В преследване на високи нива на откриване на кибер заплахи в индустрията информационна сигурносттемата често се забравя незаслужено. Наистина това е много неудобна тема, която някои разработчици се опитват да игнорират (или да решат по съмнителни начини) - до първия сериозен инцидент, който може да парализира работата на клиентите. За съжаление такива инциденти се случват. И за съжаление, едва тогава идва разбирането, че качествозащитата от киберзаплахи е не само превенция, но и ниско нивофалшиви положителни резултати.
Въпреки привидната простота на темата за минимизиране на фалшивите положителни резултати, тя всъщност има много трудности и клопкикоито изискват значителни инвестиции, технологична зрялост и ресурси от разработчиците.
Двете основни причини за фалшиви положителни резултати са (i) софтуер, хардуер и човешка грешкаот страна на разработчика, (ii) разнообразие от правни („чисти“) софтуеркоето се проверява от системата за сигурност. Последната причина изисква изясняване. Всъщност програмите се пишат от милиони хора с различни квалификации (от студенти до професионалисти) по целия свят, като се използват различни платформи и стандарти. Всеки автор има свой собствен уникален стил, докато "почеркът" програмен коднаистина понякога прилича на злонамерен файл, което задействат защитна технология, особено въз основа на поведенчески анализ и машинно обучение.
Без да се отчита тази специфика и без изпълнение специални технологииза да сведат до минимум фалшивите положителни резултати, разработчиците рискуват да пренебрегнат принципа „не навреди“. А това от своя страна води до чудовищни последици (особено за корпоративни клиенти), сравними със загубите от самия зловреден софтуер.
Повече от двадесет години Kaspersky Lab разработва процеси за разработка и тестване, както и създава технологии за минимизиране на фалшивите положителни резултати и грешките на потребителите. Гордеем се с един от най-добрите резултати в индустрията за този показател (тестове на AV-Comparatives, AV-Test.org, SE Labs) и сме готови да ви разкажем повече за някои от характеристиките на нашата „вътрешна кухня“. Уверен съм, че тази информация ще даде възможност на потребителите и корпоративните клиенти да направят по-информиран избор на системи за сигурност, а на разработчиците на софтуер да подобрят своите процеси в съответствие с най-добрите световни практики.
Ние използваме тристепенна системаконтрол на качеството за минимизиране на фалшивите положителни резултати: (i) контрол на проектното ниво, (ii) контрол на освобождаването на метода за откриване и (iii) контрол на освобождаването при откриване. В същото време системата непрекъснато се подобрява поради различни видовепредпазни мерки.
Нека разгледаме по-отблизо всяко ниво на системата.
Контрол на ниво дизайн
Един от основните ни принципи при разработката е, че всяка технология, продукт или процес трябва априори да съдържа механизми за минимизиране на рисковете от фалшиви положителни резултати и свързани с тях неуспехи. Както знаете, грешките на ниво дизайн са най-скъпи, тъй като пълното им коригиране може да изисква преработка на целия алгоритъм. Затова през годините разработихме своя собствена най-добри практикиза намаляване на вероятността от неправилна работа.
Например, когато разработваме или подобряваме технология за откриване на кибер заплахи, базирани на машинно обучение, ние се уверяваме, че изучаването на технологията е осъществено върху значими колекции. чисти файлове различни формати... За това помага нашата база от знания за чисти файлове (бели списъци), която вече надхвърли 2 милиарда обекта и непрекъснато се актуализира в сътрудничество с производителите на софтуер.
Ние също така гарантираме, че в процеса на работа, обучението и тестовите колекции на всяка технология се актуализират постоянно. релевантночисти файлове. Продуктите имат вградени механизми за минимизиране на фалшивите положителни резултати за файлове, критични за операционната система. Освен това, всеки път, когато бъде открит, продуктът използва Kaspersky Security Network (KSN) за достъп до базата данни за белия списък и услугата за репутация на сертификати, за да се увери, че не е чист файл.
