„Modul paranoic” antivirus încetinește firmele
Publicat: 2022-01-04
Nu este simplu să obțineți stabilitatea potrivită între stabilitate și eficiență. Acest lucru este real atunci când vine vorba de securitate cibernetică, deoarece companiile trebuie să se protejeze cu sârguință de amenințări, asigurându-se în același timp că apărările mai mult decât zeloase nu împiedică productivitatea.
La AV-Comparatives, ne dedicăm timpul efectuării unor teste dificile și minuțioase ale răspunsurilor antivirus (AV) pentru a expune în mod specific cât de eficiente sunt acestea în blocarea infecțiilor bacteriene malware și a amenințărilor cibernetice. Din când în când, un vânzător poate părea că a construit cel mai bun produs sau serviciu care blochează toate amenințările și obține un rating fantastic. Cu toate acestea, în unele cazuri, produsul antivirus aparent perfect ascunde o problemă: blochează fiecare lucru mic sau generează cifre mari de fals pozitive.
La o scară extinsă la nivel de întreprindere, utilizarea produselor care respectă o tactică pe care o contactăm „modul paranoic” poate avea un rezultat dezastruos asupra productivității prin încetinirea proceselor normale, aruncarea de obstacole în calea personalului și împiedicarea activităților de zi cu zi. .
De program, inversul este legitim la fel de eficient. Dacă o companie (sau o opțiune antivirus) oferă prea multă flexibilitate, atunci dificultățile nu vor fi departe. Așadar, cum ar trebui companiile să obțină armonia perfectă a „bucurilor de aur”, care asigură eficiența, asigurându-se în același timp că operațiunile tipice pot opera cu ușurință?
Dilema cu fals pozitive
Sunt inofensive audio. Dar elementele pozitive false pot avea efecte grave asupra unei afaceri. Atunci când o alternativă AV detectează în mod fals o provocare, aceasta aduce provocări operaționale imediate. Linia de producție trebuie oprită, ca să spunem așa, deoarece problema este triată, investigată și apoi dominată. Dacă acest lucru se întâmplă la momentul respectiv, ar putea fi doar o pacoste. Când este vorba despre mai mult și mai mult decât din nou, oamenii cu costul protecției ar putea renunța la religie în produsul sau serviciul AV și ar putea începe să pună la îndoială toate studiile acestuia.
Când băiatul a strigat lup, nimeni nu l-a crezut când un lup adevărat a apărut în afara satului. Același lucru este valabil și pentru bunurile AV. Dacă sunt produse în mod regulat elemente pozitive greșite, echipa de securitate va suporta inițial epuizarea informată înainte de a începe să renunțe la religia în opțiunea AV - potențial pierderea unui risc real. În cel mai rău caz, ar putea ajunge la lista albă a unui program malware, astfel încât să fie permisă distribuirea liberă prin intermediul rețelei. Este mai bine să ai un produs AV care blochează 99% dintre amenințări fără elemente pozitive neadevărate decât unul care are un nivel de blocare de 100 de pc, dar generează alarme greșite.
La o scară mai largă, setările AV excesive pot reduce treptat procesele într-o întreprindere. Dacă un articol AV este configurat în modul paranoic, ar putea bloca procedurile de regim. De exemplu, dacă soluția încorporează filtrarea rețelei, poate participa într-o poziție semnificativă în împiedicarea personalului să acceseze pagini web neadecvate, precum și pagini web distructive. Dar dacă echipa contabilă dorește să obțină un portal bancar? Sau echipa de publicitate și marketing dorește să facă rapid niște diapozitive dintr-o prezentare folosind o aplicație de rețea? Dacă opțiunile sunt la fel de agresive, aceste două încercări ar putea fi blocate. Amplifică această dificultate într-o corporație și nu este complicat să vezi cum produsele și soluțiile AV aparent de succes pot împiedica eficiența și pot pune obstacole inutile în calea oamenilor.
