Antywirusowy „tryb paranoidalny” spowalnia firmy
Opublikowany: 2022-01-04
Nie jest łatwo znaleźć odpowiednią stabilność między stabilnością a wydajnością. Jest to szczególnie realne, jeśli chodzi o bezpieczeństwo cybernetyczne, ponieważ firmy muszą pilnie chronić się przed zagrożeniami, a jednocześnie mieć pewność, że bardziej niż gorliwe zabezpieczenia nie zmniejszają produktywności.
W AV-Comparatives poświęcamy swój czas na żmudne, żmudne testy odpowiedzi antywirusowych (AV), aby dokładnie określić, jak skutecznie blokują one infekcje bakteryjne złośliwym oprogramowaniem i cyberzagrożenia. Od czasu do czasu może się wydawać, że sprzedawca skonstruował najlepszy produkt lub usługę, która blokuje wszystkie zagrożenia i osiąga fantastyczną ocenę. Niemniej jednak w niektórych przypadkach pozornie doskonały produkt antywirusowy ukrywa pewien problem: blokuje każdy drobiazg lub generuje duże liczby fałszywych alarmów.
W skali obejmującej całe przedsiębiorstwo, używanie produktów, które trzymają się taktyki, z którą stykamy się w „trybie paranoidalnym”, może mieć katastrofalny wpływ na produktywność, spowalniając normalne procesy, rzucając przeszkody na drodze personelu i przeszkadzając w codziennych zajęciach .
Z programu jest równie dobrze uzasadnione odwrotność. Jeśli firma (lub opcja antywirusowa) zapewnia zbyt dużą elastyczność, trudności nie będą daleko. W jaki więc sposób firmy powinny uzyskać idealną harmonię „złotowłosej”, która zapewnia wydajność, jednocześnie zapewniając, że typowe operacje mogą jednak działać łatwo?
Dylemat z fałszywymi alarmami
Dźwięki są nieszkodliwe. Ale fałszywe pozytywy mogą mieć poważny wpływ na firmę. Gdy alternatywa AV fałszywie wykrywa wyzwanie, powoduje to natychmiastowe wyzwania operacyjne. Linia produkcyjna musi zostać zatrzymana, że tak powiem, ponieważ sprawa jest selekcjonowana, badana, a następnie zdominowana. Jeśli tak się stanie w tym czasie, może to być tylko uciążliwość. Kiedy pojawia się więcej niż raz, ludzie, którzy płacą za ochronę, mogą porzucić religię w produkcie lub usłudze AV i zacząć kwestionować wszystkie jej badania.
Kiedy chłopiec zawołał wilka, nikt mu nie uwierzył, gdy na zewnątrz wioski pojawił się prawdziwy wilk. To samo dotyczy produktów AV. Jeśli regularnie pojawiają się złe pozytywy, zespół ds. Bezpieczeństwa będzie początkowo musiał znosić wyczerpanie informacji przed rozpoczęciem rezygnacji z religii w swojej opcji AV – potencjalnie tracąc realne ryzyko. W najgorszym przypadku mogliby umieścić na białej liście złośliwe oprogramowanie, dzięki czemu można je swobodnie rozpowszechniać za pośrednictwem sieci. Lepiej mieć produkt antywirusowy, który blokuje 99 procent zagrożeń bez nieprawdziwych pozytywów, niż taki, który ma poziom blokowania 100 komputerów, ale generuje błędne alarmy.
Na szerszą skalę nadmierne ustawienia AV mogą stopniowo spowalniać procesy w całym przedsiębiorstwie. Jeśli element AV jest skonfigurowany w trybie paranoidalnym, może blokować procedury schematu. Na przykład, jeśli rozwiązanie obejmuje filtrowanie sieci, może odgrywać znaczącą rolę w powstrzymywaniu personelu przed dostępem do nieodpowiednich stron internetowych, a także stron destrukcyjnych. A co, jeśli zespół księgowy chce uzyskać portal bankowy? A może zespół ds. reklamy i marketingu chce szybko zrobić kilka slajdów z prezentacji za pomocą aplikacji sieciowej? Jeśli opcje są równie agresywne, te dwie próby mogą zostać zablokowane. Wzmocnij tę trudność w całej korporacji, a nieskomplikowane jest zobaczenie, jak pozornie udane produkty i rozwiązania AV mogą zmniejszać wydajność i tworzyć niepotrzebne przeszkody na drodze.
