بيت Securitywatch يجب أن تركز صناعة مكافحة الفيروسات على الكشف المستند إلى السلوك

يجب أن تركز صناعة مكافحة الفيروسات على الكشف المستند إلى السلوك

2024

فيديو: ÙÙ ÙØ´ÙØ¯ Ø·Ø±ÙÙØ ÙØ¬ÙÙØ¹Ø©Ù ÙÙ Ø§ÙØ£Ø´Ø¨Ø§Ù ÙØØ§ÙÙÙÙ Ø§ÙÙØØ§Ù Ø¨ÙØ§ÙØ¯Ù (سبتمبر 2024)

توجد فيروسات الكمبيوتر لسنوات عديدة. في الأيام الأولى ، كان الاكتشاف مسألة بسيطة لمطابقة الملفات مع مجموعة معروفة من التواقيع. حتى أن بعض برامج مكافحة الفيروسات تضمنت قائمة بجميع التهديدات التي يمكن اكتشافها. الأمور مختلفة تمامًا هذه الأيام ، حيث يعمل مؤلفو البرامج الضارة بجد لإنشاء برامج ضارة تتطور وتتطور بحيث لا يمكن اكتشافها عن طريق الكشف المستند إلى التوقيع. لقد تحدثت مع روجر تومبسون ، كبير الباحثين الناشئين عن التهديدات في مختبرات ICSA ، حول كيفية تغيير برامج مكافحة البرامج الضارة ، وكيف يجب تغيير اختبار هذه المنتجات.

الطريقة كانت الامور

روبنكينج: هل يمكنك قول بعض الكلمات حول بالضبط ما هي مختبرات ICSA ، وماذا تفعل؟

Thompson: نحن نشهد اعتماد منتجات مكافحة الفيروسات على المعايير التاريخية المتفق عليها. في التسعينيات من القرن الماضي ، كانت هناك حاجة للتمييز بين الضجيج المضاد للفيروسات والنتائج الحقيقية والواقعية. كما تتذكر ، في ذلك الوقت كان بإمكان الناس أن يقولوا ما يحلو لهم بشأن منتجاتهم ، ولا يمكن لأحد إثباتها أو دحضها. كانت هناك حاجة لشخص ما لديه عقل ليقول ، "هذا يعمل ، وهذا لا يعمل ، وهذا لا يفعل ما يقول".

وافق البائعون على أنهم بحاجة إلى طرف ثالث محايد للقيام بذلك. بالطبع ، من المهم دائمًا اختبار الفيروسات الموجودة بالفعل في البرية مقارنةً بـ "حديقة الحيوان" المعروفة. لذلك ، نشأت القائمة البرية من هذه الحاجة - مركب محايد من قبل البائع من البرامج الضارة المعروفة.

أيضًا في التسعينيات من القرن الماضي ، أقنع آلان سولومون الجميع بأن أساليب النوع العام للكشف عن البرامج الضارة كانت فكرة سيئة. ما كان مطلوبًا بدلاً من ذلك هو وجود بعض الماسحات الضوئية التي يمكنها تحديد نوع الفيروس الموجود بالضبط وكيفية إزالته. وافق العالم ، وصوّت مع جيوبهم لدعم هذا النوع من الماسحات الضوئية.

مشكلة الاكتشاف العام ، تاريخيا ، هي أنها تسبب دعوات الدعم. يقول برنامج مكافحة الفيروسات ، إننا نرى أن بعض العمليات على نظامك تقوم بتعديل الملفات التنفيذية ، أو تم تغيير بعض الملفات القابلة للتنفيذ ؛ هل غيرتها؟ ينتج عن ذلك مكالمة دعم ، ولا يوافق Fortune 500. يقول مضاد الفيروسات المستند إلى التوقيع "إنه فيروس!" أو يقول شيئا على الإطلاق.

كيف سيحدث ذلك

طومسون: لا تزال هناك حاجة أساسية لاختبار الماسحات الضوئية المستندة إلى التوقيع ، للتأكد من استمرارها. هل يمكنهم اكتشافه؟ هذا ما تم القيام به ، وما زالت هناك حاجة. ومع ذلك ، فإن الأرقام قد تغيرت كثيرا ، وهناك عدد كبير من الأشياء الزغب التي تم إنشاؤها كل يوم. المطلوب الآن هو اختبار قدرة برامج مكافحة البرامج الضارة على اكتشاف الأشياء التي لم يسبق لها مثيل من قبل.

