Antivirus kan ikke stå alene

Der kommer så meget malware på internettet, at den traditionelle antivirus ikke yder tilstrækkelig beskyttelse, skriver Shehzad Ahmad i denne klumme fra Computerworld.

Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

19 procent. Så lille en andel af nye webbaserede trusler kunne de mest udbredte antivirusprodukter genkende.

Tallet lyder umiddelbart skræmmende. Der er dog nogle detaljer, man skal være opmærksom på, før man afsiger dødsdommen over antivirus som begreb.

Statistikken stammer fra sikkerhedsfirmaet Cyveillance, der løbende tjekker websteder for skadeligt indhold.

I april sidste år lod de over nogle dage en række test-pc'er besøge farlige websteder, hvor de blev inficeret med forskellige former for skadelig software (malware).

Pc'erne blev inficeret med godt 1.700 malwarefiler.

Så snart et nyt stykke malware blev fundet, lod firmaet det tjekke af 13 antivirusprodukter. Den test blev gennemført igen med en uges mellemrum over den næste måned.

Resultatet var nedslående: I gennemsnit kunne antivirusprodukterne umiddelbart klassificere kun 19 procent af filerne som skadelige. Efter en måned kunne nogle kun genkende 33 procent, mens den bedste klarede 93 procent.

Det lyder umiddelbart ikke godt.

Kun web-trusler
Man skal dog være opmærksom på, at testen kun handler om den type trusler, der spredes via websteder. Andre former for virus er der ikke testet for.

Randy Abrams fra antivirusfirmaet Eset (som i øvrigt klarede sig godt i testen) påpeger problemer med metoden bag testen. For at afgøre, at en fil var skadelig, skulle tre leverandører mene, at den var det.

Så hvis tre havde den samme falske positiv, ville den fil blive regnet for skadelig og dermed tælle til den forkerte side hos dem, der korrekt klassificerede den som uskadelig.

Enorm vækst i malware
Alligevel mener jeg godt, man kan bruge Cyveillances tal til noget. De bekræftes i øvrigt at det danske sikkerhedsfirma CSIS.

Her analyserer man dagligt 4.000-5.000 eksempler på potentielt skadelige programmer. De køres gennem 17 antivirusprogrammer.

På infektionstidspunktet kan antivirusprogrammer i gennemsnit genkende 13,5 procent af dem. Efter en dag er andelen 34 procent, og efter en uge er den 52 procent.

Hvis man kobler dem med tal fra antivirusfirmaet Panda, viser der sig en meget ubehagelig tendens: En tredjedel af alle de virus og andre skadelige programmer, der nogensinde har eksisteret, blev skrevet i 2010.

Det viser, at der kommer en kolossal mængde ny malware hvert år.

Dermed er det et reelt problem, at det tager tid, før antivirusprodukterne kan genkende dem.

Her er det svage punkt
Svagheden ligger i den traditionelle antivirusmodel, hvor der skal udarbejdes en signatur for en trussel, før programmet kan beskytte imod den.

Heldigvis har alle antivirusproducenter indført alternative metoder som supplement til signaturerne.

Heuristisk genkendelse virker på trusler, man ikke har set før, fordi den ser på typiske karakteristika ved malware.

Cloud styrker antivirus
En anden metode går ud på at bruge cloud. Her kan man trække på viden fra alle brugerne af et antivirusprodukt: Så snart en ny trussel opdages, kan de øvrige brugere beskyttes mod den.

Vi har for nylig set det første eksempel på malware, der målrettet forsøger at sabotere cloudbaseret antivirus. Det drejer sig om det skadelige program Bohu, der forhindrer, at inficerede pc'er kontakter adresser, der anvendes af kinesiske cloud-antivirusprodukter.

Endelig er der tiltag, hvor man indsamler viden om URL'er, der spreder malware. Dem kan browseren advare imod, og søgninger udstyres med advarsler mod at besøge webstedet.

Savner samarbejde
Så mit budskab er ikke, at man skal droppe antivirusproduktet. Men man skal supplere det med andre former for beskyttelse.

Jeg så også gerne en endnu større grad af samarbejde mellem antivirusproducenterne.

Det ideelle ville være en fælles database over malware, som alle antivirusproducenterne leverede til og abonnerede på.


Oprindelig offentliggjort på Computerworld Online den 4. februar 2011

LINKS

Malware Detection Rates for Leading AV Solutions. A Cyveillance Analysis (PDF-format)
How to Screw Up and Skew a Test, blogindlæg af Randy Abrams
A Closer Look at AV Detection Lag-times, blogindlæg fra Cyveillance
Hvad it-sikkerhedsbranchen ikke fortæller dig, indlæg af Peter Kruse fra CSIS på DIT's sikkerhedskonference 2011 (PDF-format)
Bohu Takes Aim at the Cloud, blogindlæg af Jingli Li, Zhitao Zhou fra Microsoft Malware Protection Center
Denne klumme på Computerworld Online

Keywords: