Virusscanners: Heuristische scanning vs. signatures *update*
Virusscanners kunnen op verschillende manieren een systeem tegen virussen, wormen en andere malware beschermen. Het gebruik van signatures, waarmee de virusscanner een bepaalde worm of virus kan herkennen, was jarenlang het meest gebruikt. Er verschijnen echter steeds meer virussen voordat er een update beschikbaar is, waardoor het systeem al die tijd kwetsbaar is. Een andere methode is het gebruik van heuristische scanning, waarbij de scanner naar bepaalde eigenschappen en kenmerken van malware kijkt en ingrijpt als het iets verdacht ziet.
Anti-virusaanbieder NOD32 kwam deze week met een persbericht waarin het liet weten dat een proactieve, heuristische oplossing belangrijk is om ICT-systemen tegen virussen en andere kwaardaardige code te beschermen. De uitspraak werd onderbouwd met testresultaten van AV-comparatives waarin AV-programma's 3 maanden lang niet geupdate zijn. Daarna werd er met een breed scala van reeds bestaande en nieuwe virussen, zoals: Backdoors, Trojans en andere malware getest. De test vergeleek op deze wijze de proactieve capaciteiten van de diverse producten, waar NOD32 als beste uit de bus kwam.
Andere virusscanners scoorden aanmerkelijk minder: Symantec 37%, Kaspersky 35%, McAfee 14%, Trend Micro 12%. Waaruit zou blijken dat deze producten afhankelijk zijn van haar updates.
Dit dekt echter, volgens Luc Eeckelaert, Business Unit Manager van Trend Micro, slechts een deel van de lading en geeft bovendien een 'vals' gevoel van veiligheid. De ervaring leert dat bedrijven die vertrouwen op de heuristische methode, er sterk op rekenen dat virussen geblokkeerd worden via deze functionaliteit. Zij worden vervolgens vaak te laat voorzien van pattern files. Het tijdig leveren van pattern files (= timely updates) is van onschatbare waarde. De recente Zotob aanval was hier duidelijk het bewijs van. Heuristische engines hebben deze bedreiging niet kunnen onderscheppen.
Update 22/8/05: Reactie van NOD32
Preventief scannen > beveiliging voorafgaand aan een update
De reden dat wormen zoals Sober en Zotob kans zien schade aan te richten is omdat de conventionele Antivirus programma's je alleen beschermen door middel van updates, zoals ook Trend Micro. Het risico van de besmetting is tegenwoordig namelijk het grootst in de tijd tussen de uitbraak en de update. In deze tijd zijn de systemen niet beschermd; ze hebben immers nog geen update ontvangen. Daarom in het belangrijk dat de bescherming proactief is. Om er zeker van te zijn dat gebruikers inderdaad een programma hebben dat in staat is preventief te scannen, heeft het onafhankelijke testinstituut AV-comparatives (www.av-comparatives.org) in Oostenrijk onderzocht welk programma deze bescherming biedt. Dit instituut is op geen enkele wijze verbonden met NOD32. Omdat de resultaten uitwijzen dat NOD32 op basis van heuristische detectie de beste preventieve beveiliging biedt, hebben wij deze test gecommuniceerd. Het betreft namelijk de nieuwe manier van virusbestrijding: preventief scannen in plaats van beveiliging uitsluitend via updates, dat te veel risico's met zich meebrengt.
Hoe kan een AV preventief scannen > heuristische detectie
De reden dat NOD32 de hoogste score in deze test heeft, komt omdat het gebruikt maakt van geavanceerde heuristische detectie. Daardoor is NOD32 in staat het gedrag te scannen i.p.v. alleen te scannen op code. Het is te vergelijken met het afweersysteem: lichaamsvreemde stoffen worden direct verwijderd. Terwijl een beveiligingssysteem alleen gebaseerd op updates te vergelijken is met een vaccin dat ontwikkeld wordt als het virus is uitgebroken en zich al heeft kunnen verspreiden. Het risico, veroorzaakt door het moeten wachten op dit vaccin (de update met de specifieke signature) is zo groot, dat AV-comparatives een onderzoek heeft ingesteld om te kijken welk programma dit risico afdekt. Om deze reden heeft AV-Comparatives in haar test dus juist gekeken naar de heuristische detectie: dat was de kern van de test (hoe presteer je zonder upates). De test zegt dus minder over de algemene scanprestaties (en updates etc.) maar juist alles over die preventieve werking.
Updates én heuristische detectie
De beste bescherming wordt verkregen door de twee manieren te combineren: geavanceerde heuristische detectie en updates. Vanwege de combinatie met geavanceerde heuristische detectie, is het risico dat de bescherming achter de feiten aanloopt vele malen kleiner. Ook als gebruikers niet correct omgaan met updates, terwijl er geregeld updates verstrekt worden door de fabrikant, zijn de systemen toch beschermd.