روبنكينج: زغب الأشياء؟ فقط ماذا تقصد بذلك؟

طومسون: أنت تعرف ، لا أحد يعرف الأرقام الحقيقية. أخبرني فريق ESET عن البيرة التي يرون فيها 600000 عينة جديدة من البرامج الضارة كل يوم. أتذكر تقريرًا من Symantec يطالب بمليون عنصر جديد وفريد كل يوم. ولكن الحقيقة هي أن الأغلبية يتم إنشاؤها حسابيًا. يقوم الأشرار فقط بتغيير بعض التعليمات البرمجية غير المهمة ، وإعادة ترجمة ، وإعادة حزم ، وإعادة تشفير. ثم يتحققون من اكتشاف الماسحات الضوئية الحالية للنسخة الجديدة. إذا لم يكن كذلك ، فإنها تطلقها.

من السهل حقًا اكتشاف ما تعرفه بالفعل. انها مثل سوق الأوراق المالية. "فقط" شراء منخفضة وبيع عالية. الشيء ، مع هذه الفيروسات الفريدة ، السلوك الأساسي لا يتغير ، فقط البتات الرقيقة. النشاط ، تعديل السجل ، تغيير الملفات… هذا السلوك لا يتغير. لذلك يجب أن يتحرك الاختبار لدمج حظر السلوك كجزء من الصفقة.

روبنكينج: هل ستضيف اختبار الجيل التالي هذا قريبًا؟

طومسون: نحاول إقناع البائعين بالموافقة على أنه أمر جيد. يتفقون بشكل عام ، لكن القيام بهذا الاختبار ليس بالأمر السهل.

روبنكينج: كيف تبدو عمليتك الجديدة؟

طومسون: إنه صعب. لهذا السبب لا يريد الناس القيام بذلك. تبدأ بنظام نظيف ، وقم بتشغيل البرامج الضارة ، ومعرفة ما إذا كان قد تم تثبيتها. يجب أن تكون قادرًا على فحص النظام بعد ذلك. هل البرامج الضارة تصيب النظام؟ هل تغيرت مفاتيح التسجيل؟ هل أصبحت ثابتة ، حتى تنجو من إعادة التشغيل؟ ثم يجب عليك استعادة إلى خط الأساس نظيف للقيام بذلك مرة أخرى.

Rubenking: هذا يشبه إلى حد كبير الاختبار الديناميكي الذي تقوم به AV-Comparatives.

طومسون: نعم ، إنه مشابه جدًا.

روبنكينج: أنت مستعد للذهاب ، لكن البائعين ليسوا كذلك؟ لذلك أنت لا تعرف متى سيصبح الاختبار الجديد ساري المفعول؟

طومسون: نحن على استعداد للذهاب. لا أعرف تمامًا ما هي الحالة مع البائعين ؛ سوف نعود اليك على ذلك.] أيضًا ، يكمن جزء من المشكلة في العثور على مصادرنا الخاصة من البرامج الضارة ، وحصد موجزات البريد العشوائي وما إلى ذلك. نحن بحاجة إلى معرفة ما هو حقا هناك.

اجعل الحياة صعبة للأشرار

طومسون: هذا هو الطريق الصحيح للمضي قدمًا. لا يمكننا التوقف عن فعل ما فعلناه دائمًا ، ولكن عندما يضيف بائعو برامج مكافحة البرامج الضارة الحظر القائم على السلوك ، يصبح من الصعب للغاية على الأشرار التغلب عليهم. يمكنهم التغلب على التواقيع عن طريق تعديل أشياء غير مهمة ، ولكن للتغلب على حظر السلوك ، عليهم تغيير السلوكيات والتعامل مع تعريفات مختلفة للسلوك.

روبنكينج: إذن ، فإن مجموعة متنوعة من البائعين لمكافحة البرامج الضارة مع أنواع مختلفة من حظر السلوك ستجعل الحياة صعبة على الأشرار؟

طومسون: بالضبط. يشبه القياس الجبن السويسري. يحتوي جزء واحد من الجبن على ثقوب ، ولكن إذا قمت بتغطية طبقة أخرى ، فإنها تغطي الثقوب. ارتدي ما يكفي من البتات ولا توجد ثقوب متبقية.

روبنكينج: شكرًا يا روجر!