Według Trend Micro, producenta oprogramowania antywirusowego, udział w niektórych wyspecjalizowanych testach oprogramowania antywirusowego nie ma sensu. Zdaniem ekspertów firmy mogą one dawać złudne poczucie bezpieczeństwa.

- Uznaliśmy, że testy te nie odzwierciedlają rzeczywistych sposobów przenikania zagrożeń do firm i mogą dawać złudne poczucie bezpieczeństwa - powiedział Rik Ferguson, doradca ds. bezpieczeństwa z firmy Trend Micro.

Na ogół w tradycyjnych testach zostaje załadowany plik repozytorium zawierający zbiór różnych wirusów, koni trojańskich i innego szkodliwego oprogramowania. Następnie jest instalowany i uaktualniany program zabezpieczający, który po odłączeniu od Internetu zostaje uruchomiony i próbuje wykryć szkodliwe oprogramowanie.

Kolejny krok to wygenerowanie wyników zgodnie z odsetkiem wykrytych szkodliwych plików. Autorzy tych testów zapewne uważają, że tworzą w ten sposób obiektywne warunki, w których można porównywać różne programy zabezpieczające. Rozumiem ich, ale w rzeczywistości taki test nie odzwierciedla rzeczywistych zagrożeń dla firm lub użytkowników indywidualnych.

Najczęstszym źródłem zagrożeń jest obecnie Internet. Drugie miejsce zajmuje szkodliwe oprogramowanie, które pobiera inne szkodliwe programy przez Internet. Zainfekowane strony internetowe, pliki PDF, serwisy społecznościowe i usługi przetwarzania w chmurze — to tylko niektóre z ważnych rzeczywistych lub potencjalnych zagrożeń, jakich nie uwzględnia tradycyjne laboratoryjne środowisko testowe. Tradycyjne testy koncentrują się na pliku — sprawdzają, czy dany program zabezpieczający prawidłowo rozpoznaje określony plik.

Konieczne jest bardziej całościowe podejście

Szkodliwe oprogramowanie i inne zagrożenia przedostają się różnymi kanałami. Już sam fakt, że się przedostały, oznacza, że jakiś element zabezpieczeń zawiódł. I nie musi to być spowodowane naruszeniem reguł przez człowieka. Przykładowo — przychodzi wiadomość e-mail od dyrektora z propozycją zapoznania się z pewnym serwisem internetowym.

W tej sytuacji większość odbiorców po prostu kliknie odpowiednie łącze. Dobre rozwiązanie zabezpieczające powinno zadać w imieniu użytkownika kilka pytań, które dotyczą nie tylko wirusów, lecz generalnie bezpieczeństwa.

Czy ta wiadomość rzeczywiście jest od dyrektora?

• Czy łącze, które ona zawiera, nie jest udostępniane w hostingu w niebezpiecznym otoczeniu i czy nie zawiera podejrzanych elementów?
• Czy taka wiadomość była ostatnio widziana przez kogoś innego?
• Czy próbuje ona dostarczyć jakieś pliki lub zachęca do zmiany ustawień?
• Czy te pliki są szkodliwe?

Tę listę można wydłużać niemal bez końca, jednakże tradycyjny test sprawdza tylko ostatnią linię obrony. Zadaje jedno pytanie. To tak, jak zostawić otwarte drzwi i okna bez nadzoru, ale zainstalować alarm przeciw włamaniowy przy biżuterii schowanej w szufladzie ze skarpetkami.

Uważamy, że system zabezpieczający powinien zainteresować się już pierwszym ogniwem tego łańcucha zdarzeń, a nie tylko ostatnim. Żadne rozwiązanie na żadnym poziomie nie jest w stu procentach niezawodne, ale jeżeli ma się wiele poziomów kontroli, z których każdy informuje pozostałe, szanse uniknięcia kłopotów są dużo większe. W takich sytuacjach zapobieganie jest zdecydowanie lepsze niż leczenie.

Idąc dalej — przejście na holistyczne sieci zabezpieczające i centralizację sygnatur zagrożeń jest nieuniknione. Nowe zagrożenia są wykrywane co półtorej sekundy i ta tendencja narasta. Rozwiązania oparte na sygnaturach pobieranych do komputerów Klientów nie są w stanie dotrzymać jej kroku, a jeśli próbują, nie pozwalają tym urządzeniom działać z wymaganą wydajnością.

Źródło: Trend Micro