Fałszywe alarmy – prawdziwy kryzys
Jest to kłopotliwe, gdy wiadomości e-mail są blokowane, a oryginalne aplikacje nie działają poprawnie, gdy rozdzielczość AV ma włączoną metodę paranoidalną. Jednak komplikacje wywołane fałszywymi pozytywami mogą być więcej niż tylko irytujące. Niektóre błędne pozytywy mogą uniemożliwić uruchomienie określonego programu lub umożliwić jego włączenie, ale nie połączenie z siecią WWW lub siecią sąsiedztwa. Jeszcze kilka lat temu stanowiłoby to znacznie mniejszy problem, ponieważ pojedynczy pracownik strajkujący z powodu tego wyzwania mógłby po prostu przełączyć się na inną maszynę. Jeśli pracują w miejscu zamieszkania – wiele kilometrów od innego współpracownika i doradców IT – łatwo jest zobaczyć, jak wiele godzin można zmarnować, próbując poradzić sobie z dylematem. Żaden sprzedawca nie może w rzeczywistości zapewnić, że ten problem nigdy nie wystąpi.
Nie oznacza to, że istnieje kilka strategii, w których legalne kursy mogą same integrować się z funkcjonującym procesem w sposób przypominający złośliwe oprogramowanie. Na przykład kursy szyfrowania i możliwości przywracania procedur zwykle wyglądają jak złośliwe oprogramowanie blokujące zachowanie. Elementy AV, które blokują wszystko, z czym nigdy wcześniej się nie spotkały i które nie zostały umieszczone na białej liście, mogą wyglądać tak, jakby skutecznie blokowały złośliwe oprogramowanie, ale kosztem dużego spadku wydajności.
Widzieliśmy wiele ilustracji urazów wywołanych fałszywymi pozytywami. Niedawnym tego przykładem jest Microsoft Defender for Endpoint, który obecnie blokuje otwieranie dokumentów Workplace i uruchamianie niektórych plików wykonywalnych z powodu fałszywego pozytywnego oznaczania plików jako być może łączenie ładunku złośliwego oprogramowania Emotet.
Szacuje się, że Protection Operations Center poświęca 15 minut na każdą godzinę pracy z fałszywymi alertami. A teraz wyobraź sobie, co by się zmaterializowało w mniejszej firmie bez potrzeby oddania zespołu, gdy wpadnie w ten sam problem. Przestoje spowodowane ekstremalnymi zabezpieczeniami mogą bez wątpienia wykazywać bardzo wysoką cenę.
Rozwiązanie problemów związanych z trybem paranoidalnym
Zmierzenie się z dylematem złych pozytywów i metody paranoidalnej to miejsce, w którym operatorzy zasiedziali odnoszą korzyści. Nowi uczestnicy sektora mogą równie dobrze posiadać najnowszą wiedzę technologiczną i świeże, nowe, nowoczesne strategie dotyczące radzenia sobie z zagrożeniami i ograniczania zagrożeń. Ale to, czego im brakuje, to wiedza i know-how. Starsi sprzedawcy z dodatkowymi konfiguracjami mają dogłębne białe listy, które pozwalają oprogramowaniu renomowanej firmy na prawidłowe działanie bez blokowania przez elementy AV. Nowi uczestnicy sektora osiągną przewagę, ale potrzeba dużo czasu, aby zdobyć wiedzę fachową i świadomość, aby poprawnie pracować na białych listach. Po uruchomieniu listy te mogą być skutecznym narzędziem, pozwalającym klientom na pracę z produktem „domyślnie odmowa”, który zapobiega uruchomieniu wszystkich pakietów oprogramowania, chyba że zostanie zidentyfikowany jako legalny.
Powszechnie wyjaśnia się, że najskuteczniejszym sposobem zabezpieczenia gadżetu jest przecięcie jego połączenia z siecią światową i przecięcie kabla zasilającego. To oczywiście zminimalizuje ryzyko złośliwego oprogramowania do zera. Ale zminimalizuje produktywność do tej samej kwoty. Rezolucja to ciągła czujność. Dostawcy muszą szybko ustalić fałszywe pozytywy i po prostu zacząć działać. Biała lista musi stale ewoluować. Kupujący powinni również oglądać swoje odpowiedzi AV i zgłaszać prawie wszystko, co prawdopodobnie jest błędne. AV Comparative integruje testy, dzięki którym działanie wagi prowadzi użytkowników do ustawień, które ostatecznie zostały zastosowane w produkcie lub usłudze bezpieczeństwa przez dostawców. Wielopłaszczyznowe efekty mogą wówczas dostarczyć znacznie bardziej pouczającego obrazu tego, do czego zmierza. Paranoiczny sposób to problem – ale można go rozwiązać.
Peter Stelzhammer, współzałożyciel AV-Comparatives