Но освен технологиите и продуктите има и прословутият човешки фактор.
Вирусен анализатор, разработчик експертна система, специалистът по данни може да направи грешки на всеки етап, така че има място за различни блокиращи проверки, както и намеци / предупреждения / забрани в случай на опасни действия, открити от автоматичните системи.
Контрол при освобождаване на метода за откриване
Новите методи за откриване на кибер заплахи преминават през още няколко етапа на тестване, преди да бъдат доставени на потребителите.
Най-важната защитна бариера е инфраструктурна фалшиво положителна система за тестване, която работи с две колекции.
Първата колекция (критичен набор) се състои от файлове на популярни операционна система различни платформии локализации, актуализации на тези операционни системи, офис приложения, драйвери и собствени продукти. Този набор от файлове се актуализира редовно.
Втората колекция съдържа динамично генериран набор от файлове, съставен от най-популярните на този моментфайлове. Размерът на тази колекция е избран по такъв начин, че да се намери баланс между обема на сканираните файлове (в резултат броя на сървърите), времето на такова сканиране (и следователно времето, необходимо за доставка методите за откриване на потребителите) и максималната потенциална щета в случай на фалшиво положително.
И двете колекции вече са над 120 милиона файла (около 50 Tb данни). Като се има предвид, че те се сканират на всеки час с всяко издание на актуализации на базата данни, можем да кажем, че инфраструктурата проверява повече от 1,2 Pb данни за фалшиви положителни резултати на ден.
Преди повече от 10 години ние бяхме едни от първите в индустрията за информационна сигурност, които въведоха методи за откриване без подпис, базирани на поведенчески анализ, машинно обучение и други обещаващи обобщаващи технологии. Тези методи се оказаха ефективни, особено в борбата със сложни кибер заплахи, но изискват особено стриктно тестване за фалшиви положителни резултати.
Например, поведенческото откриване ви позволява да блокирате злонамерена програма, която е показала елементи на злонамерено поведение по време на работа. За да предотвратим фалшиви положителни резултати за поведението на чист файл, създадохме „ферма“ от компютри, които изпълняват различни потребителски сценарии.
„Фермата“ представя различни комбинации от операционни системи и популярен софтуер. Преди пускането на нови методи за откриване без подписи, те се тестват в динамика в тази „ферма“ в типични и специални сценарии.
И накрая, не може да не се спомене необходимостта от проверка за фалшиви положителни резултати за скенера за уеб съдържание. Неправилното блокиране на уебсайта може да доведе и до прекъсвания в работата от страна на клиента, което е недопустимо в нашата работа.
За да се сведат до минимум тези инциденти автоматизирани системиВсеки ден те изтеглят подходящо съдържание от 10 хиляди от най-популярните интернет сайтове и сканират съдържанието им с нашите технологии, за да проверят за фалшиви положителни резултати. За да се постигнат най-точните резултати, съдържанието се изтегля от реални браузъри на най-разпространените версии, а също така се използват прокси сървъри, за да се изключи предоставянето на геозависимо съдържание.
Контрол на освободените засичания
Методите за откриване, доставяни на потребителите, са под денонощно наблюдение на автоматични системи, които проследяват аномалии в поведението на тези детектори.
Факт е, че динамиката на детектор, който предизвиква фалшива аларма, често се различава от динамиката на детектора в действителност злонамерени файлове... Автоматизацията следи такива аномалии и, ако възникнат подозрения, моли анализатора да направи допълнителна проверкасъмнителен детектив. И в случай на уверени подозрения, автоматизацията автоматично изключва това откриване чрез KSN, като същевременно спешно информира анализаторите за това. Освен това три екипа от вирусни анализатори, дежурни в Сиатъл, Пекин и Москва, наблюдават ситуацията на смени денонощно и своевременно разрешават възникналите инциденти. В действие.
