防病毒“偏执模式”正在减慢公司的速度
已发表: 2022-01-04
在稳定和效率之间取得正确的稳定并不容易。 在网络安全方面尤其如此,因为公司必须努力保护自己免受威胁,同时确保过度防御不会妨碍生产力。
在 AV-Comparatives,我们投入大量时间对防病毒 (AV) 答案进行艰苦而艰苦的测试,以明确它们在阻止恶意软件细菌感染和网络威胁方面的有效性。 有时,卖家似乎已经构建了能够阻止所有威胁并获得出色评级的最佳产品或服务。 尽管如此,在某些情况下,看似完美的防病毒产品却隐藏了一个问题:它会阻止每一件小事或产生大量误报。
在企业广泛的范围内,使用坚持我们所接触的策略的产品“偏执模式”可能会通过减慢正常流程、给员工设置障碍和妨碍日常追求而对生产力产生灾难性的结果.
当然,反过来也是合法的。 如果一家公司(或防病毒选项)提供了太多的灵活性,那么困难就不会太远了。 那么,企业应该如何获得完美的“金发姑娘”和谐,既能保证效率,又能确保典型业务仍能轻松运行?
误报的困境
他们的声音是无害的。 但假阳性会对企业产生严重影响。 当 AV 替代品错误地检测到挑战时,它会立即带来运营挑战。 生产线需要停止,所以可以谈谈,因为问题是经过分类、调查然后被排除在外的。 如果当时发生这种情况,那可能只是一件麻烦事。 当它一遍又一遍地出现时,保护成本的人们可能会放弃 AV 产品或服务中的宗教信仰,并开始质疑其所有研究。
当男孩叫狼时,当一只真正的狼出现在村外时,没有人相信他。 AV 商品也是如此。 如果经常产生错误的肯定,安全团队最初会在开始在他们的 AV 选项中放弃宗教之前忍受信息枯竭 - 可能会错过真正的风险。 在最坏的情况下,他们可能会将恶意软件列入白名单,以便允许通过网络自由分发。 拥有一款能够阻止 99% 的威胁且没有误报的 AV 产品比拥有 100 pc 阻止级别但生成错误警报的产品要好。
在更广泛的范围内,过多的 AV 设置会逐渐降低整个企业的流程。 如果 AV 项目配置为偏执模式,它可能会阻止治疗程序。 例如,如果解决方案结合了网络过滤,它可以在阻止人员访问不适当的网页以及破坏性网页方面发挥重要作用。 但是,如果会计团队想要获得银行门户怎么办? 或者广告和营销团队想要使用网络应用程序快速制作一些演示文稿中的幻灯片? 如果选项也很激进,那么这两次尝试可能会被阻止。 将这一困难放大到整个公司,不难看出看似成功的 AV 产品和解决方案如何影响效率并在人们的道路上设置不必要的障碍。
虚假警报——真正的危机
当电子邮件被阻止时很麻烦,并且当 AV 解决方案使用偏执方法时,真正的应用程序将无法正常工作。 然而,假阳性引起的并发症可能不仅仅是烦人的。 一些错误的肯定会导致特定程序无法启动或允许它打开但不能连接到万维网或社区网络。 在过去的很长一段时间里,这将不是什么大问题,因为受到这一挑战的单个工人罢工可能会换到另一台机器上。 如果他们在住所工作——远离不同的同事和 IT 指导人员——很容易看出试图处理这个困境可能会浪费几个小时。 没有卖家能真正保证这个问题永远不会发生。
它不允许有几种策略可以使合法课程以类似于恶意软件的方式自行集成到运行过程中。 例如,加密课程和程序恢复功能通常看起来像是恶意软件,而行为阻止程序则如此。 阻止他们以前从未遇到过的所有事情并且没有被列入白名单的 AV 项目可能看起来很有效地阻止了恶意软件,但以牺牲生产力为代价的巨大机会。
我们已经看到了许多假阳性引起的伤害的例子。 最近的一个例子是 Microsoft Defender for Endpoint,它目前阻止打开 Workplace 文书工作和启动一些可执行文件,因为将文件标记为可能捆绑了 Emotet 恶意软件有效负载的虚假正面标签。
据估计,保护行动中心每小时有 15 分钟用于处理虚假警报。 现在想象一下,当一家规模较小的公司遇到完全相同的问题时,不需要专门的团队会发生什么。 毫无疑问,极端保护造成的停机时间可能会显示出非常高的价格。
解决偏执模式的并发症
解决错误肯定和偏执方法的困境是现任者受益的地方。 该行业的新进入者很可能拥有关于如何应对威胁和减少威胁的最新技术知识和全新的现代战略。 但他们缺乏的是知识和诀窍。 较旧的、额外设置的卖家拥有深入的白名单,允许信誉良好的公司的软件程序可以正常工作,而不会被 AV 项目锁定。 该行业的新进入者将迎头赶上,但需要很长时间才能建立起正确使用白名单的专业知识和意识。 当启动并运行时,这些列表可以成为一种有效的工具,允许客户使用“默认拒绝”产品,该产品将避免所有软件包运行,除非它被识别为合法。
通常解释说,使小工具安全的最有效方法是切断其万维网连接并切断电源线。 当然,这会将恶意软件风险降至零。 但它会将生产力降低到相同的数量。 决议是持续的警惕。 供应商必须迅速建立虚假的正面并采取行动。 白名单必须不断发展。 购物者还应该查看他们的反病毒答案并报告任何可能错误的内容。 AV 比较集成了能够实现平衡的测试,以指导用户最终应用到供应商的安全产品或服务中的设置。 然后,多方面的影响可以为正在发生的事情提供更具启发性的画面。 偏执的方式是一个问题——但它是可以解决的。
AV-Comparatives联合创始人 Peter Stelzhammer