바이러스 백신 "편집증 모드"가 기업의 속도를 늦추고 있습니다.
게시 됨: 2022-01-04
안정성과 효율성 사이에서 올바른 안정성을 찾는 것은 간단하지 않습니다. 이는 기업이 위협으로부터 자신을 부지런히 보호하는 동시에 열성적인 방어가 생산성을 저해하지 않도록 해야 하기 때문에 사이버 보안과 관련하여 특히 현실적입니다.
AV-Comparatives에서 우리는 바이러스 백신(AV) 응답에 대한 힘들고 힘든 테스트를 수행하여 악성코드 박테리아 감염 및 사이버 위협을 차단하는 데 얼마나 효과적인지 구체적으로 노출하는 데 시간을 할애합니다. 때때로 판매자는 모든 위협을 차단하고 환상적인 평가를 받는 최고의 제품이나 서비스를 구축한 것처럼 보일 수 있습니다. 그럼에도 불구하고 어떤 경우에는 겉보기에 완벽해 보이는 안티바이러스 제품이 문제를 숨기고 있습니다. 모든 작은 것을 차단하거나 큰 숫자의 오탐지를 생성합니다.
기업 전체에서 "편집증 모드"라는 전술을 고수하는 제품을 사용하면 정상적인 프로세스 속도를 늦추고 직원에게 장애물을 던지고 일상적인 일을 방해함으로써 생산성에 재앙적인 결과를 초래할 수 있습니다. .
프로그램의 반대는 효과적으로 합법적입니다. 회사(또는 바이러스 백신 옵션)가 너무 많은 유연성을 제공한다면 어려움이 멀지 않을 것입니다. 그렇다면 기업은 효율성을 보장하면서도 일반적인 작업이 쉽게 작동할 수 있도록 하는 완벽한 "골디락스" 조화를 어떻게 얻어야 할까요?
거짓 긍정의 딜레마
그들은 무해한 오디오. 그러나 가짜 긍정은 비즈니스에 심각한 영향을 미칠 수 있습니다. AV 대안이 문제를 잘못 감지하면 즉각적인 운영 문제가 발생합니다. 말하자면 문제가 분류되고 조사된 다음 배제되기 때문에 생산 라인을 중단해야 합니다. 이 일이 당시에 일어난다면 그것은 단지 성가신 일이 될 수 있습니다. 그 이상의 문제가 발생하면 보호 비용을 부담하는 사람들이 AV 제품이나 서비스에서 종교를 버리고 모든 연구에 의문을 제기할 수 있습니다.
소년이 늑대를 외쳤을 때 마을 밖에서 진짜 늑대가 나타났을 때 아무도 그를 믿지 않았습니다. AV 상품도 마찬가지입니다. 잘못된 긍정이 정기적으로 생성되는 경우 보안 팀은 AV 옵션에서 종교를 삭제하기 시작하기 전에 정보 소진에서 처음에 견뎌야 하며 잠재적으로 실제 위험을 놓칠 수 있습니다. 최악의 경우 네트워크를 통해 자유롭게 배포할 수 있도록 악성코드를 화이트리스트에 추가할 수 있습니다. 100 pc 차단 수준이 있지만 잘못된 경보를 생성하는 제품보다 거짓 긍정 없이 위협의 99%를 차단하는 AV 제품이 있는 것이 좋습니다.
더 넓은 범위에서 과도한 AV 설정은 기업 전체의 프로세스를 점진적으로 중단시킬 수 있습니다. AV 항목이 편집증 모드로 구성된 경우 처방 절차를 차단할 수 있습니다. 예를 들어, 솔루션에 네트 필터링이 통합되면 직원이 부적절한 웹 페이지와 파괴적인 웹 페이지에 액세스하지 못하도록 막는 데 중요한 역할을 할 수 있습니다. 그러나 회계 팀이 은행 포털을 얻으려면 어떻게 해야 합니까? 아니면 광고 및 마케팅 팀이 넷 애플리케이션을 사용하여 프레젠테이션에서 일부 슬라이드를 빠르게 만들고 싶습니까? 옵션이 공격적이라면 이 두 가지 시도가 차단될 수 있습니다. 기업 전체에 걸쳐 이러한 어려움을 증폭시키면 성공적으로 보이는 AV 제품 및 솔루션이 효율성을 저해하고 불필요한 장애물을 사람들의 길에 배치할 수 있음을 확인하는 것은 복잡하지 않습니다.