В допълнение към необичайните откривания, интелигентни автоматични системипроследяване на показателите за ефективност, модулни грешки и потенциални проблеми въз основа на диагностични данни, изпратени от потребителите чрез KSN. Това ни позволява да откриваме потенциални проблеми рано и да ги отстраняваме, преди тяхното въздействие да стане видимо за потребителите.
Ако се случи инцидент и той не може да бъде затворен чрез деактивиране на отделен метод за откриване, тогава се предприемат спешни мерки за коригиране на ситуацията, които ви позволяват бързо и ефективно да разрешите проблема. В този случай можем незабавно да „връщаме“ базите данни в стабилно състояние и това не изисква допълнително тестване. Честно казано, никога не сме използвали този метод на практика - нямаше причина. Само по време на упражнения.
Между другото, относно учението.
Превенцията е по-добра от лечението
Не всичко може да се предвиди и дори след като сте предвидили всичко, би било добре да знаете как всички тези мерки ще работят на практика. Не е нужно да чакате истински инцидент, за да направите това - можете да го симулирате.
Редовно провеждаме вътрешни тренировки за проверка на готовността на персонала и ефективността на методите за предотвратяване на фалшиви аларми. Учението се свежда до пълноценна симулация на различни „бойни“ сценарии, за да се провери дали всички системи и експерти работят по план. Ученията включват няколко отделения на техническия и сервизния отдел наведнъж, насрочени са за един уикенд и се провеждат по внимателно обмислен сценарий. След упражнението се анализира работата на всеки отдел, подобрява се документацията и се правят промени в системите и процесите.
Понякога по време на процеса на обучение могат да бъдат идентифицирани нови рискове, които преди са били пренебрегвани. Редовните мозъчни сесии позволяват по-систематично идентифициране на подобни рискове. потенциални проблемив областта на технологиите, процесите и продуктите. В крайна сметка технологиите, процесите и продуктите непрекъснато се развиват и всяка промяна носи нови рискове.
И накрая, за всички инциденти, рискове и проблеми, разкрити от ученията, системна работанад елиминирането на първопричините.
Излишно е да казвам, че всички системи, отговорни за контрола на качеството, се дублират и поддържат денонощно от екип от дежурни администратори. Неизправността на една връзка води до преход към излишно и своевременно коригиране на самата повреда.
Заключение
Невъзможно е напълно да се избегнат фалшиви аларми, но можете значително да намалите вероятността от тяхното възникване и да сведете до минимум последствията. Да, това изисква значителни инвестиции, технологична зрялост и ресурси от разработчика. Но тези усилия осигуряват плавна работапотребители и корпоративни клиенти. Подобно усилие е необходимо и е част от отговорностите на всеки доверен доставчик на киберсигурност.
Надеждността е нашето кредо. Вместо да разчитаме на една технология за сигурност, ние използваме многостепенна системасигурност. Защитата срещу фалшиви положителни резултати е подредена по подобен начин - тя също е многостепенна и многократно дублирана. Няма как иначе, защото говорим за висококачествена защита на инфраструктурата на клиентите.
В същото време успяваме да намерим и поддържаме оптимален баланс между най-високото ниво на защита срещу кибер заплахи и много ниско ниво на фалшиви положителни резултати. Това се доказва от резултатите от независими тестове: в края на 2016 г. Kaspersky Endpoint Security получи осем награди от немската тестова лаборатория AV-Test.org, включително „Най-добра защита“ и „Най-добра използваемост“.
В заключение бих искал да отбележа, че качеството не е еднократен постигнат резултат. Това е процес, който изисква постоянно наблюдение и усъвършенстване, особено в среда, където цената възможна грешка- нарушаване на бизнес процесите на клиента.
В идеална ситуация с домашни потребители и компании не трябва да се получават фалшиви положителни резултати. В дълъг 14-месечен тест немската антивирусна лаборатория AV-Test установи кои продукти са склонни да прекъсват активността на потребителите без причина и кои са надеждни по отношение на фалшивите положителни резултати.
