Videó: What is Herd Immunity? (November 2024)
Az idei rosszindulatú és nem kívánt szoftverek konferenciáján, más néven MalCon 2015, Fanny Lalonde Lévesque, Ph.D. az École Polytechnique de Montréal hallgatója bemutatta azokat a lenyűgöző eredményeket, amelyek származhatnak, ha hatalmas mennyiségű információval rendelkezel a vírusvédelemről egy milliárd számítógépen. A természetes ökoszisztémák vizsgálatából származó megközelítést alkalmazva kidolgozott néhány mutatót a vírusölő ökoszisztéma egészségi állapotának mérésére.
Lehet, hogy észrevette a rosszindulatú szoftverek eltávolító eszközét (MSRT), amely az egyes Microsoft frissítések részeként fut. Különösen néhány tucat nagyon elterjedt rosszindulatú programcsaládot keres és szüntet meg, amelyeket minden hónapban a Microsoft biztonsági csapata választ ki. Jelentős telemetriát küld vissza a Microsoftnak. Dennis Batchelder, a Microsoft Malware Protection Center (MMPC) igazgatója szerint ez a telemetria az oka annak, hogy a Microsoftnak nincs szüksége vírusvédelmi tesztekre. Néhány évvel ezelőtt a MalConban tartott kiemelt beszédében részletesen kifejtette az MSRT által gyűjtött nagy mennyiségű adatot, és felkérte az akadémiakat, hogy terjesszenek elő javaslatokat ezen adatok felhasználására a kutatásban.
Milliók és milliók
Az MSRT többek között arról számol be, hogy talált-e rosszindulatú programokat, milyen víruskeresőt (ha van) telepítette, és hogy az antivírus konfigurálva van-e és megfelelően működik-e. Lalonde Lévesque négy hónappal kezdte a Microsoft MSRT adatait. Miután eltávolította a vírusmentes gépektől a bejegyzéseket, még mindig közel egymilliárd bejegyzést tett. Van egy bizonyos torzítás a mintakészletben, mivel néhány felhasználó úgy döntött, hogy nem futtatja a Windows Update vagy az MSRT alkalmazást. Annak érdekében, hogy leküzdje ezt az torzítást, véletlenszerűen választotta ki a pályázatok 10 százalékát. Ez még mindig több mint 90 millió minta.
A kiválasztott célpopulációval elemezte az egész rendszer egészségi állapotát. Ez az elemzés három, a természetes ökoszisztéma-elemzésből származó területet vizsgál: aktivitást, sokféleséget és stabilitást.
A vírusölő ökoszisztémában a védelem foka reprezentálja az aktivitást. A telepített víruskereső elavult lehet, ki is kapcsolható, vagy valósidejű védelmét elhalaszthatja. Lalonde Lévesque asszony megállapította, hogy a négy hónap alatt a megfelelően konfigurált, legfrissebb telepítések száma körülbelül 87-88% volt.
A természetes ökoszisztéma sokfélesége azt jelenti, hogy egyetlen faj sem dominál teljes mértékben. Lalonde Lévesque asszony megvizsgálta a vírusölő ökoszisztéma több mint 100 különféle antivírustermékét, és nagyfokú sokféleséget talált. Az uralkodó termék, a legnagyobb telepített bázissal, soha nem igényelte meg a piac 18% -át.
A stabilitás vizsgálatához először a számítógépekre szűkítette a listát, amelyek mind a négy hónapban válaszoltak az MSRT-re. Megvizsgálta az antivírusok állapotának változásait, és biztató eredményeket talált. A működő és naprakész antivírusokkal rendelkező számítógépeknek csak körülbelül 3% -a kevésbé biztonságos állapotba sodródott, és a többi államban sok számítógép javult.
Itt egy meglepetés. A tanulmány során a számítógépek teljes harmada váltott át egy másik vírusvédelemre. Néhány résztvevő spekulált az esetleges torz eredmények miatt, mivel az új számítógépeken ingyenes víruskereső lejárt. Bármi is legyen az ok, ez sok változást jelent.
Az utolsó lépés annak megvizsgálása volt, hogy mely adatszolgáltató számítógépeket sújtotta a rosszindulatú program, annak ellenére, hogy víruskereső telepítve volt. Nem meglepő, hogy az alacsony rosszindulatú programok fertőzöttségi szintje szorosan korrelált a naprakész és működő antivírussal. Ezzel szemben az alacsony stabilitási ráta, ami a telepített antivírusok vagy az antivírusok állapotának sok változását jelenti, erősen korrelál a magasabb fertőzési aránytal.
Monokultúra és állomány immunitás
A következő lépés az összes 126 érintett ország adatainak feltárása volt, és az országos vírusölő ökoszisztéma egészségi állapotának összehangolása az országos fertőzési arányokkal. A tanulmány e részében Lalonde Lévesque mind a vírusvédelemmel, mind a védelem nélküli számítógépekkel foglalkozott.
Néhány országban zavaró sokszínűség mutatkozik, és egy termék védi az összes rendszer nagy részét. Ezekben az országokban az átlagnál magasabb fertőzési rátát mutattak, míg a sokféleségű országokban alacsonyabb volt a fertőzés. Teljes jelentésében bemutatja, hogyan igazolta ennek az eredménynek a statisztikai jelentőségét. Az antivírus ökoszisztémában, akárcsak az életben, a monokultúra nem egészséges.
Nem távolról sem meglepő, hogy ha a számítógépek nagyobb százalékban vannak naprakészen működő antivírussal, akkor az erősen korrelál az alacsonyabb fertőzöttséggel. Ha nem így lenne, akkor valami nagyon-nagyon rossz lesz. A kicker ugyanaz a korreláció akkor áll fenn, ha ugyanazon ország számítógépein nincs antivírus. Úgy tűnik, hogy egyfajta állományi immunitás bejuthat ide, tehát még azok is, akik elhagyják a vírusvédelmet, azzal járnak, hogy a szomszédaikat teljesen páncélozzák.
Akkor ott van az MSRT hatás. Azokban az országokban, ahol magas a fertőzés, szintén magas a „becsapódás” aránya, sok felhasználó váltotta az antivírus termékeket. Lehet, hogy az az egyszerű tény, hogy az MSRT eltávolítja a rosszindulatú programokat, a felhasználót elégedetlenné tette a meglévő védelemmel, és választott másik gyártót? Nehéz lenne bebizonyítani, mivel a tanulmányban nincsenek olyan számítógépek, amelyek soha nem tapasztalták volna az MSRT alkalmazását.
Csak egy kilátás
Lalonde Lévesque fájdalommal tüntette fel, hogy a tanulmány eredményeinek vannak bizonyos korlátai. Csak egy, az MSRT rendszerhez csatlakozó számítógépet vettünk bele. A fertőzés eredményei csak a Microsoft által havonta kiválasztott, széles körben elterjedt rosszindulatú családok számára érhetők el. Ezenkívül a monokultúra és az állomány immunitás elméletei nem csak a magyarázatok a felfedezett összefüggésekre.
A Microsoft hatalmas adatgyűjtése képesített kutatók számára elérhető. Mások kibővítik Lalonde Lévesque tanulmányát, vagy teljesen más irányba léphetnek fel. Alig várom, hogy meglátogassák.
