Antivirus "mode paranoid" memperlambat perusahaan

Diterbitkan: 2022-01-04

Tidaklah mudah untuk mencapai stabilitas yang tepat antara stabilitas dan efisiensi. Ini benar-benar nyata dalam hal keamanan siber karena perusahaan harus rajin menjaga diri dari ancaman sambil memastikan bahwa pertahanan yang lebih keras tidak menghambat produktivitas.

Di AV-Comparatives, kami mencurahkan waktu kami untuk melakukan tes jawaban antivirus (AV) yang sulit dan melelahkan untuk mengungkap secara spesifik seberapa efektif mereka dalam memblokir infeksi bakteri malware dan ancaman siber. Dari waktu ke waktu, penjual tampaknya telah membuat produk atau layanan terbaik yang memblokir semua ancaman dan mencapai peringkat yang fantastis. Meskipun demikian, dalam beberapa kasus, produk antivirus yang tampaknya sempurna menyembunyikan masalah: ia memblokir semua hal kecil atau menghasilkan angka positif palsu yang besar.

Pada skala perusahaan yang luas, menggunakan produk yang berpegang pada taktik yang kita hubungi "mode paranoid" dapat memiliki hasil yang buruk pada produktivitas dengan memperlambat proses normal, melemparkan hambatan di jalan staf dan menghalangi kegiatan sehari-hari. .

Tentu saja, kebalikannya juga sah. Jika perusahaan (atau opsi antivirus) memberikan terlalu banyak fleksibilitas, maka kesulitan tidak akan jauh. Jadi bagaimana seharusnya bisnis mendapatkan harmoni "goldilocks" sempurna yang menjamin efisiensi sambil memastikan operasi biasa tetap dapat beroperasi dengan mudah?

Dilema dengan positif palsu

Mereka audio tidak berbahaya. Tapi positif palsu dapat memiliki efek serius pada bisnis. Ketika alternatif AV salah mendeteksi tantangan, itu membawa tantangan operasional langsung. Jalur produksi perlu dihentikan, jadi bisa dikatakan, karena masalah ini diprioritaskan, diselidiki, dan kemudian didominasi. Jika ini terjadi pada saat itu, itu mungkin hanya gangguan. Ketika datang lebih dari dan lebih dari sekali lagi, orang-orang di biaya perlindungan bisa menjatuhkan agama dalam produk atau layanan AV dan mulai mempertanyakan semua studinya.

Ketika bocah itu menangis serigala, tidak ada yang percaya padanya ketika serigala asli muncul di luar desa. Hal yang sama berlaku untuk barang AV. Jika kesalahan positif secara teratur dihasilkan, tim keamanan pada awalnya akan bertahan dari kelelahan informasi sebelum mulai meninggalkan agama di opsi AV mereka – berpotensi kehilangan risiko nyata. Paling buruk, mereka dapat menyimpulkan memasukkan malware ke dalam daftar putih sehingga diizinkan untuk mendistribusikan secara bebas melalui jaringan. Lebih baik memiliki produk AV yang memblokir 99 persen ancaman tanpa positif yang tidak benar daripada hanya produk yang memiliki tingkat blok 100 pc tetapi menghasilkan alarm yang salah.

Pada skala yang lebih luas, pengaturan AV yang berlebihan dapat menurunkan proses secara bertahap di seluruh perusahaan. Jika item AV dikonfigurasi dalam mode paranoid, item AV mungkin memblokir prosedur rejimen. Misalnya, jika solusi menggabungkan penyaringan bersih, ia dapat berpartisipasi dalam posisi penting dalam menghentikan personel mengakses halaman web yang tidak pantas serta halaman web yang merusak. Tetapi bagaimana jika tim akuntansi ingin mendapatkan portal perbankan? Atau tim periklanan dan pemasaran ingin dengan cepat membuat beberapa slide dari presentasi menggunakan aplikasi internet? Jika opsinya juga agresif, kedua upaya ini dapat diblokir. Tingkatkan kesulitan ini di seluruh perusahaan dan tidak rumit untuk melihat bagaimana produk dan solusi AV yang tampaknya sukses dapat menghambat efisiensi dan menempatkan penghalang jalan yang tidak perlu di jalan orang.

