Le "mode paranoïaque" de l'antivirus ralentit les entreprises
Publié: 2022-01-04
Il n'est pas simple de trouver la bonne stabilité entre stabilité et efficacité. Cela est particulièrement vrai en matière de cybersécurité, car les entreprises doivent se protéger avec diligence des menaces tout en s'assurant que des défenses plus que zélées n'entravent pas la productivité.
Chez AV-Comparatives, nous consacrons notre temps à effectuer des tests ardus et minutieux de réponses antivirus (AV) pour exposer spécifiquement leur efficacité à bloquer les infections bactériennes et les cybermenaces malveillantes. De temps en temps, un vendeur peut sembler avoir construit le meilleur produit ou service qui bloque toutes les menaces et obtient une note fantastique. Néanmoins, dans certains cas, le produit antivirus apparemment parfait cache un problème : il bloque tout ou génère de gros chiffres de faux positifs.
À l'échelle de l'entreprise, l'utilisation de produits qui s'en tiennent à une tactique que nous appelons le "mode paranoïaque" peut avoir un effet désastreux sur la productivité en ralentissant les processus normaux, en jetant des obstacles sur le chemin du personnel et en gênant les activités quotidiennes. .
Bien sûr, l'inverse est tout aussi légitime. Si une entreprise (ou une option antivirus) offre beaucoup trop de flexibilité, les difficultés ne seront pas loin. Alors, comment les entreprises devraient-elles obtenir la parfaite harmonie "goldilocks" qui assure l'efficacité tout en s'assurant que les opérations typiques peuvent néanmoins fonctionner facilement ?
Le dilemme des faux positifs
Ils sonnent inoffensifs. Mais les faux positifs peuvent avoir de graves effets sur une entreprise. Lorsqu'une alternative audiovisuelle détecte à tort un défi, elle entraîne des défis opérationnels immédiats. La chaîne de production doit être arrêtée, pour ainsi dire, car le problème est trié, étudié puis éliminé. Si cela se produit à ce moment-là, cela pourrait n'être qu'une nuisance. Lorsqu'il s'agit de plus en plus de nouveau, les personnes en charge de protection peuvent abandonner la religion dans le produit ou le service AV et commencer à remettre en question toutes ses études.
Quand le garçon a crié au loup, personne ne l'a cru quand un vrai loup est apparu à l'extérieur du village. Il en va de même pour les produits audiovisuels. Si de faux positifs sont régulièrement générés, l'équipe de sécurité souffrira d'abord de l'épuisement des informations avant de commencer à abandonner la religion dans leur option AV - manquant potentiellement un risque réel. Au pire, ils pourraient finir par mettre sur liste blanche un logiciel malveillant afin qu'il soit autorisé à se distribuer librement via le réseau. Il est préférable d'avoir un produit AV qui bloque 99 % des menaces sans faux positifs qu'un seul qui a un niveau de blocage de 100 pc mais génère de fausses alarmes.
À plus grande échelle, des paramètres audiovisuels excessifs peuvent ralentir les processus au sein d'une entreprise. Si un élément AV est configuré en mode paranoïaque, il peut bloquer les procédures de traitement. Par exemple, si la solution intègre un filtrage Internet, elle peut jouer un rôle important en empêchant le personnel d'accéder à des pages Web inappropriées ainsi qu'à des pages Web destructrices. Mais que se passe-t-il si l'équipe comptable souhaite obtenir un portail bancaire ? Ou l'équipe de publicité et de marketing souhaite-t-elle réaliser rapidement des diapositives à partir d'une présentation à l'aide d'une application Web ? Si les options sont trop agressives, ces deux tentatives pourraient être bloquées. Amplifiez cette difficulté au sein d'une entreprise et il n'est pas compliqué de voir comment des produits et des solutions audiovisuels apparemment réussis peuvent entraver l'efficacité et placer des obstacles inutiles sur le chemin des gens.
