionshastighet.
Monokultur och flockimmunitet
Nästa steg involverade att sprida uppgifterna för vart och ett av de 126 inblandade länderna och att matcha landsomfattande antivirus-ekosystemhälsa med landsomfattande infektionshastigheter. För denna del av studien tittade Lalonde Lévesque på både datorer skyddade av antivirus och de utan skydd.
Vissa länder uppvisade en dyster mångfaldsklassificering, med en produkt som skyddar majoriteten av alla system. Dessa länder visade rutinmässigt en högre infektionsgrad än genomsnittet, medan de med mer mångfald hade en lägre takt. Hennes fullständiga rapport beskriver hur hon verifierade den statistiska betydelsen av detta resultat. I antivirusekosystemet, som i livet, är monokultur inte hälsosamt.
Det är inte överraskande att ha en större andel datorer med uppdaterat funktionellt antivirus korrelerar starkt med en lägre infektionsgrad. Om det inte var fallet, skulle något vara mycket, mycket fel. Kickaren är, samma korrelation gäller när man tittar på datorer utan antivirus i samma land. Det ser ut som en typ av besättningsimmunitet kan komma in här, så även de som avstår från antivirusskydd får genom att ha sina grannar helt rustade.
Sedan finns det MSRT-effekten. Länder med en hög infektionshastighet visade också en hög "hastighet", med många användare som bytte antivirusprodukter. Kan det vara så att det enkla faktumet att se MSRT eliminera skadlig programvara fick användaren att bli missnöjd med befintligt skydd och välja en annan leverantör? Det skulle vara svårt att bevisa, med tanke på att det inte finns några datorer i studien som aldrig upplevt användning av MSRT.
Bara en vy
Lalonde Lévesque gjorde mycket för att påpeka att den här studiens resultat har vissa begränsningar. Endast datorer som ansluter till MSRT-systemet inkluderades för en sak. Och infektionsresultat är bara tillgängliga för de utbredda skadefamiljfamiljer som väljs av Microsoft varje månad. Dessutom är teorierna om monokultur och besättningsimmunitet inte de enda förklaringarna till de korrelationer som upptäckts.
Microsofts enorma datainsamling är tillgänglig för användning av kvalificerade forskare. Andra kan utvidga Lalonde Lévesques undersökning eller ta fart i en helt annan riktning. Jag ser fram emot att se vad de kommer på.
