Результаты тестов: на антивирусы полагаться нельзя
02.12.2008
Инерционная сущность индустрии IT-безопасности уже хорошо известна. Она ставит защищающуюся сторону в невыгодное по сравнению с атакующими положение. К сожалению, есть и еще одна проблема, решить которую очень непросто. Она заключается в том, что научить антивирус реагировать на новые угрозы, не допуская при этом ложных срабатываний весьма нелегко. И хотя в теории современным антивирусам удалось добиться кое-каких успехов на этом поприще, исследование, проведенное старшим аналитиком FireEye Стюартом Стенифордом, еще раз наглядно демонстрирует, что в тех неводах, которыми мы ловим вирусы, гораздо больше прорех, чем все привыкли думать.
Чтобы быть до конца объективными, сразу уточним, что компания FireEye тоже продает решения в области безопасности, а сам Стюарт Стенифорд работает в ней старшим научным сотрудником. Поэтому рассматривать результаты проделанной им работы стоит с некоторой осторожностью, хотя свою принадлежность к конкретному разработчику Стенифорд и не думает скрывать, а используемая их методика тестирования подробно изложена в блоге.
Согласно его изысканиям, антивирусные решения, предлагаемые FireEye, начинают обнаруживать новое вредоносное ПО примерно в то же самое время, как его коды появляются на VirusTotal. К сожалению, промежуток времени, который проходит между обнаружением VirusTotal новых хэшей и моментом появления соответствующих сигнатур в большинстве антивирусов, можно назвать удручающе большим.
Согласно результатам проведенного исследования, лишь 40% антивирусных продуктов начинают обнаруживать новые угрозы в течение трех дней с момента их появления в Интернете. С течением времени этот процент существенно возрастает, однако стопроцентного результата добиться не удается даже спустя месяцы после появления угроз. Последствия таких задержек могут быть весьма серьезными, поскольку в первые дни после своего появления вредоносное ПО гуляет по Сети практически безнаказанно.
