Video: Układ Odpornościowy Wyjaśniony I - Infekcja Bakteryjna (Studeni 2024)
Na ovogodišnjoj Međunarodnoj konferenciji o zlonamjernom i neželjenom softveru, aka MalCon 2015, dr. Sc. Fanny Lalonde Lévesque. studentica u École Polytechnique de Montréal, pokazala je fascinantne rezultate koji se mogu dobiti kada na milijardu računala imate ogromne količine informacija o antivirusnoj zaštiti. Koristeći pristup izvučen iz proučavanja prirodnih ekosustava, osmislila je neke mjerne podatke za mjerenje zdravlja cijelog antivirusnog ekosustava.
Možda ste primijetili Alat za uklanjanje zlonamjernog softvera (MSRT) koji se pokreće kao dio svake Microsoftove nadogradnje. Posebno traži i eliminira nekoliko desetaka vrlo rasprostranjenih zlonamjernih obitelji koje svakog mjeseca odabire Microsoftov sigurnosni tim. Microsoft također vraća značajnu telemetriju. Prema Dennisu Batchelder-u, direktoru Microsoftovog centra za zaštitu od zlonamjernog softvera (MMPC), ova telemetrija razlog je što Microsoft ne treba antivirusne testove. U uvodnom govoru prije nekoliko godina na MalConu detaljno je objasnio veliku količinu podataka prikupljenih od strane MSRT-a i pozvao znanstvenike da dostave prijedloge za korištenje tih podataka u istraživanju.
Milijuni i milioni
Između ostalog, MSRT izvještava je li pronašao neki zlonamjerni softver, koji je antivirus (ako postoji) instaliran i je li antivirus konfiguriran i radi pravilno. Gospođa Lalonde Lévesque započela je s četiri mjeseca MSRT podataka od Microsofta. Nakon što je eliminirala unose s računala bez antivirusa, još uvijek je imala gotovo milijardu unosa. Postoje određene pristranosti u setu uzorka, jer su neki korisnici odlučili da ne pokreću Windows Update ili MSRT. Kako bi riješila tu pristranost, odabrala je slučajnih 10 posto unosa. To je još uvijek više od 90 milijuna uzoraka.
S odabranom ciljnom populacijom, analizirala je zdravlje cjelokupnog sustava. Ova analiza posebno se bavi trima područjima koja su izvedena iz analize prirodnog ekosustava: Aktivnost, raznolikost i stabilnost.
U antivirusnom ekosustavu stupanj zaštite predstavlja aktivnost. Instalirani antivirus može biti zastario ili isključen ili je ukinuta njegova zaštita u stvarnom vremenu. Gospođa Lalonde Lévesque otkrila je da je tijekom četiri mjeseca broj pravilno konfiguriranih i modernih instalacija kretao oko 87 do 88 posto.
Raznolikost u prirodnom ekosustavu znači da niti jedna vrsta nije potpuno dominantna. Gospođa Lalonde Lévesque ispitala je 100+ različitih antivirusnih proizvoda u antivirusnom ekosustavu i otkrila visoku razinu raznolikosti. Dominantni proizvod, onaj s najvećom instaliranom bazom, nikada nije preuzeo više od 18 posto tržišta.
Kako bi ispitala stabilnost, prvo je suzila popis na računala koja su odgovarala na MSRT u sva četiri mjeseca. Pregledala je promjene u antivirusnom statusu i otkrila ohrabrujuće rezultate. Samo oko 3 posto računala koja su radila i ažuriran antivirus prebacilo se u manje sigurno stanje, a mnoga su se računala u drugim državama poboljšala.
Evo, ipak, iznenađenje. Tijekom studija, potpuno je jedna trećina računala prešla na drugi antivirus. Neki sudionici nagađali su o mogućnosti izvrtanja rezultata na temelju isteka besplatnog antivirusa na novim računalima. Bez obzira na razlog, to je puno promjena.
Posljednji je korak bio ispitati koja su izvještajna računala pogođena zlonamjernim softverom iako je instaliran antivirus. Nije iznenađujuće da je niska stopa zaraze zlonamjernim softverom snažno povezana s modernim i aktivnim antivirusima. Suprotno tome, niska stopa stabilnosti, što znači puno promjena instaliranog antivirusnog ili antivirusnog statusa, u velikoj je vezi sa višom stopom infekcije.
Monokultura i imunitet krda
Sljedeći je korak uključivao uklanjanje podataka za svaku od uključenih 126 zemalja i usklađivanje zdravlja antivirusnih ekosustava na razini cijele zemlje sa stopama zaraze širom zemlje. U ovom dijelu studije, gđa Lalonde Lévesque gledala je kako na računala zaštićena antivirusima, tako i na računala bez zaštite.
Neke su zemlje pokazale jezivu ocjenu raznolikosti, a jedan je proizvod zaštitio većinu svih sustava. Te su se države rutinski prikazivale više od prosjeka, a one s više raznolikosti imale su nižu stopu. Njeno cjelovito izvješće opisuje kako je provjerila statističku važnost ovog rezultata. U antivirusnom ekosustavu, kao u životu, monokultura nije zdrava.
Nije iznenađujuće da veći postotak računala s modernim funkcionalnim antivirusima u velikoj mjeri povezuje s nižim postotkom infekcije. Da nije tako, nešto bi bilo jako, jako pogrešno. Poticaj je, ta ista korelacija vrijedi kada se gledaju računala bez antivirusa u istoj državi. Izgleda da bi ovdje mogao stupiti nekakav imunitet stada, pa čak i oni koji se odriču antivirusne zaštite dobivaju potpuno oklopljene svoje susjede.
Zatim tu je efekt MSRT. Zemlje s visokom stopom zaraze također su pokazale visoku stopu „nestanka“, pri čemu su mnogi korisnici zamijenili antivirusne proizvode. Je li moguće da je jednostavna činjenica da MSRT eliminira zlonamjerni softver izazvala nezadovoljstvo korisnika postojećom zaštitom i odabira drugog dobavljača? To bi bilo teško dokazati, s obzirom na to da u studiji nema računala koja nikada nije doživjela upotrebu MSRT-a.
Samo jedan pogled
Gospođa Lalonde Lévesque trudila se istaknuti da rezultati ove studije imaju određena ograničenja. Uključena su samo računala koja su spojena na MSRT sustav. A rezultati zaraze dostupni su samo za široko rasprostranjene porodice zlonamjernog softvera koje Microsoft bira svaki mjesec. Uz to, teorije monokulture i imuniteta stada nisu jedino objašnjenje otkrivenih korelacija.
Microsoftovo veliko prikupljanje podataka dostupno je za upotrebu kvalificiranim istraživačima. Drugi se mogu proširiti na studiju gospođe Lalonde Lévesque ili krenuti u sasvim drugom smjeru. Radujem se što ću vidjeti što su smislili.
