セキュリティ会社のImpervaは先月、高価なセキュリティスイートは値札に値しない可能性があり、すべてのウイルス対策プログラムが大きな盲点に苦しむことを示唆する厳しい調査を発表しました。 このような破滅的な研究には常に大量の塩が必要ですが、多くの業界専門家と話をした後、シェーカー全体が必要になる場合があります。
Impervaは、カスペルスキー、アバスト、AVG、マイクロソフト、マカフィーなどのベンダーのさまざまなセキュリティソリューションを検討しました。 彼らは、これらの歩elsをランダムに収集された82個のマルウェアサンプルと比較し、セキュリティソフトウェアが不正なソフトウェアの検出にどれだけ成功したかを調べました。
Impervaは、彼らの仕事から、マルウェア対策ソフトウェアは現代の脅威に対抗するほど高速でも応答性もないと主張しています。 Imperva氏によると、セキュリティソフトウェアは「大量の同一サンプルで急速に拡散するマルウェアの検出がはるかに優れていますが、限られた分布(政府支援攻撃など)の亜種は通常大きなチャンスを残します」
また、ユーザーがウイルス対策に費やすお金とソフトウェアが提供するセキュリティとの間に相関関係がないことを発見し、個人および企業の顧客の両方がフリーウェアの選択肢を検討することを示唆しています。
Independent Labsのプッシュバック
この調査は多くの注目を集めましたが、セキュリティの専門家や調査で名前を挙げられた企業の一部と話をしたところ、Security Watchは調査に深刻な欠陥があると信じている多くの人を見つけました。
ほぼすべてのラボやセキュリティ会社が、Impervaのマルウェアのサンプルサイズが小さすぎて、調査による結論を裏付けられないと感じていました。 AV-Testのアンドレアスマルクスは、彼の会社が毎週約100万の新しいユニークなマルウェアのサンプルを受け取っていると語った。 同様に、AV-ComparativesのPeter Stelzhammerは、毎日142, 000の新しい悪意のあるファイルを受け取っていると語っています。
Impervaは、彼らの側では、意図的に少量のサンプリングを使用したが、既存の脅威を実証していると主張しました。 「マルウェアの選択には偏りはありませんでしたが、攻撃を構築するための潜在的な方法を反映して、Webからランダムに取得されました」とImperva氏は述べています。
しかし、NSS LabsのリサーチディレクターであるRandy Abramsは、Impervaの方法論について、まったく異なる解釈をしていました。 「ファイル名の検索は、洗練された攻撃や他のほとんどのマルウェアも逃すことが保証されています」とAbramsはSecurity Watchに語り、調査のためにマルウェアを見つけるためにImpervaが使用した手段についてコメントしました。 「ロシアのフォーラムに焦点を当てると、サンプルコレクションに大きな偏りが生じます。実世界の代表的なサンプルセットを入手することについて考えがなかったことは明らかです。」
方法論の問題
研究を実施するために、ImpervaはオンラインツールVirusTotalを使用して、テストの重大な弱点として挙げられているテストを実行しました。 「このテストの問題は、実行可能ファイルの形で脅威をリッピングし、VirusTotalを使用してそれらをスキャンしたことです」とDennis LabsのSimon Edwards氏は述べています。 「VTは、マルウェア対策製品を評価する際に使用するのに適したシステムではありません。VTで使用されるスキャナーは、Webレピュテーションシステムなどの追加テクノロジーによってサポートされていないためです。」
その製品が研究で使用されたカスペルスキーも、実験でImpervaが採用したテスト方法論に疑問を呈しました。 「潜在的に危険なファイルをスキャンする場合、Impervaのスペシャリストが使用するVirusTotalサービスはフルバージョンのウイルス対策製品を使用せず、スタンドアロンスキャナーに依存しているだけです」とKaspersky LabsはSecurity Watchに対して発表した声明で述べています。
「このアプローチは、最新のウイルス対策ソフトウェアで利用可能な保護技術の大部分が単に無視されることを意味します。これは、新たな未知の脅威を検出するように設計されたプロアクティブな技術にも影響します。」
特に、VirusTotalのWebサイトの一部では、誰もがウイルス対策分析でサービスを使用することを推奨していません。 同社の「About」セクションには、「ウイルス対策比較分析を実行するツールとしてサービスが設計されていないことを繰り返すのにうんざりしています。VirusTotalを使用してウイルス対策比較分析を実行するユーザーは、方法論で多くの暗黙のエラーを起こしていることを知っている必要があります。 」
