Der „paranoide Modus“ des Antivirenprogramms bremst Unternehmen aus
Veröffentlicht: 2022-01-04
Es ist nicht einfach, zwischen Stabilität und Effizienz die richtige Stabilität zu finden. Dies gilt insbesondere für die Cybersicherheit, da Unternehmen sich sorgfältig vor Bedrohungen schützen und gleichzeitig sicherstellen müssen, dass mehr als eifrige Abwehrmaßnahmen die Produktivität nicht beeinträchtigen.
Bei AV-Comparatives widmen wir unsere Zeit der Durchführung mühsamer, akribischer Tests von Antivirus (AV)-Antworten, um genau aufzuzeigen, wie effektiv sie beim Blockieren von bakteriellen Malware-Infektionen und Cyber-Bedrohungen sind. Von Zeit zu Zeit scheint ein Verkäufer das beste Produkt oder die beste Dienstleistung entwickelt zu haben, die alle Bedrohungen blockiert und eine fantastische Bewertung erzielt. Dennoch verbirgt das scheinbar perfekte Antivirus-Produkt in manchen Fällen ein Problem: Es blockiert alles oder generiert eine große Anzahl falscher positiver Ergebnisse.
Auf unternehmensweiter Ebene kann die Verwendung von Produkten, die an einer Taktik festhalten, die wir als „paranoiden Modus“ bezeichnen, katastrophale Folgen für die Produktivität haben, indem sie normale Prozesse verlangsamen, den Mitarbeitern Hindernisse in den Weg legen und den täglichen Aktivitäten im Wege stehen .
Natürlich ist das Gegenteil ebenso legitim. Wenn ein Unternehmen (oder eine Antivirus-Option) viel zu viel Flexibilität bietet, sind Schwierigkeiten nicht weit entfernt. Wie also sollten Unternehmen die perfekte „Goldlöckchen“-Harmonie erreichen, die Effizienz sicherstellt und gleichzeitig sicherstellt, dass normale Abläufe dennoch problemlos funktionieren können?
Das Dilemma mit Fehlalarmen
Sie klingen harmlos. Aber gefälschte Positive können schwerwiegende Auswirkungen auf ein Unternehmen haben. Wenn eine AV-Alternative fälschlicherweise eine Herausforderung erkennt, führt dies zu unmittelbaren betrieblichen Herausforderungen. Die Produktionslinie muss sozusagen angehalten werden, da das Problem gesichtet, untersucht und dann ausgemerzt wird. Wenn sich das zu dem Zeitpunkt herausstellt, könnte es möglicherweise nur ein Ärgernis sein. Wenn es immer wieder darum geht, könnten Leute, die für den Schutz verantwortlich sind, die Religion in das AV-Produkt oder den AV-Dienst fallen lassen und anfangen, alle seine Studien in Frage zu stellen.
Als der Junge Wolf rief, glaubte ihm niemand, als ein echter Wolf außerhalb des Dorfes auftauchte. Dasselbe gilt für AV-Produkte. Wenn regelmäßig falsche Ergebnisse produziert werden, leidet das Sicherheitsteam zunächst unter Informationserschöpfung, bevor es beginnt, Religion in seiner AV-Option zu löschen – möglicherweise ein echtes Risiko zu übersehen. Im schlimmsten Fall könnten sie eine Malware auf die Whitelist setzen, damit sie frei über das Netzwerk verbreitet werden darf. Es ist besser, ein AV-Produkt zu haben, das 99 Prozent der Bedrohungen ohne unwahre positive Ergebnisse blockiert, als nur eines, das eine Blockierungsstufe von 100 Prozent hat, aber falsche Alarme auslöst.
Auf breiterer Ebene können übermäßige AV-Einstellungen Prozesse in einem Unternehmen nach und nach verlangsamen. Wenn ein AV-Element im paranoiden Modus konfiguriert ist, kann es Behandlungsvorgänge blockieren. Wenn die Lösung beispielsweise eine Netzfilterung enthält, kann sie eine wichtige Rolle dabei spielen, Mitarbeiter daran zu hindern, auf unangemessene Webseiten sowie auf destruktive Webseiten zuzugreifen. Was aber, wenn die Buchhaltung ein Banking-Portal erhalten möchte? Oder das Werbe- und Marketingteam möchte schnell ein paar Folien aus einer Präsentation mit Hilfe einer Netzanwendung erstellen? Wenn die Optionen zu aggressiv sind, könnten diese beiden Versuche blockiert werden. Verstärken Sie diese Schwierigkeit in einem Unternehmen, und Sie werden schnell sehen, wie scheinbar erfolgreiche AV-Produkte und -Lösungen die Effizienz beeinträchtigen und den Menschen unnötige Hindernisse in den Weg legen können.
