image

'Anti-virus geldverspilling voor bedrijven'

dinsdag 27 november 2012, 13:47 door Redactie, 13 reacties

Virusscanners zijn nu zo slecht in het detecteren van nieuwe malware, dat bedrijven hun geld verspillen als ze anti-virusoplossingen aanschaffen, zo beweert beveiligingsbedrijf Imperva. Het bedrijf testte 82 nieuwe malware-exemplaren op de website van VirusTotal, dat zo'n 40 verschillende virusscanners gebruikt. Geen enkele van de gebruikte anti-virus engines wist de malware in eerste instantie te detecteren.

De test werd over een periode van een aantal weken herhaald, om te zien of de detectie zou verbeteren. Zelfs de beste producten hadden tenminste drie weken nodig om een onbekend malware-exemplaar aan de database toe te voegen. Als er toch een product moet worden aanbevolen, dan stellen de onderzoekers dat de gratis virusscanners van Avast en Emsisoft het "meest optimaal" zijn.

Advies
Volgens Imperva schaffen bedrijven nog steeds commerciele anti-viruspakketten aan, omdat dit vanuit compliance-regels vereist is. De beveiliger vindt dat deze bepaling moet worden aangepast, zodat ze ook gratis producten kunnen aanschaffen en het bespaarde geld aan andere beveiligingsmaatregelen kunnen uitgeven.

"We adviseren niet om virusscanners te elimineren, maar raden aan om de uitgaven meer in balans te brengen met de huidige dreigingen", aldus het rapport. Uit cijfers zou blijken dat bedrijven een derde van hun beveiligingsbudget aan virusscanners uitgeven.

Schijnveiligheid
"Enterprise security heeft met de anti-virusoplossingen een denkbeeldige lijn getrokken, maar de werkelijkheid is dat elk nieuw gemaakt virus deze oplossingen zonder enige moeite kan omzeilen", aldus CTO Amichai Shulman tegenover IDG.

"We kunnen niet miljarden blijven investeren in anti-virusoplossingen die de illusie van veiligheid bieden, zeker als er gratis oplossingen zijn die de betaalde oplossingen verslaan."

Reacties (13)
27-11-2012, 13:58 door Anoniem
Grappig dat er voor bedrijven de gratis AVAST wordt aangeraden.
Volgens de voorwaarden is deze namelijk enkel bedoeld voor particulieren en dus NIET voor bedrijven :)
27-11-2012, 14:26 door Righard J. Zwienenberg
Arrgghhh... Niet weer...

VirusTotal Total niet geschikt voor het testen van AntiVirus.Het betreft hier alleen de on demand resultaten. Zelfs als
een nieuwe dreiging niet door de on demand scanner gevonden wordt, kan het wel worden tegengehouden door een ander
component uit de security suites. Daar "test" Virus Total niet op.

Ook worden op VirusTotal alle on demand produkten gebruikt met door de vendors geadviseerde settings (oa voor sommige produkten supergevoelige settings, hoge kans op FP's), dus ook nog eens appels met peren vergelijken. Het zegt niets of een produkt dat in VirusTotal iets detecteert dat in een real-life scenario dat wel doet.

Lees eens: http://go.eset.com/us/resources/white-papers/cfet2011_multiscanning_paper.pdf
Man, Myth, Malware and Multi-Scanning, door David Harley, ESET en Julio Canto, VirusTotal/Hispasec Sistemas

“VirusTotal was not designed as a tool to perform AV comparative analyses, but to check suspicious samples with multiple engines, and to help AV labs by forwarding them the malware they failed to detect."

"How not to use VT: VirusTotal uses a group of very heterogeneous engines. AV products may implement roughly equivalent functionality in enormously different ways, and VT doesn’t exercise all the layers of functionality that may be present in a modern security product. VirusTotal uses command-line versions: that also affects execution context, which may mean that a product fails to detect something it would detect in a more realistic context. It uses the parameters that AV vendors indicate: if you think of this as a (pseudo)test, then consider that you’re testing vendor philosophy in terms of default configurations, not objective performance. Some products are targeted for the gateway: gateway products are likely to be configured according to very different presumptions to those that govern desktop product configuration."

