כשמדובר באנטי-וירוס, חסינות העדרים עובדת לבקר ומחשבים

בכנס הבינלאומי השנה לתוכנה זדונית ולא רצויה, המכונה MalCon 2015, פאני לונדה לייבסקה, Ph.D. סטודנט בבית הספר École Polytechnique de Montréal, הדגים את התוצאות המרתקות שניתן לגזור כאשר יש לכם כמויות אדירות של מידע על הגנה מפני אנטי-וירוס במיליארד מחשבים. תוך שימוש בגישה שנשאבה מחקר מערכות אקולוגיות טבעיות, היא המציאה מספר מדדים למדידת בריאות כל המערכת האקולוגית האנטי-וירוס.

יתכן ששמת לב לכלי להסרת תוכנות זדוניות (MSRT) הפועל כחלק מכל עדכון של מיקרוסופט. זה מאוד מחפש ומחסל כמה עשרות משפחות זדוניות נפוצות מאוד, שנבחרות מדי חודש על ידי צוות האבטחה של מיקרוסופט. זה גם מחזיר טלמטריה משמעותית למיקרוסופט. לדברי דניס באטצ'לדר, מנהל המרכז להגנת תוכנות זדוניות של מיקרוסופט (MMPC), הטלמטריה הזו היא הסיבה שמיקרוסופט אינה זקוקה לבדיקות אנטי-וירוס. בנאום מרכזי לפני שנתיים ב- MalCon, הוא פירט בפירוט את כמות הנתונים האדירה שנאספה על ידי MSRT, והזמין אקדמאים להגיש הצעות לשימוש בנתונים אלה במחקר.

מיליונים ומיליונים

בין היתר, ה- MSRT מדווח אם הוא מצא תוכנה זדונית כלשהי, איזה אנטי-וירוס (אם בכלל) הותקן והאם האנטי-ווירוס הוגדר ופועל כראוי. הגב 'לונדה לייבסק התחילה עם ארבעה חודשים של נתוני MSRT ממיקרוסופט. לאחר שחיסלה רשומות ממכונות ללא אנטי-וירוס, עדיין היו לה כמעט מיליארד רשומות. יש הטייה מסוימת בערכת הדוגמאות, מכיוון שיש משתמשים שבחרו לא להפעיל את Windows Update או MSRT. כדי לעזור להתגבר על ההטיה הזו, היא בחרה 10 אחוזים אקראיים מהערכים. זה עדיין מעל 90 מיליון דגימות.

כשנבחרה אוכלוסיית היעד, היא ניתחה את בריאות המערכת הכוללת. ניתוח זה בוחן ספציפית לשלושה תחומים, הנגזרים מניתוח מערכות אקולוגיות טבעיות: פעילות, גיוון ויציבות.

במערכת האקולוגית האנטי-וירוס, מידת ההגנה מייצגת פעילות. אנטי-וירוס המותקן יכול להיות לא מעודכן, או לבטל אותו, או להפסיק את ההגנה בזמן אמת. הגב 'לונדה לייבסקה גילתה כי במהלך ארבעת החודשים מספר ההתקנות המעודכנות שהוגדרו כראוי ריחף סביב 87 עד 88 אחוזים.

גיוון במערכת אקולוגית טבעית פירושו שאף מין אחד אינו דומיננטי לחלוטין. הגב 'לונדה לייבסק בחנה את 100+ מוצרי האנטי-וירוס המובהקים במערכת האקולוגית האנטי-וירוס ומצאה דרגה גבוהה של גיוון. המוצר הדומיננטי, זה עם הבסיס המותקן הגדול ביותר, מעולם לא גבה יותר מ- 18 אחוז מהשוק.

כדי לבחון את היציבות, היא צמצמה את הרשימה לראשונה למחשבים שהגיבו ל- MSRT בכל ארבעת החודשים. היא בדקה שינויים במצב האנטי-וירוס ומצאה תוצאות מעודדות. רק כשלושה אחוז מהמחשבים שהיו להם אנטי-וירוס פועלים ועדכניים נסחפו למצב פחות מאובטח, ורבים מהמחשבים במדינות האחרות השתפרו.