Alerte false – Criză reală
Este deranjant când e-mailurile sunt blocate, iar aplicațiile autentice sunt împiedicate să funcționeze corect atunci când o rezoluție AV are activată metoda paranoică. Cu toate acestea, complicațiile induse de fals pozitive pot fi mai mult decât enervante. Unele aspecte pozitive greșite pot face ca un anumit program să nu fie pornit sau să permită ca acesta să fie pornit, dar să nu fie conectat la rețeaua World Wide Web sau la o rețea de vecinătate. Câteva timp în trecut, aceasta ar fi fost o problemă semnificativ mai mică, deoarece un muncitor individual lovit de această provocare ar putea doar să treacă la o altă mașină. Dacă funcționează din reședință – la kilometri distanță de un alt coleg și de personalul de îndrumare IT – este ușor de văzut câte ore ar putea fi pierdute încercând să rezolvi dilema. Niciun vânzător nu poate asigura de fapt că această problemă nu va avea loc niciodată.
Nu permite faptul că există mai multe strategii în care cursurile legitime se pot integra de la sine într-un proces funcțional într-un mod care seamănă cu malware. Cursurile de criptare și capacitățile de restabilire a procedurilor, de exemplu, arată de obicei ca malware la blocanții de comportament. Articolele AV care blochează orice lucru pe care nu l-au mai întâlnit niciodată înainte și care nu au fost trecute pe lista albă pot părea foarte eficienți în blocarea programelor malware, dar în detrimentul unei mari oportunități de reducere a productivității.
Am văzut multe ilustrații ale rănilor induse de pozitive false. Un exemplu recent în acest sens este cu Microsoft Defender pentru Endpoint, în prezent blochează deschiderea documentelor Workplace și lansarea unor executabile din cauza unei false etichete pozitive a fișierelor ca poate include o sarcină utilă Emotet malware.
S-a estimat că centrele de operațiuni de protecție cheltuiesc 15 minute din fiecare oră lucrând cu alerte false. Acum imaginați-vă ce s-ar concretiza la o companie mai mică fără a fi nevoie de o echipă dedicată atunci când este lovită de exact aceeași problemă. Timpul de nefuncționare cauzat de protecțiile extreme ar putea avea un preț foarte ridicat fără îndoială.
Abordarea complicațiilor modului paranoic
Abordarea dilemei pozitive greșite și a metodei paranoice este o locație în care titularii au un beneficiu. Noii intrați în sector s-ar putea să dețină cele mai recente cunoștințe tehnologice și strategii noi și moderne despre cum să facă față amenințărilor și să reducă amenințările. Dar ceea ce le lipsesc este cunoștințele și know-how. Vânzătorii mai vechi, configurați suplimentar, au liste albe aprofundate, care permit programului software cu o companie de renume profită de a funcționa corect fără a fi blocat de articole AV. Cei mai noi intrați în sector se vor capta, dar este nevoie de un timp prelungit pentru a crea expertiza și gradul de conștientizare pentru a lucra corect pe listele albe. Atunci când sunt în funcțiune, aceste liste pot fi un instrument eficient, permițând clienților să lucreze cu un produs „refuz implicit” care va împiedica rularea întregului pachet de software, dacă nu este identificat ca fiind legitim.
În general, se explică că cel mai eficient mod de a securiza un gadget este să-i tăiați conexiunea la nivel mondial și să tăiați prin intermediul cablului de alimentare electrică. Acest lucru va reduce, desigur, riscul de malware la zero. Dar va minimiza productivitatea la o cantitate identică. Rezoluția este vigilență continuă. Furnizorii trebuie să stabilească rapid elemente pozitive false și doar să ia mișcare. O listă albă trebuie să evolueze continuu. Cumpărătorii ar trebui să urmărească, de asemenea, răspunsurile AV și să raporteze aproape orice este probabil greșit. AV Comparative integrează teste permițând un act de echilibru pentru a ghida utilizatorii asupra setărilor care au ajuns să fie aplicate în produsul sau serviciul de siguranță de către furnizori. Efectele cu mai multe fațete pot oferi apoi o imagine mult mai iluminatoare a ceea ce se îndreaptă. Maniera paranoică este o problemă – dar poate fi rezolvată.
Peter Stelzhammer, co-fondator, AV-Comparatives