Falsche Warnungen – Echte Krise
Es ist lästig, wenn E-Mails blockiert werden und echte Anwendungen daran gehindert werden, ordnungsgemäß zu funktionieren, wenn eine AV-Auflösung eine paranoide Methode aktiviert hat. Die durch gefälschte Positive verursachten Komplikationen können jedoch mehr als nur ärgerlich sein. Einige falsch positive Ergebnisse können dazu führen, dass ein bestimmtes Programm nicht mehr bootfähig ist oder dass es zwar eingeschaltet, aber nicht mit dem World Wide Web oder einem Nachbarschaftsnetzwerk verbunden werden kann. Vor ein paar Jahren wäre dies ein deutlich geringeres Problem gewesen, da ein einzelner Arbeiter bei dieser Herausforderung einfach auf eine andere Maschine umsteigen konnte. Wenn sie von zu Hause aus arbeiten – meilenweit entfernt von einem anderen Kollegen und IT-Beratungspersonal – ist es leicht einzusehen, wie viele Stunden damit verschwendet werden könnten, das Dilemma zu lösen. Kein Verkäufer kann tatsächlich versichern, dass dieses Problem niemals auftreten wird.
Es ermöglicht nicht, dass es mehrere Strategien gibt, bei denen sich legitime Kurse von selbst ähnlich wie Malware in einen funktionierenden Prozess integrieren können. Beispielsweise sehen Verschlüsselungskurse und Funktionen zur Wiederherstellung von Verfahren für Verhaltensblocker normalerweise wie Malware aus. AV-Elemente, die alles blockieren, was ihnen noch nie zuvor begegnet ist und das nicht auf die Whitelist gesetzt wurde, können durchaus so aussehen, als ob sie Malware effizient blockieren, aber auf Kosten einer großen Chance, die Produktivität zu beeinträchtigen.
Wir haben viele Illustrationen der durch gefälschte Positive verursachten Verletzungen gesehen. Ein aktuelles Beispiel dafür ist Microsoft Defender for Endpoint, das derzeit verhindert, dass Workplace-Dokumente geöffnet und einige ausführbare Dateien gestartet werden, weil die Dateien mit einem falschen positiven Tag versehen wurden, der möglicherweise eine Emotet-Malware-Nutzlast bündelt.
Es wurde geschätzt, dass Protection Operations Center 15 Minuten pro Stunde mit der Arbeit mit gefälschten Warnungen verbringen. Stellen Sie sich nun vor, was in einem kleineren Unternehmen ohne die Notwendigkeit eines engagierten Teams passieren würde, wenn es von genau denselben Problemen getroffen wird. Die durch extreme Schutzmaßnahmen verursachten Ausfallzeiten können ohne Zweifel sehr hochpreisig sein.
Behandlung der Komplikationen des paranoiden Modus
Die Bewältigung des Dilemmas aus falsch positiven Ergebnissen und paranoider Methode ist ein Bereich, in dem die etablierten Unternehmen einen Vorteil haben. Neueinsteiger in den Sektor verfügen möglicherweise über das neueste technologische Know-how und frische neue, moderne Strategien zum Umgang mit Bedrohungen und zur Reduzierung von Bedrohungen. Aber was ihnen fehlt, ist Wissen und Know-how. Ältere, extra eingerichtete Verkäufer haben ausführliche Whitelists, die es Softwareprogrammen seriöser Unternehmen ermöglichen, ordnungsgemäß zu funktionieren, ohne von AV-Produkten gesperrt zu werden. Neueinsteiger in den Sektor werden aufholen, aber es dauert lange, das Fachwissen und das Bewusstsein für die korrekte Arbeit mit Whitelists aufzubauen. Wenn sie in Betrieb sind, können diese Listen ein effektives Werkzeug sein, das es Kunden ermöglicht, mit einem „standardmäßig ablehnen“-Produkt zu arbeiten, das die Ausführung aller Softwarepakete verhindert, es sei denn, sie werden als legitim identifiziert.
Es wird allgemein erklärt, dass der beste Weg, ein Gerät zu sichern, darin besteht, seine Internetverbindung zu unterbrechen und das Stromkabel zu durchtrennen. Dadurch wird das Malware-Risiko natürlich auf null minimiert. Aber es wird die Produktivität auf den gleichen Betrag minimieren. Die Lösung ist ständige Wachsamkeit. Lieferanten müssen schnell falsche positive Ergebnisse feststellen und einfach handeln. Eine Whitelist muss ständig weiterentwickelt werden. Käufer sollten sich auch ihre AV-Antworten ansehen und alles melden, was wahrscheinlich falsch ist. AV Comparative integriert Tests, die einen Balanceakt ermöglichen, um Benutzer über die Einstellungen zu führen, die letztendlich von den Anbietern in den Sicherheitsprodukten oder -diensten angewendet wurden. Die facettenreichen Effekte können dann ein weitaus aufschlussreicheres Bild des Geschehens liefern. Paranoides Verhalten ist ein Problem – aber es kann gelöst werden.
Peter Stelzhammer, Mitbegründer, AV-Comparatives