ป้องกันไวรัสได้ดีกว่าในการตรวจจับมัลแวร์อีเมลมากกว่าภัยคุกคามทางเว็บ

Palo Alto Networks กล่าวว่ามัลแวร์บนเว็บดีกว่าการป้องกันความปลอดภัยแบบดั้งเดิมมากกว่ามัลแวร์ทางอีเมล์

ในขณะที่อีเมลยังคงเป็นแหล่งที่มาของมัลแวร์ส่วนใหญ่มัลแวร์ที่ไม่รู้จักส่วนใหญ่ถูกผลักดันผ่านแอปพลิเคชันบนเว็บ แต่ Palo Alto Networks พบในรายงาน Modern Malware Review ซึ่งเผยแพร่ในวันจันทร์ เกือบ 90 เปอร์เซ็นต์ของผู้ใช้ "มัลแวร์ที่ไม่รู้จัก" พบมาจากการท่องเว็บเมื่อเทียบกับเพียง 2 เปอร์เซ็นต์ที่มาจากอีเมล

Palo Alto Networks กล่าวว่า "มัลแวร์ที่ไม่รู้จัก" ในรายงานนี้อ้างถึงตัวอย่างที่เป็นอันตรายซึ่งตรวจพบโดยบริการ Wildfire cloud ของ บริษัท ซึ่งผลิตภัณฑ์ป้องกันไวรัส "ผู้นำอุตสาหกรรม" ที่พลาดหก นักวิจัยวิเคราะห์ข้อมูลจากลูกค้ากว่า 1, 000 รายที่ใช้ไฟร์วอลล์รุ่นต่อไปของ บริษัท และสมัครใช้บริการเสริมของ Wildfire จากตัวอย่าง 68, 047 ที่ถูกตั้งค่าสถานะโดย WildFire เป็นมัลแวร์ 26, 363 ตัวอย่างหรือ 40 เปอร์เซ็นต์ไม่พบผลิตภัณฑ์ป้องกันไวรัส

"ปริมาณมัลแวร์ที่ไม่รู้จักจำนวนมหาศาลมาจากแหล่งข้อมูลบนเว็บและผลิตภัณฑ์ AV แบบดั้งเดิมนั้นดีกว่าในการป้องกันมัลแวร์ที่ส่งผ่านทางอีเมล" Palo Alto Networks กล่าว

มีความพยายามมากมายที่จะไม่ถูกตรวจพบ

ปัญญาชนของมัลแวร์ได้รับการจัดการอย่างยอดเยี่ยมจากเครื่องมือรักษาความปลอดภัยที่เหลืออยู่โดยไม่พบเครื่องมือรักษาความปลอดภัย นักวิจัยสังเกตพฤติกรรมมากกว่า 30 รายการเพื่อช่วยให้หลีกเลี่ยงการตรวจจับมัลแวร์เช่นมีมัลแวร์ "หลับ" เป็นเวลานานหลังจากการติดเชื้อครั้งแรกปิดการใช้งานเครื่องมือรักษาความปลอดภัยและกระบวนการระบบปฏิบัติการ ในความเป็นจริงจากรายการกิจกรรมและพฤติกรรมของมัลแวร์ที่ Palo Alto Networks ตั้งข้อสังเกต 52% มุ่งเน้นไปที่การหลบเลี่ยงการรักษาความปลอดภัยเทียบกับ 15 เปอร์เซ็นต์ซึ่งมุ่งเน้นไปที่การแฮ็คและการขโมยข้อมูล

รายงานก่อนหน้านี้จากผู้จำหน่ายรายอื่น ๆ ชี้ไปที่มัลแวร์ที่ไม่รู้จักจำนวนมากเพื่อยืนยันว่าผลิตภัณฑ์ป้องกันไวรัสนั้นไม่มีประสิทธิภาพในการทำให้ผู้ใช้ปลอดภัย Palo Alto Networks กล่าวว่าเป้าหมายของรายงานไม่ได้เรียกร้องผลิตภัณฑ์ป้องกันไวรัสที่ไม่ตรวจจับตัวอย่างเหล่านี้ แต่เพื่อระบุ commonalities ในตัวอย่างมัลแวร์ซึ่งสามารถใช้ตรวจจับภัยคุกคามในขณะที่รอให้ผลิตภัณฑ์ป้องกันไวรัสจับขึ้น

