防病毒“偏執模式”正在減慢公司的速度
已發表: 2022-01-04
在穩定和效率之間取得正確的穩定並不容易。 這在網絡安全方面尤其真實,因為公司必須努力保護自己免受威脅,同時確保過分積極的防禦不會影響生產力。
在 AV-Comparatives,我們投入大量時間對防病毒 (AV) 答案進行艱苦、艱苦的測試,以具體揭示它們在阻止惡意軟件細菌感染和網絡威脅方面的有效性。 有時,賣家似乎已經構建了能夠阻止所有威脅並獲得出色評級的最佳產品或服務。 儘管如此,在某些情況下,看似完美的防病毒產品卻隱藏了一個問題:它會阻止每一件小事或產生大量誤報。
在企業廣泛的規模上,使用堅持我們所接觸的策略的產品“偏執模式”可能會對生產力產生災難性的結果,因為它會減慢正常流程,給員工設置障礙並妨礙日常追求.
當然,反過來也是合法的。 如果一家公司(或防病毒選項)提供了太多的靈活性,那麼困難就不會太遠了。 那麼,企業應該如何獲得完美的“金發姑娘”和諧,既能保證效率,又能確保典型業務仍能輕鬆運行?
誤報的困境
他們的聲音是無害的。 但假陽性會對企業產生嚴重影響。 當 AV 替代品錯誤地檢測到挑戰時,它會立即帶來運營挑戰。 生產線需要停止,所以可以談談,因為問題是經過分類、調查然後被排除在外的。 如果當時發生這種情況,那可能只是一件麻煩事。 當它一遍又一遍地出現時,保護成本的人們可能會放棄 AV 產品或服務中的宗教信仰,並開始質疑其所有研究。
當男孩叫狼時,當一隻真正的狼出現在村外時,沒有人相信他。 AV 商品也是如此。 如果經常產生錯誤的肯定,安全團隊最初會在開始在他們的 AV 選項中放棄宗教之前忍受信息枯竭 - 可能會錯過真正的風險。 在最壞的情況下,他們可能會將惡意軟件列入白名單,以便允許通過網絡自由分發。 擁有一款能夠阻止 99% 的威脅且沒有誤報的 AV 產品比擁有 100 pc 阻止級別但生成錯誤警報的產品要好。
在更廣泛的範圍內,過多的 AV 設置會逐漸降低整個企業的流程。 如果 AV 項目配置為偏執模式,它可能會阻止治療程序。 例如,如果解決方案結合了網絡過濾,它可以在阻止人員訪問不適當的網頁以及破壞性網頁方面發揮重要作用。 但是,如果會計團隊想要獲得銀行門戶怎麼辦? 或者廣告和營銷團隊想要使用網絡應用程序快速製作一些演示文稿中的幻燈片? 如果選項也很激進,那麼這兩次嘗試可能會被阻止。 將這一困難放大到整個公司,不難看出看似成功的 AV 產品和解決方案如何影響效率並在人們的道路上設置不必要的障礙。
虛假警報——真正的危機
當電子郵件被阻止時很麻煩,並且當 AV 解決方案使用偏執方法時,真正的應用程序將無法正常工作。 然而,假陽性引起的並發症可能不僅僅是煩人的。 一些錯誤的肯定會導致特定程序無法啟動或允許它打開但不能連接到萬維網或社區網絡。 在過去的很長一段時間裡,這將不是什麼大問題,因為受到這一挑戰的單個工人罷工可能會換到另一台機器上。 如果他們在住所工作——遠離不同的同事和 IT 指導人員——很容易看出試圖處理這個困境可能會浪費幾個小時。 沒有賣家能真正保證這個問題永遠不會發生。
它不允許有幾種策略可以使合法課程以類似於惡意軟件的方式自行集成到運行過程中。 例如,加密課程和程序恢復功能通常看起來像是惡意軟件,而行為阻止程序則如此。 阻止他們以前從未遇到過的所有事情並且沒有被列入白名單的 AV 項目可能看起來很有效地阻止了惡意軟件,但以犧牲生產力為代價的巨大機會。
我們已經看到了許多假陽性引起的傷害的例子。 最近的一個例子是 Microsoft Defender for Endpoint,它目前阻止打開 Workplace 文書工作和啟動一些可執行文件,因為將文件標記為可能捆綁了 Emotet 惡意軟件有效負載的虛假正面標籤。
據估計,保護行動中心每小時有 15 分鐘用於處理虛假警報。 現在想像一下,當一家規模較小的公司遇到完全相同的問題時,不需要專門的團隊會發生什麼。 毫無疑問,極端保護造成的停機時間可能會顯示出非常高的價格。
解決偏執模式的並發症
解決錯誤肯定和偏執方法的困境是現任者受益的地方。 該行業的新進入者很可能擁有關於如何應對威脅和減少威脅的最新技術知識和全新的現代戰略。 但他們缺乏的是知識和訣竅。 較舊的、額外設置的賣家擁有深入的白名單,允許信譽良好的公司的軟件程序可以正常工作,而不會被 AV 項目鎖定。 該行業的新進入者將迎頭趕上,但需要很長時間才能建立起正確使用白名單的專業知識和意識。 當啟動並運行時,這些列表可以成為一種有效的工具,允許客戶使用“默認拒絕”產品,該產品將阻止所有軟件包運行,除非它被識別為合法。
通常解釋說,使小工具安全的最有效方法是切斷其萬維網連接並切斷電源線。 當然,這會將惡意軟件風險降至零。 但它會將生產力降低到相同的數量。 決議是持續的警惕。 供應商必須迅速建立虛假的正面並採取行動。 白名單必須不斷發展。 購物者還應該查看他們的反病毒答案並報告任何可能錯誤的內容。 AV 比較集成了能夠實現平衡的測試,以指導用戶最終應用到供應商的安全產品或服務中的設置。 然後,多方面的影響可以為正在發生的事情提供更具啟發性的畫面。 偏執的方式是一個問題——但它是可以解決的。
AV-Comparatives聯合創始人 Peter Stelzhammer