Kaspersky 35%, McAfee 14%, Trend Micro 12%. Waaruit zou blijken dat
deze producten afhankelijk zijn van haar updates."
Ik weet niet hoe ze aan die waardes komen maar er klopt in ieders geval
helemaal niets van !!! Kijk nog maar eens goed naar de laatste
Retrospective/ProActive Test
http://www.av-comparatives.org/seiten/ergebnisse_2004_11.php
de bestaande virusscanners regelmatig en veelvuldig worden bijgewerkt
met de nieuwste virusdefinities. De bovengenoemde webpagina
benadrukt dit ook terecht. De afvangpercentages stijgen dan in alle
gevallen nabij de 100%.
percentages.
http://www.av-comparatives.org/seiten/ergebnisse_2005_05.php
Micro, slechts een deel van de lading en geeft bovendien een 'vals' gevoel
van veiligheid. De ervaring leert dat bedrijven die vertrouwen op de
heuristische methode, er sterk op rekenen dat virussen geblokkeerd
worden via deze functionaliteit. Zij worden vervolgens vaak te laat voorzien
van pattern files. Het tijdig leveren van pattern files (= timely updates) is van
onschatbare waarde. De recente Zotob aanval was hier duidelijk het
bewijs van. Heuristische engines hebben deze bedreiging niet kunnen
onderscheppen. "
Ah, een PR foutje van Trend. In tegenstelling tot Trend detecteerde NOD32
alle Zotob's tot variant e pro-actief. Niet dat dat nu van speciaal belang is,
want iedere deskundige weet dat je wormen die gebruiken maken van
dergelijke exploits niet met anti-virus voorkomt, maar met patchen of
desnoods met firewalls.
Overigens, alle uitlatingen van Eset dienen met een vergrootglas te
worden bekeken, want ze geven regelmatig informatie op een heel
speciale manier. Waar dat een eufemisme voor is mag je zelf invullen. ;-)
Als je test met een overdaad aan trojans en bepaalde typen wormen, mag
je verwachten dat er de resultaten niet representatief meer zijn. Eset hoeft
zich alleen maar de concentreren op de grote families om een
forse "detectie "winst" te boeken. Dat doet denken aan de werkwijze van de
videokaart fabrikanten die
Het ware beter geweest als virussen/wormen itw en de meest
voorkomende trojans voor de test zouden zijn geselecteerd. Dat geeft een
betrouwbaarder beeld - en waarschijnlijk significant lagere score.
functionaliteit van AV software wordt beperkt, door het host
bestand te veranderen en te laten verwijzen naar de
loopback. Echter dit gebeurd veelal na infectie.
Antigen werkt dat goed. Sophos voor de snelle updates and
Norman voor de heuristics.
Over die combinatie ben ik zelf erg tevreden.
klopt had de verkeerde link gegeven maar als nog klopt er niets van die
percentages.
http://www.av-comparatives.org/seiten/ergebnisse_2005_05.php
belangrijker)
update functie.
Dan zou deze virus scanner mij bestempelen als trojan omdat ik een
socket naar de master server open, en zo kan ik nog 100den voorbeelden
bedenken.
Meer detectie is ook meer valse positieven.
Ik vind het een slecht idee, veel bangmakerij en valse gevoelens.
Ja maar stel je nou voor dat ik een applicatie heb gemaakt met een live-
update functie.
Dan zou deze virus scanner mij bestempelen als trojan omdat ik een
socket naar de master server open, en zo kan ik nog 100den voorbeelden
bedenken.
Meer detectie is ook meer valse positieven.
Ik vind het een slecht idee, veel bangmakerij en valse gevoelens.
Het is zeker waar dat een combinatie van updates en heuristic scanning
het beste is.
Met over heuristic scanning de aantekening dat dit alleen werkt op basis
van gedrag dat al van virussen/trojans bekend was, en (zie opmerking
boven) regelmatig valse meldingen geeft. Anderzijds heeft het ook een
paar keer een virus/trojan onderkend waar nog geen update voor was.
Mijn mening: gebruik heuristic scanning maar vertrouw er niet volledig op.
En wat betreft updates: pas dat alleen toe als de leverancier van je AV-
pakket minimaal 1 x per dag nieuwe updates verstrekt, en een wereldwijde
en grote groep gebruikers achter zich heeft staan die voortdurend zoeken
naar nieuwe virussen.
Kortom, neem een AV-pakket van een gerenommeerd bedrijf. Eentje die z'n
updates voor elkaar heeft én heuristic scanning biedt (en gebruiker:
aktiveer dat dan ook !).
doet er niets aan. Ik ben nu bijvoorbeeld al 2 dagen aan het worstelen met
een trojaan die zich iedere keer als ik em delete weer aanmaakt. Ook de
startup entry in het register verwijderen helpt niet.
Wat voor virusprogramma raden jullie mij aan te kopen die wel
of virussen kan verwijderen of goeie oplossingen geeft voor virussen ?
Bijvoorbaat hartelijke dank
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
