Независимый информационно-аналитический центр

Как правильно выбрать антивирус?

Илья ШабановГенеральный директор

Аналитический центр Anti-Malware.ru

InfoSecurity Russia 2014, Москва, 25.09.2014

Независимый информационно-аналитический центр

Как выбрать антивирус?

Учитываем особенности проекта Смотрим на антивирусные технологии Смотрим сравнения и тесты Изучаем обзоры и отзыва реальных заказчиков Сужаем область выбора, выходим на пилоты

Особенности проекта

Выбор антивируса сильно сужают:Виртуальные среды (без агентов, поддержка vShield)Интеграция с другими средствами ИБГетерогенная среда (Windows, Mac OS, Linux и т.д) + мультивендорностьТребования к сертификации (Kaspersky, Eset, Dr.Web, Symantec + VBA) Локализация и поддержка (присутствие на рынке)

В СНГ выбирают Касперского, Eset, Dr.Web, Symantec, Trend Micro + второй эшелон (McAfee, BitDefender, Panda,

Sophos, Avast, AVG и т.д.)Анализ антивирусного рынка в России, Anti-Malware.ru, 2010-2015

Антивирусные технологии. Rocket Science или Marketing Bullshit?

Долгое эхо 90-х

Разрешено все, что не запрещено:Сигнатуры для обнаружения вредоносных программГонка за обновлениями (скорость реакции, количество в сутки)Проактивные технологии обнаружения (эвристика, поведенческий анализ)

Подход исчерпал себя уже в начале 2000-х, когда количество новых образцов вредоносного кода стало исчисляться сотнями тысяч

Идеальный мир

Белые списки, запрещено все, что не разрешено:Белые списки также нужно пополнять => все те же обновленияНужна категоризация программМалораспространенные программы рискуют не пройти фильтрыВозможен обман белых списков (компрометация «облака», цифровых подписей и т.п.)

Технология больше подходит для типизированных корпоративных рабочих мест с жестким набором ПО

Что мы имеем сейчас?

Черные+ белые списки: репутационные БД (файлы, URL, email)

«Облачные» коллективные знания => пополнение репутационных БД

Ограничение недоверенных программ Эмуляторы (песочницы) Интеграция с различными

околоантивирусными технологиями

Что делать с серой зоной?

Распределение программ по вредоносности

ЧистыеСерая зонаВредоносы

«Серая зона» - боль антивирусных вендоров

Развитие технологий

Расширение доверенной зоны и белых списковы Полная изоляция или запрет недоверенного ПО Контроль целостности системы Откат вредоносных изменений Контроль состояния защиты (обновление, настройки,

права) Смещение акцента в сторону управления правами и

политиками, антивирус из 90-х перестает быть главным элементом

Следует больше вникать в технологии, а не увлекаться «бумажной безопасностью» и сертификатами ФСТЭК

PR, глупость и антивирусные тесты

Я тут протестировал …

«Сравнение DLP-систем 2014 (часть 1 и 2)», Anti-Malware.ru, февраль 2014

Большая часть любительских и журнальных тестов – полная профанация:

Коллекциях «я скачал архив в сети» (помойки из старых самплов, битых и чистых файлов)

Тесты «у меня год стоял … не тормозит, ни разу не пропускал и т.п.»

Произвольные настройки антивирусов и ОС Без понимания принципов работы антивирусных технологий

(скорость удаления вирусов, лечение шифровальщиков и т.п.)

Заслуживают внимания только профессиональные тесты!

Профессиональные тесты (I)

Real World Protection Test, AV-Comparatives.org, август-ноябрь, 2015

Спонсируются вендорами Методологии созданы спонсорами Результаты группы лидеров

находятся в пределах погрешности Сомнительные тестовые коллекции Цель таких тестов – групповой PR

Пример (21 антивирус):В диапазоне 98-99% - 11 антивирусов!

В диапазоне 96-99% - 17 антивирусов!

Ниже рангом котируются «изгои»

Тесты не помогают в выборе. Как это возможно?

Среди первых 17 нет никакой принципиальной разницы! Они покрывают большую часть рынка

Профессиональные тесты (I)

Real World Protection Test, AV-Comparatives.org, август-ноябрь, 2015

Среди первых 17 нет никакой принципиальной разницы!

Профессиональные тесты (II)

The best antivirus software for Windows Client Business User, AV-Test.org, февраль, 2016

Эффективные и быстрые все, кому положено таковыми быть Аналогично с Virus Bulletin, Denis Labs и т.д.

Профессиональные тесты

Популярные профессиональные тесты – лишь внешнее подтверждение эффективности антивирусов:

Принцип – все тестируемые антивирусы примерно одинаково хороши

Выбрать по ним лучший антивирус нельзя Не отражают реальное качество продуктов Создают хороший новостной повод Результаты могут быть критериями для тендеров

Смотрите только на динамику, какие антивирусы держатся в группе лидеров

Обзоры, рейтинги и рекомендации

«Народные рейтинги» могут легко накручиваться Реальные отзывы тонут в море сообщений от

анонимов и ботов Ценность имеют обзоры только от профессиональных

СМИ (на Anti-Malware.ru более 100 подробных обзоров корпоративных продуктов)

Не стоит полагаться на сертификаты и «бумажную безопасность», они не защитят

Вендоры начинают делать ставку на бренд, продавать свои антивирусы как товары народного потребления

Контакты

Илья Шабанов

Генеральный директорИнформационно-аналитический центр Anti-Malware.ru

ilya.shabanov@anti-malware.ruТел: +7 (903) 792-44-53

www.anti-malware.ru

@Anti_Malware