it-swarm-korea.com

서명 기반 바이러스 백신 또는 맬웨어 방지가 효과적입니까?

서명 기반 바이러스 백신 또는 맬웨어 방지 솔루션이 효과적입니까? 점점 더 많은 양의 악성 코드, 특히 루트킷과 같은 악성 코드에 대항하여 전투에서 패배 했습니까?

21
Sim

안티 바이러스/애니멀웨어 및 기타 블랙리스트 기반 보안 시스템에는 다음과 같은 심각한 결함이 있다고 주장합니다.

  1. 그들은 제로 데이 취약점과 같이 새로운 (비상장) 위협로부터 보호 할 수 없습니다.
  2. 보안의 거짓 의미를 제공합니다.
  3. 그들의 서명 파일은 언 바운드 크기이며 항상 계속 증가합니다.
  4. 3으로 인해 시간이 지남에 따라 리소스 (메모리, CPU 등)에 대해 더 많은 세금이됩니다.

대조적으로, white-list ​​ 기반의 보안 시스템은 알려진 옵션, 루틴 및 안전을 허용하면서도 사용자에게 지금부터 다른 모든 것을 허용할지 묻는 것은 훨씬 더 지속 가능하고 효과적이며 효율적이며 실제로 안전합니다.

이것은 저의 의견 일뿐만 아니라 많은 저명한 보안 전문가들이 동의하는 원칙입니다. 예를 들어 : 이 WiReD 기사


[업데이트 : 2014-07-29]

그러나 더 나빠집니다 : 가장 높은 권한으로 컴퓨터에서 실행되는 크고 복잡한 단일 응용 프로그램을 상상하십시오. 많은 시스템 호출을 가로 채고 때로는 의미를 변경하고 업데이트에 커널 드라이버를 설치하며 들어오는 모든 것을 스니핑하는 패킷 필터를 사용하며 컴퓨터가 할 수 있거나 할 수없는 모든 것을 효과적으로 제어하려고 시도합니다. 방금 설명한 것은 AV 소프트웨어의 본질입니다. 이것이 바로 그들 대부분이하는 일입니다. 그 결과 일반적인 AV 소프트웨어가 공격 취약성을 크게 증가시킵니다. 실제로 최신 맬웨어는 종종 악용 할 AV 소프트웨어 취약점을 찾습니다 ( 예 :이 참조 참조). 이것이 많은 보안 전문가들이 AV 프로그램을 가장 큰 바이러스라고 생각하는 이유입니다.


대신 내가 개인적으로 무엇을 사용하겠습니까?

여러 계층에서 화이트리스트 기반 보호의 조합. 하나가 실패하면 다른 하나가 성공할 수 있습니다.

  1. 알려진 것으로서 허용되도록 설계된 방화벽 만 허용
  2. 로그 스캐너, 트립 와이어, 파일 서명 (침입 탐지, 이상에 따른) 시스템
  3. 브라우저와 같이 더욱 취약한 소프트웨어 주변의 샌드 박스, VM
  4. 데이터 실행을 방지하고 임의의 주소로드를 지원하며 시스템 호출 매개 변수 검사 등과 같은 런타임 검사를 수행하는 강화 된 운영 체제.
  5. Ssh에서 제공하는 것과 같은 안전하고 암호화 된 연결
  6. 설치된 소프트웨어의 소스 코드를보고 해당 소스에서 빌드하거나 최소한 작은 번호유명한 패키지를 다운로드 할 수있는 환경 많은 무작위 사이트와 달리 소스.
  7. 강력한 암호 또는 긴 암호, 더 나은 암호 관리자, 2 단계 인증

총알이 없습니다. 보안은 많은 요인에 의해 영향을받는 복잡한 영역입니다. 위의 (그리고 더 많은) 원칙을 사용하여 보안을 향상시킬 수는 있지만 하드웨어, 소프트웨어 및 수많은 잠재적 감염 벡터가 복잡하기 때문에 자신이 100 % 안전하다고 확신 할 수는 없습니다.

7
arielf

시그니처 기반 탐지 시스템은 only 솔루션 일 수 없지만 솔루션의 part 일 수 있습니다. 실제로 동작 감지 및 휴리스틱 감지 기능이있는 많은 AV 제품에도 여전히 서명 기반 감지 기능이 사용됩니다. 간단하고 빠르며 오 탐지 가능성은 매우 낮습니다. 그러나 허위 부정의 가능성은 높으며, 새로운 공격에 대해서는 확실히 실패합니다.

