Dlaczego wykrycie złośliwego oprogramowania nie jest proste – mity i wskaźniki wykrywalności

Wskaźniki wykrywalności stanowią ulubioną metrykę dla oceny rozwiązań w zakresie bezpieczeństwa. Ale sama ta liczba nie jest wszystkim, co decyduje o ocenie, jak szczegółowo wyjaśnia Karsten Hahn.

Oprogramowanie antywirusowe jest regularnie spisywane na straty. Dyskusje na ten temat powtarzają się raz po raz i są niekiedy prowadzone w sposób bardzo dogmatyczny. Równocześnie wyniki testów przechylają szalę na korzyść jednego lub drugiego rozwiązania, gdzie stawką są miejsca po przecinku we wskaźnikach wykrywalności. Tło jest czasem bardzo złożone, a wskaźniki rozpoznawalności też nie dają pełnego obrazu.

Stare mity

Ten, kto twierdzi, że oprogramowanie antywirusowe jest “martwe”, musi sobie również zadać pytanie, co dokładnie oznacza oprogramowanie antywirusowe i jak definiowany jest stan “martwy”. Zwolennicy tego sposobu myślenia powołują się często na skanery online, takie jak Virustotal (zwane też “multiskanerami”). Takie skanery dają pewne wskazówki, ale to, że dany złośliwy plik “nie jest wykrywany” przez dane rozwiązanie, wcale nie musi być prawdą. Dzieje się tak dlatego, że wielu producentów, którzy udostępniają swoje silniki dla skanerów online, stosuje również inne metody wykrywania, ich wyniki często różnią się od “szybkiego skanowania” za pomocą Virustotal. Przyczyna jest prosta: dodatkowe technologie, które opierają się na przykład na uczeniu maszynowym lub AI, nie są częścią skanerów internetowych. Dzieje się tak dlatego, że wiele technologii “nowej generacji” uwzględnia również czynniki, które nie dadzą się łatwo odwzorować w multiskanerze.

Ponieważ jednak sprawdzane są tylko silniki skanujące, które tradycyjnie opierają się sygnaturach i tym samym mają charakter czysto reaktywny, szybko powstaje wrażenie, że skanery antywirusowe jako całość reprezentują “przestarzałą” technologię. Nic bardziej mylnego.

Poza cel

Jedno z największych wyzwań dla osób analizujących złośliwe oprogramowanie stanowi unikanie wyników fałszywie pozytywnych (false positives). W idealnym świecie wartość ta jest stale zerowa, ponieważ nikt nie potrzebuje wyników fałszywie pozytywnych. Wskaźnik wyników fałszywie pozytywnych nawet na poziomie jednego procenta miałby katastrofalne skutki. Dla katalogu, w którym znajduje się 500 000 plików, oznaczałoby to, że 5000 plików zostało potencjalnie błędnie rozpoznanych. Taki rozmiar folderu nie jest czymś nierealnym – sam katalog systemu Windows zawiera mniej więcej taką liczbę plików. Losowe wybranie i usunięcie 5000 z nich nie wydaje się czymś szczególnie pożądanym. W praktyce za dopuszczalny uważa się wskaźnik znacznie poniżej 0,001 procenta. Odpowiada to mniej niż jednemu wynikowi fałszywie pozytywnemu na 100.000 plików.

Logiczne wyjście

Kto więc chce maksymalnie ograniczyć liczbę wyników fałszywie pozytywnych, musi być zmuszony do stosowania wielowarstwowych zabezpieczeń. Niekoniecznie ważne jest przy tym utrzymanie jak najwyższego wskaźnika wykrywalności każdej poszczególnej technologii zabezpieczeń, lecz wyeliminowanie niepożądanych wykryć wszędzie tam, gdzie jest to możliwe.  W działaniach takich pomaga oprogramowanie antywirusowe, np. to, dostarczane przez jednego z liderów – G Data Software

Kto chce dokładnie wiedzieć, dlaczego wykrywanie złośliwego oprogramowania nie jest rzeczą trywialną i dlaczego powszechnie stosowane metryki niekoniecznie mówią całą prawdę, temu polecam artykuł: TechBlog-Artikel von Malware-Analyst Karsten Hahn  (w języku angielskim).

—————–

G Data

G DATA Software to pionier w dziedzinie oprogramowania antywirusowego. Pierwszy program antywirusowy został opracowany przez firmę ponad 30 lat temu. Obecnie G DATA to jedna z czołowych firm na świecie zajmujących się dostarczaniem zabezpieczeń IT.

We wszystkich najważniejszych testach przeprowadzonych między rokiem 2005 a 2022 firma G DATA uzyskała bardzo dobre wyniki w zakresie skuteczności wykrywania wirusów. Również w skali światowej produkt G DATA Internet Security otrzymał tytuł najlepszego pakietu ochrony internetowej przyznawany przez czasopisma adresowane do użytkowników z takich krajów, jak Australia, Austria, Belgia, Francja, Włochy,  Holandia, Hiszpania czy USA. Oferta firmy obejmuje rozwiązania z zakresu zabezpieczeń dla klientów końcowych, jak również małych i średnich przedsiębiorstw. Rozwiązania z zakresu zabezpieczeń od G DATA są dostępne w ponad 90 krajach na całym świecie.

Odsłony: 17