Antivirüs “paranoyak modu” firmaları yavaşlatıyor
Yayınlanan: 2022-01-04
İstikrar ve verimlilik arasında doğru istikrarı yakalamak kolay değildir. Şirketlerin kendilerini tehditlere karşı özenle korumaları gerektiği ve aynı zamanda aşırı gayretli savunmaların üretkenliği engellemediğinden emin olmaları gerektiğinden, bu durum özellikle siber güvenlik söz konusu olduğunda geçerlidir.
AV-Comparatives'de, kötü amaçlı yazılımların bakteri bulaşmalarını ve siber tehditleri engellemede özellikle ne kadar etkili olduklarını ortaya çıkarmak için zamanımızı virüsten koruma (AV) yanıtlarının zorlu, özenli testleri yaparak harcıyoruz. Zaman zaman bir satıcı, tüm tehditleri engelleyen ve harika bir derecelendirme elde eden en iyi ürün veya hizmeti oluşturmuş gibi görünebilir. Bununla birlikte, bazı durumlarda, görünüşte mükemmel olan antivirüs ürünü bir sorunu gizler: her küçük şeyi engeller veya büyük rakamlarda yanlış pozitifler üretir.
Kurumsal ölçekte, "paranoyak mod" ile temas ettiğimiz bir taktiğe bağlı ürünleri kullanmak, normal süreçleri yavaşlatarak, personelin önüne engeller çıkararak ve günlük işlerin önüne geçerek üretkenlik üzerinde feci sonuçlar doğurabilir. .
Programın tersi de etkili bir şekilde meşrudur. Bir şirket (veya bir antivirüs seçeneği) çok fazla esneklik sağlıyorsa, zorluklar çok uzakta olmayacaktır. Öyleyse, işletmeler, tipik operasyonların yine de kolayca çalışabilmesini sağlarken verimliliği garanti eden mükemmel “goldilocks” uyumunu nasıl elde etmelidir?
Yanlış pozitiflerle ilgili ikilem
Sesleri zararsız. Ancak sahte pozitiflerin bir işletme üzerinde ciddi etkileri olabilir. Bir AV alternatifi bir zorluğu yanlışlıkla algıladığında, acil operasyonel zorluklar ortaya çıkar. Konu triaj yapıldığından, araştırıldığından ve daha sonra hakimiyet altına alındığından, deyim yerindeyse üretim hattının durdurulması gerekiyor. Bu o sırada gerçekleşirse, muhtemelen sadece bir sıkıntı olabilir. Her zamankinden daha fazla söz konusu olduğunda, koruma maliyetindeki insanlar AV ürün veya hizmetinde dini bırakabilir ve tüm çalışmalarını sorgulamaya başlayabilir.
Çocuk kurt diye ağladığında, köyün dışında gerçek bir kurt ortaya çıktığında kimse ona inanmadı. Aynısı AV ürünleri için de geçerlidir. Düzenli olarak yanlış pozitifler üretilirse, güvenlik ekibi AV seçeneklerinde dini bırakmaya başlamadan önce başlangıçta bilgi tükenmesine katlanır - potansiyel olarak gerçek bir riski kaçırır. En kötü ihtimalle, bir kötü amaçlı yazılımı beyaz listeye ekleyerek ağ yoluyla özgürce dağıtılmasına izin verebilirler. Tehditlerin yüzde 99'unu gerçek dışı pozitifler olmadan engelleyen bir AV ürününe sahip olmak, 100 pc blok düzeyine sahip ancak yanlış alarmlar üreten bir üründen daha iyidir.
Daha geniş bir ölçekte, aşırı AV ayarları, bir kuruluştaki süreçleri kademeli olarak azaltabilir. Bir AV öğesi paranoyak modda yapılandırılmışsa, rejim prosedürlerini engelleyebilir. Örneğin, çözüm ağ filtrelemeyi içeriyorsa, personelin uygunsuz web sayfalarına ve yıkıcı web sayfalarına erişmesini engellemede önemli bir konuma katılabilir. Peki ya muhasebe ekibi bir bankacılık portalı almak isterse? Veya reklam ve pazarlama ekibi, bir net uygulamadan yararlanarak bir sunumdan hızlıca bazı slaytlar yapmak mı istiyor? Seçenekler de agresifse, bu iki girişim engellenebilir. Bu zorluğu bir şirket genelinde büyütün ve görünüşte başarılı AV ürünlerinin ve çözümlerinin verimliliği nasıl engelleyebileceğini ve insanların önüne gereksiz engeller çıkarabileceğini görmek kolay değil.