21
user185

Securitytube에서이 비디오를보십시오

안티 바이러스 탐지를 피하는 것이 얼마나 쉬운지를 보여줍니다. 시그니처 기반 바이러스 백신은 계속 살아야하지만, 생계를 유지하려는 경우 시그니처 기반 탐지로만 제한하면 충분하지 않습니다.

맬웨어를 위장하는 데 사용할 수있는 자동화 된 도구를 사용하여 안티 바이러스가 선택하지 않는 맬웨어를 배포하는 번거 로움이 없습니다.

또한 서명 기반 검사를 더욱 어렵게 만드는 다형성 코드 의 과제가 있습니다. 전투는 결코 잃어버린 것이 아니지만 10 년 전보다 오늘 서명으로 막는 것이 훨씬 어렵습니다.

10
Chris Dale

엄마와 같은 누군가가 사기로 신분증과 지불 카드를 잃을 수있을 때 길을 잃었습니다.

안티 바이러스 및 맬웨어 방지 프로그램은 1999 년 Windows 버퍼 오버플로 이후 매우 비효율적이었습니다. 2010 년에는 화재에 연료를 공급하고 시스템을 잘못 제공하기 때문에 시스템을보다 안전하지 않게 만듭니다. 안전감. 이들은 적극적으로 공격을 받고 있으며 루트킷 또는 진입 점으로 사용됩니다.

6
atdre

당신은 반대로 할 수 있습니다. i. 이자형. 유효한 실행 파일에 대한 체크섬이 있어야합니다. 그렇지 않으면 서명이 제자리에 없습니다.

4
zeroknowledge

그것은 당신이 효과적으로 의미하는 바에 달려 있습니다. 이 방법은 알려진 바이러스 만 알 수 있습니다. 그러나 바이러스가 알려진 경우 어떤 종류의 취약점이 악용되는지도 확실합니다. 과거에 이러한 취약점은 바이러스가 확산되었을 때 이미 수정되었거나 알려진 후에 직접 수정되었습니다.

따라서 시스템이 정기적으로 업데이트되면 바이러스 스캐너는 큰 이점이 없습니다. 단점은 바이러스 스캐너가 컴퓨터 속도를 저하시키고 종종 사람들을 성가 시게합니다.

나는 종종 가정용 사용자에게 바이러스 백신 소프트웨어를 설치하도록 not를 권합니다. 대신 일반적인 힌트 (정기 업데이트, 최소 권한 원칙 등)를 고려해야합니다. 반 년마다 바이러스 백신 CD를 사용하여 해당 시스템을 확인합니다. ~ 10 년 동안이 시스템 중 어느 것도 바이러스의 영향을받지 않았습니다.

나는 전투가 졌다고 생각하지 않습니다. 사용자가 자신의 컴퓨터 보안에주의를 기울이면 안전을 유지할 수 있습니다.

4
qbi

AV는 블랙리스트 컨트롤로 나쁜 것을 열거하고 차단하여 기본적으로 다른 모든 것을 허용합니다. 이러한 유형의 제어는 매우 편리하지만 효과적이지 않으며 AV의 경우 패배를 허용합니다.

보안 관점에서 일반적으로 허용되는 항목을 열거하고 기본적으로 다른 모든 것을 거부하는 것이 좋습니다. 물론 이것은 훨씬 덜 편리하지만 훨씬 더 효과적입니다.

저는 실행하고 싶지 않은 프로그램을 중단하려고 시도하는 것보다 명시 적으로 설치하고 실행하도록 허가 한 소수의 프로그램 만 허용함으로써 작동하는 시스템을 선호합니다. 현재 '앱 스토어'경향이 다소 도움이된다고 생각합니다.

3
frankodwyer

그 결정을 내리기 위해 상황을 평가해야한다고 생각합니다. 블랙리스트에있는 AV 프로그램은 실제로 수백만 가지의 다른 종류의 맬웨어를 탐지 할 수 있습니다. 당신이 그 악성 코드에 취약하고 많은 악성 코드를 발견한다면, 그것이 효과적이지 않다고 말하기는 힘들 것입니다.

그러나 보안 방어의 한 부분 일뿐입니다. 블랙리스트는 대부분 반응 적입니다 (일부 일반 일치하지만 더 높은 오 탐지). 업데이트가 릴리스되면 정의에 따라 이미 오래되었습니다. 새로운 멀웨어는 목록에 없습니다.

다수의 대규모 AV 공급 업체가 "클라우드"를 통해 일종의 실시간 감지 및 업데이트를 수행하고 있지만 업데이트 간격을 단축시킵니다.

2
Bradley Kreider