Инерционная сущность индустрии IT-безопасности уже хорошо известна. Она
ставит защищающуюся сторону в невыгодное по сравнению с атакующими положение. К
сожалению, есть и еще одна проблема, решить которую очень непросто. Она
заключается в том, что научить антивирус реагировать на новые угрозы, не
допуская при этом ложных срабатываний весьма нелегко. И хотя в теории
современным антивирусам удалось добиться кое-каких успехов на этом поприще,
исследование, проведенное старшим аналитиком FireEye Стюартом Стенифордом, еще
раз наглядно демонстрирует, что в тех неводах, которыми мы ловим вирусы, гораздо
больше прорех, чем все привыкли думать.
Чтобы быть до конца объективными, сразу уточним, что компания FireEye тоже
продает решения в области безопасности, а сам Стюарт Стенифорд работает в ней
старшим научным сотрудником. Поэтому рассматривать результаты проделанной им
работы стоит с некоторой осторожностью, хотя свою принадлежность к конкретному
разработчику Стенифорд и не думает скрывать, а используемая их методика
тестирования подробно изложена в блоге.
Согласно его изысканиям, антивирусные решения, предлагаемые FireEye, начинают
обнаруживать новое вредоносное ПО примерно в то же самое время, как его коды
появляются на VirusTotal. К сожалению, промежуток времени, который проходит
между обнаружением VirusTotal новых хэшей и моментом появления соответствующих
сигнатур в большинстве антивирусов, можно назвать удручающе большим.
Согласно результатам проведенного исследования, лишь 40% антивирусных
продуктов начинают обнаруживать новые угрозы в течение трех дней с момента их
появления в Интернете. С течением времени этот процент существенно возрастает,
однако стопроцентного результата добиться не удается даже спустя месяцы после
появления угроз. Последствия таких задержек могут быть весьма серьезными,
поскольку в первые дни после своего появления вредоносное ПО гуляет по Сети
практически безнаказанно.
