خبراء انتقد دراسة مكافحة الفيروسات imperva

أصدرت شركة الأمن Imperva دراسة قاتمة الشهر الماضي تشير إلى أن الأجنحة الأمنية المكلفة قد لا تستحق الثمن وأن جميع برامج مكافحة الفيروسات تعاني من نقاط عمياء ضخمة. تتطلب أبحاث الكآبة والمثلوم دومًا مثل هذه الحبوب الكبيرة من الملح ، ولكن بعد التحدث مع العديد من خبراء الصناعة ، قد يكون من الضروري وجود شاكر كامل.

نظر Imperva في مجموعة متنوعة من حلول الأمان من بائعي مثل Kaspersky و Avast و AVG و Microsoft و McAfee ، على سبيل المثال لا الحصر. حرضوا هذه الحراس ضد 82 عينة من البرمجيات الخبيثة التي تم جمعها بشكل عشوائي ، ودراسة مدى نجاح برنامج الأمان في الكشف عن البرامج المارقة.

يؤكد Imperva من خلال عملهم أن برامج مكافحة البرامج الضارة ليست سريعة أو سريعة الاستجابة بما يكفي لمكافحة التهديدات الحديثة. يكتب برنامج Imperva أن برنامج الأمان "أفضل بكثير في اكتشاف البرامج الضارة التي تنتشر بسرعة بكميات هائلة من العينات المتطابقة ، في حين أن المتغيرات ذات التوزيع المحدود (مثل الهجمات التي ترعاها الحكومة) عادة ما تترك نافذة كبيرة من الفرص".

وجدوا أيضًا عدم وجود علاقة بين الأموال التي ينفقها المستخدمون على الحماية من الفيروسات والأمان الذي يوفره البرنامج ، ويقترحون على كل من العملاء من الأفراد والمؤسسات البحث عن بدائل مجانية.

مختبرات مستقلة ادفع مرة أخرى

لقد جذبت الدراسة الكثير من الاهتمام ، ولكن عندما تحدثت مع محترفي الأمن ، وبعض الشركات المذكورة في الدراسة ، وجدت Security Watch أن الكثير ممن يعتقدون أن الدراسة معيبة.

شعرت كل مختبر أو شركة أمنية تقريبًا أن حجم عينة البرامج الضارة لـ Imperva صغير جدًا بحيث لا يدعم الاستنتاجات التي خلصت إليها الدراسة. أخبرنا Andreas Marx من AV-Test أن شركته تتلقى حوالي مليون عينة من البرامج الضارة الجديدة الفريدة كل أسبوع. وبالمثل ، أخبرنا بيتر ستيلزامر من AV-Comparatives أنهم يتلقون 142000 ملف ضار جديد كل يوم.

من جانبهم ، كتب Imperva في الدراسة أنهم استخدموا عمدا عينة صغيرة ، ولكن يصرون على أنه دليل على التهديدات القائمة. "لم يكن اختيارنا للبرامج الضارة متحيزًا ، لكن تم نقله عشوائيًا من الويب بما يعكس طريقة محتملة لبناء هجوم" ، يكتب Imperva.

ومع ذلك ، كان لدى مدير أبحاث NSS Labs ، راندي أبرامز ، تفسير مختلف تمامًا لمنهجية Imperva. وقال أبرامز لـ Security Watch: "إن البحث عن أسماء الملفات يضمن تفويته على الهجمات المعقدة ومعظم البرامج الضارة الأخرى أيضًا" ، حيث علق على الوسائل التي استخدمها Imperva لتحديد البرامج الضارة للدراسة. "التركيز على المنتديات الروسية ينحاز بشكل كبير إلى جمع العينات. من الواضح أنه لم يتم التفكير في الحصول على مجموعة عينات تمثيلية في العالم الحقيقي."

مشاكل المنهجية

لإجراء دراستهم ، استخدم Imperva الأداة VirusTotal عبر الإنترنت لإجراء اختباراتهم التي تم الاستشهاد بها على أنها نقطة ضعف حرجة في الاختبار. وقال سايمون إدواردز من Dennis Labs: "تكمن مشكلة هذا الاختبار في أنه تمزق التهديدات ، في شكل ملفات قابلة للتنفيذ ، ثم قام بفحص تلك التي تستخدم VirusTotal". "VT ليس نظامًا مناسبًا لاستخدامه عند تقييم منتجات مكافحة البرامج الضارة إلى حد كبير لأن الماسحات الضوئية المستخدمة في VT غير مدعومة بتقنية إضافية مثل أنظمة سمعة الويب."