Фалшиво положително или не?: AV-Test тества 33 антивирусни програми за период от 14 месеца.
Може вече да сте се сблъсквали със ситуация, при която на екрана изскача червено предупреждение и се възпроизвежда аларма. Тази реакция е причинена от копиран файл или стартиращо приложение... Но какво да направите, ако антивирусът класифицира браузъра Google Chromeили системен файл Windows като опасен хакер? В този случай потребителят е изправен пред фалшиво положителен резултат, който подвежда потребителя или системния администратор.
Откриване на безопасни и злонамерени обекти
Антивирусната програма трябва да обработва правилно безопасни и злонамерени файлове. За да провери това, лабораторията AV-Test за 14 месеца - от януари 2015 г. до февруари 2016 г., оцени как антивирусите решават този въпрос... Тествани са общо 19 продукта крайни потребителии 14 корпоративни решения.
Изследователите идентифицираха четири тестови елемента за теста за използваемост, които бяха формулирани от инженерите на лабораторията, както следва:
- фалшиви сигнали или блокиране при посещение на уебсайтове
- фалшиво откриване на легитимен софтуер като злонамерени заплахи по време на сканиране на системата
- фалшиви предупреждения при изпълнение определени действияпо време на инсталиране или използване на легитимен софтуер
- фалшиво блокиране на определени действия по време на инсталиране или използване на легитимен софтуер
Техника на тестване
Във всички тестови категории бяха оценени само безопасни уебсайтове, доверени файлове и безвредни известни приложения. В крайна сметка има много повече в дигиталния свят безопасни файловеотколкото заразените обекти. Ето защо всички решения работят с т. нар. "whitelisting" - бази данни, които съхраняват подписи и хеш стойности. Ако антивирусната програма не разпознае незабавно файла, тя изпраща заявка до облачен сървърза да видите дали файлът е регистриран. Ако няма информация за даден елемент в базата данни, той ще бъде маркиран като добър или лош.
За да получите наистина подходящи резултати от теста, трябва да имате голям бройзащитени данни. Лабораторията е спазила напълно всички изисквания на стандартите:
Бяха посетени 7000 сайта и бяха тествани 7,7 милиона файла за всеки продукт. Освен това бяха пуснати повторно 280 приложения, след което беше записано дали антивирусът ще покаже отново фалшиво предупреждение и ще блокира извадката.
Набор от 7,7 милиона файла съдържаше всички нови файлове на популярни програми за различни операционни системи Windows от Windows 7 до Windows 10 и офис апартаменти... Ако антивирусната програма фалшиво класифицира легитимен системен файл като злонамерен, тази ситуацияможе да бъде фатално. Ето защо най-новите версииот тях важни файловевинаги са включени в програмата за тестване.
Потребителски продукти: Някои антивирусни програми работеха перфектно
Тест за дългосрочна използваемост на потребителски продукти: Резюмето показва фалшиви аларми за отделни продукти - наистина не са толкова много.
Въпреки високите изисквания на теста и голямото количество обработени данни, някои приложения изобщо не дадоха фалшиви положителни резултати. Avira Antivirus Pro и Kaspersky Internet Security работеха безотказно.
Още 4 решения от Intel Security, Bitdefender, AVG и Microsoft показаха по-малко от 10 фалшиви положителни резултати. Въпреки това, дори продуктите в дъното на финалната маса бяха белязани с далеч от катастрофални резултати.
5 антивирусни програми наведнъжполучи максималните 6 точки във всички тестови сегменти за 14 месеца.
- „Фалшиво откриване на легитимен софтуер като злонамерени заплахи по време на сканиране на системата“ – най-лошият резултат беше показан от Ahnlab V3 интернет сигурност- 98 фалшиви положителни резултати с общо 7,7 милиона сканирани файла. Процент от 0,001% е напълно приемлив, но има място за подобрение.
