211service.com
Multiengine Mess van antivirus
Toen Immunet eerder deze week zijn nieuwe product, Immunet Protect genaamd, aankondigde, zou een belangrijk voordeel zijn dat als een groep gebruikers een verzameling verschillende antivirussoftware zou gebruiken, de Protect-metaengine de bedreigingswaarschuwingen van die producten zou kunnen gebruiken om te informeren. zijn eigen bevolking.
Immunet Protect biedt bescherming door gebruik te maken van de collectieve wijsheid van de beveiligingsproducten die u al gebruikt, evenals kennis over de applicaties die zijn geïnstalleerd in de gehele gebruikerspopulatie van Immunet, het bedrijf stelt in haar persbericht op de technologie. Immunet Protect verzamelt veiligheidsoordelen over wat wel en niet veilig is voor zijn gemeenschap. Deze geaggregeerde oordelen worden samengevoegd in de cloud en, als ze correct zijn, onmiddellijk beschikbaar gesteld aan de rest van de Immunet-gemeenschap.
Toch had het bedrijf woensdag besloten om dat kenmerk niet in het programma op te nemen.
Een van de meer controversiële [kenmerken] was of een bestand al dan niet gedetecteerd kon worden door een ander [antivirus] product, schreef Oliver Friedrichs, CEO van Immunet, donderdag in een e-mail. Na de implicaties te hebben overwogen, hebben we besloten dit in de toekomst niet te doen.
Het idee vormde een probleem omdat bedrijven die de resultaten van meerdere antivirus-engines willen gebruiken om hun gebruikers te beschermen, doorgaans verplicht zijn om de engines te licentiëren. Het gebruik van de resultaten van de scan van een andere antivirus-engine op de computer van een gebruiker kan worden gezien als een inbreuk op het auteursrecht op antivirusdatabases.
In sommige gevallen kijkt de industrie echter blijkbaar de andere kant op. Antivirusbedrijven wisselen regelmatig de bedreigingen uit die ze hebben geïdentificeerd als een manier om de algemene bevolking te beschermen tegen massale uitbraken, zegt Pedro Bustamante, senior onderzoeksadviseur bij Panda Security. Bovendien gebruiken veel antivirusbedrijven computers waarop antivirussoftware van rivalen wordt uitgevoerd om als kanaries te fungeren en bedreigingen te detecteren die de bedrijven mogelijk over het hoofd hebben gezien. Vervolgens nemen de analisten van het bedrijf een deel van het bestand om te zien of het daadwerkelijk kwaadaardig is.
Het is het vuile kleine geheim van de industrie, zegt Bustamante. We doen allemaal hetzelfde wat betreft het gebruik van producten van concurrenten om detecties aan onze producten toe te voegen. Wanneer een groep een dreiging ziet, zullen andere mensen de detectie snel toevoegen.
Dit doen heeft alleen maar zin.
In een onderzoekspaper gepubliceerd door drie onderzoekers van de Universiteit van Michigan , werden 10 grote antivirusprogramma's getest op een verzameling kwaadaardige code. Zelfs de beste antivirus-engine kon aanvankelijk slechts driekwart van de nieuw verpakte kwaadaardige code detecteren. Het duurde drie maanden voordat de beste antivirus-engine 90 procent van de gevaarlijke software detecteerde.
Waar één motor uitvalt, kunnen meerdere motoren slagen, zegt Jon Oberheide, een promovendus aan de Universiteit van Michigan en de hoofdauteur van het artikel.

Het scannen van potentiële schadelijke software met twee of meer engines verbetert de nauwkeurigheid aanzienlijk. (Bron: Oberheide et al.)
Door de intelligentie van meerdere antivirus-engines te combineren, kan de detectiedekking van malware met een wereldwijde scope aanzienlijk worden verbeterd, zegt hij.
In de krant ontdekten Oberheide en zijn collega's dat een enkele engine in de eerste week 40 tot 80 procent van de virussen detecteert. . De onderzoekers van de Universiteit van Michigan noemen de techniek n-versie bescherming.
Hoewel de techniek bedrijven zou kunnen helpen dreigingen sneller te herkennen, zou het licentiëren van drie of vier engines per gebruiker onbetaalbaar zijn. Dus voorlopig lijkt geautomatiseerde detectie op basis van meerdere antivirusscanners een doodlopende weg.