شكك Kaspersky Labs ، الذي تم استخدام منتجه في الدراسة ، في منهجية الاختبار التي استخدمتها Imperva في التجربة. وكتبت Kaspersky Labs في بيان أصدرته لـ Security Watch: "عند البحث عن الملفات التي يحتمل أن تكون خطرة ، فإن خدمة VirusTotal التي يستخدمها متخصصو Imperva لا تستخدم الإصدارات الكاملة من منتجات مكافحة الفيروسات ، ولكنها تعتمد فقط على ماسح مستقل".

"هذا النهج يعني أن غالبية تقنيات الحماية المتاحة في برامج مكافحة الفيروسات الحديثة يتم تجاهلها بكل بساطة. وهذا يؤثر أيضًا على التقنيات الاستباقية المصممة للكشف عن تهديدات جديدة غير معروفة."

والجدير بالذكر أن جزءًا من موقع VirusTotal لا يشجع أي شخص على استخدام خدماته في تحليل مكافحة الفيروسات. يقرأ قسم الشركة "حول" ، "لقد سئمنا من تكرار أن الخدمة لم تُصمم كأداة لإجراء تحليلات مقارنة لمضادات الفيروسات ، ويجب على من يستخدمون VirusTotal لإجراء تحليلات مقارنة بمضادات الفيروسات معرفة أنهم يرتكبون العديد من الأخطاء الضمنية في المنهجية الخاصة بهم."

تبنى Abrams أيضًا نظرة قاتمة على استخدام VirusTotal لإجراء الدراسة ، قائلاً إنه يمكن استخدام الأداة لتشويه النتائج نحو تلك التي يرغب بها المختبرون. وقال "يعرف المختبرون ذوو الخبرة والكفاءة أفضل من استخدام VirusTotal لتقييم قدرات الحماية لأي شيء آخر غير الماسح الضوئي لسطر الأوامر الخالص".

دافع Imperva عن استخدام VirusTotal في دراستهم. "جوهر التقرير ليس مقارنة بين منتجات مكافحة الفيروسات" ، يكتب Imperva. "بدلاً من ذلك ، فإن الغرض من ذلك هو قياس فاعلية حل مكافحة الفيروسات الفردي بالإضافة إلى حلول مكافحة الفيروسات المدمجة مع إعطاء مجموعة عشوائية من عينات البرامج الضارة."

بينما اتفق الخبراء الذين تحدثنا معهم على أن نقاط الضعف في اليوم صفر والبرامج الضارة التي تم إنشاؤها حديثًا تمثل مشكلة ، لم يدعم أي منهم تأكيدات Imperva بشأن التوقيت أو معدلات اكتشاف منخفضة. قال ماركس لـ هيومن رايتس ووتش: "أدنى معدلات الحماية خلال اختبار" العالم الحقيقي "في يوم الصفر تبلغ 64-69 في المائة. "في المتوسط ​​، رأينا معدل حماية يتراوح بين 88 و 90 في المائة لجميع المنتجات التي تم اختبارها ، وهذا يعني أنه سيتم حظر 9 هجمات من أصل 10 هجمات بنجاح ، فقط 1 ستتسبب بالفعل في حدوث عدوى."

كان الاستنتاج الرئيسي الآخر لتقرير Imperva هو أن برامج مكافحة البرامج الضارة مفهومة جيدًا من قبل منشئي البرامج الضارة ، الذين يقومون بتعديل إبداعاتهم لتخريب أنظمة الحماية. وكتب Imperva في الدراسة: "يفهم المهاجمون منتجات مكافحة الفيروسات بعمق ، ويتعرفوا على نقاط ضعفهم ، ويحددون نقاط قوة منتج مكافحة الفيروسات ، ويفهمون طرقهم في التعامل مع ارتفاع معدل انتشار الفيروس الجديد في الإنترنت".

تستمر الدراسة ، "المتغيرات ذات التوزيع المحدود (مثل الهجمات التي ترعاها الحكومة) عادة ما تترك نافذة كبيرة من الفرص".

