セキュリティウォッチ ウイルス対策業界は、行動ベースの検出に注力する必要があります

ウイルス対策業界は、行動ベースの検出に注力する必要があります

ビデオ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (十一月 2024)

ビデオ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (十一月 2024)
Anonim

コンピューターウイルスは、長年にわたって存在しています。 初期の頃、検出は、既知のシグネチャセットに対してファイルを照合するという単純な問題でした。 一部のウイルス対策プログラムには、検出可能なすべての脅威のリストも含まれていました。 最近は状況が大きく異なり、マルウェア作成者は、シグネチャベースの検出では検出できないように、変形および進化するマルウェアを作成するために一生懸命働いています。 ICSA Labsのチーフエマージングスレットリサーチャーであるロジャートンプソンに、マルウェア対策プログラムの変更方法、およびこれらの製品のテストの変更方法について話を聞きました。

物事の方法

Rubenking :ICSA Labsが何であり、それが何をするのかを正確に説明していただけますか?

トンプソン :ウイルス対策製品は、合意された過去の基準に照らして認定しています。 90年代に、アンチウイルスの誇大広告と実際の実際の結果を区別する必要がありました。 あなたが思い出すように、当時、人々は彼らの製品について好きなことを言うことができ、誰もそれを証明または反証することができませんでした。 「これは機能する、これは機能しない、これは言うことをしない」という脳を持つ誰かが必要でした。

ベンダーは、これを行うには中立的な第三者が必要であることに同意しました。 もちろん、既知の「動物園」に対するよりも、実際に野生に存在するウイルスに対してテストすることが常に重要です。 そのため、ワイルドリストはそのニーズから生まれました。ベンダーに中立な既知のマルウェアの複合体です。

また、90年代に、アランソロモンは、マルウェアを検出する一般的な方法は悪い考えだと全員に確信させました。 代わりに求められていたのは、存在するウイルスと その 除去方法を 正確に 特定できるスキャナーです。 世界は同意し、その種のスキャナーをサポートするためにポケットブックで投票しました。

歴史的に、一般的な検出の問題は、サポートコールが発生することです。 アンチウイルスによると、システム上で実行可能ファイルが変更されているか、実行可能ファイルが変更されています。 変更しましたか? その結果、サポートコールが発生し、Fortune 500は承認しません。 署名ベースのウイルス対策ソフトは、「ウイルスだ!」と言っています。 またはまったく何も言わない。

どのようになります

Thompson :署名ベースのスキャナーをテストして、それらが維持されることを確認する基本的な必要性がまだあります。 彼らはそれを検出できますか? それが行われたものであり、まだ必要性があります。 ただし、数値は大きく変化しているため、毎日多数の綿毛が作成されています。 今必要なことは、マルウェア対策の能力をテストして、今まで見たことのないものを検出することでもあります。

ルーベンキング :綿毛のもの? それはどういう意味ですか?

トンプソン :本当の数字は誰も知らない。 ESETの担当者は、ビールを飲みながら、毎日600, 000の新しいユニークなマルウェアのサンプルを見ていると言った。 シマンテックが毎日100万の新しいユニークなアイテムを主張しているという報告を覚えています。 しかし、真実は、大半がアルゴリズムによって作成されているということです。 悪者は、重要でないコードを変更し、再コンパイル、再パック、再暗号化するだけです。 次に、現在のスキャナーが新しいバージョンを検出するかどうかを確認します。 そうでない場合、彼らはそれを解放します。

既に知っていることを簡単に検出できます。 株式市場のようなものです。 「ちょうど」安く買い、高く売る。 問題は、これらのユニークなウイルスでは、基本的な動作は変わらず、ふわふわしたビットだけです。 アクティビティ、レジストリの変更、ファイルの変更…その動作は変わりません。 そのため、取引の一部として行動のブロックを組み込むためにテストを移動する必要があります。

Rubenking :この次世代テストをすぐに追加しますか?

トンプソン :私たちはベンダーにそれが良いことだと認めるようにしています。 彼らは一般的に同意しますが、実際にテストを行うことはそれほど簡単ではありません。

Rubenking :新しいプロセスはどのようなものですか?

トンプソン :難しい。 それが人々がそれをしたくない理由です。 クリーンなシステムから始めてマルウェアを実行し、インストールされるかどうかを確認します。 その後、システムを法医学的に調べることができなければなりません。 マルウェアはシステムに感染しましたか? レジストリキーを変更しましたか? 再起動を生き残るために、それは永続的になりましたか? 次に、クリーンなベースラインに復元して再度実行する必要があります。

Rubenking :これは、AV-Comparativesが実行した動的テストによく似ています。

トンプソン :はい、とても似ています。

Rubenking :準備はできていますが、ベンダーはそうではありませんか? 新しいテストがいつ有効になるかわかりませんか?

トンプソン :準備ができました。 ベンダーの状況がよくわかりません。 それについてご連絡いたします。]また、問題の一部は、独自のマルウェアのソースの発見、スパムフィードの収集などです。 何が本当にあるのかを知る必要があります。

悪者のためにタフな人生を

トンプソン :これは正しい方法です。 私たちはこれまでやってきたことをやめることはできませんが、マルウェア対策ベンダーが行動ベースのブロックを追加すると、悪者が勝つことが難しくなります。 重要でないものを微調整することで署名を打つことができますが、動作のブロックを打つには、実際に動作を変更し、動作のさまざまな定義を処理する必要があります。

Rubenking :それでは、さまざまな種類の行動ブロックを備えたマルウェア対策ベンダーの多様なセットは、 悪者にとって人生を困難にするでしょうか?

トンプソン :そのとおり。 スイスチーズの例えに似ています。 少しのチーズには穴がありますが、別のビットの上に重ねると穴が覆われます。 十分なビットを装着すると、穴が残りません。

ルーベンキング :ありがとう、ロジャー!

ウイルス対策業界は、行動ベースの検出に注力する必要があります