"Conclusion
VirusTotal is self-described as a TOOL, not a SOLUTION: it’s a highly collaborative enterprise, allowing the industry and users to help each other. As with any other tool (especially other public multi-scanner sites), it’s better suited to some contexts than others. It can be used for useful research or can be misused for purposes for which it was never intended, and the reader must have a minimum of knowledge and understanding to interpret the results correctly. With tools that are less impartial in origin, and/or less comprehensively documented, the risk of misunderstanding and misuse is even greater."
27-11-2012, 14:30 door Anoniem
Quote van de virustotal site:

BAD IDEA: VirusTotal for antivirus/URL scanner testing

At VirusTotal we are tired of repeating that the service was not designed as a tool to perform antivirus comparative analyses, but as a tool that checks suspicious samples with several antivirus solutions and helps antivirus labs by forwarding them the malware they fail to detect. Those who use VirusTotal to perform antivirus comparative analyses should know that they are making many implicit errors in their methodology, the most obvious being:

VirusTotal's antivirus engines are commandline versions, so depending on the product, they will not behave exactly the same as the desktop versions: for instance, desktop solutions may use techniques based on behavioural analysis and count with personal firewalls that may decrease entry points and mitigate propagation, etc.
In VirusTotal desktop-oriented solutions coexist with perimeter-oriented solutions; heuristics in this latter group may be more aggressive and paranoid, since the impact of false positives is less visible in the perimeter. It is simply not fair to compare both groups.

Some of the solutions included in VirusTotal are parametrized (in coherence with the developer company's desire) with a different heuristic/agressiveness level than the official end-user default configuration.

These are just three examples illustrating why using VirusTotal for antivirus testing is a bad idea. The Prevx team also made an entry in their blog discussing the matter.

http://www.prevx.com/blog/106/Why-using-VirusTotal-for-AV-testing-is-a-bad-idea.html
27-11-2012, 14:52 door Anoniem
Kortom nieuwswaarde van dit bericht is dus beperkt tot het feit dat het beveiligingsbedrijf Imperva het niet helemaal begrepen heeft.
27-11-2012, 15:17 door AceHighness
ik draai al jaren geen AV meer.
27-11-2012, 15:22 door Anoniem
Mja, gratis is leuk maar op het moment dat er een virusuitbraak is dan wil je dat centraal wel kunnen zien.
Het lijkt me dat de gratis scanners deze functionaliteit niet hebben.
27-11-2012, 15:34 door Whacko
Ondanks het feit, dat VT niet de juiste tool is om je onderzoek op te baseren. Denk ik wel dat ze een punt hebben. Je kunt je nooit beschermen tegen 0-day exploits of virussen. Dus waarom dan niet voor een goedkoper pakket gaan wat dezelfde update-cycle heeft als een duur product?
27-11-2012, 16:49 door WesleySmalls
Door Whacko: Ondanks het feit, dat VT niet de juiste tool is om je onderzoek op te baseren. Denk ik wel dat ze een punt hebben. Je kunt je nooit beschermen tegen 0-day exploits of virussen. Dus waarom dan niet voor een goedkoper pakket gaan wat dezelfde update-cycle heeft als een duur product?

Omdat een bepaald pakket waarschijnlijk een bepaalde support bied wat een gratis anti-virus niet bied
27-11-2012, 17:03 door Anoniem
"Omdat een bepaald pakket waarschijnlijk een bepaalde support bied wat een gratis anti-virus niet bied"

Wie hier heeft er ooit wel eens gedegen support gekregen van een betaalde virusscanner?
Heb je iemand aan de telefoon gekregen?
email met goed advies dat je niet ook met google heel eenvoudig had kunnen vinden?

I rest my case
27-11-2012, 17:24 door vimes
Volgens mij werken de bedrijfs-avproducten altijd vanaf een centrale server binnen het netwerk.
Gratis avproducten heb je echter niet voor servers. Dus onderhoud moet je dan per werkstation doen. Daar zit systeembeheer denk niet op te wachten.

Beetje off-topic: Overigens bestaat er een vrij goedkope av voor servers (F-Prot, 45€, 3 serverinstalls). De meeste concurrenten zetten gewoon een 3 voor de prijs van een stand-alone versie.
27-11-2012, 23:03 door Didier Stevens
Ik heb even VirusTotal gebruikt om Imperva te evalueren.

Ze behalen een score van 0/30:
https://www.virustotal.com/url/1db0ad7dbcec0676710ea0eaacd35d5e471d3e11944d53bcbd31f0cbd11bce31/analysis/

Dus beter geen zaken met hun doen, hun score is veel te laag.

Als zij VT misbruiken om nonsense te vertellen, dan kan ik dat ook.
27-11-2012, 23:06 door Righard J. Zwienenberg
Door Didier Stevens: Ik heb even VirusTotal gebruikt om Imperva te evalueren.
[...]
Als zij VT misbruiken om nonsense te vertellen, dan kan ik dat ook.

Amen :-)
27-11-2012, 23:09 door Anoniem
Hoorde ik nou wat...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.