חברת האבטחה אימרבה פרסמה בחודש שעבר מחקר עגום שהציע כי סוויטות אבטחה יקרות אולי אינן שוות את תג המחיר וכי כל תוכניות האנטי-וירוס סובלות מכתמים עיוורים ענקיים. מחקר אבדון וקדרות כזה דורש תמיד גרגר מלח חזק, אך לאחר שיחה עם מומחים רבים בתעשייה, שייקר שלם עשוי להיות נחוץ.
אימפרבה בחנה מגוון של פתרונות אבטחה של ספקים כמו קספרסקי, אווסט, AVG, מיקרוסופט ומקאפי, כדי להזכיר כמה. הם הציעו את הזקיפים הללו נגד 82 דגימות תוכנות זדוניות שנאספו באופן אקראי, ובחנו עד כמה מצליחה תוכנת האבטחה בזיהוי התוכנה הסוררת.
מהעבודה שלהם, אימפרבה טוענת שתוכנה נגד תוכנות זדוניות אינה מהירה או מגיבה מספיק כדי להילחם באיומים מודרניים. תוכנת אבטחה, כותבת אימפרבה, "טובה בהרבה באיתור תוכנות זדוניות שמתפשטות במהירות בכמויות אדירות של דגימות זהות, ואילו וריאנטים המצויים בתפוצה מוגבלת (כמו התקפות ממומנות ממשלתיות) בדרך כלל משאירים חלון הזדמנויות גדול."
הם גם לא מצאו שום קשר בין הכסף שמשתמשים מוציאים על הגנת וירוסים לבין האבטחה שמספקת תוכנה, ומציעים ללקוחות פרטיים וגם לארגונים לבחון אלטרנטיבות freeware.
מעבדות עצמאיות דוחפות חזרה
המחקר זכה לתשומת לב רבה, אולם כשמדברים עם אנשי אבטחה, וכמה מהחברות שהוזכרו במחקר, Security Watch מצא רבים המאמינים כי המחקר פגום עמוק.
כמעט כל מעבדה או חברת אבטחה חשו כי גודל המדגם של אימפרבה של תוכנות זדוניות היה קטן מכדי לתמוך במסקנות שהגיעו למחקר. אנדרס מרקס של AV-Test אמר לנו כי המשרד שלו מקבל כמיליון דוגמאות של תוכנות זדוניות חדשות וייחודיות לשבוע. באופן דומה, פיטר סטלשהאמר מחברת AV-Comparatives אמר לנו שהם מקבלים 142, 000 קבצים זדוניים חדשים בכל יום.
אימפרבה מצידם כתבה במחקר כי הם השתמשו בכוונה בדגימה קטנה, אך עומדים על כך שזה מפגין איומים קיימים. "הבחירה שלנו בתוכנה זדונית לא הייתה מוטה אלא נלקחה באופן אקראי מהאינטרנט ומשקפת שיטה פוטנציאלית לבניית התקפה", כותבת אימפרבה.
עם זאת, מנהל המחקר של מעבדות NSS, רנדי אברמס, פרשנות שונה באופן חריף למתודולוגיה של אימרבה. אברמס אמר ל- Security Watch והוסיף כי "חיפוש אחר שמות קבצים מפספס התקפות מתוחכמות ורוב תוכנות זדוניות אחרות." "ההתמקדות בפורומים ברוסיה הטיה באופן משמעותי את אוסף הדגימות. ברור מאליו כי שום מחשבה לא עברה להשיג מערך דגימות ייצוגי של העולם האמיתי."
בעיות מתודולוגיה
כדי לבצע את המחקר שלהם, אימפרבה השתמשה בכלי המקוון VirusTotal כדי לבצע את הבדיקות שלהם שהובאו כחולשה קריטית של הבדיקה. סימון אדוארדס מ- Dennis Labs, סימון אדוארדס ממעבדות דניס, אמר כי "הבעיה עם הבדיקה הזו היא שהיא קרעה איומים, בצורה של קבצי הפעלה ואז סרקה את אלה המשתמשים ב- VirusTotal. "VT אינה מערכת מתאימה לשימוש בהערכת מוצרים נגד תוכנות זדוניות, בעיקר מכיוון שהסורקים המשמשים ב- VT אינם נתמכים על ידי טכנולוגיה נוספת כגון מערכות מוניטין ברשת."
