Вы используете устаревший браузер!

Страница может отображаться некорректно.

Антивирусная неправда

Антивирусная неправда

Другие выпуски этой рубрики (44)
  • добавить в избранное
    Добавить в закладки

Хочу галочку

Прочитали: 2699 Комментариев: 123 Рейтинг: 107

Беда, коль пироги начнёт печи сапожник,
А сапоги тачать пирожник,
И дело не пойдёт на лад.

А. Крылов
Басня «Щука и Кот»

Знаете, как зачастую в компаниях выбирают антивирус?

Думаете, смотрят на результаты сравнительных тестирований и покупают тот продукт, который победил в большинстве тестов? Так действуют домашние пользователи и совсем маленькие компании.

Или тестируют продукты разных производителей? Этот подход применяется в очень ответственных компаниях, а таких – не так уж много.

Вы не поверите: в большинстве компаний антивирус выбирают «по галочкам». И мы не виним в этом пользователей: им такую модель выбора навязали.

Каждый безопасник хочет знать о том, что умеет тот или иной антивирус. Но как же лень организовывать тестовый полигон, писать задание на тесты, сравнивать результаты... Да и как тестировать продукты, одинаковые только на первый взгляд? «Попрошу-ка я у вендора сравнительную таблицу функционала и по количеству галочек решу, какой антивирус будет лучше защищать компанию». Бред, скажете вы? Но этот бред существует годами.

Вернемся к галочкам. Одна из галочек, играющих против Dr.Web, — отсутствие в наших продуктах для Windows Сканера уязвимостей.

Почему же в продуктах Dr.Web для Windows нет сканера уязвимостей?

Начнем с того, что сканеры уязвимостей бывают разные.

Сканер уязвимостей – специализированный продукт для проверки приложений, установленных на компьютерах и серверах. Он позволяет находить известные уязвимости – недостатки программного кода используемых приложений, позволяющие злоумышленникам проникать на компьютеры и выполнять на них различные задачи.

Сканер уязвимостей не защищает от неизвестных «дыр». Это утверждение справедливо и для полноценных сканеров, и для соответствующих компонентов антивирусных продуктов.

Поиск уязвимостей осуществляется с помощью базы – набора известных ошибок программного кода, а также способов их исправления. Сканеры уязвимостей не только проверяют наличие ошибок, но и выясняют, корректно ли эти ошибки исправлены.

Кроме того, сканеры уязвимостей могут проверять настройки приложений – не секрет, что некорректные настройки (скажем, возможность запуска определенных типов файлов или сторонних скриптов позволяет злоумышленникам выполнять свои задачи, даже если в самих продуктах уязвимости отсутствуют).

Более того, сканеры уязвимостей веб-приложений способны проверять скрипты. В данном случае поиск осуществляется на основе правил, которые базируются на опыте разработчика в анализе программного кода приложений.

И это еще не все виды сканеров уязвимостей! Поиск ошибок в коде может осуществляться, например, с помощью статического и динамического анализа, методами фаззинга (см. выпуск «Верить нельзя никому?») и т. д.

В отличие от специализированных приложений, компоненты антивирусов, также называющиеся сканерами уязвимостей, имеют гораздо меньше возможностей. Причина проста: ресурсы. Все знают, что любое сканирование притормаживает систему. А если запустить сканер уязвимостей с полными базами «большого» сканера?

Сканеры уязвимостей в составе антивирусов содержат знания об ограниченном числе «дыр». Как правило, речь о самых частотных – скажем, об уязвимостях распространенных браузеров, приложений Adobe и офисных систем. Но приложений множество, и все они могут иметь уязвимости!

Разработчики Dr.Web считают, что в Windows такой функционал в антивирусе дает ложное чувство защищенности. И вот почему.

  • Закрывать уязвимости и оповещать об этом пользователей — задача разработчиков уязвимых программ.
  • Сканер уязвимостей по своему поведению аналогичен антивирусному сканеру. В отличие от постоянной антивирусной защиты он запускается по расписанию. А значит, между проверками компьютер уязвим.
  • Сканер уязвимостей знает только известные уязвимости. А еще есть неизвестные — причем даже самим разработчикам уязвимых систем. Плюс к этому – известные уязвимости, которые они считают ничтожными и не собираются закрывать.
  • Опасны не сами по себе уязвимости, а код, который с их помощью доставляется в систему.
  • Антивирус Dr.Web защищает от попыток внедрить вредоносный код через известные и неизвестные уязвимости, и попытки использовать уязвимости становятся бесполезными.
  • С учетом ограниченности возможностей сканер уязвимостей не обеспечивает безопасность (см. «Главный рецепт от тысячи бед»).

Наряду с неизвестными уязвимостями особую опасность представляет ситуация, когда установка обновлений по тем или иным причинам невозможна. И никакой сканер уязвимостей эти проблемы не решит. А вот антивирус способен их решить. Как уже упоминалось, уязвимости нужны для доставки вредоносного ПО. Запущенный антивирус перехватит это ПО, и злоумышленник не сможет использовать уязвимость. Именно так произошло в случае WannaCry: Dr.Web перехватил троянца в момент атаки.

#эксплойт #уязвимость #Dr.Web

Dr.Web рекомендует

WannaCry использовал незакрытую администраторами, но закрытую Microsoft «дыру» в протоколе SMB v1-3.

На зараженных машинах был сканер уязвимостей. Почему администраторы не использовали его и не закрыли эту дыру?

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: