Nieuws

'Anti-virus geldverspilling voor bedrijven'

dinsdag 27 november 2012, 13:47 door Redactie, 13 reacties

Virusscanners zijn nu zo slecht in het detecteren van nieuwe malware, dat bedrijven hun geld verspillen als ze anti-virusoplossingen aanschaffen, zo beweert beveiligingsbedrijf Imperva. Het bedrijf testte 82 nieuwe malware-exemplaren op de website van VirusTotal, dat zo'n 40 verschillende virusscanners gebruikt. Geen enkele van de gebruikte anti-virus engines wist de malware in eerste instantie te detecteren.

De test werd over een periode van een aantal weken herhaald, om te zien of de detectie zou verbeteren. Zelfs de beste producten hadden tenminste drie weken nodig om een onbekend malware-exemplaar aan de database toe te voegen. Als er toch een product moet worden aanbevolen, dan stellen de onderzoekers dat de gratis virusscanners van Avast en Emsisoft het "meest optimaal" zijn.

Advies
Volgens Imperva schaffen bedrijven nog steeds commerciele anti-viruspakketten aan, omdat dit vanuit compliance-regels vereist is. De beveiliger vindt dat deze bepaling moet worden aangepast, zodat ze ook gratis producten kunnen aanschaffen en het bespaarde geld aan andere beveiligingsmaatregelen kunnen uitgeven.

"We adviseren niet om virusscanners te elimineren, maar raden aan om de uitgaven meer in balans te brengen met de huidige dreigingen", aldus het rapport. Uit cijfers zou blijken dat bedrijven een derde van hun beveiligingsbudget aan virusscanners uitgeven.

Schijnveiligheid
"Enterprise security heeft met de anti-virusoplossingen een denkbeeldige lijn getrokken, maar de werkelijkheid is dat elk nieuw gemaakt virus deze oplossingen zonder enige moeite kan omzeilen", aldus CTO Amichai Shulman tegenover IDG.

"We kunnen niet miljarden blijven investeren in anti-virusoplossingen die de illusie van veiligheid bieden, zeker als er gratis oplossingen zijn die de betaalde oplossingen verslaan."

Minister: eigen risico internetbankieren 150 euro

Hacker steelt 1,9 miljoen sofinummers via phishingmail

Reacties (13)

27-11-2012, 13:58 door Anoniem

Grappig dat er voor bedrijven de gratis AVAST wordt aangeraden.
Volgens de voorwaarden is deze namelijk enkel bedoeld voor particulieren en dus NIET voor bedrijven :)

27-11-2012, 14:26 door Righard J. Zwienenberg

Arrgghhh... Niet weer...

VirusTotal Total niet geschikt voor het testen van AntiVirus.Het betreft hier alleen de on demand resultaten. Zelfs als
een nieuwe dreiging niet door de on demand scanner gevonden wordt, kan het wel worden tegengehouden door een ander
component uit de security suites. Daar "test" Virus Total niet op.

Ook worden op VirusTotal alle on demand produkten gebruikt met door de vendors geadviseerde settings (oa voor sommige produkten supergevoelige settings, hoge kans op FP's), dus ook nog eens appels met peren vergelijken. Het zegt niets of een produkt dat in VirusTotal iets detecteert dat in een real-life scenario dat wel doet.

Lees eens: http://go.eset.com/us/resources/white-papers/cfet2011_multiscanning_paper.pdf
Man, Myth, Malware and Multi-Scanning, door David Harley, ESET en Julio Canto, VirusTotal/Hispasec Sistemas

“VirusTotal was not designed as a tool to perform AV comparative analyses, but to check suspicious samples with multiple engines, and to help AV labs by forwarding them the malware they failed to detect."

"How not to use VT: VirusTotal uses a group of very heterogeneous engines. AV products may implement roughly equivalent functionality in enormously different ways, and VT doesn’t exercise all the layers of functionality that may be present in a modern security product. VirusTotal uses command-line versions: that also affects execution context, which may mean that a product fails to detect something it would detect in a more realistic context. It uses the parameters that AV vendors indicate: if you think of this as a (pseudo)test, then consider that you’re testing vendor philosophy in terms of default configurations, not objective performance. Some products are targeted for the gateway: gateway products are likely to be configured according to very different presumptions to those that govern desktop product configuration."

"Conclusion
VirusTotal is self-described as a TOOL, not a SOLUTION: it’s a highly collaborative enterprise, allowing the industry and users to help each other. As with any other tool (especially other public multi-scanner sites), it’s better suited to some contexts than others. It can be used for useful research or can be misused for purposes for which it was never intended, and the reader must have a minimum of knowledge and understanding to interpret the results correctly. With tools that are less impartial in origin, and/or less comprehensively documented, the risk of misunderstanding and misuse is even greater."

27-11-2012, 14:30 door Anoniem

Quote van de virustotal site:

BAD IDEA: VirusTotal for antivirus/URL scanner testing

At VirusTotal we are tired of repeating that the service was not designed as a tool to perform antivirus comparative analyses, but as a tool that checks suspicious samples with several antivirus solutions and helps antivirus labs by forwarding them the malware they fail to detect. Those who use VirusTotal to perform antivirus comparative analyses should know that they are making many implicit errors in their methodology, the most obvious being:

VirusTotal's antivirus engines are commandline versions, so depending on the product, they will not behave exactly the same as the desktop versions: for instance, desktop solutions may use techniques based on behavioural analysis and count with personal firewalls that may decrease entry points and mitigate propagation, etc.
In VirusTotal desktop-oriented solutions coexist with perimeter-oriented solutions; heuristics in this latter group may be more aggressive and paranoid, since the impact of false positives is less visible in the perimeter. It is simply not fair to compare both groups.

Some of the solutions included in VirusTotal are parametrized (in coherence with the developer company's desire) with a different heuristic/agressiveness level than the official end-user default configuration.

These are just three examples illustrating why using VirusTotal for antivirus testing is a bad idea. The Prevx team also made an entry in their blog discussing the matter.

http://www.prevx.com/blog/106/Why-using-VirusTotal-for-AV-testing-is-a-bad-idea.html

27-11-2012, 14:52 door Anoniem

Kortom nieuwswaarde van dit bericht is dus beperkt tot het feit dat het beveiligingsbedrijf Imperva het niet helemaal begrepen heeft.

27-11-2012, 15:17 door AceHighness

ik draai al jaren geen AV meer.

27-11-2012, 15:22 door Anoniem

Mja, gratis is leuk maar op het moment dat er een virusuitbraak is dan wil je dat centraal wel kunnen zien.
Het lijkt me dat de gratis scanners deze functionaliteit niet hebben.

27-11-2012, 15:34 door Whacko

Ondanks het feit, dat VT niet de juiste tool is om je onderzoek op te baseren. Denk ik wel dat ze een punt hebben. Je kunt je nooit beschermen tegen 0-day exploits of virussen. Dus waarom dan niet voor een goedkoper pakket gaan wat dezelfde update-cycle heeft als een duur product?

27-11-2012, 16:49 door WesleySmalls

Door Whacko: Ondanks het feit, dat VT niet de juiste tool is om je onderzoek op te baseren. Denk ik wel dat ze een punt hebben. Je kunt je nooit beschermen tegen 0-day exploits of virussen. Dus waarom dan niet voor een goedkoper pakket gaan wat dezelfde update-cycle heeft als een duur product?

Omdat een bepaald pakket waarschijnlijk een bepaalde support bied wat een gratis anti-virus niet bied

27-11-2012, 17:03 door Anoniem

"Omdat een bepaald pakket waarschijnlijk een bepaalde support bied wat een gratis anti-virus niet bied"

Wie hier heeft er ooit wel eens gedegen support gekregen van een betaalde virusscanner?
Heb je iemand aan de telefoon gekregen?
email met goed advies dat je niet ook met google heel eenvoudig had kunnen vinden?

I rest my case

27-11-2012, 17:24 door vimes

Volgens mij werken de bedrijfs-avproducten altijd vanaf een centrale server binnen het netwerk.
Gratis avproducten heb je echter niet voor servers. Dus onderhoud moet je dan per werkstation doen. Daar zit systeembeheer denk niet op te wachten.

Beetje off-topic: Overigens bestaat er een vrij goedkope av voor servers (F-Prot, 45€, 3 serverinstalls). De meeste concurrenten zetten gewoon een 3 voor de prijs van een stand-alone versie.

27-11-2012, 23:03 door Didier Stevens

Ik heb even VirusTotal gebruikt om Imperva te evalueren.

Ze behalen een score van 0/30:
https://www.virustotal.com/url/1db0ad7dbcec0676710ea0eaacd35d5e471d3e11944d53bcbd31f0cbd11bce31/analysis/

Dus beter geen zaken met hun doen, hun score is veel te laag.

Als zij VT misbruiken om nonsense te vertellen, dan kan ik dat ook.

27-11-2012, 23:06 door Righard J. Zwienenberg

Door Didier Stevens: Ik heb even VirusTotal gebruikt om Imperva te evalueren.
[...]
Als zij VT misbruiken om nonsense te vertellen, dan kan ik dat ook.

Amen :-)

27-11-2012, 23:09 door Anoniem

Hoorde ik nou wat...

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer