Наступил ли конец антивируса?

Опубликовано: 7 Апреля, 2023

Введение

Поставщики утверждают, что конец антивирусов близок. Антивирусное сканирование оказалось очень неэффективным, но это традиционный способ выявления новых вирусов: многие из самых популярных антивирусных программ обнаруживают 50-70% вирусов, и только 2% вирусов обнаруживаются всеми типами антивирусного сканирования. Это ставит всех в очень уязвимое положение. Другие говорят, что еще слишком рано полностью списывать со счетов антивирусное программное обеспечение, поскольку, хотя антивирус не может быть идеальным решением, это все, на что мы можем полагаться в настоящее время, новые средства защиты находятся только на начальном этапе эволюции.

Проблема, с которой мы сталкиваемся, заключается в скорости разработки вредоносного ПО и его сложности. Предыдущее вредоносное ПО, разрабатывавшееся в шутку или для того, чтобы произвести впечатление на других, больше не имеет места, разработка вредоносного ПО теперь осуществляется авторитетными, профессиональными и целеустремленными организациями и превратилась в криминальное ПО. Вредоносное ПО, с которым сейчас сталкивается наш антивирус, усовершенствовано и намеренно закодировано, чтобы избежать обнаружения различными доступными антивирусными пакетами.

Большинство антивирусных систем обнаруживают распространенные вредоносные программы, однако они бессильны в обнаружении новых целевых вредоносных программ, которые сегодня все чаще встречаются в бизнес-сетях. Антивирус — это реактивная технология, означающая, что вирус сначала необходимо изучить, чтобы определить его «сигнатуру», прежде чем можно будет разработать программу для его удаления. Этот «реактивный» процесс является частью проблемы, так как его устранение может занять от нескольких часов до многих лет, оставляя зазор для чрезмерного повреждения.

Реальность антивируса в 2013 году

Не секрет, что антивирус очень неэффективен, когда дело доходит до обнаружения вредоносных программ. Некоторые могут работать немного лучше, чем другие, однако ни один из них не идеален.

Большинство антивирусных программ имеют все возможности для распознавания угроз, но работают они неэффективно. Точность низкая, много ложноотрицательных или ложноположительных результатов. Когда в смесь добавляются новые угрозы, точность ухудшается еще больше. Большинство антивирусных компаний плохо справляются с защитой от этих многочисленных угроз или просто не могут справиться с непрерывным потоком постоянно меняющихся вредоносных программ.

Имея это в виду, недавние оценки антивирусного рынка показали, что антивирусное программное обеспечение все еще существует и будет по-прежнему использоваться большинством компаний в 2013 году, несмотря на его сомнительную защиту.

Причины, по которым компании все еще предпочитают использовать антивирус

  • Большинство предприятий продолжают использовать лицензионное антивирусное программное обеспечение, чтобы соответствовать требованиям компании.
  • Бесплатный антивирус предназначен для использования потребителем и редко предлагает возможности бизнес-развертывания и управления, необходимые бизнесу.
  • Большинству предприятий не хватает правильного понимания векторов угроз, что препятствует переходу на более эффективные технологии безопасности.
  • Большинство предприятий полагаются на общие ИТ для обеспечения безопасности и считают, что антивируса и брандмауэра достаточно. Это означает, что большинство предприятий не обладают необходимыми знаниями об угрозах для проведения точной оценки рисков и соответствующих мер безопасности.
  • Бизнес держится в руинах. Они не могут улучшить свою защиту, потому что большинство из них не видят необходимости в изменениях, антивирус и брандмауэр по периметру работали в прошлом, поэтому другой подход не является необходимостью. Это будет просто связано с дополнительными «ненужными» затратами.
  • Немногие компании применяют стратегию глубокоэшелонированной защиты.

Где используется антивирус?

Исследования показывают, что в среднем 70 % организаций заявляют, что продолжат приобретать и использовать антивирусные технологии в 2013 году. Большинство по-прежнему выбирают антивирусы как неотъемлемую часть своего режима безопасности.

3% организаций решили вообще не использовать антивирус. 5% решили сократить использование антивируса, а 1% намерены прекратить использование антивируса. Это оказывается ошибкой, так как многие из этих организаций тратят свои дни на уборку беспорядка, оставшегося после заражения.

