ผู้เชี่ยวชาญได้ทำการศึกษาโปรแกรมป้องกันไวรัส

บริษัท รักษาความปลอดภัย Imperva เปิดตัวการศึกษาที่น่ากลัวเมื่อเดือนที่แล้วแสดงให้เห็นว่าชุดรักษาความปลอดภัยราคาแพงอาจไม่คุ้มค่ากับราคาและโปรแกรมป้องกันไวรัสทั้งหมดต้องทนทุกข์ทรมานจากจุดบอดขนาดใหญ่ การวิจัยที่ดูหมิ่นและเศร้าหมองเช่นนี้ต้องใช้เกลือจำนวนมาก แต่หลังจากพูดคุยกับผู้เชี่ยวชาญในอุตสาหกรรมจำนวนมากอาจจำเป็นต้องใช้เครื่องปั่นทั้งหมด

Imperva มองไปที่โซลูชันด้านความปลอดภัยที่หลากหลายจากผู้ค้าเช่น Kaspersky, Avast, AVG, Microsoft และ McAfee เพื่อตั้งชื่อไม่กี่ พวกเขาเลือกใช้ยามรักษาการณ์เหล่านี้จากตัวอย่างมัลแวร์ 82 ตัวอย่างที่สุ่มตรวจสอบว่าซอฟต์แวร์ความปลอดภัยประสบความสำเร็จในการตรวจจับซอฟต์แวร์หลอกลวงหรือไม่

จากการทำงาน Imperva ยืนยันว่าซอฟต์แวร์ต่อต้านมัลแวร์นั้นไม่เร็วหรือตอบสนองได้ดีพอที่จะต่อสู้กับภัยคุกคามที่ทันสมัย ซอฟต์แวร์รักษาความปลอดภัยเขียน Imperva คือ "ดีกว่ามากในการตรวจจับมัลแวร์ที่แพร่กระจายอย่างรวดเร็วในปริมาณมหาศาลของตัวอย่างที่เหมือนกันในขณะที่สายพันธุ์ที่มีการกระจาย จำกัด (เช่นการโจมตีจากผู้สนับสนุนจากรัฐบาล)

พวกเขายังไม่พบความสัมพันธ์ระหว่างเงินที่ผู้ใช้จ่ายกับการป้องกันไวรัสและความปลอดภัยที่จัดทำโดยซอฟต์แวร์และแนะนำว่าลูกค้าทั้งรายบุคคลและองค์กรดูทางเลือกฟรีแวร์

Labs อิสระผลักดันกลับ

การศึกษาดังกล่าวได้รับความสนใจเป็นอย่างมาก แต่เมื่อพูดกับผู้เชี่ยวชาญด้านความปลอดภัยและ บริษัท บางแห่งที่มีชื่ออยู่ในการศึกษานี้ Security Watch พบว่ามีหลายคนที่เชื่อว่าการศึกษามีข้อบกพร่องอย่างลึกซึ้ง

เกือบทุกแล็บหรือ บริษัท รักษาความปลอดภัยรู้สึกว่าขนาดตัวอย่างของมัลแวร์ของ Imperva นั้นเล็กเกินไปที่จะสนับสนุนข้อสรุปจากการศึกษา Andreas Marx ของ AV-Test บอกเราว่า บริษัท ของเขาได้รับตัวอย่างมัลแวร์ใหม่ที่ไม่ซ้ำกันประมาณล้านตัวอย่างต่อสัปดาห์ ในทำนองเดียวกัน Peter Stelzhammer จาก AV-Comparatives บอกเราว่าพวกเขาได้รับไฟล์ที่เป็นอันตรายใหม่วันละ 142, 000 ไฟล์

ในส่วนของพวกเขา Imperva เขียนในการศึกษาว่าพวกเขาตั้งใจใช้การสุ่มตัวอย่างเล็ก ๆ แต่ยืนยันว่าเป็นการสาธิตการคุกคามที่มีอยู่ "การเลือกมัลแวร์ของเราไม่ได้ลำเอียง แต่สุ่มจากเว็บซึ่งสะท้อนวิธีการที่เป็นไปได้ในการสร้างการโจมตี" Imperva เขียน

