La "modalità paranoica" dell'antivirus sta rallentando le aziende
Pubblicato: 2022-01-04
Non è facile trovare la giusta stabilità tra stabilità ed efficienza. Questo è particolarmente vero quando si tratta di sicurezza informatica perché le aziende devono proteggersi diligentemente dalle minacce, assicurandosi che difese più che zelanti non ostacolino la produttività.
In AV-Comparatives, dedichiamo il nostro tempo all'esecuzione di test ardui e scrupolosi delle risposte antivirus (AV) per esporre in modo specifico quanto siano efficaci nel bloccare le infezioni batteriche malware e le minacce informatiche. Di tanto in tanto, può sembrare che un venditore abbia creato il miglior prodotto o servizio che blocca tutte le minacce e ottiene una valutazione fantastica. Tuttavia in alcuni casi il prodotto antivirus apparentemente perfetto nasconde un problema: blocca ogni piccola cosa o genera grandi cifre di falsi positivi.
Su scala aziendale estesa, l'utilizzo di prodotti che si attengono a una tattica con cui contattiamo la "modalità paranoica" può avere un risultato disastroso sulla produttività rallentando i normali processi, creando ostacoli sul percorso del personale e intralciando le attività quotidiane .
Di programma, il contrario è legittimo altrettanto efficacemente. Se un'azienda (o un'opzione antivirus) offre troppa flessibilità, le difficoltà non saranno lontane. Quindi, come dovrebbero le aziende ottenere la perfetta armonia dei "riccioli d'oro" che assicura l'efficienza assicurando che le operazioni tipiche possano comunque funzionare facilmente?
Il dilemma dei falsi positivi
Suonano innocui. Ma i falsi positivi possono avere seri effetti su un'azienda. Quando un'alternativa AV rileva erroneamente una sfida, provoca sfide operative immediate. La linea di produzione deve essere fermata, tanto per parlare, poiché la questione viene valutata, indagata e poi eliminata. Se questo accade in quel momento, potrebbe essere solo un fastidio. Quando si verifica più e più volte, le persone sul costo della protezione potrebbero abbandonare la religione nel prodotto o servizio AV e iniziare a mettere in discussione tutti i suoi studi.
Quando il ragazzo gridò al lupo, nessuno gli credette quando un vero lupo si presentò all'esterno del villaggio. Lo stesso vale per i prodotti AV. Se vengono regolarmente prodotti positivi errati, il team di sicurezza inizialmente resisterà all'esaurimento delle informazioni prima di iniziare a rinunciare alla religione nella loro opzione AV, perdendo potenzialmente un rischio reale. Nel peggiore dei casi, potrebbero concludere per inserire nella whitelist un malware in modo che sia consentito distribuirlo liberamente tramite la rete. È meglio avere un prodotto AV che blocchi il 99% delle minacce senza falsi positivi piuttosto che uno solo che abbia un livello di blocco di 100 PC ma genera allarmi sbagliati.
Su una scala più ampia, impostazioni AV eccessive possono ridurre gradualmente i processi all'interno di un'azienda. Se un oggetto AV è configurato in modalità paranoica, potrebbe bloccare le procedure del regime. Ad esempio, se la soluzione incorpora il filtraggio di rete, può svolgere un ruolo importante nell'impedire al personale di accedere a pagine Web inadeguate ea pagine Web distruttive. Ma cosa succede se il team di contabilità vuole ottenere un portale bancario? Oppure il team di pubblicità e marketing vuole creare rapidamente alcune diapositive da una presentazione utilizzando un'applicazione di rete? Se le opzioni sono altrettanto aggressive, questi due tentativi potrebbero essere bloccati. Amplifica questa difficoltà all'interno di un'azienda ed è semplice vedere come prodotti e soluzioni AV apparentemente di successo possono ostacolare l'efficienza e porre inutili ostacoli sulla strada delle persone.
