Le désordre multimoteur de l'antivirus

Lorsqu'Immunet a annoncé son nouveau produit, appelé Immunet Protect, plus tôt cette semaine, l'un des principaux avantages de celui-ci allait être que si un groupe d'utilisateurs exécutait une collection de différents logiciels antivirus, le métamoteur Protect pourrait utiliser les alertes de menace de ces produits pour informer sa propre population.





Immunet Protect offre une protection en exploitant la sagesse collective des produits de sécurité que vous exécutez déjà, ainsi que les connaissances sur les applications installées sur l'ensemble de la population d'utilisateurs d'Immunet, l'entreprise déclare dans son communiqué sur la technologie. Immunet Protect recueille des jugements de sécurité sur ce qui est et ce qui n'est pas sûr de sa communauté. Ces jugements agrégés sont regroupés dans le cloud et, s'ils sont solides, immédiatement mis à la disposition du reste de la communauté Immunet.

Pourtant, mercredi, la société avait décidé de ne pas inclure cet attribut dans le programme.

L'un des [attributs] les plus controversés était de savoir si un fichier [pourrait être] détecté par un autre produit [antivirus], a écrit jeudi Oliver Friedrichs, PDG d'Immunet, dans un e-mail. Après avoir examiné les implications, nous avons décidé de ne pas le faire à l'avenir.



L'idée a posé un problème car les entreprises qui souhaitent utiliser les résultats de plusieurs moteurs antivirus pour protéger leurs utilisateurs doivent généralement obtenir une licence pour les moteurs. L'utilisation des résultats de l'analyse d'un autre moteur antivirus sur l'ordinateur d'un utilisateur aurait pu être considérée comme une violation du droit d'auteur des bases de données antivirus.

Dans certains cas, cependant, l'industrie regarde apparemment dans l'autre sens. Les sociétés antivirus échangent fréquemment les menaces qu'elles ont identifiées comme un moyen de protéger la population générale contre les épidémies massives, explique Pedro Bustamante, conseiller principal en recherche chez Panda Security. De plus, de nombreuses sociétés antivirus utilisent des ordinateurs qui exécutent le logiciel antivirus de leurs concurrents pour agir comme des canaris et détecter les menaces que les sociétés auraient pu manquer. Ensuite, les analystes de l'entreprise examinent le dossier pour voir s'il est réellement malveillant.

C'est le sale petit secret de l'industrie, dit Bustamante. Nous faisons tous la même chose en utilisant des produits concurrents pour ajouter des détections à nos produits. Lorsqu'un groupe voit une menace, d'autres personnes ajoutent rapidement la détection.



Le faire n'a que du sens.

Dans un article de recherche publié par trois chercheurs de l'Université du Michigan , 10 programmes antivirus majeurs ont été testés contre une collection de codes malveillants. Même le meilleur moteur antivirus ne pouvait initialement détecter que les trois quarts du code malveillant nouvellement compressé. Il a fallu trois mois au meilleur moteur antivirus pour détecter 90 % des logiciels dangereux.

Là où un moteur tombe en panne, plusieurs moteurs peuvent réussir, explique Jon Oberheide, doctorant à l'Université du Michigan et auteur principal de l'article.



L'analyse des logiciels malveillants potentiels avec deux moteurs ou plus améliore considérablement la précision. (Source : Oberheide et al.)

La combinaison de l'intelligence de plusieurs moteurs antivirus peut entraîner des gains significatifs dans la couverture de détection des logiciels malveillants à l'échelle mondiale, dit-il.

Dans l'article, Oberheide et ses collègues ont découvert qu'un seul moteur détecte 40 à 80 % des virus au cours de la première semaine. L'utilisation de plusieurs moteurs antivirus pour analyser le même programme augmente le taux de détection entre 75 et 95 % au cours de la première semaine. . Les chercheurs de l'Université du Michigan appellent la technique n-version protection.



Bien que cette technique puisse aider les entreprises à reconnaître les menaces plus rapidement, la licence de trois ou quatre moteurs par utilisateur serait d'un coût prohibitif. Donc, pour l'instant, la détection automatisée basée sur plusieurs scanners antivirus semble être une impasse.

cacher