อย่างไรก็ตามผู้อำนวยการฝ่ายวิจัยของ NSS Labs Randy Abrams มีการตีความวิธีการของ Imperva ที่แตกต่างกันอย่างมาก "การค้นหาชื่อไฟล์รับประกันว่าจะพลาดการโจมตีที่ซับซ้อนและมัลแวร์อื่น ๆ ส่วนใหญ่เช่นกัน" เอบรัมส์บอก Security Watch แสดงความคิดเห็นเกี่ยวกับวิธีที่ Imperva ใช้เพื่อค้นหามัลแวร์สำหรับการศึกษา "การมุ่งเน้นไปที่ฟอรัมของรัสเซียมีความหมายอย่างมากต่อการเก็บตัวอย่างเป็นที่ชัดเจนว่าไม่มีความคิดใดที่จะได้รับตัวอย่างที่เป็นตัวแทนของโลกแห่งความเป็นจริง"

ปัญหาวิธีการ

เพื่อทำการศึกษา Imperva ใช้เครื่องมือออนไลน์ VirusTotal ทำการทดสอบซึ่งถูกอ้างว่าเป็นจุดอ่อนที่สำคัญของการทดสอบ Simon Edwards จาก Dennis Labs กล่าวว่า "ปัญหาของการทดสอบนี้คือมันเป็นการข่มขู่ในรูปแบบของไฟล์ปฏิบัติการและจากนั้นทำการสแกนโดยใช้ VirusTotal" Simon Edwards แห่ง Dennis Labs กล่าว "VT ไม่ใช่ระบบที่เหมาะสมที่จะใช้เมื่อประเมินผลิตภัณฑ์ต่อต้านมัลแวร์ส่วนใหญ่เนื่องจากสแกนเนอร์ที่ใช้ใน VT ไม่ได้รับการสนับสนุนโดยเทคโนโลยีเพิ่มเติมเช่นระบบชื่อเสียงของเว็บ"

Kaspersky Labs ซึ่งเป็นผลิตภัณฑ์ที่ใช้ในการศึกษายังตั้งคำถามถึงวิธีการทดสอบที่ใช้โดย Imperva ในการทดลอง "เมื่อสแกนหาไฟล์ที่อาจเป็นอันตรายบริการ VirusTotal ที่ใช้โดยผู้เชี่ยวชาญของ Imperva ไม่ได้ใช้ผลิตภัณฑ์ป้องกันไวรัสเวอร์ชันเต็ม แต่อาศัยพึ่งสแกนเนอร์แบบสแตนด์อโลน" Kaspersky Labs กล่าวในแถลงการณ์ที่ออกให้ Security Watch

"วิธีการนี้หมายความว่าเทคโนโลยีการป้องกันส่วนใหญ่ที่มีอยู่ในซอฟต์แวร์ป้องกันไวรัสสมัยใหม่จะถูกเพิกเฉยเพียงอย่างเดียวนี่ยังส่งผลต่อเทคโนโลยีเชิงรุกที่ออกแบบมาเพื่อตรวจจับภัยคุกคามใหม่ ๆ ที่ไม่รู้จัก"

โดยเฉพาะอย่างยิ่งส่วนหนึ่งของเว็บไซต์ VirusTotal ไม่สนับสนุนให้ใครก็ตามที่ใช้บริการของพวกเขาในการวิเคราะห์แอนติไวรัส ส่วน 'เกี่ยวกับ' ของ บริษัท อ่านว่า "เรารู้สึกเบื่อหน่ายกับการทำซ้ำว่าบริการไม่ได้ถูกออกแบบมาเป็นเครื่องมือในการวิเคราะห์เปรียบเทียบไวรัสผู้ที่ใช้ VirusTotal ทำการวิเคราะห์เปรียบเทียบไวรัสควรรู้ว่าพวกเขากำลังทำข้อผิดพลาดโดยนัยในวิธีการของพวกเขา "

อับรามยังใช้มุมมองที่มืดมนในการใช้ VirusTotal เพื่อทำการศึกษากล่าวว่าเครื่องมือนี้สามารถใช้ในการเอียงผลลัพธ์ไปสู่สิ่งที่ผู้ทดสอบต้องการ "ผู้ทดสอบที่มีประสบการณ์และเชี่ยวชาญรู้ดีกว่าการใช้ VirusTotal เพื่อประเมินความสามารถในการป้องกันของสิ่งอื่นนอกเหนือจากเครื่องสแกนบรรทัดคำสั่งที่บริสุทธิ์" เขากล่าว