אבל הנה הפתעה. במהלך המחקר, שליש מהמחשבים עברו באופן מלא לאנטי-וירוס אחר. חלק מהמשתתפים העלו השערה ביחס לאפשרות של תוצאה מוטה על בסיס תפוגה של אנטי-וירוס בחינם במחשבים חדשים. תהיה הסיבה אשר תהיה, זה הרבה שינוי.

השלב האחרון היה לבחון אילו מחשבים מדווחים נפגעו על ידי תוכנה זדונית למרות התקנת אנטי-וירוס. באופן לא מפתיע, שיעור זיהומים זדוניים נמוך נמצא בקורלציה חזקה עם אנטי-וירוס מעודכן ועובד. לעומת זאת, שיעור יציבות נמוך, כלומר שינוי רב במצב אנטי-וירוס או אנטי-וירוס מותקן, נמצא בקורלציה חזקה עם שיעור זיהומים גבוה יותר.

מונוקולטורה וחסינות עדר

השלב הבא כלל פריצת הנתונים של כל אחת מ -126 המדינות המעורבות, והתאמת בריאות האקולוגית האנטי-מערכתית בכל רחבי הארץ עם שיעורי ההדבקה ברחבי הארץ. לגבי חלק זה של המחקר, הגב 'לונדה לייבסקה בחנה הן במחשבים המוגנים על ידי אנטי-וירוס והן באלה ללא הגנה.

מדינות מסוימות הציגו דירוג גיוון עגום, כאשר מוצר אחד מגן על רוב המערכות. מדינות אלה הציגו באופן שגרתי שיעור זיהומים גבוה מהממוצע, בעוד שלאנשים עם מגוון רב יותר היה שיעור נמוך יותר. הדו"ח המלא שלה מפרט כיצד בדקה את המשמעות הסטטיסטית של תוצאה זו. במערכת האקולוגית האנטי-וירוס, כמו בחיים, monoculture אינו בריא.

זה לא מפתיע מרחוק שאחוז גדול יותר של מחשבים עם אנטי-וירוס פונקציונלי עדכני מתכתב חזק עם שיעור זיהומים נמוך יותר. אם זה לא היה המקרה, משהו היה מאוד מאוד לא בסדר. הבורר הוא שאותו מתאם זה נכון כשמסתכלים על מחשבים ללא אנטי-וירוס באותה מדינה. זה נראה כאילו סוג של חסינות לעדר עשוי לבעוט כאן, כך שגם מי שוותר על הגנת אנטי-וירוס מרוויח את שכניהם בשריון מלא.

ואז יש את אפקט ה- MSRT. מדינות עם שיעור זיהום גבוה הראו גם שיעור גבוה של "מחבת", כאשר משתמשים רבים מחליפים מוצרי אנטי-וירוס. האם יכול להיות שהעובדה הפשוטה של ​​ראיית MSRT מבטלת תוכנות זדוניות גרמה למשתמש להיות לא מרוצה מההגנה הקיימת, ולבחור ספק אחר? זה יהיה קשה להוכיח, בהתחשב בכך שאין מחשבים במחקר שמעולם לא חוו שימוש ב- MSRT.

רק תצוגה אחת

הגב 'לונדה לייבסקה הקפידה לציין כי לתוצאות המחקר יש מגבלות מסוימות. רק מחשבים המחברים למערכת MSRT כללו, דבר אחד. ותוצאות זיהום זמינות רק למשפחות הזדוניות הנפוצות שנבחרו על ידי מיקרוסופט בכל חודש. בנוסף, תיאוריות החסינות נגד העדרים אינם ההסברים היחידים למתאמים שהתגלו.

אוסף הנתונים המסיבי של מיקרוסופט זמין לשימוש על ידי חוקרים מוסמכים. אחרים עשויים להרחיב את המחקר של גב 'לונדה לייבסק, או להמריא לכיוון אחר לגמרי. אני מצפה לראות במה הם עולים.