เกือบ 70 เปอร์เซ็นต์ของตัวอย่างที่ไม่รู้จักแสดง "ตัวระบุหรือพฤติกรรมที่แตกต่าง" ซึ่งสามารถใช้สำหรับการควบคุมและการบล็อกแบบเรียลไทม์พบ Palo Alto Networks ในรายงานของตน พฤติกรรมนั้นรวมถึงทราฟฟิกที่สร้างขึ้นโดยมัลแวร์รวมถึงปลายทางระยะไกลที่มัลแวร์ติดต่อ ตัวอย่างประมาณ 33 เปอร์เซ็นต์กำลังเชื่อมต่อกับโดเมนที่เพิ่งจดทะเบียนใหม่และโดเมนที่ใช้ DNS แบบไดนามิกในขณะที่ 20 เปอร์เซ็นต์พยายามส่งอีเมลรายงานพบ ผู้โจมตีมักใช้ DNS แบบไดนามิกเพื่อสร้างโดเมนแบบกำหนดเองได้ทันทีซึ่งสามารถละทิ้งได้ง่ายเมื่อผลิตภัณฑ์ด้านความปลอดภัยเริ่มขึ้นบัญชีดำ

ผู้โจมตียังใช้เว็บพอร์ตที่ไม่ได้มาตรฐานเช่นการส่งทราฟฟิกที่ไม่ได้เข้ารหัสบนพอร์ต 443 หรือใช้พอร์ตอื่นที่ไม่ใช่ 80 เพื่อส่งทราฟฟิกของเว็บ FTP โดยทั่วไปใช้พอร์ต 20 และ 21 แต่รายงานพบมัลแวร์ที่ใช้พอร์ตอื่น 237 พอร์ตเพื่อส่งทราฟฟิก FTP

ความล่าช้าในการตรวจจับมัลแวร์

ผู้จำหน่ายโปรแกรมป้องกันไวรัสใช้เวลาเฉลี่ยห้าวันในการส่งลายเซ็นสำหรับตัวอย่างมัลแวร์ที่ไม่รู้จักที่ตรวจพบทางอีเมลเมื่อเทียบกับเกือบ 20 วันสำหรับผู้ใช้บนเว็บ FTP เป็นแหล่งมัลแวร์ที่ไม่รู้จักอันดับที่สี่ แต่เกือบ 95 เปอร์เซ็นต์ของตัวอย่างยังไม่ถูกตรวจพบหลังจาก 31 วันพบว่า Palo Alto Networks มัลแวร์ที่ส่งมอบผ่านโซเชียลมีเดียมีตัวแปรที่ยังไม่ได้ตรวจพบโดยโปรแกรมป้องกันไวรัสเป็นเวลา 30 วันขึ้นไปรายงานพบว่า

"ไม่เพียง แต่เป็นโซลูชั่น AV แบบดั้งเดิมเท่านั้นที่มีโอกาสน้อยที่จะตรวจจับมัลแวร์นอกอีเมล แต่ยังต้องใช้เวลานานกว่านี้ในการครอบคลุม" รายงานพบ

ความแตกต่างของขนาดตัวอย่างส่งผลกระทบต่อประสิทธิภาพของการป้องกันไวรัสในการตรวจจับมัลแวร์ Palo Alto Networks กล่าว สำหรับภัยคุกคามที่เกิดจากอีเมลมัลแวร์เดียวกันมักถูกส่งไปยังเป้าหมายจำนวนมากทำให้ผู้ขายโปรแกรมป้องกันไวรัสจะตรวจจับและวิเคราะห์ไฟล์ได้มากขึ้น ในทางตรงกันข้ามเว็บเซิร์ฟเวอร์ใช้ polymorphism ฝั่งเซิร์ฟเวอร์ในการปรับแต่งไฟล์ที่เป็นอันตรายทุกครั้งที่มีการโหลดเว็บเพจโจมตีสร้างตัวอย่างจำนวนมากขึ้นและทำให้ตัวอย่างตรวจจับได้ยากขึ้น ความจริงที่ว่าอีเมลไม่จำเป็นต้องส่งตามเวลาจริงหมายความว่าเครื่องมือป้องกันมัลแวร์มีเวลาในการวิเคราะห์และตรวจสอบไฟล์ เว็บเป็น "เรียลไทม์มากยิ่งขึ้น" และมอบเครื่องมือรักษาความปลอดภัย "มีเวลาน้อยกว่ามากในการตรวจสอบ" ไฟล์ที่เป็นอันตรายก่อนที่จะส่งมอบให้กับผู้ใช้

“ เราเชื่อว่าเป็นสิ่งสำคัญสำหรับองค์กรในการลดปริมาณการติดเชื้อโดยรวมจากสายพันธุ์ของมัลแวร์ที่รู้จักกันเพื่อให้ทีมรักษาความปลอดภัยมีเวลาที่จะมุ่งเน้นไปที่ภัยคุกคามที่ร้ายแรงที่สุดและเป็นเป้าหมาย” ตามรายงาน