Video: Use Case: устранение уязвимостей в компании Control Pay. Imperva WAF (Settembre 2024)
Il mese scorso la società di sicurezza Imperva ha pubblicato uno studio cupo, suggerendo che costose suite di sicurezza potrebbero non valere il prezzo e che tutti i programmi antivirus soffrono di enormi punti ciechi. Ricerche di questo tipo richiedono sempre una grossa quantità di sale, ma dopo aver parlato con numerosi esperti del settore potrebbe essere necessario un intero agitatore.
Imperva ha esaminato una varietà di soluzioni di sicurezza di fornitori come Kaspersky, Avast, AVG, Microsoft e McAfee, solo per citarne alcuni. Hanno confrontato queste sentinelle con 82 campioni di malware raccolti casualmente, esaminando il successo del software di sicurezza nel rilevare il software non autorizzato.
Dal loro lavoro, Imperva afferma che il software anti-malware non è abbastanza veloce o reattivo per combattere le minacce moderne. Il software di sicurezza, scrive Imperva, è "molto più efficace nel rilevare malware che si diffonde rapidamente in enormi quantità di campioni identici, mentre le varianti a distribuzione limitata (come gli attacchi sponsorizzati dal governo) di solito lasciano una grande finestra di opportunità".
Inoltre, non hanno trovato alcuna correlazione tra il denaro speso dagli utenti per la protezione da virus e la sicurezza fornita dal software e suggeriscono che sia i clienti individuali che quelli aziendali guardano le alternative freeware.
Labs indipendenti respingono
Lo studio ha attirato molta attenzione, ma quando ha parlato con i professionisti della sicurezza e con alcune delle aziende citate nello studio, Security Watch ha scoperto che molti credono che lo studio sia profondamente imperfetto.
Quasi ogni laboratorio o società di sicurezza riteneva che la dimensione del campione di malware di Imperva fosse troppo piccola per supportare le conclusioni tratte dallo studio. Andreas Marx di AV-Test ci ha detto che la sua azienda riceve circa un milione di campioni di malware nuovi e unici alla settimana. Allo stesso modo, Peter Stelzhammer di AV-Comparatives ci ha detto che ogni giorno ricevono 142.000 nuovi file dannosi.
Da parte loro, Imperva ha scritto nello studio che hanno usato intenzionalmente un piccolo campionamento, ma insistono sul fatto che sia dimostrativo delle minacce esistenti. "La nostra selezione di malware non era distorta, ma è stata prelevata in modo casuale dal Web, riflettendo un potenziale metodo per costruire un attacco", scrive Imperva.
Il direttore della ricerca di NSS Labs Randy Abrams, tuttavia, aveva un'interpretazione nettamente diversa della metodologia di Imperva. "La ricerca di nomi di file garantisce la perdita di attacchi sofisticati e anche la maggior parte degli altri malware", ha detto Abrams a Security Watch, commentando i mezzi utilizzati da Imperva per individuare i malware per lo studio. "Concentrarsi sui forum russi distorce in modo significativo la raccolta dei campioni. È ovvio che non è stato pensato di ottenere un set di campioni rappresentativo nel mondo reale."
Problemi di metodologia
Per svolgere il proprio studio, Imperva ha utilizzato lo strumento online VirusTotal per eseguire i propri test, che è stato citato come una debolezza critica del test. "Il problema con questo test è che ha strappato le minacce, sotto forma di file eseguibili, e poi scansionato quelli che usano VirusTotal", ha dichiarato Simon Edwards di Dennis Labs. "VT non è un sistema adatto da utilizzare per la valutazione di prodotti antimalware in gran parte perché gli scanner utilizzati in VT non sono supportati da tecnologia aggiuntiva come i sistemi di reputazione Web."
Kaspersky Labs, il cui prodotto è stato utilizzato nello studio, ha anche messo in dubbio la metodologia di test utilizzata da Imperva nell'esperimento. "Durante la ricerca di file potenzialmente pericolosi, il servizio VirusTotal utilizzato dagli specialisti di Imperva non utilizza le versioni complete dei prodotti antivirus, ma si basa semplicemente su uno scanner autonomo", ha scritto Kaspersky Labs in una dichiarazione rilasciata a Security Watch.
"Questo approccio significa che la maggior parte delle tecnologie di protezione disponibili nei moderni software antivirus vengono semplicemente ignorate. Ciò influisce anche sulle tecnologie proattive progettate per rilevare nuove minacce sconosciute."
In particolare, una parte del sito Web di VirusTotal scoraggia chiunque dall'utilizzare il proprio servizio nell'analisi antivirus. La sezione "Informazioni" dell'azienda recita "siamo stanchi di ripetere che il servizio non è stato progettato come uno strumento per eseguire analisi comparative antivirus. Chi utilizza VirusTotal per eseguire analisi comparative antivirus deve sapere che stanno commettendo molti errori impliciti nella loro metodologia."
Abrams ha anche preso una visione debole sull'uso di VirusTotal per eseguire lo studio, affermando che lo strumento può essere utilizzato per inclinare i risultati verso quelli desiderati dai tester. "I tester competenti ed esperti sanno meglio che usare VirusTotal per valutare le capacità di protezione di qualsiasi cosa diversa da un semplice scanner da riga di comando", ha affermato.
