1. Независимый информационно-аналитический центр
Как правильно выбрать антивирус?
Илья Шабанов
Генеральный директор
Аналитический центр Anti-Malware.ru
InfoSecurity Russia 2014, Москва, 25.09.2014
Независимый информационно-аналитический центр
2. Как выбрать антивирус?
Учитываем особенности проекта
Смотрим на антивирусные технологии
Смотрим сравнения и тесты
Изучаем обзоры и отзыва реальных заказчиков
Сужаем область выбора, выходим на пилоты
3. Особенности проекта
Выбор антивируса сильно сужают:
Виртуальные среды (без агентов, поддержка vShield)
Интеграция с другими средствами ИБ
Гетерогенная среда (Windows, Mac OS, Linux и т.д) +
мультивендорность
Требования к сертификации
Локализация и поддержка (присутствие на рынке)
В России выбирают Касперского, Eset, Dr.Web, Symantec,
Trend Micro + второй эшелон (McAfee, BitDefender, Panda,
Sophos, Avast, AVG и т.д.)
Анализ антивирусного рынка в России, Anti-Malware.ru, 2010-2015
5. Долгое эхо 90-х
Разрешено все, что не запрещено:
Сигнатуры для обнаружения вредоносных
программ
Гонка за обновлениями (скорость реакции,
количество в сутки)
Проактивные технологии обнаружения
(эвристика, поведенческий анализ)
Подход исчерпал себя уже в начале 2000-х, когда
количество новых образцов вредоносного кода стало
исчисляться сотнями тысяч
6. Идеальный мир
Белые списки, запрещено все, что не
разрешено:
Белые списки также нужно пополнять
=> все те же обновления
Нужна категоризация программ
Малораспространенные программы
рискуют не пройти фильтры
Возможен обман белых списков
(компрометация «облака», цифровых
подписей и т.п.)
Технология больше подходит для типизированных
корпоративных рабочих мест с жестким набором ПО
7. Что мы имеем сейчас?
Черные+ белые списки: репутационные
БД (файлы, URL, email)
«Облачные» коллективные знания =>
пополнение репутационных БД
Ограничение недоверенных программ
Эмуляторы (песочницы)
Интеграция с различными
околоантивирусными технологиями
8. Что делать с серой зоной?
Распределение программ по вредоносности
ЧистыеСерая зонаВредоносы
«Серая зона» - боль антивирусных вендоров
9. Развитие технологий
Расширение доверенной зоны и белых списковы
Полная изоляция или запрет недоверенного ПО
Контроль целостности системы
Откат вредоносных изменений
Контроль состояния защиты (обновление, настройки,
права)
Смещение акцента в сторону управления правами и
политиками, антивирус из 90-х перестает быть
главным элементом
Следует больше вникать в технологии, а не увлекаться
«бумажной безопасностью» и сертификатами ФСТЭК
11. Я тут протестировал …
«Сравнение DLP-систем 2014 (часть 1 и 2)», Anti-Malware.ru, февраль 2014
Большая часть любительских и журнальных тестов – полная
профанация:
Коллекциях «я скачал архив в сети» (помойки из
старых самплов и чистых файлов)
Тесты «у меня год стоял … не тормозит, ни разу не
пропускал и т.п.»
Произвольные настройки антивирусов и ОС
Без понимания принципов работы антивирусных
технологий (скорость удаления вирусов, лечение
шифровальщиков и т.п.)
Заслуживают внимания только профессиональные тесты!
12. Профессиональные тесты (I)
Real World Protection Test, AV-Comparatives.org, август-ноябрь, 2015
Спонсируются вендорами
Методологии созданы спонсорами
Результаты группы лидеров
находятся в пределах погрешности
Сомнительные тестовые коллекции
Цель таких тестов – групповой PR
Пример (21 антивирус):
В диапазоне 98-99% - 11 антивирусов!
В диапазоне 96-99% - 17
антивирусов!
Ниже рангом котируются «изгои»
Тесты не помогают в выборе. Как это может быть?
Среди первых 17 нет никакой принципиальной разницы!
Они покрывают большую часть рынка
13. Профессиональные тесты (I)
Real World Protection Test, AV-Comparatives.org, август-ноябрь, 2015
Среди первых 17 нет никакой принципиальной разницы!
14. Профессиональные тесты (II)
The best antivirus software for Windows Client Business User, AV-Test.org, февраль, 2016
Эффективные и быстрые все, кому положено таковыми быть
Аналогично с Virus Bulletin, Denis Labs и т.д.
15. Профессиональные тесты
Популярные профессиональные тесты – лишь внешнее
подтверждение эффективности антивирусов:
Принцип – все тестируемые антивирусы примерно
одинаково хороши
Выбрать по ним лучший антивирус нельзя
Не отражают реальное качество продуктов
Создают хороший новостной повод
Результаты могут быть критериями для тендеров
Смотрите только на динамику, какие антивирусы держатся в
группе лидеров
16. Обзоры, рейтинги и отзывы
«Народные рейтинги» могут легко накручиваться
Реальные отзывы тонут в море сообщений от
анонимов и ботов
Ценность имеют обзоры только от профессиональных
СМИ (на Anti-Malware.ru более 100 подробных
обзоров корпоративных продуктов)
Вендоры начинают делать ставку на бренд, продавать свои
антивирусы как товары народного потребления
Зависимость от постоянного пополнения базы данных
Анализ на вредоносность – «узкое место» для антивирусных вендоров
Лавинообразный рост количества новых вредоносных программ приводит к увеличению пропусков
Увеличение сложности вредоносных программ
Первичными должны быть технологии, а не купленные бумажки