Peringatan palsu – Krisis asli

Ini mengganggu ketika email diblokir, dan aplikasi asli dicegah bekerja dengan benar ketika resolusi AV memiliki metode paranoid. Namun komplikasi yang disebabkan oleh positif palsu memiliki kemungkinan untuk menjadi lebih dari sekedar mengganggu. Beberapa kesalahan positif dapat membuat program tertentu tidak dapat di-boot atau memungkinkannya untuk diaktifkan tetapi tidak terhubung ke world-wide-web atau jaringan lingkungan. Beberapa waktu yang lalu, ini akan menjadi jauh lebih sedikit masalah, karena seorang pekerja yang mogok oleh tantangan ini hanya dapat bertukar ke mesin lain. Jika mereka berfungsi dari tempat tinggal – bermil-mil jauhnya dari rekan kerja dan staf pemandu TI yang berbeda – mudah untuk melihat bagaimana beberapa jam dapat terbuang sia-sia untuk mencoba mengatasi dilema tersebut. Tidak ada penjual yang benar-benar dapat menjamin bahwa masalah ini tidak akan pernah terjadi.

Itu tidak memungkinkan bahwa ada beberapa strategi di mana kursus yang sah dapat berintegrasi dengan sendirinya ke dalam proses yang berfungsi dengan cara yang menyerupai malware. Kursus enkripsi dan kemampuan pemulihan prosedur, misalnya, biasanya terlihat seperti malware hingga pemblokir perilaku. Item AV yang memblokir setiap hal yang belum pernah mereka temui sebelumnya dan yang belum masuk daftar putih mungkin terlihat efisien dalam memblokir malware, tetapi dengan mengorbankan peluang besar yang mengurangi produktivitas.

Kami telah melihat banyak ilustrasi cedera yang disebabkan oleh hal-hal positif palsu. Contoh terbaru dari hal ini adalah dengan Microsoft Defender for Endpoint, saat ini memblokir dokumen Workplace agar tidak dibuka dan beberapa executable dari peluncuran karena penandaan positif palsu pada file sebagai mungkin menggabungkan muatan malware Emotet.

Diperkirakan bahwa Pusat Operasi Perlindungan menghabiskan 15 menit dari setiap jam untuk bekerja dengan peringatan palsu. Sekarang bayangkan apa yang akan terwujud di perusahaan yang lebih kecil tanpa memerlukan tim yang berdedikasi ketika dilanda masalah yang sama persis. Waktu henti yang disebabkan oleh perlindungan ekstrem dapat menunjukkan harga yang sangat tinggi tanpa diragukan lagi.

Mengatasi komplikasi mode paranoid

Mengatasi dilema metode positif dan paranoid yang salah adalah lokasi di mana petahana mendapat keuntungan. Pendatang baru di sektor ini mungkin memiliki pengetahuan teknologi terbaru dan strategi modern baru yang segar tentang cara menghadapi ancaman dan mengurangi ancaman. Tapi apa yang mereka kekurangan adalah pengetahuan dan pengetahuan. Penjual yang lebih lama dan lebih lama memiliki daftar putih mendalam yang memungkinkan program perangkat lunak dengan perusahaan terkemuka memanfaatkan untuk bekerja dengan baik tanpa dikunci oleh item AV. Pendatang baru di sektor ini akan menyusul, tetapi butuh waktu lama untuk menciptakan keahlian dan kesadaran untuk bekerja dengan daftar putih dengan benar. Saat aktif dan berjalan, daftar ini dapat menjadi alat yang efektif, memungkinkan klien untuk mengerjakan produk "tolak secara default" yang akan mencegah semua paket perangkat lunak berjalan kecuali jika diidentifikasi sebagai produk yang sah.

Secara umum dijelaskan bahwa cara paling efektif untuk mengamankan perangkat adalah dengan memotong koneksi internet dan memotong melalui kabel listrik. Ini tentu saja akan meminimalkan risiko malware hingga nol. Tapi itu akan meminimalkan produktivitas ke jumlah yang sama. Solusinya adalah kewaspadaan terus-menerus. Pemasok harus segera menetapkan positif palsu dan hanya mengambil tindakan. Daftar putih harus terus berkembang. Pembeli juga harus melihat jawaban AV mereka dan melaporkan apa saja yang mungkin salah. AV Comparative mengintegrasikan tes yang memungkinkan tindakan keseimbangan untuk memandu pengguna pada pengaturan yang akhirnya diterapkan dalam produk atau layanan keselamatan oleh vendor. Efek multi-segi kemudian dapat memberikan gambaran yang jauh lebih mencerahkan tentang apa yang sedang terjadi. Cara paranoid adalah masalah – tetapi itu bisa diselesaikan.

Peter Stelzhammer, salah satu pendiri, AV-Comparatives