בית שעון האבטחה אנטי-וירוס טוב יותר בזיהוי תוכנות זדוניות בדוא"ל מאשר איומי אינטרנט

אנטי-וירוס טוב יותר בזיהוי תוכנות זדוניות בדוא"ל מאשר איומי אינטרנט

וִידֵאוֹ: A 5 ª Onda | Trailer Legendado com Chloë Grace Moretz | 21 de janeiro nos cinemas (נוֹבֶמבֶּר 2024)

וִידֵאוֹ: A 5 ª Onda | Trailer Legendado com Chloë Grace Moretz | 21 de janeiro nos cinemas (נוֹבֶמבֶּר 2024)
Anonim

על פי פאלו אלטו נטוורקס, Palo Alto Networks מגלה כי תוכנה זדונית מבוססת אינטרנט טובה יותר לעקוף את הגנות האבטחה המסורתיות מאשר תוכנות זדוניות הנישאות בדוא"ל.

בעוד שדוא"ל ממשיך להיות מקור מוביל לתוכנות זדוניות, הרוב המכריע של תוכנות זדוניות לא ידועות נדחפות באמצעות יישומי אינטרנט, פאלו אלטו נטוורקס שנמצאה בדו"ח Modern Malware Review שפורסם ביום שני. כמעט 90 אחוז ממשתמשי "תוכנות זדוניות לא ידועות" שנתקלו בהן הגיעו מגלישה באינטרנט, לעומת 2 אחוזים בלבד שהגיעו מדוא"ל.

פאלו אלטו נטוורקס דיווחה כי "תוכנות זדוניות לא ידועות" בדוח זה התייחסו לדגימות זדוניות שהתגלו על ידי שירות הענן Wildfire של החברה ששישה מוצרי אנטי-וירוס "מובילים בתעשייה". חוקרים ניתחו נתונים של יותר מאלף לקוחות שפרסו את חומת האש מהדור הבא של החברה ונרשמו לשירות Wildfire האופציונלי. מבין 68, 047 הדגימות שסומנו על ידי WildFire ככלי זדוני, 26, 363 דגימות, או 40 אחוז, לא אותרו על ידי מוצרי האנטי-וירוס.

פאלו אלטו נטוורקס אמרה כי "נפח מכריע של תוכנות זדוניות לא ידועות מגיע ממקורות מבוססי אינטרנט, ומוצרי AV מסורתיים טובים בהגנה מפני תוכנות זדוניות המועברות באמצעות דואר אלקטרוני.

מאמץ רב להישאר ללא זיהוי

Palo Alto Networks מצא כי "חלק גדול" מהאינטליגנציה של התוכנה הזדונית מוקדש להישאר בלתי מורגש על ידי כלי אבטחה. החוקרים הבחינו בלמעלה משלושים התנהגויות שמוקדשות לסייע לתוכנות זדוניות להימנע מגילוי, כמו למשל "שינה" של התוכנה הזדונית זמן רב לאחר ההדבקה הראשונית, השבתת כלי האבטחה ותהליכי מערכת ההפעלה. למעשה, מתוך רשימת פעילויות והתנהגויות זדוניות שציינה פאלו אלטו נטוורקס, 52 אחוזים התמקדו בהתחמקות מאבטחה, לעומת 15 אחוזים שהתמקדו בפריצה וגניבת נתונים, כך עולה מהדוח.

דיווחים קודמים של ספקים אחרים הצביעו על המספר הגדול של תוכנות זדוניות לא ידועות כדי לטעון שמוצרי אנטי-וירוס אינם יעילים בשמירה על בטיחות המשתמשים. מפאלו אלטו נטוורקס אמרו כי מטרת הדו"ח אינה להקריא מוצרי אנטי-וירוס על אי גילוי דגימות אלה, אלא לזהות שכיחות בדגימות תוכנות זדוניות בהן ניתן להשתמש כדי לאתר איומים בזמן ההמתנה למוצרי האנטי-וירוס להתעדכן.