מעבדות קספרסקי, שמוצריה שימשו במחקר, הטילו ספק גם במתודולוגיית הבדיקה שהשתמשה על ידי אימפרבה בניסוי. "בעת סריקת קבצים שעלולים להיות מסוכנים, שירות VirusTotal המשמש את מומחי אימפרבה אינו משתמש בגרסאות המלאות של מוצרי אנטי-וירוס, אלא מסתמך על סורק עצמאי", כתב מעבדות קספרסקי בהצהרה שהונפקה ל- Security Watch.
"גישה זו פירושה שרוב טכנולוגיות ההגנה הקיימות בתוכנת אנטי-וירוס מודרנית פשוט מתעלמים. זה משפיע גם על טכנולוגיות יזומות שנועדו לאתר איומים חדשים ולא ידועים."
ראוי לציון, חלק מהאתר של VirusTotal מרתיע מישהו מכל שימוש בשירותו בניתוח אנטי-וירוס. בסעיף 'אודות' של החברה נכתב, "נמאס לנו לחזור על כך שהשירות לא תוכנן ככלי לביצוע ניתוחי השוואה אנטי-וירוס. מי שמשתמש ב- VirusTotal לביצוע ניתוחים השוואתיים של אנטי-וירוסים צריך לדעת שהם מבצעים שגיאות מרומזות רבות במתודולוגיה שלהם."
אברמס גם עמד בדעה עמומה על השימוש ב VirusTotal לביצוע המחקר, ואמר כי ניתן להשתמש בכלי כדי להסיט את התוצאות כלפי אלו שרצו הבודקים. "בודקים בעלי יכולת ומנוסה יודעים טוב יותר מאשר להשתמש בנגיף VirusTotal כדי להעריך את יכולות ההגנה של כל דבר אחר מלבד סורק שורת פקודה טהור, " אמר.
אימפרבה הגן על השימוש ב- VirusTotal במחקרם. "מהות הדו"ח אינה השוואה של מוצרי אנטי-וירוס, " כותבת אימפרבה. "במקום זאת, המטרה היא למדוד את היעילות של פיתרון אנטי-וירוס יחיד, כמו גם פתרונות אנטי-וירוס משולבים שניתנים למערכת אקראית של דגימות זדוניות."
למרות שהמומחים שדיברנו איתם הסכימו כי פגיעויות של אפס יום ותוכנות זדוניות שזה עתה נוצרו הן בעיה, אף אחת מהן לא תמכה בקביעות אימפרבה לגבי תזמון או שיעורי גילוי נמוכים. "שיעורי ההגנה הנמוכים ביותר במבחן 'העולם האמיתי' באפס יום הם 64-69 אחוזים, " אמר מרקס ל- Security Watch. "בממוצע ראינו שיעור הגנה של 88-90 אחוז לכל המוצרים שנבדקו. פירוש הדבר, 9 מתוך 10 התקפות ייחסמו בהצלחה, רק 1 יגרום לזיהום בפועל."
מסקנה מרכזית נוספת של דו"ח אימפרה הייתה שתוכנות נגד תוכנות זדוניות מובנות היטב על ידי יוצרי תוכנות זדוניות, שמצליחות לצמצם את יצירותיהם למערכות הגנה. "התוקפים מבינים לעומק את מוצרי האנטי-וירוס, מתוודעים לנקודות התורפה שלהם, מזהים את הנקודות החזקות של מוצר האנטי-וירוס ומבינים את השיטות שלהם לטיפול בשכיחות הגבוהה של התפשטות וירוסים חדשים באינטרנט", כותב אימפרבה במחקר.
המחקר ממשיך, "וריאנטים המצויים בתפוצה מוגבלת (כמו התקפות ממומנות ממשלתיות) בדרך כלל משאירים חלון הזדמנויות גדול."
