ウイルス対策の「パラノイドモード」は企業の速度を低下させています
公開: 2022-01-04
安定性と効率性の中で適切な安定性を実現することは簡単ではありません。 これは、サイバーセキュリティに関しては特に現実的です。企業は、熱心な防御が生産性を妨げないことを確実にしながら、脅威から身を守る必要があるためです。
AV-Comparativesでは、マルウェアの細菌感染やサイバー脅威をブロックするのにどれほど効果的であるかを具体的に明らかにするために、ウイルス対策(AV)の回答の骨の折れる骨の折れるテストを実行することに時間を費やしています。 時々、売り手はすべての脅威をブロックし、素晴らしい評価を達成する最高の製品またはサービスを構築したように見えるかもしれません。 それにもかかわらず、場合によっては、明らかに完璧なウイルス対策製品が問題を隠していることがあります。それは、すべての小さなことをブロックしたり、誤検知の大きな数字を生成したりします。
企業規模では、「パラノイドモード」と呼ばれる戦術に固執する製品を使用すると、通常のプロセスが遅くなり、スタッフの邪魔になり、日々の業務の邪魔になるため、生産性に壊滅的な結果をもたらす可能性があります。 。
プログラムの場合、その逆は効果的に正当です。 会社(またはウイルス対策オプション)があまりにも多くの柔軟性を提供している場合、困難はそれほど遠くないでしょう。 では、企業はどのようにして完璧な「ゴールドロック」の調和を実現し、効率を確保しながら、通常の運用を簡単に運用できるようにする必要があるのでしょうか。
誤検知のジレンマ
彼らは無害なオーディオ。 しかし、偽のポジティブはビジネスに深刻な影響を与える可能性があります。 AVオルタナティブがチャレンジを誤って検出すると、すぐに運用上のチャレンジが発生します。 問題がトリアージされ、調査され、そして支配されるので、いわば生産ラインを停止する必要があります。 これがその時に発生した場合、それはおそらく迷惑である可能性があります。 それが何度も何度も起こると、保護の費用を負担している人々は、AV製品またはサービスの宗教を落とし、そのすべての研究に疑問を呈し始める可能性があります。
少年がオオカミを泣いたとき、本物のオオカミが村の屋外に現れたとき、誰も彼を信じませんでした。 AVグッズも同様です。 間違ったポジティブが定期的に生成される場合、セキュリティチームは、AVオプションで宗教を落とす前に、情報の枯渇に最初は耐えます。これは、実際のリスクを見逃す可能性があります。 最悪の場合、マルウェアの一部をホワイトリストに登録して、ネットワーク経由で自由に配布できるようにする可能性があります。 100 pcのブロックレベルを持っているが間違ったアラームを生成するものよりも、誤検知のない脅威の99%をブロックするAV製品を使用する方が適切です。
より広いスケールでは、過剰なAV設定は、企業全体のプロセスを段階的にダウンさせる可能性があります。 AVアイテムがパラノイドモードで構成されている場合、レジメン手順をブロックする可能性があります。 たとえば、ソリューションにネットフィルタリングが組み込まれている場合、ソリューションは、人員が不適切なWebページや破壊的なWebページにアクセスするのを防ぐ重要な位置に関与する可能性があります。 しかし、経理チームが銀行ポータルを取得したい場合はどうでしょうか。 または、広告およびマーケティングチームは、ネットアプリケーションを使用して、プレゼンテーションからスライドをすばやく作成したいと考えていますか? オプションが同様に積極的である場合、これらの2つの試みはブロックされる可能性があります。 企業全体でこの難しさを増幅し、一見成功しているように見えるAV製品とソリューションが効率を妨げ、人々の邪魔になる不必要な障害をどのようにもたらすかを理解するのは簡単です。
誤った警告–本物の危機
電子メールがブロックされると面倒になり、AV解決に偏執的な方法が使用されていると、正規のアプリケーションが正しく機能しなくなります。 しかし、偽の陽性によって引き起こされる合併症は、単に迷惑なだけではない可能性があります。 いくつかの間違ったポジティブは、特定のプログラムを起動できなくしたり、スイッチをオンにしたり、ワールドワイドウェブや近隣のネットワークに接続したりできないようにする可能性があります。 過去2、3年は、このチャレンジによる個々の労働者のストライキは別のマシンに交換する可能性があるため、これはそれほど問題ではなかったでしょう。 彼らが住居から(別の同僚やITガイダンススタッフから何マイルも離れて)機能している場合、ジレンマに対処するために数時間が無駄になる可能性があることは容易に理解できます。 販売者は、この問題が決して起こらないことを実際に保証することはできません。
正当なコースがマルウェアに似た方法で機能するプロセスにそれ自体で統合される可能性があるいくつかの戦略があることを可能にしません。 たとえば、暗号化コースと手順の復元機能は、通常、マルウェアから動作ブロッカーのように見えます。 これまでに遭遇したことのないすべてのものをブロックし、ホワイトリストに登録されていないAVアイテムは、マルウェアをブロックするのに効率的であるように見えるかもしれませんが、生産性に大きなチャンスを犠牲にします。
私たちは、偽の陽性によって引き起こされた傷害の多くの実例を見てきました。 この最近の例は、Microsoft Defender for Endpointの場合です。現時点では、Emotetマルウェアのペイロードをバンドルしている可能性があるとしてファイルに偽のタグを付けるため、Workplaceの事務処理が開かれ、一部の実行可能ファイルが起動されなくなります。
保護オペレーションセンターは、偽のアラートの処理に1時間のうち15分を費やしていると推定されています。 ここで、まったく同じ問題に見舞われたときに、専任のチームを必要とせずに、小規模な会社で何が実現するかを想像してみてください。 極端な保護によって引き起こされるダウンタイムは、間違いなく非常に高額になる可能性があります。
パラノイドモードの合併症への対処
間違ったポジティブとパラノイド法のジレンマに取り組むことは、現職者が利益を得る場所です。 このセクターへの新規参入者は、脅威に対処し、脅威を減らす方法について、最新の技術的ノウハウと新鮮で新しい最新の戦略を持っている可能性があります。 しかし、彼らの不足は知識とノウハウです。 古い、余分なセットアップの売り手は、評判の良い会社とのソフトウェアプログラムがAVアイテムに縛られることなく適切に動作することを可能にする詳細なホワイトリストを持っています。 このセクターへの新規参入者は追いつくでしょうが、ホワイトリストを正しく機能させるための専門知識と認識を確立するには長い時間がかかります。 稼働中の場合、これらのリストは効果的なツールであり、クライアントが「デフォルトで拒否」製品を実行できるようにします。これにより、正当であると識別されない限り、すべてのソフトウェアパッケージの実行が回避されます。
ガジェットを安全にするための最も効果的な方法は、ワールドワイドウェブ接続を切断し、電力ケーブルを使用してスライスすることであると一般的に説明されています。 もちろん、これによりマルウェアのリスクがゼロになります。 しかし、それは生産性を同じ量に最小化します。 解決策は継続的な警戒です。 サプライヤーは、偽のポジティブを迅速に確立し、行動を起こす必要があります。 ホワイトリストは継続的に進化している必要があります。 買い物客はまた、AVの回答を見て、間違いの可能性があるものについて報告する必要があります。 AV Comparisonはテストを統合し、ベンダーによって安全製品またはサービスに適用されることになった設定についてユーザーをガイドするバランス機能を可能にします。 多面的な効果により、何が進んでいるのかをはるかに啓発することができます。 パラノイドマナーは問題ですが、解決することはできます。
ピーター・ステルツハマー、 AV-Comparativesの共同創設者