Расходы на антивирусы составляют 90% времени, отведенного на настольные компьютеры, и 84% времени на серверы, при этом 38% расходов на антивирусы приходится на мобильные устройства. При таком изобилии мобильных сред можно ожидать, что антивирус в этой области будет намного лучше, чем он есть на самом деле.

Какие у нас есть альтернативы?

Разработано множество технологий для повышения антивирусной безопасности, и компании проявляют творческий подход к разработке новых форм безопасности.

Некоторые из изучаемых маршрутов включают следующее:

  • Блокировка на основе поведения проверяет характеристики файла, включая время разработки и места, где он был установлен, прежде чем разрешить его запуск. В 75% случаев вредоносное ПО обнаруживается с помощью таких альтернативных технологий.
  • Встраивание средств защиты в такие программы, как браузеры, которые блокируют недостатки программного обеспечения, которые потенциально могут быть использованы вредоносными программами для проникновения в машину.
  • Вместо того, чтобы блокировать «плохое», как это должны делать антивирусы и брандмауэры периметра, другая технология отслеживает доступ к серверам, базам данных и файлам в поисках подозрительной активности.
  • Белый список — это подход, который разрешает только тот трафик, который, как известно системе, является безопасным, не позволяя неизвестным файлам запускаться на машине.
  • Исследование источника атаки, источника угрозы, позволяющее выдавать ранние предупреждающие знаки, чтобы предприятия были готовы к потенциальной угрозе.
  • Поисковые роботы, которые просматривают веб-страницы, чтобы найти исполняемые файлы, которые являются вредоносными программами. После обнаружения может быть выдано предупреждение или вредоносное ПО заблокировано.
  • Мониторинг и выявление необычного поведения, а также очистка после атаки кажутся альтернативным подходом в будущем.
  • Изоляция бизнес-приложений в виртуальной среде, проверка ее на наличие подозрительной активности, прежде чем принимать обоснованное решение, пропускать трафик или нет.

Антивирусные сигнатуры

Полиморфное вредоносное ПО использует ряд методов для маскировки, чтобы избежать обнаружения, включая мутацию при каждом запуске. Этот тип вредоносного ПО предназначен для обхода традиционных антивирусных мер противодействия.

Традиционный способ антивирусной компании заключается в том, что после обнаружения нового вируса его сигнатура идентифицируется и сохраняется в базе данных сигнатур для обнаружения в будущем, однако с полиморфными вредоносными программами сигнатура постоянно меняется.

Многие начинают сомневаться в использовании сигнатур, поскольку новые варианты будут заражать несколько систем еще до того, как новые сигнатуры попадут в базу данных. Это постоянная проблема, поскольку вирус продолжает мутировать.

Некоторые вообще отказываются от подписного подхода. Вместо того, чтобы сосредоточиться на поведенческих характеристиках файла, а не на копии вредоносного ПО.

Характер использования подписи в безопасности меняется. Защиты на основе подписи недостаточно; однако на уровне безопасности все еще есть место для подписей. Подписи по-прежнему играют важную роль. Они полезны для обнаружения и очистки системы от вирусов, а также играют важную роль в расследовании и судебной экспертизе. Они могут перестать использоваться в качестве инструмента блокировки, но по-прежнему играют свою роль.

Вывод

Многие предприятия по-прежнему рассматривают антивирус как важный уровень своей безопасности, но стремятся инвестировать в другие технологии, чтобы усилить свою безопасность и противостоять современным угрозам.

Антивирус по-прежнему играет важную роль в защите от распространенных угроз, однако компаниям необходимо обеспечить многоуровневый подход к информационной безопасности, поскольку не существует единой технологии, обеспечивающей полную защиту от целевых атак.

Новые штаммы вирусов растут в геометрической прогрессии, с менее чем 10 миллионов до 49 миллионов за 10 лет, и необходимо изучить неспособность антивируса поддерживать другие варианты.

С продвижением вычислительной техники в мир мобильности вредоносные приложения теперь также ставят под угрозу наши мобильные устройства. «Злодеи» продолжают совершенствоваться в том, что они делают, в то время как антивирус отстает. Мы отчаянно нуждаемся в комплексном решении.

Антивирус, используемый в одиночку, просто предлагает нам иллюзию безопасности. Гонка вооружений продолжается…