- „Фалшиви предупреждения при извършване на определени действия по време на инсталиране или използване на легитимен софтуер“ - 11 от 19 продукта не генерират нито един фалшиво положителен резултат в този тест. 6 продукта показаха 1 до 3 фалшиви положителни резултати в 280 тестови случая. Само продуктът K7 Computing генерира общо 10 фалшиви аларми.
- „Фалшиво блокиране на определени действия по време на инсталиране или използване на легитимен софтуер“ - дори тук много от 19-те програми свършиха отлична работа. Докато 7 продукта изобщо не блокираха нищо, още 11 приложения бяха погрешно забранени от 1 до 6 безвредни действия. Comodo Internet Security Premium генерира 29 фалшиви положителни резултати.
Корпоративни продукти: само Kaspersky се справи безупречно
: Процентът на фалшиви положителни резултати е много нисък, което системните администратори ще оценят.
Като част от мащабното AV-Test тестване бяха оценени 14 корпоративни решения по отношение на използваемостта, а именно правилната обработка на безопасни обекти. В този тест две решения от Kaspersky Lab: Kaspersky Endpoint Security и Kaspersky Small Office Security се справиха без грешки. Те обаче взеха участие само в 6 от 7-те теста.
През целия период на тестване решенията на Sophos, Intel Securityи Bitdefender показаха общ процент на грешки под 10. Всички други продукти обаче също имаха нисък процент на фалшиви положителни резултати в сравнение с общите обработени данни.
Високо среден резултатв теста: показаха много продукти, тествани 6 или 7 пъти висока ефективности бяха близо до 6 точки.
Подробна информация за резултатите:
- „Фалшиви предупреждения или блокиране при посещение на уебсайтове“ не се появиха по време на изпитанието при посещение на 7000 ресурса.
- „Фалшиво откриване на легитимен софтуер като злонамерени заплахи по време на сканиране на системата“ – най-лошият резултат беше показан от F-Secure – 49 фалшиво положителни откривания с общо 7,7 милиона сканирани файла. Добър резултатвъпреки че Sophos погрешно идентифицира само два файла.
- „Фалшиви предупреждения при извършване на определени действия по време на инсталиране или използване на легитимен софтуер“ - 4 от 14 продукта показаха 1 до 2 фалшиви положителни резултати в 280 тестови случая. Този резултаттрябва да задоволи системните администратори.
- „Фалшиво блокиране на определени действия по време на инсталиране или използване на легитимен софтуер“ - резултатите са добри в тази категория. При 280 теста 8 продукта действаха безупречно, а още 6 решения дадоха от 1 до 5 фалшиви положителни резултати. За сравнение, най-лошият потребителски продукт е блокирал погрешно безопасни действия 29 пъти.
Корпоративните решения имат по-малко фалшиви положителни резултати
Ако комбинираме резултатите от тестовете на корпоративни и потребителски продукти, става ясно, че корпоративни решениягенерира по-малко фалшиви положителни резултати. Заслужава да се отбележи обаче, че производителите, предлагащи решения на крайни потребители и компании, са много ефективни и в двата случая. Това е вярно за Решения на Kaspersky, Bitdefender, Microsoft, Trend Micro, Symantec и F-Secure.
Като цяло всички продукти са получили високи оценки за качество по отношение на използваемостта. Докато лабораторията обикновено изважда няколко точки поради фалшиви положителни резултати, тази стъпкае строго казано критика на високо нивопроизводителност.
Някои разработчици ще бъдат сериозно объркани, когато видят точно кои програми са причинили фалшиви положителни резултати. Често блокираните приложения включват Notepad ++, Yahoo Messengerи WinRAR. Това далеч не са екзотични приложения, а стандартен популярен софтуер. Предвид ниското ниво на фалшиви положителни резултати, производителите трябва да работят върху откритите грешки възможно най-скоро.