また、エイブラムスは、VirusTotalを使用して調査を実行することについて薄暗い見方をしており、このツールを使用して、テスターが望む結果に結果を歪めることができると述べました。 「有能で経験豊富なテスターは、VirusTotalを使用して純粋なコマンドラインスキャナー以外の保護機能を評価するよりもよく知っています」と彼は言いました。
Impervaは彼らの研究でVirusTotalの使用を擁護しました。 「レポートの本質は、ウイルス対策製品の比較ではありません」とImperva氏は述べています。 「むしろ、目的は、マルウェアサンプルのランダムなセットが与えられた場合に、単一のウイルス対策ソリューションと組み合わせたウイルス対策ソリューションの有効性を測定することです。」
ゼロデイ脆弱性と新たに作成されたマルウェアが問題であることに私たちが話した専門家は同意しましたが、タイミングや低検出率に関するImpervaの主張を支持するものはいませんでした。 「「実際の」ゼロデイテスト中の最低の保護率は64〜69%です」とMarxはSecurity Watchに語りました。 「平均して、テストしたすべての製品の保護率は88〜90%でした。つまり、10の攻撃のうち9が正常にブロックされ、実際に感染するのは1つだけです。」
Impervaレポートのもう1つの重要な結論は、マルウェア対策ソフトウェアがマルウェア作成者によく理解されていることです。マルウェア作成者は、作成物を微調整して保護システムを破壊します。 「攻撃者は、ウイルス対策製品を深く理解し、弱点に精通し、ウイルス対策製品の長所を特定し、インターネットでの新しいウイルス伝播の高い発生率を処理する方法を理解します」とImperva氏は調査で述べています。
「政府が支援する攻撃など、限られた分布の変種は通常、大きなチャンスの機会を残す」と研究は続けています。
Stuxnetはあなたの後ではありません
「マルウェアの男たちは本当にタフで、彼らは強くて賢い」とStelzhammerは言った。 「標的型攻撃は常に危険です。」 しかし、彼と他の人々は、マルウェアがマルウェア対策に対して特別に調整された標的型攻撃は、危険であるのと同じくらいまれであると強調しました。
すべての保護層を打ち負かすためにマルウェアを作成するために必要な労力と情報は素晴らしいものです。 「このようなテストには多くの時間とスキルが必要なので、安くはありません」とマルクスは書いています。 「しかし、それが「ターゲット」と呼ばれる理由です。」
この点で、エイブラムスは「率直に言って、Stuxnetが私のコンピューターに侵入し、自宅や雇用主のオフィスでウラン濃縮遠心分離機を攻撃することは本当に心配していません」と言った。
私たちが話したほぼ全員が、少なくとも原則として、無料のマルウェア対策ソリューションがユーザーに価値のある保護を提供できることに同意しました。 しかし、大部分は、それが企業顧客にとって実行可能なオプションであることに同意しませんでした。 Stelzhammerは、企業ユーザーがフリーソフトウェアを使用したい場合でも、ライセンス契約により使用できない場合があることを指摘しています。
「検出がすべてではない」と、Stelzhammer氏はSecurity Watchのインタビューで述べました。 「管理、クライアントへの展開、概要についてです。無料の製品でこれを実現することはできません。」
Stelzhammer氏によると、自宅の情報に基づいたユーザーは、無料のソフトウェアのレイヤーを使用して、有料のソフトウェアに匹敵する保護を提供できますが、コストは簡単です。 「彼は、フリーソフトウェアで十分に保護されたシステムを手配できますが、有料ソフトウェアの最大の利点は利便性です。」
しかし、Dennis LabsのEdwardsは、フリーソフトウェアとの有利な比較に反対しました。 「これは、長年にわたるテストの結果のすべてに反するものです」とエドワーズは言いました。 「ほとんど例外なく、最高の製品は有償です。」 これらの調査結果は、PC Magazineのマルウェア対策ソフトウェアのテストに似ています。
先月の調査の発表以来、Impervaは彼らの立場を擁護するブログ投稿を書いています。 セキュリティウォッチの講演で、Impervaのセキュリティ戦略ディレクターであるRob Rachwald氏は、「私たちの方法論に焦点を当てた批判は、今日見られる現実を欠いている」と述べました。 彼はさらに、ほとんどのデータ侵害はマルウェアの侵入の結果であり、同社は現在のマルウェア対策モデルが単に機能していないことの証拠であると考えています。
Impervaの結論には本質的な真実があるかもしれませんが、私たちが話した専門家は誰もこの研究を肯定的に見ていませんでした。 「通常、ベンダーが後援するテストには警告しますが、このテストが独立した組織によって実行された場合は、組織自体に警告します」とNSS Labsのエイブラムスは書きました。 「このような信じられないほど洗練されていない方法論、不適切なサンプル収集基準、サポートされていない結論が1つのPDFにまとめられることはめったにありません。」
Maxの詳細については、Twitter @wmaxeddyで彼をフォローしてください。