Stuxnet ليس بعدك

وقال ستيلزهامر: "رجال البرمجيات الخبيثة قاسيون حقًا ، إنهم أقوياء وذكيون". "الهجوم المستهدف يكون دائمًا خطيرًا." لكنه شدد هو وآخرون على أن الهجمات المستهدفة حيث يتم تصميم البرامج الضارة على وجه التحديد ضد البرامج الضارة أمر نادر الحدوث بقدر ما هو خطير.

الجهد والمعلومات المطلوبة لإنشاء قطعة من البرامج الضارة لهزيمة كل طبقة من الحماية كبيرة. "مثل هذا الاختبار يتطلب الكثير من الوقت والمهارات ، لذلك ليست رخيصة" ، كتب ماركس. "ولكن هذا هو السبب في أن يطلق عليهم" المستهدفة "."

فيما يتعلق بهذه النقطة ، سخر أبرامز قائلاً: "بصراحة ، لست مهتمًا حقًا بوصول Stuxnet إلى جهاز الكمبيوتر الخاص بي ومهاجمة جهاز طرد مركزي يعمل على تخصيب اليورانيوم في منزلي أو مكتب صاحب العمل."

اتفق الجميع تقريبًا مع الجميع ، على الأقل من حيث المبدأ ، على أن الحلول المجانية لمكافحة البرامج الضارة يمكن أن توفر حماية جديرة بالاهتمام للمستخدمين. ومع ذلك ، عارض معظمهم أنه كان خيارًا قابلاً للتطبيق لعملاء المؤسسات. يشير Stelzhammer إلى أنه حتى إذا أراد المستخدمون من الشركات استخدام البرمجيات المجانية ، فإن اتفاقيات الترخيص تمنعهم أحيانًا من القيام بذلك.

وقال ستيلزهامر في مقابلة مع هيومن رايتس ووتش: "الأمر لا يتعلق بالكشف". "يتعلق الأمر بالإدارة ، إنه يتعلق بالترويج للعملاء ، نظرة عامة حوله. لن تحصل على هذا بمنتج مجاني."

يمكن لمستخدم مطلع في المنزل ، تابع Stelzhammer ، استخدام طبقات من البرامج المجانية لتوفير حماية مماثلة للبرامج المدفوعة ولكن على حساب البساطة. "يمكنه ترتيب نظام محمي بشكل جيد مع برامج مجانية ، ولكن أكبر ميزة للبرامج المدفوعة هي الراحة."

ومع ذلك ، اختلف إدواردز من دينيس لابز مع المقارنة الإيجابية مع البرمجيات الحرة. وقال إدواردز: "هذا يتعارض مع جميع النتائج التي توصلنا إليها على مدار سنوات عديدة من الاختبار". "بدون استثناء تقريبًا ، يتم دفع أفضل المنتجات." تشبه هذه النتائج اختبار PC Magazine لبرامج مكافحة البرامج الضارة.

منذ نشر الدراسة في الشهر الماضي ، كتب Imperva منشورًا مدونًا يدافع عن موقفه. قال روب راشوالد ، مدير استراتيجية الأمن في إمبيرفا ، متحدثًا إلى Security Watch ، "أي نقد يركز على منهجيتنا يفقد الواقع الذي نراه اليوم". وتابع أن معظم خروقات البيانات هي نتيجة لتسلل البرامج الضارة ، والتي ترى الشركة أنها دليل على أن نموذج مكافحة البرمجيات الخبيثة الحالي لا يعمل ببساطة.

رغم أنه قد يكون هناك بعض الحقيقة الكامنة في استنتاجات Imperva ، فإن أيا من الخبراء الذين تحدثنا معهم نظروا إلى الدراسة بشكل إيجابي. "عادةً ، أحذر من الاختبارات التي يرعاها البائع ، ولكن إذا تم إجراء هذا الاختبار من قبل منظمة مستقلة ، فإنني سأحذر من المنظمة نفسها" ، هكذا كتب أبرامز من NSS Labs. "من النادر أن أواجه مثل هذه المنهجية غير المعقدة بشكل لا يصدق ، ومعايير جمع العينات غير الصحيحة ، والاستنتاجات غير المدعومة التي اختتمت في ملف PDF واحد."

لمعرفة المزيد من ماكس ، اتبعه على Twitterwmaxeddy.