Ежедневно изтегляне на нови тестови файлове
Вероятността от фалшиви положителни резултати за антивирус нараства заедно с броя на новите заплахи и подписи в базите данни на антивирусния софтуер. Понякога фалшивите аларми водят до повече тежки последициотколкото инфекция. Специалисти в мрежова сигурноствсе още не са намерили начин да премахнат напълно възможността за неадекватно поведение на програмите за сигурност.
Грешка при актуализиране антивирусни бази данни McAfee, който разби десетки хиляди компютри по света в четвъртък, е може би най-яркият пример за това колко лоша може да бъде една антивирусна програма, когато могат да бъдат фалшиви положителни резултати. Програмата обърка системния процес svchost.exe, който е ключов за работата на Windows XP, за червей, в резултат на което десетки хиляди компютри в университети, училища, полицейски управления и компании в САЩ, където McAfee беше инсталиран софтуер за сигурност, претърпя продължително циклично рестартиране.
McAfee печели рекорд за фалшиви аларми: тест от независима организация av-comparatives.org през февруари, McAfee Антивирус плюс 2010 г. се задейства фалшиво 61 пъти. В резултат на това антивирусът зае 12-о място в класацията. Други известни доставчици на софтуер за сигурност също имат опит фалшиви алармино много по-рядко: Symantec Norton Anti-Virus 2010 има 11 положителни резултати; в Антивирус на Касперски 2010 г. - пет; Eset NOD32 Antivirus 4.0 има две; в безплатен Microsoft Основи на сигурността-- три.
Но опасността от фалшиви положителни резултати е силно зависима от конкретната ситуация. Най-често фалшивите аларми не причиняват много вреда на компютъра: достъпът до някои чисти файлове е блокиран, работата на машината е донякъде забавена и възпрепятствана. За един потребител това са незначителни и лесно поправими проблеми. Но за големите компании фалшивите аларми, водещи до масивни смущения в компютъра, корпоративни мрежии сайтове - това е значителна временна, парична и репутационна загуба.
V различно времефалшиви положителни резултати бяха докладвани от почти всички водещи доставчици на антивирусен софтуер.
Миналия август, Kaspersky Anti-Virus забраненонеговите потребители да работят с уебсайта на банката HSBC, като ги информират, че интернет ресурсът е заразен с троянски конец HTLM-Agent-CE. Всъщност сайтът не представляваше никаква заплаха, но потребителите известно време не можеха да използват услугите за интернет банкиране. Грешката беше открита от специалистите на Kaspersky Lab в същия ден, когато се разбра за фалшивия положителен резултат, но щетите върху репутацията на банката вече бяха нанесени.
По-рано, през ноември 2008 г., популярният AVG антивируспогрешно приети Adobe Flash файлове и също е от решаващо значение за работа Windows системафайла user32.dll за злонамерен софтуер. През октомври същата година същата антивирусна програма откри популярната защитна стена на CheckPoint. Аларма за зонакак троянски кон... Като компенсация за причиненото неудобство, AVG трябваше да се разплати: засегнатите потребители получиха безплатен лиценз AVG догодина.
В средата на март 2006 г., след като актуализира антивирусните бази данни на своите клиенти, Symantec блокира целия входящ трафик от един от най-големите американски интернет доставчици, AOL, за около седем часа. Антивирусните програми на Symantec сбъркаха обхвата от адреси на интернет доставчика като източници на атака и блокираха трафика от тях.
Седмица преди това събитие McAfee реагира фалшиво на програмите на Macromedia известно време. Flash Playerи Microsoft Excel.
И това са само някои от антивирусните грешки, които имат обратен ефект върху антивирусните компании и техните клиенти.
Делът на фалшивите аларми в общия обем компютърни заплахималки - няколко процента. Броят им обаче расте заедно с броя на реалните заплахи. Антивирусните компании се опитват да избягват подобни инциденти, но поради естеството на борбата със зловреден софтуер това не винаги е възможно.