Fausses alertes – Véritable crise
C'est gênant lorsque les e-mails sont bloqués et que les applications authentiques ne peuvent pas fonctionner correctement lorsqu'une résolution AV a une méthode paranoïaque engagée. Cependant, les complications induites par les faux positifs peuvent être plus que gênantes. Certains faux positifs peuvent rendre un programme spécifique impossible à démarrer ou lui permettre d'être activé mais pas d'être connecté au World Wide Web ou à un réseau de voisinage. Il y a quelques années, cela aurait été beaucoup moins problématique, car une grève individuelle des travailleurs par ce défi pouvait simplement passer à une autre machine. S'ils travaillent à domicile - à des kilomètres d'un autre collègue et du personnel d'orientation informatique - il est facile de voir comment plusieurs heures pourraient être perdues à essayer de résoudre le dilemme. Aucun vendeur ne peut réellement garantir que ce problème ne se produira jamais.
Cela ne permet pas qu'il existe plusieurs stratégies dans lesquelles des cours légitimes peuvent s'intégrer d'eux-mêmes dans un processus fonctionnel d'une manière qui ressemble à un logiciel malveillant. Les cours de cryptage et les capacités de restauration de procédure, par exemple, ressemblent généralement à des logiciels malveillants pour les bloqueurs de comportement. Les éléments audiovisuels qui bloquent tout ce qu'ils n'ont jamais rencontré auparavant et qui n'ont pas été mis sur liste blanche peuvent sembler efficaces pour bloquer les logiciels malveillants, mais au prix d'une grosse opportunité de perte de productivité.
Nous avons vu de nombreuses illustrations de la blessure induite par les faux positifs. Un exemple récent de ceci est avec Microsoft Defender pour Endpoint, il bloque actuellement l'ouverture des documents Workplace et le lancement de certains exécutables en raison d'un faux positif étiquetant les fichiers comme regroupant peut-être une charge utile de malware Emotet.
Il a été estimé que les centres d'opérations de protection passent 15 minutes par heure à travailler avec de fausses alertes. Imaginez maintenant ce qui se matérialiserait dans une entreprise de moindre importance sans avoir besoin d'une équipe dédiée lorsqu'elle est confrontée exactement au même problème. Les temps d'arrêt causés par des protections extrêmes pourraient sans aucun doute se révéler très coûteux.
Aborder les complications du mode paranoïaque
S'attaquer au dilemme des faux positifs et de la méthode paranoïaque est un domaine dans lequel les titulaires ont un avantage. Les nouveaux entrants dans le secteur pourraient bien disposer du savoir-faire technologique le plus récent et de nouvelles stratégies modernes sur la façon de faire face aux menaces et de les réduire. Mais ce qui leur manque, c'est la connaissance et le savoir-faire. Les vendeurs plus anciens et plus installés ont des listes blanches détaillées qui permettent au logiciel dont une entreprise réputée profite de fonctionner correctement sans être verrouillé par des éléments audiovisuels. Les nouveaux entrants dans le secteur prendront le relais, mais il faut beaucoup de temps pour créer l'expertise et la sensibilisation nécessaires pour travailler correctement sur les listes blanches. Lorsqu'elles sont opérationnelles, ces listes peuvent être un outil efficace, permettant aux clients d'utiliser un produit "refusé par défaut" qui empêchera tout progiciel de s'exécuter à moins qu'il ne soit identifié comme légitime.
Il est généralement expliqué que le moyen le plus efficace de sécuriser un appareil consiste à couper sa connexion Internet et à couper le câble d'alimentation électrique. Cela réduira, bien sûr, le risque de malware à zéro. Mais cela réduira la productivité au même montant. La résolution est une vigilance constante. Les fournisseurs doivent rapidement établir de faux positifs et simplement agir. Une liste blanche doit être en constante évolution. Les acheteurs doivent également regarder leurs réponses audiovisuelles et signaler à peu près tout ce qui est probablement erroné. AV Comparative intègre des tests permettant de faire un bilan pour guider les utilisateurs sur les paramètres finalement appliqués au produit ou service de sécurité par les éditeurs. Les effets à multiples facettes peuvent alors fournir une image beaucoup plus éclairante de ce qui se passe. La manière paranoïaque est un problème – mais il peut être résolu.
Peter Stelzhammer, co-fondateur, AV-Comparatives