Imperva ha difeso l'uso di VirusTotal nel suo studio. "L'essenza del rapporto non è un confronto tra prodotti antivirus", scrive Imperva. "Piuttosto, lo scopo è misurare l'efficacia di una singola soluzione antivirus e delle soluzioni antivirus combinate, data una serie casuale di campioni di malware."
Mentre gli esperti con cui abbiamo parlato concordano sul fatto che le vulnerabilità zero-day e il malware appena creato sono un problema, nessuno ha supportato le affermazioni di Imperva in merito ai tempi o ai bassi tassi di rilevamento. "I tassi di protezione più bassi durante un test zero-day" reale "sono del 64-69 percento", ha detto Marx a Security Watch. "In media, abbiamo riscontrato un tasso di protezione dell'88-90 percento per tutti i prodotti testati, questo significa che 9 attacchi su 10 verranno bloccati con successo, solo 1 causerà effettivamente un'infezione".
Un'altra conclusione chiave del rapporto Imperva è stata che il software anti-malware è ben compreso dai creatori di malware, che modificano le loro creazioni per sovvertire i sistemi di protezione. "Gli aggressori comprendono a fondo i prodotti antivirus, acquisiscono familiarità con i loro punti deboli, identificano i punti di forza dei prodotti antivirus e comprendono i loro metodi per gestire l'elevata incidenza della propagazione di nuovi virus su Internet", scrive Imperva nello studio.
Lo studio continua, "le varianti che hanno una distribuzione limitata (come gli attacchi sponsorizzati dal governo) di solito lasciano una grande finestra di opportunità".
Stuxnet non ti sta cercando
"I ragazzi del malware sono davvero forti, forti e intelligenti", ha dichiarato Stelzhammer. "Un attacco mirato è sempre pericoloso." Ma lui e altri hanno sottolineato che gli attacchi mirati in cui il malware è specificamente studiato contro l'antimalware sono tanto rari quanto pericolosi.
Lo sforzo e le informazioni necessarie per creare un malware per sconfiggere ogni livello di protezione sono notevoli. "Tale test richiede molto tempo e competenze, quindi non sono economici", ha scritto Marx. "Ma questo è il motivo per cui sono chiamati" mirati "."
A questo proposito, Abrams ha scherzato, "Francamente, non mi preoccupo davvero che Stuxnet entri nel mio computer e attacchi una centrifuga per l'uranio a casa mia o nell'ufficio del datore di lavoro."
Quasi tutti quelli con cui abbiamo parlato hanno concordato, almeno in linea di principio, che le soluzioni anti-malware gratuite potrebbero fornire una protezione utile agli utenti. Tuttavia, molti non erano d'accordo sul fatto che fosse un'opzione praticabile per i clienti aziendali. Stelzhammer sottolinea che anche se gli utenti aziendali volessero utilizzare software libero, gli accordi di licenza a volte impediscono loro di farlo.
"Non si tratta solo di rilevamento", ha dichiarato Stelzhammer in un'intervista a Security Watch. "Si tratta di amministrazione, si tratta di distribuire ai clienti, si tratta di una panoramica. Non si otterrà questo con un prodotto gratuito."
Un utente informato a casa, ha continuato Stelzhammer, potrebbe utilizzare livelli di software libero per fornire protezione paragonabile a software a pagamento ma a costo di semplicità. "Può organizzare un sistema ben protetto con software libero, ma il più grande vantaggio del software a pagamento è la convenienza".
Tuttavia, Edwards di Dennis Labs non era d'accordo con il confronto favorevole con il software libero. "Questo è in contrasto con tutte le nostre scoperte in molti anni di test", ha detto Edwards. "Quasi senza eccezione vengono pagati i migliori prodotti." Questi risultati sono simili ai test di PC Magazine sul software anti-malware.
Dalla pubblicazione dello studio il mese scorso, Imperva ha scritto un post sul blog a difesa della propria posizione. Parlando con Security Watch, il direttore della strategia di sicurezza Imperva Rob Rachwald ha dichiarato: "Qualsiasi critica incentrata sulla nostra metodologia manca della realtà che vediamo oggi". Ha continuato dicendo che la maggior parte delle violazioni dei dati sono il risultato di intrusioni di malware, che la società considera la prova che l'attuale modello anti-malware semplicemente non funziona.
Sebbene possano esserci alcune verità intrinseche nelle conclusioni di Imperva, nessuno degli esperti con cui abbiamo parlato ha visto lo studio positivamente. "In genere, avverto contro i test sponsorizzati dal fornitore, ma se questo test fosse stato eseguito da un'organizzazione indipendente, metterei in guardia contro l'organizzazione stessa", ha scritto Abrams di NSS Labs. "È raro incontrare una metodologia così incredibilmente poco sofisticata, criteri di raccolta dei campioni impropri e conclusioni non supportate racchiuse in un singolo PDF."
Per ulteriori informazioni su Max, seguilo su Twitter @wmaxeddy.
