En Clamav is vergeten?

Niks nieuws... Eset heb ik er door de tijd ook maar 1x in zien staan, die word ook (bijna) altijd "vergeten"

Clamav wil niet getest worden. Zou dat wel gebeuren dan kwam die op plek 100.

ClamAV is meer een engine voor bv https://clamwin.com of voor een in een mailserver.

Ik mis iets als crowdstrike of SentinelOne

En laten we heel eerlijk zijn welke particulier gebruikt nu ClamAV of welk bedrijf gebruikt ClamAV client side? ZIjn er niet veel. Hobyisten en IT professionals is meer het segment voor client-side en zeker niet iedergeval met een default configuratie en zonder modules eraan.

En AV-Test doet enkel default config testen tenzij fabrikant betaald en actief aanlevert hoe iets ingesteld moet worden dus daar heb je met iets als ClamAV echt niks aan want het is opensource. Sure Cisco Talos Intelligence Group is nu de eigenaar van de codebase maar Cisco intereseert het niet dat de free version engine niet wordt getest die hebben hun eigen labs en top consultants en de commerciele engine die mede uit libraries bestaat van Clam-AV opereren onder andere namen.

Daarnaast heeft AV-test niet eens meer UNIX/Linux test sectie sind 2015 (op Android na) dat moet al genoeg zeggen over hoe serieus je de zakelijke kant kan nemen van hun testen en ze doen ook geen crossplatform attack simulatie of reallife infectie middels crossplatform enkel directe payloads worden gecontroleerd.

En welk bedrijf gaat nu per jaar zijn hele beveiliging software aanpassen omdat 1 jaar Product A hoger scoort dan Product B en een stickertje krijgt. Dat zijn beslissingen die een panische non IT manager mogelijk voorstelt bij directie overleg en een beetje IT Manager vervolgens weerlegt met data. Daarnaast delen de meeste fabrikanten hun signatures, databases onderling waardoor er al heel gauw geen verschil zit tussen detectie binnen 24 uur.

Het is een marketing tool voor Anti Malware fabrikanten om hun producten te promoten niets meer of minder Als je serieus software wilt integreren in je omgeving dan doe je zelf je onderrzoek en je huurt een onafhankelijke consultant in want geen enkel test lab zal ooit jouw situatie kunnen nabootsen zonder dat je ze daarom vraagt. Je kan hun data wel gebruiken voor de begin orientatie maar daarna is het waardeloos.


En als bonus dit is het zelfde test instituut dat er nu pas achter komt dat Twitter zo lek als een mandje is tegen MITM aanvallen en nooit heeft nagedacht over hun protocol als ze zelf de klos zijn. Want als ze dat wel hadden gedaan hadden ze Microsoft vanaf begin van gebruik gecontacteerd (niet Twitter) om een account manager aan te stellen die als mediator diende bij ongein. En nu is dit instituut verbaasd dat een multi billion corporation niet direct antwoord op hun verzoek?
https://uk.pcmag.com/security/141871/twitter-account-hacked-even-security-companies-have-trouble-getting-back-in

Ze mogen dan nog zo goed zijn in het analyseren van software functionaliteiten (wat ook voor debate is) ze hebben hun risk assesment niet op orde.

Onder Linux pas ik sinds jaar en dag ClamAV toe om de externe Windows partities te scannen.

Nu praktisch alle AV producten als Top Product wordt aangemerkt, vraag ik me af of de test wel voldoende diepgang heeft en of de AV producten niet inspelen op de testmethode. Of de tools zijn natuurlijk daadwerkelijk in staat om vergelijkbare malware te vinden in productie.

Dat zit zo: de antivirus definities, d.w.z. de hash values om bekende malware en hun varianten te herkennen, zijn openbaar. De engines om met behulp van heuristieken de processen van (nog) onbekende malware te detecteren zijn gepubliceerd in de wetenschappelijk literatuur. De antivirus ontwikkelaars halen die informatie allemaal uit dezelfde bronnen, met als gevolg dat de prestaties van die pakketten elkaar tegenwoordig nauwelijk nog ontlopen.

Waarom zou je dat doen? Dat moet je lekker de windows beheerders laten doen, tenzij je zelf cifs aanbiedt dan (maar je had het over extern)