Falsi allarmi – Crisi genuina
È fastidioso quando le e-mail vengono bloccate e alle applicazioni originali viene impedito di funzionare correttamente quando una risoluzione AV ha attivato un metodo paranoico. Tuttavia, le complicazioni indotte dai falsi positivi possono essere più che fastidiose. Alcuni positivi errati possono rendere non avviabile un programma specifico o consentirne l'attivazione ma non la connessione al World Wide Web oa una rete di quartiere. Un paio di anni fa, questo sarebbe stato un problema significativamente minore, dal momento che un singolo lavoratore in sciopero a causa di questa sfida poteva semplicemente passare a un'altra macchina. Se funzionano da casa, a miglia di distanza da un altro collega e personale di assistenza IT, è facile vedere come potrebbero essere sprecate diverse ore cercando di affrontare il dilemma. Nessun venditore può effettivamente garantire che questo problema non si verificherà mai.
Non consente che ci siano diverse strategie in cui i corsi legittimi possono integrarsi da soli in un processo funzionante in un modo simile al malware. I corsi di crittografia e le funzionalità di ripristino delle procedure, ad esempio, di solito sembrano malware per bloccare il comportamento. Gli elementi AV che bloccano tutto ciò che non hanno mai incontrato prima e che non sono stati inseriti nella whitelist possono sembrare efficaci nel bloccare il malware, ma a scapito di una grande opportunità intacca la produttività.
Abbiamo visto molte illustrazioni del danno indotto da falsi positivi. Un esempio recente di ciò è con Microsoft Defender for Endpoint, che al momento sta bloccando l'apertura dei documenti di Workplace e l'avvio di alcuni eseguibili a causa di un falso positivo che contrassegna i file come forse raggruppando un payload di malware Emotet.
È stato stimato che i centri operativi di protezione spendono 15 minuti ogni ora lavorando con avvisi falsi. Ora immagina cosa si concretizzerebbe in un'azienda minore senza la necessità di un team dedicato quando viene colpita dallo stesso identico problema. I tempi di fermo causati da protezioni estreme potrebbero senza dubbio mostrare un prezzo molto alto.
Affrontare le complicazioni della modalità paranoica
Affrontare il dilemma degli aspetti positivi sbagliati e del metodo paranoico è un luogo in cui gli operatori storici hanno un vantaggio. I nuovi operatori del settore possono benissimo disporre del know-how tecnologico più recente e di strategie nuove e moderne su come affrontare le minacce e ridurle. Ma ciò che manca loro è la conoscenza e il know-how. I venditori più vecchi e extra hanno liste bianche approfondite che consentono al programma software di un'azienda rispettabile di funzionare correttamente senza essere bloccato da prodotti AV. I nuovi entranti nel settore prenderanno piede, ma ci vuole molto tempo per creare l'esperienza e la consapevolezza per lavorare correttamente con le whitelist. Quando sono attivi e in esecuzione, questi elenchi possono essere uno strumento efficace, consentendo ai clienti di utilizzare un prodotto "nega per impostazione predefinita" che impedirà l'esecuzione di tutti i pacchetti software a meno che non venga identificato come legittimo.
È generalmente spiegato che il modo più efficace per rendere sicuro un gadget è tagliare la sua connessione Internet e tagliare tramite il cavo di alimentazione elettrica. Ciò, ovviamente, ridurrà al minimo il rischio di malware a zero. Ma ridurrà al minimo la produttività alla stessa quantità. La risoluzione è una vigilanza continua. I fornitori devono stabilire rapidamente aspetti positivi fasulli e agire. Una whitelist deve essere in continua evoluzione. Gli acquirenti dovrebbero anche guardare le loro risposte AV e segnalare quasi tutto ciò che è probabile che sia sbagliato. AV Comparative integra test che consentono un atto di equilibrio per guidare gli utenti sulle impostazioni che sono state applicate nel prodotto o servizio di sicurezza dai fornitori. Gli effetti sfaccettati possono quindi fornire un'immagine molto più illuminante di ciò che sta accadendo. Il modo paranoico è un problema, ma può essere risolto.
Peter Stelzhammer, co-fondatore di AV-Comparatives