Imperva ปกป้องการใช้ VirusTotal ในการศึกษาของพวกเขา "สาระสำคัญของรายงานไม่ใช่การเปรียบเทียบผลิตภัณฑ์แอนตี้ไวรัส" Imperva เขียน "มีจุดประสงค์เพื่อวัดประสิทธิภาพของโซลูชั่นป้องกันไวรัสเพียงตัวเดียวรวมถึงโซลูชั่นป้องกันไวรัสแบบรวมที่ได้รับตัวอย่างของมัลแวร์แบบสุ่ม"

ในขณะที่ผู้เชี่ยวชาญที่เราพูดด้วยเห็นด้วยว่าช่องโหว่ zero-day และมัลแวร์ที่สร้างขึ้นใหม่เป็นปัญหา แต่ไม่มีใครสนับสนุน Imperva เกี่ยวกับการกำหนดเวลาหรืออัตราการตรวจจับต่ำ “ อัตราการป้องกันต่ำที่สุดในระหว่างการทดสอบ zero-day ที่แท้จริงของโลกคือ 64-69 เปอร์เซ็นต์” Marx กล่าวกับ Security Watch "โดยเฉลี่ยเราเห็นอัตราการป้องกัน 88-90 เปอร์เซ็นต์สำหรับผลิตภัณฑ์ที่ผ่านการทดสอบทั้งหมดซึ่งหมายความว่าการโจมตี 9 จาก 10 ครั้งจะถูกบล็อกสำเร็จแล้วเพียง 1 รายเท่านั้นที่จะทำให้เกิดการติดเชื้อ"

อีกข้อสรุปสำคัญของรายงาน Imperva คือซอฟต์แวร์ป้องกันมัลแวร์เป็นที่เข้าใจกันอย่างดีจากผู้สร้างมัลแวร์ซึ่งปรับแต่งการสร้างสรรค์เพื่อล้มล้างระบบการป้องกัน “ ผู้โจมตีเข้าใจผลิตภัณฑ์แอนติไวรัสอย่างลึกซึ้งคุ้นเคยกับจุดอ่อนระบุจุดแข็งของผลิตภัณฑ์แอนติไวรัสและเข้าใจวิธีการจัดการกับการแพร่กระจายของไวรัสใหม่ในอินเทอร์เน็ต” Imperva กล่าวในการศึกษา

การศึกษายังคงดำเนินต่อไป "สายพันธุ์ที่มีการกระจาย จำกัด (เช่นการโจมตีที่ได้รับการสนับสนุนจากรัฐบาล) มักจะปล่อยให้โอกาสมากมาย"

Stuxnet ไม่เกิดขึ้นหลังจากคุณ

Stelzhammer กล่าวว่า "พวกมัลแวร์นั้นแข็งแกร่งมากพวกเขาแข็งแกร่งและชาญฉลาด" "การโจมตีเป้าหมายนั้นอันตรายเสมอ" แต่เขาและคนอื่น ๆ เน้นว่าการโจมตีเป้าหมายที่มัลแวร์นั้นออกแบบมาเพื่อต่อต้านมัลแวร์โดยเฉพาะนั้นหาได้ยากเช่นเดียวกับที่เป็นอันตราย

ความพยายามและข้อมูลที่จำเป็นในการสร้างมัลแวร์ชิ้นหนึ่งเพื่อเอาชนะการปกป้องทุกชั้นนั้นยอดเยี่ยม “ การทดสอบดังกล่าวต้องใช้เวลาและทักษะอย่างมากดังนั้นจึงไม่ถูก” มาร์กซ์เขียน "แต่นั่นคือเหตุผลที่พวกเขาถูกเรียกว่า 'กำหนดเป้าหมาย'"

ในจุดนี้อับรามส์เหน็บ "พูดตามตรงฉันไม่ได้เกี่ยวข้องกับ Stuxnet เข้าไปในคอมพิวเตอร์ของฉันและโจมตีเครื่องหมุนเหวี่ยงยูเรเนียมที่สมบูรณ์ที่บ้านหรือที่ทำงานของนายจ้าง"

