Sono efficaci antivirus basati su firme o antimalware?

Direi che i sistemi di sicurezza basati su Anti-Virus / Ani-Malware e altri black-list presentano le seguenti gravi carenze:

1. Non è possibile proteggersi contro nuove (ancora non in elenco) minacce come vulnerabilità zero-day
2. Forniscono un falso senso di sicurezza
3. I loro file di firma sono di dimensioni non limitate e continuano a crescere
4. A causa di 3. diventano sempre più tassati sulle risorse (memoria, CPU, ecc.) nel tempo

Al contrario, i sistemi di sicurezza basati su white-list che consentono ciò che è noto, di routine e sicuro, mentre non consentono (con l'opzione di chiedere all'utente se consentire ora su) tutto il resto, sono molto più sostenibili, efficaci, efficienti e realmente sicuri.

Questa non è solo la mia opinione, è un principio su cui molti importanti esperti di sicurezza sono d'accordo. Vedi ad esempio: questo articolo WiReD

[Aggiornamento: 2014-07-29]

Ma peggiora: immagina un'applicazione complessa e monolitica che gira sul tuo computer con i privilegi più alti. Intercetta molte chiamate di sistema e talvolta modifica la loro semantica, installa i driver del kernel sugli aggiornamenti, impiega un filtro di pacchetti che annusa tutto ciò che arriva e tenta in modo efficace di controllare tutto ciò che il computer può o non può fare. Quello che ho appena descritto è l'essenza del software AV. Questo è esattamente ciò che fanno la maggior parte di loro. Il risultato è che il tipico software AV aumenta drasticamente la superficie di vulnerabilità degli attacchi. Di fatto, il malware moderno cerca spesso di sfruttare le vulnerabilità del software AV (vedere questo riferimento per esempio ). Questo è il motivo per cui molti esperti di sicurezza considerano i programmi AV come il più grande virus mai inventato.

Quello che personalmente userò invece?

Una combinazione di protezioni basate su white list, in molti strati. Quando uno fallisce, gli altri possono avere successo:

1. Firewall che consentono solo ciò che è noto e progettato per essere consentito
2. Log scanner, trip-wire, firma di file (rilevamento delle intrusioni, basato su anomalie) sistemi
3. Sandbox, VM su software più vulnerabili come i browser
4. Un sistema operativo resistente che protegge dall'esecuzione dei dati, supporta il caricamento casuale degli indirizzi, i controlli di runtime come il controllo dei parametri delle chiamate di sistema, ecc.
5. Connessioni protette e crittografate come quelle fornite da ssh
6. Un ambiente che consente di guardare il codice sorgente del software installato e creare da quella fonte o almeno scaricare pacchetti da un piccolo numero di reputable fonti anziché un numero elevato di siti casuali.
7. Password complesse o migliori passaporti lunghi, un buon gestore di password, autenticazione a due fattori

Non c'è un proiettile d'argento. La sicurezza è un'area complessa influenzata da molti fattori. È possibile utilizzare i principi sopra citati (e molti altri) per aumentare la sicurezza, ma non si può mai essere certi di essere sicuro al 100%, data la complessità dell'hardware, del software e dell'elevato numero di potenziali vettori di infezione.

Un sistema di rilevamento basato su firma non può essere la soluzione solo , ma può essere parte della soluzione. In effetti scoprirete che molti dei prodotti AV con rilevamento comportamentale e rilevamento euristico utilizzano ancora il rilevamento basato su firma. È semplice, è veloce, le probabilità di falsi positivi sono molto basse. Ma le probabilità di falsi negativi sono alte, e sicuramente fallirai contro nuovi attacchi.

Guarda questi video su securitytube

• link
• link

che dimostra quanto sia facile evitare il rilevamento antivirus. L'antivirus basato sulle firme deve sopravvivere, ma se vogliono guadagnarsi da vivere non sarà sufficiente limitandosi solo al rilevamento basato sulla firma.

Hai strumenti automatizzati che possono utilizzare per mascherare il tuo malware, rendendo inutile la distribuzione di un malware che l'antivirus non riscuote.

Hai anche le sfide del codice polimorfico che rende ancora più difficile il controllo basato sulle firme. La battaglia non è affatto persa, ma è molto più difficile bloccare per firma oggi rispetto a 10 anni fa.

Si è perso quando qualcuno come tua madre potrebbe perdere la sua identità e le carte di pagamento in frode.

Direi che, no, anti-virus e anti-malware sono stati molto inefficaci da quando l'overflow del buffer di Windows nel 1999. Nel 2010, stanno aggiungendo benzina sul fuoco e rendono i sistemi più insicuri, e non solo perché fornire un falso senso di sicurezza. Sono attivamente attaccati da soli e usati come rootkit o punti di ingresso.

Dipende da cosa intendi per efficacia. Questo metodo vedrebbe solo i virus noti. Ma se un virus è noto, è anche certo quale tipo di vulnerabilità sfrutta. In passato tali vulnerabilità erano già state corrette quando il virus si diffondeva o veniva risolto direttamente dopo la sua diffusione.

Quindi, se il sistema viene aggiornato regolarmente, un programma antivirus non avrebbe molti vantaggi. Al rovescio della medaglia, lo scanner dei virus rallenta il computer e spesso infastidisce le persone.

Spesso consiglio agli utenti domestici di non di installare software anti virus. Invece dovrebbero prendere in considerazione alcuni suggerimenti generali (aggiornamenti regolari, principio di privilegio minimo ecc.). Ogni sei mesi circa controllo questi sistemi con un CD anti virus. Per circa 10 anni nessuno di questi sistemi è stato colpito da un virus.

Non considero la battaglia da perdere. Se l'utente presta attenzione alla sicurezza del suo computer, potrebbe stare al sicuro.

AV è un controllo della lista nera che tenta di enumerare ciò che è male e bloccarlo, consentendo tutto il resto per impostazione predefinita. Questo tipo di controllo è molto conveniente ma non molto efficace, e nel caso dell'AV è più o meno un'ammissione di sconfitta.

Da un punto di vista della sicurezza di solito è meglio enumerare ciò che è permesso e negare tutto il resto per impostazione predefinita. Questo ovviamente è molto meno conveniente ma anche molto più efficace.

Preferisco di gran lunga vedere i sistemi che funzionano consentendo solo la manciata di programmi che ho esplicitamente installato e autorizzato a eseguire, piuttosto che tentando di fermare i miliardi di programmi che non voglio eseguire. Penso che l'attuale tendenza verso gli "app store" sia alquanto utile a questo riguardo.

Potresti fare un inverso, io e. avere checksum per eseguibili validi, altrimenti le firme sono un po 'fuori luogo.

Penso che devi valutare la tua situazione per fare quella determinazione. I programmi AV di blacklist in circolazione sono in grado di rilevare milioni di diversi tipi di malware. Se sei vulnerabile a quel malware e vedi un sacco di malware, penso che ti verrebbe da dire che non è efficace.

Tuttavia, è solo un pezzo di difesa della sicurezza. La lista nera è per lo più reattiva (qualche corrispondenza generica, ma falsi positivi più alti). Quando gli aggiornamenti vengono rilasciati, per definizione sono già vecchi. Qualsiasi nuovo malware non sarà nella lista.

Molti produttori di AV di grandi dimensioni eseguono una sorta di rilevamento e aggiornamenti in tempo reale tramite "il cloud", ma riduce semplicemente il tempo tra gli aggiornamenti.