„По правило актуализациите на всеки антивирусен продукт се извършват няколко пъти на ден“, обясни сайтът на представител на една от антивирусните компании, който не пожела да бъде назован. - Това се дължи на добавянето на нови записи към базите данни въз основа на откриването на нови злонамерени програми (или вече нови модификации известни вируси). Случва се актуализациите да се случват няколко пъти на час. Понякога се появяват сривове. По-специално, когато чист файл се сбърка със заразен. Но по-често - когато записът за откриване на инфекция се извършва по такъв начин, че да хване и чист файл. Всяка актуализация се тества преди пускане от съответната група, нейната работа се проверява щателно. Но понякога има неуспехи."
„В случая с McAfee, фалшиво положително включване системен компонент Svchost.exe се причинява от факта, че много зловреден софтуер го използват, за да скрият дейността си в адресното пространство на това системен процес- каза ръководителят на сайта на Центъра за изследване и анализ на вируси към ESET Александър Матросов. „И червеят Wecorl, който решенията на McAfee видяха след фаталната актуализация, не е изключение.“
Според експерта в повечето случаи фалшивите аларми са свързани с пропуски в технологиите за тестване на сигнатурните бази преди тяхното пускане, както и с грешки в алгоритмите за евристично откриване. Поради тези недостатъци е почти невъзможно да се изключи възможността за възникване на подобни заплахи.
„Няма стопроцентов начин да се отървете от фалшивите положителни резултати, тъй като самите методи за тестване на софтуера се основават на емпирични оценки и имат вероятностен характер“, каза Александър Матросов. - Антивирусният софтуер открива зловреден файл въз основа на някои части от злонамерен софтуер. Например, подписът може да включва някои уникални характеристики на зловреден файл, докато евристични алгоритми включват свойства за цели семейства злонамерени програми. Следователно няма 100% гаранция, че тези характеристики няма да бъдат открити в законно изпълним файл."
Производителите на софтуер предлагат огромен избор антивирусен софтуер... Антивирусите стават все по-сложни, разработчиците измислят все повече технологии за откриване на "нежелан софтуер". В резултат на това често възниква обратният проблем – фалшиви положителни резултати, който се появява периодично и засяга всички производители на софтуер. Никой антивирусен разработчик не може да се похвали, че техният продукт никога не е давал фалшиви положителни резултати. Антивирусните компании се опитват да осигурят решение на подобни грешки възможно най-скоро, но въпреки това някои потребители успяват да страдат от всеки такъв пропуск.
Коментарът е предоставен от техническия ръководител на проекта Zillya! Олег Сич:
« Фалшиви положителни резултатиантивирусният софтуер е голям главоболиена всички антивирусни компании. Често антивирусът премахва някои полезен файлсистемата или софтуерът, използван за потребителя, е по-лош от факта, че антивирусът ще пропусне някакъв троянски кон. За да сведем до минимум случаите на фалшиви положителни резултати от нашите антивирусни продукти, ние непрекъснато увеличаваме капацитета на тестовия център антивирусна лаборатория, в който всички вирусни записи се тестват, преди да бъдат включени в актуализацията на антивирусната база данни."
Фалшивата работа на антивирусна програма е погрешно откриване на чисти файлове като злонамерени. Такава грешка възниква, когато файл съдържа секции от код или работи според алгоритъм, типичен за злонамерена програма. С други думи, част от кода, съдържащ се в чист файл, е подобен на кода във вирус. Евристичен анализне винаги може да разпознае вирусния код поради неговото криптиране. В този случай стартирането на поведенчески анализ може да бъде ефективно.
Също така, фалшиво положително може да възникне, когато програма извършва действия, които антивирусният поведенчески анализатор разглежда като действия, характерни за вируса. Въпреки криптирането на вируса, неговите действия ще бъдат анализирани и, ако изглеждат като вирусна активност, дейността на програмата ще бъде блокирана.