잘못된 경고 - 진정한 위기
이메일이 차단되면 귀찮고, AV해상도가 편집적 방식을 취하면 정품 애플리케이션이 제대로 작동하지 않습니다. 그러나 가짜 양성으로 인한 합병증은 성가신 것 이상일 수 있습니다. 일부 잘못된 긍정은 특정 프로그램을 부팅할 수 없도록 만들거나 스위치를 켤 수 있지만 월드 와이드 웹 또는 이웃 네트워크에 연결되지 않도록 할 수 있습니다. 과거 몇 년 동안에는 이 문제에 대한 개별 작업자 파업이 다른 기계로 교체될 수 있었기 때문에 이것은 문제가 훨씬 덜했을 것입니다. 다른 동료 및 IT 안내 직원과 멀리 떨어져 있는 거주지에서 근무하는 경우 딜레마를 처리하는 데 몇 시간이 낭비될 수 있음을 쉽게 알 수 있습니다. 어떤 판매자도 실제로 이 문제가 발생하지 않을 것이라고 보장할 수 없습니다.
합법적인 과정이 멀웨어와 유사한 방식으로 작동하는 프로세스에 자체적으로 통합될 수 있는 몇 가지 전략이 있는 것은 아닙니다. 예를 들어 암호화 과정 및 절차 복원 기능은 일반적으로 행동 차단기에 대한 멀웨어처럼 보입니다. 화이트리스트에 등록되지 않은 모든 것을 차단하는 AV 항목은 멀웨어 차단에 효과적인 것처럼 보이지만 생산성이 크게 저하되는 기회가 있습니다.
우리는 가짜 양성 반응에 의해 유발된 부상에 대한 많은 삽화를 보았습니다. 최근의 예로는 Microsoft Defender for Endpoint가 있으며, 현재 Emotet 맬웨어 페이로드를 번들로 묶는 것으로 파일에 태그를 지정하는 가짜 긍정으로 인해 Workplace 문서가 열리지 않고 일부 실행 파일이 실행되지 않도록 차단하고 있습니다.
Protection Operations Center는 매시간 중 15분을 가짜 경보를 처리하는 데 사용하는 것으로 추정됩니다. 이제 똑같은 문제에 직면했을 때 전담 팀이 필요 없는 소규모 회사에서 어떤 일이 실현될지 상상해 보십시오. 극단적인 보호로 인한 가동 중지 시간은 의심할 여지 없이 매우 높은 가격을 보여줄 수 있습니다.
편집증 모드의 합병증 해결
잘못된 긍정과 편집적 방법의 딜레마를 해결하는 것은 기존 기업이 이익을 얻을 수 있는 위치입니다. 이 분야에 새로 진입한 사람들은 위협에 대처하고 위협을 줄이는 방법에 대한 최신 기술 노하우와 새롭고 현대적인 전략을 가지고 있을 것입니다. 그러나 그들이 부족한 것은 지식과 노하우입니다. 오래된 추가 설치 판매자는 평판이 좋은 회사의 소프트웨어 프로그램이 AV 항목에 의해 잠기지 않고 제대로 작동하도록 허용하는 심층 화이트리스트를 가지고 있습니다. 이 분야에 새로 진입한 사람들은 따라잡을 수 있지만 화이트리스트를 올바르게 작동하기 위한 전문 지식과 인식을 구축하는 데 오랜 시간이 걸립니다. 실행 중일 때 이러한 목록은 클라이언트가 "기본적으로 거부" 제품을 작동하도록 하여 합법적인 것으로 확인되지 않는 한 모든 소프트웨어 패키지가 실행되지 않도록 하는 효과적인 도구가 될 수 있습니다.
일반적으로 가제트를 안전하게 만드는 가장 효과적인 방법은 월드 와이드 웹 연결을 끊고 전력 케이블을 통해 슬라이스하는 것이라고 설명됩니다. 물론 이것은 맬웨어 위험을 0으로 최소화합니다. 그러나 동일한 양으로 생산성을 최소화합니다. 해결책은 지속적인 경계입니다. 공급업체는 신속하게 가짜 긍정을 설정하고 조치를 취해야 합니다. 화이트리스트는 지속적으로 발전해야 합니다. 쇼핑객은 또한 AV 답변을 보고 실수할 가능성이 있는 모든 것에 대해 보고해야 합니다. AV 비교는 공급 업체가 안전 제품 또는 서비스에 적용한 설정에 대해 사용자를 안내하기 위해 균형 동작을 가능하게 하는 테스트를 통합합니다. 그런 다음 다면적 효과는 앞으로 나아가고 있는 일에 대해 훨씬 더 계몽적인 그림을 제공할 수 있습니다. 편집증적 태도가 문제이지만 해결할 수 있습니다.
Peter Stelzhammer, AV-Comparatives 공동 설립자