เกือบทุกคนที่เราคุยด้วยเห็นด้วยอย่างน้อยที่สุดก็ในหลักการแล้วว่าโซลูชั่นป้องกันมัลแวร์ฟรีสามารถให้การปกป้องที่คุ้มค่าแก่ผู้ใช้ อย่างไรก็ตามส่วนใหญ่ไม่เห็นด้วยว่ามันเป็นตัวเลือกที่ทำงานได้สำหรับลูกค้าองค์กร Stelzhammer ชี้ให้เห็นว่าแม้ว่าผู้ใช้องค์กรต้องการใช้ซอฟต์แวร์ฟรีข้อตกลงสิทธิ์ใช้งานบางครั้งก็ป้องกันไม่ให้ทำเช่นนั้น

“ มันไม่ได้เกี่ยวกับการตรวจจับ” Stelzhammer กล่าวในการให้สัมภาษณ์กับ Security Watch "มันเกี่ยวกับการบริหารมันเกี่ยวกับการเปิดตัวให้กับลูกค้าเกี่ยวกับภาพรวมคุณจะไม่ได้รับสิ่งนี้ด้วยผลิตภัณฑ์ฟรี"

Stelzhammer ผู้ใช้ที่ได้รับข้อมูลที่บ้านสามารถใช้ซอฟต์แวร์ฟรีเพื่อให้ความคุ้มครองเทียบเท่ากับซอฟต์แวร์ที่ต้องชำระเงิน แต่ต้องเสียค่าใช้จ่าย "เขาสามารถจัดระบบที่ได้รับการปกป้องอย่างดีพร้อมซอฟต์แวร์ฟรี แต่ข้อดีที่ใหญ่ที่สุดของซอฟต์แวร์แบบชำระเงินคือความสะดวกสบาย"

อย่างไรก็ตาม Edwards of Dennis Labs ไม่เห็นด้วยกับการเปรียบเทียบที่ดีกับซอฟต์แวร์ฟรี "นี่เป็นสิ่งที่ตรงกันข้ามกับการค้นพบทั้งหมดของเราในช่วงหลายปีของการทดสอบ" เอ็ดเวิร์ดกล่าว "เกือบจะไม่มีข้อยกเว้นผลิตภัณฑ์ที่ดีที่สุดจะได้รับเงิน" การค้นพบนี้คล้ายกับการทดสอบซอฟต์แวร์มัลแวร์ของ PC Magazine

ตั้งแต่ตีพิมพ์ผลการศึกษาเมื่อเดือนที่แล้ว Imperva ได้เขียนโพสต์บล็อกเพื่อปกป้องตำแหน่งของพวกเขา Rob Watch Rachwald ผู้อำนวยการฝ่ายกลยุทธ์การรักษาความปลอดภัยของ Imperva กล่าวว่า "คำวิจารณ์ใด ๆ ที่มุ่งเน้นวิธีการของเราจะหายไปจากความเป็นจริงที่เราเห็นในวันนี้" เขากล่าวต่อไปว่าการละเมิดข้อมูลส่วนใหญ่เป็นผลมาจากการบุกรุกของมัลแวร์ซึ่ง บริษัท เห็นว่าเป็นข้อพิสูจน์ว่ารูปแบบการป้องกันมัลแวร์ในปัจจุบันนั้นใช้งานไม่ได้

แม้ว่าอาจจะมีความจริงที่ซ่อนเร้นอยู่กับบทสรุปของ Imperva แต่ก็ไม่มีผู้เชี่ยวชาญที่เราพูดด้วยดูการศึกษาในเชิงบวก "โดยทั่วไปฉันเตือนการทดสอบที่ผู้ขายให้การสนับสนุน แต่ถ้าการทดสอบนี้ดำเนินการโดยองค์กรอิสระฉันจะเตือนองค์กรเอง" เอบรัมส์ของ NSS Labs เขียน "เป็นเรื่องยากที่ฉันจะพบกับวิธีการที่ไม่ซับซ้อนอย่างไม่น่าเชื่อเกณฑ์การเก็บตัวอย่างที่ไม่เหมาะสมและข้อสรุปที่ไม่ได้รับการสนับสนุนห่อด้วย PDF เดียว"

สำหรับข้อมูลเพิ่มเติมจาก Max ติดตามเขาบน Twitter @wmaxeddy