Антивирусный «параноидальный режим» замедляет работу компаний
Опубликовано: 2022-01-04
Непросто добиться нужной стабильности между стабильностью и эффективностью. Это особенно актуально, когда речь идет о кибербезопасности, поскольку компании должны усердно защищать себя от угроз, обеспечивая при этом уверенность в том, что более чем усердная защита не снижает производительности.
В AV-Comparatives мы посвящаем свое время выполнению сложных и кропотливых тестов антивирусных (AV) ответов, чтобы показать, насколько они эффективны в блокировании вредоносных бактериальных инфекций и киберугроз. Время от времени может показаться, что продавец создал лучший продукт или услугу, которые блокируют все угрозы и достигают фантастического рейтинга. Тем не менее, в некоторых случаях кажущийся идеальным антивирусный продукт скрывает проблему: он блокирует каждую мелочь или генерирует большое количество ложных срабатываний.
В масштабах предприятия использование продуктов, которые придерживаются тактики, которую мы связываем с «параноидальным режимом», может иметь катастрофические последствия для производительности, замедляя нормальные процессы, создавая препятствия на пути сотрудников и мешая повседневным занятиям. .
Из программы, обратное правомерно так же эффективно. Если компания (или антивирус) обеспечивает слишком большую гибкость, то трудности не за горами. Так как же предприятиям получить идеальную гармонию «златовласки», которая обеспечивает эффективность и в то же время гарантирует, что типичные операции могут выполняться легко?
Дилемма с ложными срабатываниями
Они звучат безобидно. Но ложные срабатывания могут иметь серьезные последствия для бизнеса. Когда альтернатива AV ложно обнаруживает проблему, это немедленно приводит к оперативным проблемам. Производственная линия должна быть остановлена, так сказать, поскольку проблема сортируется, исследуется, а затем устраняется. Если это произойдет в то время, это может быть только неприятность. Когда дело доходит до более чем одного раза, люди, нуждающиеся в защите, могут отказаться от религии в продукте или услуге AV и начать подвергать сомнению все его исследования.
Когда мальчик закричал «волк», никто ему не поверил, когда за деревней появился настоящий волк. То же самое относится к товарам AV. Если регулярно выдаются ошибочные срабатывания, служба безопасности сначала будет страдать от информационного истощения, прежде чем начнет отказываться от религии в своем антивирусном варианте, что может привести к упущению реального риска. В худшем случае они могут занести часть вредоносного ПО в белый список, чтобы ему было разрешено свободно распространяться по сети. Лучше иметь AV-продукт, который блокирует 99% угроз без ложных срабатываний, чем тот, который имеет уровень блокировки 100 pc, но генерирует неверные сигналы тревоги.
В более широком масштабе чрезмерные настройки AV могут замедлить процессы на предприятии. Если элемент AV настроен в параноидальном режиме, он может блокировать процедуры режима. Например, если решение включает в себя сетевую фильтрацию, оно может сыграть значительную роль в предотвращении доступа персонала к нежелательным веб-страницам, а также к деструктивным веб-страницам. Но что, если команда бухгалтеров хочет получить банковский портал? Или отдел рекламы и маркетинга хочет быстро сделать несколько слайдов из презентации с помощью сетевого приложения? Если параметры также агрессивны, эти две попытки могут быть заблокированы. Умножьте эту проблему на всю корпорацию, и несложно увидеть, как кажущиеся успешными продукты и решения AV могут снижать эффективность и создавать ненужные препятствия на пути людей.
Ложные предупреждения – настоящий кризис
Это утомительно, когда электронные письма заблокированы, а подлинные приложения не могут работать правильно, когда в разрешении AV задействован параноидальный метод. Однако осложнения, вызванные поддельными положительными результатами, могут быть не только раздражающими. Некоторые неправильные срабатывания могут привести к тому, что конкретная программа не загрузится или позволит включить ее, но не подключить к всемирной паутине или локальной сети. Пару лет назад это было бы значительно меньшей проблемой, поскольку отдельный рабочий, забастовавший в этой задаче, мог просто переключиться на другую машину. Если они работают из дома — за много миль от другого коллеги и ИТ-специалистов — легко увидеть, как несколько часов могут быть потрачены впустую, пытаясь справиться с дилеммой. Ни один продавец не может гарантировать, что эта проблема никогда не возникнет.
Это не означает, что существует несколько стратегий, в которых легитимные курсы могут сами по себе интегрироваться в действующий процесс таким образом, что это напоминает вредоносное ПО. Курсы шифрования и возможности восстановления процедур, например, обычно выглядят как вредоносное ПО для блокировщиков поведения. Элементы AV, которые блокируют все, с чем они никогда не сталкивались ранее и которые не были внесены в белый список, вполне могут выглядеть так, как будто они эффективны в блокировании вредоносных программ, но за счет большого снижения производительности.
Мы видели много примеров травм, вызванных фиктивными положительными результатами. Недавним примером этого является Microsoft Defender для конечной точки. В настоящее время он блокирует открытие документов Workplace и запуск некоторых исполняемых файлов из-за фиктивной положительной маркировки файлов как, возможно, связанных с полезной нагрузкой вредоносного ПО Emotet.
Подсчитано, что Оперативные центры защиты тратят 15 минут в час на работу с ложными оповещениями. А теперь представьте, что могло бы произойти в небольшой компании, не нуждающейся в специальной команде, когда она столкнулась с точно такой же проблемой. Время простоя, вызванное экстремальной защитой, может, без сомнения, иметь очень высокую цену.
Устранение осложнений параноидального режима
Решение дилеммы ошибочных срабатываний и параноидального метода — это место, в котором действующие лица имеют преимущество. Новые участники сектора вполне могут обладать самыми последними технологическими ноу-хау и свежими новыми, современными стратегиями того, как справляться с угрозами и уменьшать угрозу. Но чего им не хватает, так это знаний и ноу-хау. Старые, более продвинутые продавцы имеют подробные белые списки, которые позволяют программному обеспечению надежной компании работать должным образом, не будучи заблокированными элементами AV. Новые участники сектора подтянутся, но потребуется много времени, чтобы накопить опыт и знания для правильной работы с белыми списками. Когда эти списки запущены и работают, они могут быть эффективным инструментом, позволяющим клиентам работать с продуктом «запретить по умолчанию», который предотвратит запуск всех пакетов программного обеспечения, если они не будут идентифицированы как законные.
Принято считать, что самый эффективный способ обезопасить устройство — отключить его подключение к всемирной сети и перерезать кабель питания. Это, конечно же, сведет риск вредоносного ПО к нулю. Но это сведет производительность к одинаковой величине. Решение – постоянная бдительность. Поставщики должны быстро установить ложные положительные результаты и просто принять меры. Белый список должен постоянно развиваться. Покупатели также должны следить за своими AV-ответами и сообщать обо всем, что может быть ошибочным. AV Comparative объединяет тесты, позволяющие сбалансировать действия, чтобы направлять пользователей в отношении настроек, которые в конечном итоге были применены поставщиками в продукте или услуге безопасности. Затем многогранные эффекты могут дать гораздо более поучительную картину того, что происходит. Параноидальная манера – это проблема, но ее можно решить.
Питер Стельжаммер, соучредитель AV-Comparatives