web-dev-qa-db-fra.com

Les antivirus ou antimalware basés sur la signature sont-ils efficaces?

Les solutions antivirus ou antimalware basées sur la signature sont-elles efficaces? La bataille a-t-elle été perdue contre la quantité toujours croissante de logiciels malveillants, en particulier les rootkits, qui sont à l'état sauvage?

antivirusantimalware
21
Sim

Je soutiendrais cet antivirus/ani-malware et d'autres Liste noire Systèmes de sécurité basés sur des systèmes de sécurité suivants:

  1. Ils ne peuvent pas protéger contre de nouvelles menaces (+++) comme des vulnérabilités zéro jour
  2. Ils fournissent un fichier faux sens de sécurité
  3. Leurs fichiers de signature sont non liés en taille et continuez de croître
  4. En raison de 3. Ils deviennent de plus en plus de taxe sur les ressources (mémoire, cpu, etc.) au fil du temps

En revanche, liste blanche Systèmes de sécurité basés sur ce qui permet de savoir ce qui est connu, de routine et de sécurité, tout en refusant (avec une option pour demander à la Utilisateur, que ce soit à l'emploi) tout le reste est beaucoup plus durable, efficace, efficace et en réalité.

Ce n'est pas seulement mon opinion, c'est un principe selon lequel de nombreux experts en matière de sécurité d'éminents sont d'accord. Voir par exemple: Cet article câblé

[Mise à jour: 2014-07-29]

Mais cela empire: imaginez une application monolithique importante et complexe qui circule sur votre ordinateur avec les privilèges les plus élevés. Il intercepte de nombreux appels de système et change parfois de sa sémantique, installe des pilotes de noyau sur des mises à jour, utilise un filtre de paquets qui renifle tout en arrivant et essaie efficacement de contrôler tout ce que votre ordinateur peut ou ne peut pas faire. Ce que je viens de décrire est l'essence du logiciel AV. C'est exactement ce que la plupart d'entre eux font. Le résultat est que le logiciel AV typique augmente considérablement votre surface de vulnérabilité d'attaque. En fait, les logiciels malveillants modernes recherchent souvent des vulnérabilités de logiciel AV à exploiter (voir cette référence par exemple ). C'est la raison pour laquelle de nombreux experts de sécurité envisagent des programmes d'Av d'être les plus gros virus jamais inventés.

Ce que je voudrais utiliser personnellement à la place?

Une combinaison de protections basées sur la liste blanche, dans de nombreuses couches. Quand on échoue, les autres peuvent réussir:

  1. Pare-feu permettant seulement ce qui est connu et conçu pour être autorisé
  2. Scanners de journaux, fil de déclenchement, signature de fichier (détection d'intrusion, basé sur des anomalies)
  3. Sand-Boxes, VMS autour d'un logiciel plus vulnérable comme des navigateurs
  4. Un système d'exploitation durci qui protège contre l'exécution des données, prend en charge le chargement de l'adresse aléatoire, le temps d'exécution vérifie comme la vérification du paramètre d'appel système, etc.
  5. Connexions sécurisées et cryptées comme celles fournies par SSH
  6. Un environnement permettant de regarder le code source du logiciel installé et de créer à partir de cette source ou d'au moins des paquets de téléchargement à partir d'un petit nombre de Républe Sources par opposition à un grand nombre de sites aléatoires.
  7. Des mots de passe forts ou des meilleures passagrases longues, un bon gestionnaire de mots de passe, une authentification à deux facteurs

Il n'y a pas de balle d'argent. La sécurité est une zone complexe touchée par de nombreux facteurs. On peut utiliser les principes ci-dessus (et plus) pour augmenter la sécurité, mais on ne peut jamais être sûr qu'il est sécurisé à 100% étant donné la complexité du matériel, des logiciels et du nombre élevé de vecteurs d'infection potentiels.

7
arielf

Un système de détection basé sur la signature ne peut pas être la solution seulement, mais elle peut être partie de la solution. En effet, vous constaterez que beaucoup de produits AV qui ont une détection comportementale et une détection heuristique utilisent également une détection de signature. C'est simple, c'est rapide, les chances pour de faux positifs sont très faibles. Mais les chances pour faux négatifs sont élevées et vous échouez certainement contre de nouvelles attaques.

