Antywirusy nie umarły, po prostu nie nadążają – raport Lastline Labs

17 czerwca, 2014

Zadawaliście sobie pytanie – dlaczego ludzie, którzy korzystają z ochrony antywirusowej są nadal ofiarami złośliwego oprogramowania? Niestety, ale jak dowodzi amerykańskie laboratorium Lastline Labs zajmujące się analizą malware, zainstalowane oprogramowanie antywirusowe nie wystarczy, aby ochronić Twoje urządzenia.

Lastline Labs na swoim blogu opublikował przemyślenia i wnioski, które dotyczą przeprowadzanego badania od maja 2013 do maja 2014 r. Badacze od 2013 roku zbierali złośliwe oprogramowanie przez 365 dni a następnie sprawdzali 47 programowów antywirusowych pod kątem wykrycia zagrożeń poprzez bezpłatne skanowanie plików online, jakie udostępnia serwis VirusTotal.com (opis i zasada działania VT tutaj). Test miał na celu zbadanie, jak szybko antywirusy wykrywają nowe zagrożenia.

Przed przeczytaniem końcowych wniosków zalecamy zapoznanie się z zasadą działania VirusTotal. Przede wszystkim warto mieć na uwadze, iż VirusTotal nie nadaje się do porównawczych testów antywirusowych.

Według badania, pierwszego dnia testu większość nowych próbek szkodliwego oprogramowania pozostaje niewykryta przez ponad połowę rozwiązań antywirusowych. Po dwóch miesiącach tylko 1/3 skanerów może wykryć malware. Niektóre zagrożenia Lastline Labs klasyfikuje jako „mało prawdopodobne do wykrycia.” I faktycznie, niebezpieczne programy przez długie miesiące / lub nigdy nie zostały wykryte. To szczególnie niebezpieczne złośliwe oprogramowanie z bardzo wysokim stopniem prawdopodobieństwa infekcji jest wykorzystywane przez cyberprzestępców do ataków na duże organizacje i przedsiębiorstwa. Oprogramowanie takie często jest stosowane do inflitracji firm w atakach ukierunkowanych APT.

Z badania można się dowiedzieć, że:

Tylko 51% skanerów rozpoznało próbki złośliwego oprogramowania pierwszego dnia testów.
Zagrożenia, które początkowo były ignorowane zostały wyryte dopiero co najmniej po dwóch dniach.
Żaden ze skanerów nie wykrył wszystkich nowych próbek w jednym dniu. Dopiero po dwóch tygodniach odnotowano wzrost detekcji.
Aż 10% skanerów w ogóle nadal nie wykrywa niektórych próbek złośliwego oprogramowania.

Wg Lastline Labs, standardowe technologie antywirusowe powinny być nadal używane przez użytkowników, ale muszą koniecznie być uzupełnione o inne metody ochrony, m.in o wykrywanie anomalii sieciowych i służyć jako dodatkowy sygnał do znalezienia problemów z bezpieczeństwem. Systemy wykrywania anomalii sieciowych działają w sposób ciągły, monitorując sieć w poszukiwaniu nietypowych zachowań i są użytecznym dodatkiem do tradycyjnych środków bezpieczeństwa cybernetycznego.

Badacze ostrzegają użytkowników, że oprogramowanie antywirusowe nie wystarczy do zwalczania najnowszych malware. Jednak zainstalowanie programu antywirusowego jest nadal najrozsądniejszym działaniem.

źródło: Lastline Labs

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.