Stuxnet לא אחריך
"החבר'ה הזדוניים הם באמת קשוחים, הם חזקים ואינטליגנטים, " אמר סטלשהאמר. "פיגוע ממוקד הוא תמיד מסוכן." אך הוא ואחרים הדגישו כי התקפות ממוקדות בהן התוכנה הזדונית מותאמת במיוחד כנגד אנטי-תוכנות זדוניות נדירות באותה מידה שהיא מסוכנת.
המאמץ והמידע הדרושים ליצירת פיסת תוכנה זדונית כדי להביס כל שכבת הגנה הוא גדול. "מבחן כזה דורש הרבה זמן ומיומנויות, כך שהם לא זולים", כתב מרקס. "אבל זו הסיבה שבגללה הם נקראים 'ממוקדים'."
בנקודה זו, אברמס צחק, "למען האמת, אני ממש לא מודאג מסטוקסנט להיכנס למחשב שלי ותקוף צנטריפוגה מעשירה אורניום בבית שלי או במשרד המעסיק."
כמעט כל מי שדיברנו איתו הסכימו, לפחות באופן עקרוני, כי פתרונות חינמיים נגד תוכנות זדוניות יכולים לספק הגנה משתלמת למשתמשים. עם זאת, רובם לא הסכימו כי מדובר באפשרות ברת קיימא עבור לקוחות ארגוניים. Stelzhammer מציין כי גם אם משתמשים ארגוניים רצו להשתמש בתוכנה חינמית, הסכמי הרישוי מונעים לעתים מהם לעשות זאת.
"לא הכל קשור לגילוי", אמר סטלשהאמר בראיון ל- Security Watch. "זה קשור למינהל, מדובר בפריסה ללקוחות, בנושא סקירה כללית. לא תקבלו את זה עם מוצר בחינם."
משתמש מושכל בבית, המשיך Stelzhammer, יכול להשתמש בשכבות של תוכנה חופשית כדי לספק הגנה הדומה לתוכנה בתשלום אך במחיר הפשטות. "הוא יכול לארגן מערכת מוגנת היטב עם תוכנה חופשית, אבל היתרון הגדול ביותר של תוכנה בתשלום הוא הנוחות."
עם זאת, אדוארדס מדניס מעבדות לא הסכימו עם ההשוואה החיובית עם תוכנה חופשית. אדוארדס אמר כי "זה מנוגד לכל הממצאים שלנו לאורך שנים רבות של בדיקות". "כמעט ללא יוצא מהכלל המוצרים הטובים ביותר הם בתשלום." ממצאים אלה דומים לבדיקת PC Magazine של תוכנות נגד תוכנות זדוניות.
מאז פרסום המחקר בחודש שעבר, אימפרבה כתבה פוסט בבלוג שמגן על עמדתם. מנהל אימפרבה, אסטרטגיית האבטחה, רוב רחוולד, אמר ל- Security Watch, ואמר כי "כל ביקורת המתמקדת במתודולוגיה שלנו חסרה את המציאות שאנו רואים כיום." הוא המשיך ואמר כי מרבית הפרות הנתונים הן תוצאה של חדירה לתוכנות זדוניות, שהחברה רואה בה הוכחה לכך שהמודל הנוכחי נגד תוכנות זדוניות פשוט לא עובד.
אף על פי שקיימת אמת מובנית למסקנות אימפרבה, אף אחד מהמומחים שדיברנו איתם לא צפה במחקר באופן חיובי. "בדרך כלל, אני מזהיר מפני בדיקות ממומנות על ידי ספק, אבל אם הבדיקה הזו הייתה מבוצעת על ידי ארגון עצמאי הייתי מזהיר מפני הארגון עצמו", כתב אברמס ממעבדות NSS. "נדיר שאני נתקל במתודולוגיה כל כך לא מתוחכמת, בקריטריונים לאיסוף מדגמים לא תקינים ומסקנות לא נתמכות עטופות במסמך PDF יחיד."
לפרטים נוספים ממקס עקבו אחריו בטוויטר @wmaxeddy.
