Rumah Jam keamanan Industri antivirus harus fokus pada deteksi berbasis perilaku

Industri antivirus harus fokus pada deteksi berbasis perilaku

Video: NALAR Ep. 17. REVOLUSI INDUSTRI 4.0 (Desember 2024)

Video: NALAR Ep. 17. REVOLUSI INDUSTRI 4.0 (Desember 2024)
Anonim

Virus komputer telah ada selama bertahun-tahun. Pada hari-hari awal, deteksi adalah masalah pencocokan file yang sederhana terhadap serangkaian tanda tangan yang diketahui. Beberapa program antivirus bahkan memasukkan daftar semua ancaman yang dapat mereka deteksi. Hal-hal yang sangat berbeda hari ini, dengan penulis malware bekerja keras untuk membuat malware yang berubah dan berkembang sehingga tidak dapat ditangkap oleh deteksi berbasis tanda tangan. Saya berbicara dengan Roger Thompson, Kepala Peneliti Ancaman Muncul untuk Lab ICSA, tentang bagaimana program anti-malware perlu berubah, dan bagaimana pengujian produk ini perlu diubah.

The Way Things Were

Rubenking: Bisakah Anda mengatakan beberapa kata tentang apa sebenarnya ICSA Labs itu, dan apa fungsinya?

Thompson: Kami mensertifikasi produk antivirus berdasarkan kriteria historis yang disepakati. Kembali di tahun 90-an ada kebutuhan untuk membedakan antara hype antivirus dan aktual, hasil dunia nyata. Seingat Anda, saat itu orang dapat mengatakan apa pun yang mereka sukai tentang produk mereka, dan tidak ada yang bisa membuktikan atau membantahnya. Ada kebutuhan bagi seseorang dengan otak untuk mengatakan, "Ini bekerja, ini tidak bekerja, ini tidak melakukan apa yang dikatakannya."

Vendor setuju bahwa mereka membutuhkan pihak ketiga yang netral untuk melakukan ini. Tentu saja, itu selalu lebih penting untuk menguji terhadap virus yang benar-benar hadir di alam daripada melawan "kebun binatang" yang dikenal. Jadi, daftar liar itu tumbuh dari kebutuhan itu - sebuah kumpulan malware yang dikenal netral oleh vendor.

Juga di tahun 90-an, Alan Solomon meyakinkan semua orang bahwa metode generik untuk mendeteksi malware adalah ide yang buruk. Yang diinginkan adalah beberapa pemindai yang bisa menentukan dengan pasti apa yang ada dan bagaimana cara menghapusnya. Dunia setuju, dan memberikan suara dengan dompet mereka untuk mendukung pemindai semacam itu.

Masalah dengan deteksi generik, secara historis, adalah bahwa hal itu menyebabkan panggilan dukungan. Antivirus mengatakan, kami melihat beberapa proses pada sistem Anda memodifikasi executable, atau beberapa file executable berubah; apakah kamu mengubahnya? Itu menghasilkan panggilan dukungan, dan Fortune 500 tidak menyetujui. Antivirus berbasis tanda tangan juga mengatakan "itu virus!" atau tidak mengatakan apa-apa.

Bagaimana Ini Akan Menjadi

Thompson: Masih ada kebutuhan dasar untuk menguji pemindai berbasis tanda tangan, untuk memastikan mereka mengikuti. Bisakah mereka mendeteksinya? Itu yang telah dilakukan, dan masih ada kebutuhan. Namun, jumlahnya telah banyak berubah, ada banyak hal bulu yang dibuat setiap hari. Yang diperlukan sekarang adalah juga untuk menguji kemampuan anti-malware untuk mendeteksi hal-hal yang belum pernah mereka lihat sebelumnya.

Rubenking: Fluff things? Apa yang Anda maksud dengan itu?

Thompson: Anda tahu, tidak ada yang tahu angka sebenarnya. Orang-orang ESET memberi tahu saya lebih dari satu bir bahwa mereka melihat 600.000 sampel malware unik baru setiap hari. Saya ingat sebuah laporan dari Symantec mengklaim jutaan item baru dan unik setiap hari. Tetapi kenyataannya adalah, mayoritas dibuat secara algoritmik. Orang jahat hanya mengubah beberapa kode tidak penting, mengkompilasi ulang, mengemas ulang, dan mengenkripsi ulang. Kemudian mereka memeriksa apakah pemindai saat ini mendeteksi versi baru. Jika tidak, mereka melepaskannya.

Sangat mudah untuk mendeteksi apa yang sudah Anda ketahui. Ini seperti pasar saham; "hanya" beli rendah dan jual tinggi. Masalahnya, dengan virus-virus unik ini perilaku yang mendasarinya tidak berubah, hanya bagian-bagian kecil yang mengembang. Aktivitas, modifikasi Registry, mengubah fileā€¦ perilaku itu tidak berubah. Jadi pengujian harus bergerak untuk memasukkan pemblokiran perilaku sebagai bagian dari kesepakatan.

Rubenking: Apakah Anda akan segera menambahkan pengujian generasi berikutnya?

Thompson: Kami berusaha membuat vendor menyetujui itu adalah hal yang baik. Mereka umumnya setuju, tetapi sebenarnya melakukan pengujian itu tidak mudah.

Rubenking: Seperti apa proses baru Anda?

Thompson: Sulit; itu sebabnya orang tidak mau melakukannya. Anda mulai dengan sistem bersih, jalankan malware, dan lihat apakah itu terinstal. Anda harus dapat memeriksa sistem secara forensik sesudahnya. Apakah malware menginfeksi sistem? Apakah itu mengubah kunci Registry? Apakah itu menjadi gigih, sehingga dapat bertahan hidup restart? Maka Anda harus mengembalikan ke garis dasar yang bersih untuk melakukannya lagi.

Rubenking: Kedengarannya sangat mirip dengan pengujian dinamis yang dilakukan oleh AV-Comparatives.

Thompson: Ya, sangat mirip.

Rubenking: Anda siap untuk pergi, tetapi vendor tidak, kalau begitu? Jadi, Anda tidak tahu kapan pengujian baru akan berlaku?

Thompson: Kami siap untuk pergi. Saya tidak tahu apa statusnya dengan vendor; kami akan menghubungi Anda untuk itu.] Juga, bagian dari masalah ini adalah menemukan sumber malware kami sendiri, memanen umpan spam dan semacamnya. Kita perlu tahu apa yang sebenarnya ada di luar sana.

Jadikan Hidup Sulit untuk Orang Jahat

Thompson: Ini jalan yang benar ke depan. Kami tidak bisa berhenti melakukan apa yang selalu kami lakukan, tetapi ketika vendor anti-malware menambahkan pemblokiran berbasis perilaku, menjadi lebih sulit bagi orang jahat untuk dikalahkan. Mereka dapat mengalahkan tanda tangan dengan mengutak-atik hal-hal yang tidak penting, tetapi untuk mengalahkan pemblokiran perilaku mereka harus benar-benar mengubah perilaku, dan menangani definisi perilaku yang berbeda.

Rubenking: Jadi, beragam vendor anti-malware dengan berbagai jenis pemblokiran perilaku akan membuat hidup lebih sulit bagi orang jahat?

Thompson: Tepat. Ini seperti analogi keju Swiss. Satu keju memiliki lubang, tetapi jika Anda melapisinya dengan keju lain, itu menutupi lubangnya. Masukan bit yang cukup dan tidak ada lubang yang tersisa.

Rubenking: Terima kasih, Roger!

Industri antivirus harus fokus pada deteksi berbasis perilaku