Yanlış uyarılar – Gerçek kriz
E-postaların engellenmesi can sıkıcıdır ve bir AV çözünürlüğünde paranoyak yöntem devreye girdiğinde orijinal uygulamaların doğru şekilde çalışması engellenir. Bununla birlikte, sahte pozitiflerin neden olduğu komplikasyonlar, sadece can sıkıcı olmaktan daha fazlası olabilir. Bazı yanlış pozitifler, belirli bir programı önyüklenemez hale getirebilir veya açılmasına, ancak dünya çapındaki ağa veya komşu ağa bağlanmamasına izin verebilir. Geçmişte birkaç uzun zaman önce, bu sorun nedeniyle bireysel bir işçi grevi sadece başka bir makineye geçebileceğinden, bu önemli ölçüde daha az sorun olurdu. Farklı bir meslektaşından ve BT rehberlik personelinden kilometrelerce uzakta ikamet ettikleri yerden çalışıyorlarsa, ikilemle başa çıkmak için birkaç saatin nasıl boşa harcanabileceğini görmek kolaydır. Hiçbir satıcı aslında bu sorunun asla olmayacağını garanti edemez.
Meşru kursların, kötü amaçlı yazılıma benzeyen bir şekilde işleyen bir sürece kendi başlarına entegre olabileceği çeşitli stratejiler olmasını sağlamaz. Örneğin, şifreleme kursları ve prosedür geri yükleme yetenekleri, genellikle davranış engelleyicilere kötü amaçlı yazılım gibi görünür. Daha önce hiç karşılaşmadıkları her şeyi engelleyen ve beyaz listeye alınmamış olan AV öğeleri, kötü amaçlı yazılımları engellemede etkili gibi görünebilir, ancak üretkenlikteki büyük bir fırsat pahasına.
Sahte pozitiflerin neden olduğu yaralanmanın birçok örneğini gördük. Bunun yakın tarihli bir örneği Microsoft Defender for Endpoint'tir, şu anda Workplace evraklarının açılmasını ve dosyaların sahte bir pozitif etiketlenmesi nedeniyle, belki de bir Emotet kötü amaçlı yazılım yükünü paketliyormuş gibi bazı yürütülebilir dosyaların başlatılmasını engelliyor.
Koruma Operasyon Merkezlerinin her saatin 15 dakikasını sahte uyarılarla çalıştığı tahmin ediliyor. Şimdi, daha küçük bir şirkette, aynı sorunla karşılaştığında özel bir ekibe ihtiyaç duymadan nelerin gerçekleşeceğini hayal edin. Aşırı korumaların neden olduğu arıza süresi, şüphesiz çok yüksek fiyatlar gösterebilir.
Paranoyak modun komplikasyonlarını ele almak
Yanlış pozitifler ve paranoyak yöntem ikilemiyle mücadele, yerleşiklerin menfaat sağladığı bir konumdur. Sektöre yeni girenler, tehditlerle nasıl başa çıkılacağı ve tehdidin nasıl azaltılacağı konusunda en son teknolojik bilgi birikimine ve taze, yeni, modern stratejilere sahip olabilir. Fakat onların noksanlığı ilim ve marifettir. Daha eski, ekstra kurulumlu satıcılar, saygın bir şirkete sahip yazılım programının AV öğeleri tarafından kilitlenmeden düzgün bir şekilde çalışmasına izin veren derinlemesine beyaz listelere sahiptir. Sektöre daha yeni girenler bunu yakalayacaktır, ancak beyaz listelerin doğru bir şekilde çalışması için uzmanlık ve farkındalığın oluşturulması uzun zaman alır. Bu listeler çalışır durumdayken, etkin bir araç olabilir ve müşterilerin, yasal olarak tanımlanmadıkça tüm yazılım paketlerinin çalışmasını önleyecek bir "varsayılan olarak reddet" ürünü çalışmasına izin verir.
Genellikle, bir aygıtı güvenli hale getirmenin en etkili yolunun, dünya çapındaki ağ bağlantısını kesmek ve elektrik kablosu aracılığıyla kesmek olduğu açıklanır. Bu, elbette, kötü amaçlı yazılım riskini sıfıra indirecektir. Ancak üretkenliği aynı miktarda en aza indirecektir. Çözüm, sürekli tetikte olmaktır. Tedarikçiler hızlı bir şekilde sahte pozitifler oluşturmalı ve sadece harekete geçmelidir. Bir beyaz liste sürekli gelişiyor olmalıdır. Alışveriş yapanlar ayrıca AV yanıtlarını izlemeli ve muhtemelen yanlış olan her şeyi bildirmelidir. AV Comparative, satıcılar tarafından güvenlik ürünü veya hizmetinde uygulanan ayarlar konusunda kullanıcılara rehberlik edecek bir denge eylemi sağlayan testleri entegre eder. Çok yönlü efektler, daha sonra neler olup bittiğine dair çok daha aydınlatıcı bir resim sunabilir. Paranoyak tavır bir sorundur ama çözülebilir.
Peter Stelzhammer, kurucu ortak, AV-Comparatives