研究:最常用的杀毒软件需长达6个月的时间才能捕获威胁

2015/03/04

四种最长使用的杀毒软件已投入测试,被发现不合格。我们并不感到意外。

科摩多在很早以前就有了结论,那些使用已知威胁来检测以预防损坏的传统式互联网安全产品,基本上是有缺陷的。这就是为什么我们拥有超越传统式检测的架构解决方案,以防止和遏制那些检测无法应付的威胁。

安全公司Damballa最近的一项研究充分的证明我们的前提是正确的,研究也记录他们的基本缺陷:恶意软件停留时间。这时间是指当恶意软件文件开始损坏系统和杀毒软件能够检测恶意文件的时间。

在4个最常使用防病毒系统的测试中,有36%被测试的恶意软件没有在最初的24个小时内被检测到。整整一个星期后仍然有28%未被发现。事实上,这些产品花了超过半年的时间才完成100%被测试的恶意软件。

Damballa的结论是,感染停留时间是产品检测失败的结果。大多数的反病毒产品在这段期间无法保护您,并容易受到感染。

只需要一次的失败,就能为黑客打开侵入之门自由支配,要回应的威胁的数量极具压倒性。Damballa引用了2015年Poneman研究所的报告,显示企业平均每周从他们的IT安全产品收到17000个恶意软件警报,而只有4%的警报促使IT人员的调查。

传统的安全性通常有额外层的,最显著的行为分析就是寻求已知恶意行为。虽然这种方法超越了依赖在签名文件中的已知威胁,他们却无法防止发生在高调组织的最坏情况。

传统的杀毒软件就像拆弹部队尚未找到炸弹的位置。他们必须找到炸弹并化解它、更糟糕的是,如果该炸弹在发现前爆炸,那么周围就没有设防了。如果拆弹部队了解威胁,通常他们都可以对付它。其实是那些未知的威胁具有爆炸性。

沙盒和自动沙盒

一些防病毒软件提供名为沙盒的安全系统区域,让您可以安全运行可疑软件。不幸的是他们是按用户的决定才将文件放入沙盒。大多数的用户都无法做出正确一致的决定。

未知的文件将会变成恶意,并通常被称为“零日威胁”。这些都是由黑客所传播的,尚未得到安全专家的确定,而且安全软件供应商还没有找到解决方案来更新他们的系统。对于传统的antivirussoftware来说,这是最糟糕的情况。

对科摩多的 Internet Security 来说,零日威胁只不过是一个普通的日子,用户不必觉得可怕。

科摩多安全解决方案各种不同的终端解决方案包括一个被称为默认拒绝自动沙盒的独特架构。不同于其他传统安全产品,它们允许访问除非威胁被确认,而科摩多系统却拒绝访问系统如果发现是个未知文件。该可疑文件将在沙箱中运行,进行进一步分析,但不会伤害到您的系统或文件。

这是个更广泛战略其中的一部分,称为应用程序集装箱,您可以安全的操作,即使是在被感染的终端上。拆弹部队会如何处理已找到的炸弹?如果可以的话,他们将会把它放进一个安全的容纳单元,即使是它爆炸,他们仍然是安全的。沙箱也是如此处理潜在恶意性的软件。科摩多可以分析它,但如果它变成恶意性,该威胁就被遏制。

Write a comment

Name
Comment