כמעט 70 אחוז מהדגימות הלא ידועות הציגו "מזהים או התנהגויות מובחנות" שיכולים לשמש לבקרה וחסימה בזמן אמת, מצא פאלו אלטו נטוורקס בדו"ח. ההתנהגויות כללו תנועה מותאמת אישית שנוצרה על ידי התוכנה זדונית, כמו גם היעדים המרוחקים אליהם פנה התוכנה זדונית. הדו"ח מצא כי כ- 33 אחוז מהדגימות התחברו לתחומים שנרשמו לאחרונה, ותחומים המשתמשים ב- DNS דינמי. 20 אחוזים ניסו לשלוח דוא"ל. תוקפים משתמשים לעיתים קרובות ב- DNS דינמי כדי ליצור תחומים מותאמים אישית תוך כדי תנועה שניתן בקלות לנטוש כאשר מוצרי אבטחה מתחילים לרשום אותה בשחור.

התוקפים השתמשו גם ביציאות אינטרנט לא סטנדרטיות, למשל שליחת תנועה לא מוצפנת ביציאה 443, או שימוש ביציאות שאינן 80 להעברת תעבורת רשת. בדרך כלל FTP משתמש ביציאות 20 ו 21, אך בדו"ח נמצא תוכנות זדוניות המשתמשות ב 237 יציאות אחרות בכדי לשלוח תנועת FTP.

עיכובים באיתור תוכנות זדוניות

ספקי אנטי-וירוס לקחו בממוצע חמישה ימים למסירת חתימות על דגימות תוכנות זדוניות לא ידועות שהתגלו באמצעות דואר אלקטרוני, בהשוואה לכמעט 20 יום עבור אלה המבוססות על רשת. Palo Alto Networks מצא כי FTP היה המקור הרביעי לתוכנות זדוניות לא ידועות, אך כמעט 95 אחוז מהדגימות נותרו ללא גילוי לאחר 31 יום. בדו"ח נמצא כי לתוכנות זדוניות שהועברו באמצעות מדיה חברתית היו גרסאות שנשארו לא אותרו על ידי אנטי-וירוס במשך 30 יום או יותר.

"לא רק שפתרונות AV מסורתיים סבירים הרבה יותר לזהות תוכנות זדוניות מחוץ לדואר האלקטרוני, אלא גם לוקח הרבה יותר זמן להגיע לכיסוי", נמצא בדו"ח.

ההבדלים בגודל המדגם השפיעו על מידת יעילות האנטי-וירוס באיתור תוכנות זדוניות, אמר Palo Alto Networks. באיומים הנישאים בדוא"ל, אותה תוכנה זדונית מועברת לעיתים קרובות ליעדים רבים, מה שהופך את הסבירות גבוהה יותר לכך שספק האנטי-וירוס יגלה וינתח את הקובץ. לעומת זאת, שרתי רשת משתמשים בפולימורפיזם בצד השרת כדי להתאים אישית את הקובץ הזדוני בכל טעינת דף האינטרנט של ההתקפה, ויוצרים מספר גדול יותר של דוגמאות ייחודיות ומקשה על האיתור של הדגימות. העובדה שדוא"ל גם לא צריך להעביר בזמן אמת פירושה שלכלים נגד תוכנות זדוניות יש זמן לנתח ולבדוק את הקבצים. האינטרנט הוא "הרבה יותר בזמן אמת", ומעניק לכלי אבטחה "הרבה פחות זמן לבדוק" את הקבצים הזדוניים לפני שהם מוסרים למשתמש.

"אנו מאמינים שחשוב מאוד שארגונים יפחיתו את נפח הזיהומים הכולל מגרסאות של תוכנות זדוניות ידועות, כך שלצוותי האבטחה יש זמן להתמקד באיומים החמורים והממוקדים ביותר, " על פי הדו"ח.

אנטי-וירוס טוב יותר בזיהוי תוכנות זדוניות בדוא"ל מאשר איומי אינטרנט