Wskaźniki wykrywalności stanowią ulubioną metrykę dla oceny rozwiązań w zakresie bezpieczeństwa. Ale sama ta liczba nie jest wszystkim, co decyduje o ocenie, szczegółowo wyjaśnia Karsten Hahn.
Oprogramowanie antywirusowe jest regularnie spisywane na straty. Dyskusje na ten temat powtarzają się raz po raz i są niekiedy prowadzone w sposób bardzo dogmatyczny. Równocześnie wyniki testów przechylają szalę na korzyść jednego lub drugiego rozwiązania, gdzie stawką są miejsca po przecinku we wskaźnikach wykrywalności. Tło jest czasem bardzo złożone, a wskaźniki rozpoznawalności też nie dają pełnego obrazu.
Stare mity
Ten, kto twierdzi, że oprogramowanie antywirusowe jest „martwe”, musi sobie również zadać pytanie, co dokładnie oznacza oprogramowanie antywirusowe i jak definiowany jest stan „martwy”. Zwolennicy tego sposobu myślenia powołują się często na skanery online, takie jak Virustotal (zwane też „multiskanerami”). Takie skanery dają pewne wskazówki, ale to, że dany złośliwy plik „nie jest wykrywany” przez dane rozwiązanie, wcale nie musi być prawdą. Dzieje się tak dlatego, że wielu producentów, którzy udostępniają swoje silniki dla skanerów online, stosuje również inne metody wykrywania, ich wyniki często różnią się od „szybkiego skanowania” za pomocą Virustotal. Przyczyna jest prosta: dodatkowe technologie, które opierają się na przykład na uczeniu maszynowym lub AI, nie są częścią skanerów internetowych. Dzieje się tak dlatego, że wiele technologii „nowej generacji” uwzględnia również czynniki, które nie dadzą się łatwo odwzorować w multiskanerze.
Ponieważ jednak sprawdzane są tylko silniki skanujące, które tradycyjnie opierają się sygnaturach i tym samym mają charakter czysto reaktywny, szybko powstaje wrażenie, że skanery antywirusowe jako całość reprezentują „przestarzałą” technologię. Nic bardziej mylnego.
Poza cel
Jedno z największych wyzwań dla osób analizujących złośliwe oprogramowanie stanowi unikanie wyników fałszywie pozytywnych (false positives). W idealnym świecie wartość ta jest stale zerowa, ponieważ nikt nie potrzebuje wyników fałszywie pozytywnych. Wskaźnik wyników fałszywie pozytywnych nawet na poziomie jednego procenta miałby katastrofalne skutki. Dla katalogu, w którym znajduje się 500 000 plików, oznaczałoby to, że 5000 plików zostało potencjalnie błędnie rozpoznanych. Taki rozmiar folderu nie jest czymś nierealnym – sam katalog systemu Windows zawiera mniej więcej taką liczbę plików. Losowe wybranie i usunięcie 5000 z nich nie wydaje się czymś szczególnie pożądanym. W praktyce za dopuszczalny uważa się wskaźnik znacznie poniżej 0,001 procenta. Odpowiada to mniej niż jednemu wynikowi fałszywie pozytywnemu na 100.000 plików.
Logiczne wyjście
Kto więc chce maksymalnie ograniczyć liczbę wyników fałszywie pozytywnych, musi być zmuszony do stosowania wielowarstwowych zabezpieczeń. Niekoniecznie ważne jest przy tym utrzymanie jak najwyższego wskaźnika wykrywalności każdej poszczególnej technologii zabezpieczeń, lecz wyeliminowanie niepożądanych wykryć wszędzie tam, gdzie jest to możliwe.
Kto chce dokładnie wiedzieć, dlaczego wykrywanie złośliwego oprogramowania nie jest rzeczą trywialną i dlaczego powszechnie stosowane metryki niekoniecznie mówią całą prawdę, temu polecam artykuł: TechBlog-Artikel von Malware-Analyst Karsten Hahn (w języku angielskim).