署名ベースのウイルス対策またはマルウェア対策は効果的ですか?
署名ベースのウイルス対策またはマルウェア対策ソリューションは効果的ですか?ますます増加しているマルウェア、特にルートキットなどの野生との戦いは失われていますか?
Anti-Virus/Ani-Malwareおよびその他のblack-listベースのセキュリティシステムには、次の深刻な欠陥:
- ゼロデイ脆弱性のような新しい(まだリストされていない)脅威から保護できない可能性があります
- セキュリティの誤検知を提供します
- それらの署名ファイルのサイズはunboundedであり、常に増加し続けます
- 3.のため、リソース(メモリ、CPUなど)にますます多くの負荷がかかる時間とともに
対照的に、white-listベースのセキュリティシステムは、既知のルーチンで安全なものを許可しますが、その他すべてを禁止する(ユーザーに今後許可するかどうかを尋ねるオプションを使用して)ことは、はるかに持続可能で、効果的で、効率的で、実際に安全です。
これは私の意見ではなく、多くの著名なセキュリティ専門家が同意する原則です。例を参照してください: このWiReD記事
[更新:2014-07-29]
しかし、状況はさらに悪化します。コンピュータで最高の権限で実行される、大きくて複雑な一体型アプリケーションを想像してみてください。それは多くのシステムコールを傍受し、時にはそれらのセマンティクスを変更し、更新時にカーネルドライバーをインストールし、入ってくるすべてを傍受するパケットフィルターを採用し、コンピューターができることもできないことも効果的に制御しようとします。今説明したのは、AVソフトウェアの本質です。これはまさに彼らのほとんどがしていることです。その結果、一般的なAVソフトウェアは攻撃の脆弱性の表面を劇的に増大させます。実際、最近のマルウェアは、AVソフトウェアの脆弱性を探して悪用することがよくあります(たとえば このリファレンスの例 を参照)。これが、多くのセキュリティ専門家がAVプログラムをこれまでに発明された最大のウイルスであると考える理由です。
個人的に代わりに使用するものは何ですか?
多くの層でのホワイトリストベースの保護の組み合わせ。 1つが失敗すると、他は成功する可能性があります。
- 既知で許可されているものだけを許可するファイアウォール
- ログスキャナー、トリップワイヤー、ファイル署名(異常に基づく侵入検知)システム
- サンドボックス、ブラウザのようなより脆弱なソフトウェアの周りのVM
- データの実行から保護し、ランダムなアドレスロードをサポートし、システムコールパラメータチェックなどのランタイムチェックを実行する、強化されたオペレーティングシステム。
- Sshによって提供されるような安全で暗号化された接続
- インストールされたソフトウェアのソースコードを見て、そのソースからビルドするか、少なくともの数からパッケージをダウンロードできる環境reputableソースは、多数のランダムサイトとは対照的です。
- 強力なパスワードまたはより優れた長いパスフレーズ、優れたパスワードマネージャー、2要素認証
特効薬はありません。セキュリティは、多くの要因の影響を受ける複雑な領域です。上記の(およびより多くの)原則を使用してセキュリティを強化することはできますが、ハードウェア、ソフトウェア、および潜在的な感染経路の数が多いことを考えると、彼が100%安全であるとは決して言えません。
署名ベースの検出システムはonlyソリューションにすることはできませんが、ソリューションのpartにすることはできます。実際、行動検出とヒューリスティック検出を備えたAV製品の多くでも、署名ベースの検出が採用されていることがわかります。それは簡単で、速く、誤検知の可能性は非常に低いです。しかし、偽陰性の可能性は高く、あなたは確かに新しい攻撃に失敗します。
Securitytubeでこれらのビデオを見てください
- http://securitytube.net/How-to-make-Files-Undetectable-by-Anti-Virus-video.aspx
- http://www.securitytube.net/AV-Evasion-using-MSF3-Payloads-video.aspx
どちらも、アンチウイルスの検出を回避するのがいかに簡単かを示しています。シグネチャベースのアンチウイルスは存続する必要がありますが、彼らが生計を立てたい場合は、シグネチャベースの検出のみに限定するだけでは十分ではありません。
マルウェアを偽装するために使用できる自動化ツールがあり、アンチウイルスが拾わないマルウェアを簡単に配布できます。
また、署名ベースのチェックをさらに困難にする Polymorphic code の課題もあります。戦いは決して失われたわけではありませんが、署名によってブロックすることは、10年前よりも今日ではかなり困難です。
あなたのお母さんのような誰かが彼女の身元と支払いカードを詐欺のために失うことができたとき、それは失われました。
1999年のWindowsバッファオーバーフロー以来、ウイルス対策とマルウェア対策は非常に効果的ではなかったと思います。安心感。それらは積極的に攻撃されており、ルートキットまたはエントリポイントとして使用されています。
あなたは逆を行うことができます。 e。有効な実行可能ファイルのチェックサムがあります。そうでない場合、シグネチャは適所にありません。
それはあなたが効果的に何を意味するかによる。この方法では、既知のウイルスのみが認識されます。しかし、ウイルスが知られている場合、それが悪用する脆弱性の種類も確実です。過去には、これらの脆弱性はウイルスが拡散したときにすでに修正されていたか、ウイルスが判明した直後に修正されていました。
したがって、システムが定期的に更新される場合、ウイルススキャナーはあまりメリットがありません。欠点は、ウイルススキャナーがコンピューターの速度を低下させ、多くの場合人々を悩ませます。
私はよくホームユーザーにnotウイルス対策ソフトウェアをインストールするように勧めています。代わりに、いくつかの一般的なヒント(定期的な更新、最小特権の原則など)を検討する必要があります。半年ごとに、私はそれらのシステムをいくつかのアンチウイルスCDでチェックします。約10年間、これらのシステムはどちらもウイルスの影響を受けませんでした。
戦いが敗北したとは思わない。ユーザーが自分のコンピューターのセキュリティに注意を払えば、安全を保つことができます。
AVは、何が悪いのかを列挙してブロックしようとするブラックリストコントロールであり、デフォルトで他のすべてを許可します。このタイプのコントロールは非常に便利ですが、あまり効果的ではありません。AVの場合、多かれ少なかれ敗北を認めます。
セキュリティの観点からは、通常、何が許可されているかを列挙し、デフォルトで他のすべてを拒否する方が適切です。もちろん、これははるかに便利ではありませんが、はるかに効果的です。
実行したくない膨大な数のプログラムを停止しようとするよりも、明示的にインストールして実行を許可した一握りのプログラムのみを許可することで機能するシステムを見たいと思います。 「アプリストア」への現在の傾向は、この点でいくらか役立つと思います。
その判断を下すには、自分の状況を評価する必要があると思います。 AVプログラムをブラックリストに登録すると、実際には数百万種類のマルウェアを検出できます。そのマルウェアに対して脆弱で、多くのマルウェアを目にした場合、効果がないとは言い難いでしょう。
ただし、これはセキュリティ対策の1つにすぎません。ブラックリストはほとんどの場合反応します(一般的な一致もありますが、誤検知が高くなります)。更新がリリースされたとき、定義により、それらはすでに古いものです。新しいマルウェアはリストに含まれません。
多くの大手AVベンダーが「クラウド」を介して一種のリアルタイムの検出と更新を行っていますが、更新間の時間を短縮するだけです。