21
user185

S'il vous plaît regarder ces vidéos à SecurityTube

ce qui démontre tous les deux à quel point il est facile d'éviter la détection antivirus. L'antivirus basé sur la signature doit vivre, mais s'ils veulent gagner sa vie, cela ne suffira pas en vous limitant à la détection basée sur la signature.

Vous avez des outils automatisés pouvant utiliser pour dissimuler vos logiciels malveillants qui ne sont pas soumis à une distribution de logiciels malveillants que l'antivirus ne ramassera pas.

Vous avez également les défis de Code polymorphe qui permet de vérifier la signature encore plus difficile. La bataille n'est nullement perdue, mais elle est significativement plus difficile à bloquer par la signature aujourd'hui que c'était il y a 10 ans.

10
Chris Dale

Il a été perdu quand quelqu'un comme votre mère pourrait perdre son identité et ses cartes de paiement à la fraude.

Je dirais que, non, l'anti-virus et les anti-logiciels malveillants ont été très inefficaces depuis le débordement de la mémoire tampon Windows en 1999. En 2010, ils ajoutent de carburant au feu et rendent des systèmes plus sûrs, et pas seulement parce qu'ils fournissent une fausse sentiment de sécurité. Ils sont activement attaqués eux-mêmes et utilisés comme rootkits ou points d'entrée.

6
atdre

Vous pouvez faire une inverse, i. e. avoir des checksums pour des exécutables valides, sinon les signatures sont un peu hors de lieu.

4
zeroknowledge

Cela dépend de ce que vous entendez en vigueur. Cette méthode ne ferait que remarquer que des virus connus. Mais si un virus est connu, il est également certain de quel type de vulnérabilité il exploite. Dans le passé, ces vulnérabilités étaient déjà déjà fixées lorsque le virus s'étendait ou était fixé directement après sa connaissance.

Donc, si le système est mis à jour régulièrement, un scanner de virus n'aurait pas beaucoup d'avantages. À l'inconvénient, le scanner du virus ralentit l'ordinateur et agace souvent les gens.

Je conseille souvent aux utilisateurs de la maison de non Installez tout logiciel anti-virus. Au lieu de cela, ils devraient considérer certaines astuces générales (mises à jour régulières, principe du moindre privilège, etc.). Chaque moitié d'un an ou donc je vérifie ces systèmes avec un CD anti-virus. Pendant 10 ans, aucun de ces systèmes n'a été affecté par un virus.

Je ne considère pas la bataille à perdre. Si l'utilisateur paie une attention particulière à la sécurité de son ordinateur, il pourrait rester en sécurité.

4
qbi

AV est un contrôle de liste noire qui tente d'énumérer ce qui est mauvais et de le bloquer, permettant tout le reste par défaut. Ce type de contrôle est très pratique mais pas très efficace et, dans le cas d'AV, c'est plus ou moins une admission de défaite.

D'un point de vue de sécurité, il est généralement préférable d'énumérer ce qui est autorisé et nier tout le reste par défaut. Bien sûr, cela est beaucoup moins pratique mais aussi beaucoup plus efficace.

Je préférerais de loin voir des systèmes qui ne fonctionnent en permettant uniquement à la poignée de programmes que j'ai explicitement installés et permisés à courir, que d'arrêter les bazillions de programmes, je ne veux pas courir. Je pense que la tendance actuelle aux "magasins d'applications" est quelque peu utile à cet égard.

3
frankodwyer

Je pense que vous devez évaluer votre situation pour faire cette détermination. Les programmes AV sur la liste noire, il est en mesure de détecter des millions de types de logiciels malveillants différents. Si vous êtes vulnérable à ce logiciel malveillant et que vous voyez beaucoup de logiciels malveillants, je pense que vous seriez difficile de dire que cela n'est pas efficace.

Cependant, ce n'est qu'un morceau de défense de la sécurité. La liste noire est la plupart du temps réactive (certaines correspondances génériques, mais plus de faux positifs). Lorsque les mises à jour sont publiées, par définition, elles sont déjà anciennes. Tout nouveau malware ne sera pas dans la liste.

Un tas de grands vendeurs AV fait une sorte de détection et de mises à jour en temps réel via "le nuage", mais cela raccourcit simplement le temps entre les mises à jour.

2
Bradley Kreider