Ако антивирусната програма счита файл на рядко използвана или некритична програма за вирус, тогава нейните действия няма да представляват голям проблем- програмата може да бъде възстановена, самата система ще продължи да работи. Въпреки това, когато става въпрос за фалшиви положителни резултати на системни файлове, потребителят може да се сблъска с много по-сериозен проблем, до и включително необходимостта от преинсталиране на системата.
Антивирусна програма, която погрешно е изтрила файл, не е много добре популярна програмакойто присъства на десет компютъра, няма да причини толкова проблеми, колкото при изтриване на системния файл от десетки милиони компютри.
Актуалността на проблема с фалшивите положителни резултати се потвърждава от наличието на тестове за такива грешки, които се извършват от световните лаборатории за компютърна сигурност. Едно такова проучване наскоро беше проведено от китаец тестова лабораторияЛаборатории за компютърна сигурност. Основната дейност на организацията е да провежда редовно тестване на софтуера, който предоставя компютърна сигурности разработването на стандарти за провеждане на такива тестове. Последната работаТази частна, независима изследователска организация тества 33 популярни антивирусни програми за фалшиви положителни резултати. Тестването беше проведено в две посоки на антивирусна работа: статични аларми за чисти файлове и фалшиви аларми за проактивна защита. Важно е резултатите от този тест да не демонстрират качеството на откриване на злонамерени файлове, а само да показват нивото на фалшиви положителни резултати на тестваните антивируси.
Тестът включваше най-новите версии на антивирусни програми с най-много последни актуализацииантивирусни бази данни.
Тестването се състоеше в анализиране на база данни с чисти файлове, както и проверка на блокирането на инсталационния процес и стартиране на най-често използваните програми. Интересни резултатипоказа анализа на програми, чието стартиране и използване най-често води до фалшиви положителни резултати на антивируси. Според доклада 26,32% от фалшивите положителни резултати се дължат на софтуер за работа с него ценни книжа... детективи игрови програмипредставляват 21,05% от фалшивите положителни резултати. 13,16% от фалшивите положителни резултати се издават за програми за достъп до Интернет и медийни програми. Специализираните индустриални и банкови програми поеха по 10,53% от антивирусните грешки, а останалите 5,26% идваха от софтуер за компютърна сигурност.
Резултатите от изследователската лаборатория PC Security Labs са представени под формата на редица награди с разделяне в категории: пет, четири и три звезди. Също така е публикуван списък с продукти, които не са получили никакви награди, защото са имали твърде много фалшиви положителни резултати.
Най-високата стойност е наградата пет звезди, получена от антивирусни продуктис две или по-малко фалшиви положителни резултати. Те са продукти на компаниите BitDefender, MicroWorld, F-Secure, Jiangmin, KingSoftи Microsoft... Получаването на награда с четири звезди означаваше, че продуктът дава три или четири фалшиви положителни резултати. Тази награда беше получена от антивирусни решенияразработчици: NETGATE, Qihoo, Risingи Trend Micro... Стъпката с три звезди беше споделена от антивирусите на разработчиците AVG, Dr.Web, ESET, G DATA, Panda, TrustPort, Zillya!и ArcaBitте показаха пет или шест фалшиви положителни резултати.
Също така е необходимо да се предостави списък софтуерни продуктикоито са участвали в тестването, но не са получили награди въз основа на резултатите - не са издържали теста. Списъкът включва фирми AVAST, Kaspersky, Filseclab, IKARUS, QuickHeal, SOPHOS, Symantec, Antiy, Emsisoft, McAfee, Sunbelt, VBA32, COMODO, Aviraи Коранти... Данни, получени от резултатите този тестще се използва от PC Security Labs в бъдещи тестове на софтуер, популярен в региона на Китай.
