Jak otestovat účinnost antimalware řešení

Tento e-book obsahuje jednoduchý návod, jak otestovat účinnost libovolného antimalware řešení.

Na příkladech malwaru z poslední doby, který se šířil e-mailem jako příloha, a rostoucímu počtu útoků na malé a střední firmy se opět ukázalo, jak jsou tradiční antimalware řešení, založená na signaturách, nedokonalá.

Je zřejmé, že jen na signatury se spoléhat nelze, protože než dojde k detekci škodlivého kódu, jeho analýze a uvolnění signatury a aktualizaci antiviru na straně klienta, tak uběhne dost času, minimálně několik hodin. I těch pár hodin stačí k nakažení dostatečného počtu uživatelů.

Zde je nutné si uvědomit, jak pracují autoři malware. Nejenže používají frameworky, které jim umožňují poměrně rychle generovat nové verze škodlivého polymorfního kódu, ale využívají i řešení ne nepodobné službě VirusTotal, které se nachází na DarkWebu, jež jim umožňuje ověřit, že jejich škodlivý kód není detekován žádným známým antimalware řešením.

Malware se šíří zpravidla přes web, jako drive-by download, kdy zneužívá nějaké zranitelnosti v internetovém prohlížeči, Flashi, Adobe, Javě apod. anebo je distribuován jako spustitelný soubor v příloze e-mailu, případně ještě zabalený v nějakém archivu jako ZIP, RAR nebo CAB, ale ne nutně.

Byť by antimalware řešení s technologií HIPS mělo být schopno detekovat i zcela nový malware podle chování, tak se s tím v praxi přesto nesetkáváme. Pokud si chcete otestovat své antimalware řešení, můžete za tímto účelem použít tzv. antimalware testfile EICAR, který byl vytvořen právě za účelem ověření funkčnosti antimalware řešení a většina antimalware řešení by ho měla být schopna správně detekovat.

Testovací soubor EICAR slouží čistě k tomu, aby si každý mohl otestovat, že jeho antimalware řešení je správně nakonfigurováno, je schopno detekovat známé viry a zjistit, jak dané řešení bude v případě detekce viru fungovat, tj. zda vir odstraní, přesune ho do karantény, odešle e-mail správci, zobrazí hlášení na obrazovce apod.

Testovací soubor EICAR má dokumentovanou strukturu, při spuštění vypíše na obrazovku hlášení „EICAR-STANDARD-ANTIVIRUS-TEST-FILE!“ a vaše antimalware řešení by ho mělo detekovat jako „EICAR-AV-Test“. Za tímto účelem si můžete stáhnout a poté zkusit e-mailem poslat následující 3 soubory:

  • anti-malware-test.com (jedná se o spustitelný soubor eicar)
  • anti-malware-test.zip (archiv obsahuje spustitelný soubor eicar)
  • anti-malware-test2.zip (archiv obsahuje další archiv a ten obsahuje spustitelný soubor eicar)

Výše uvedené soubory by mělo vaše řešení zachytit. Problém je, že tímto způsobem otestujete jen to, že vaše řešení je schopno zachytit jen malware, který zná.

Pokud byste chtěli otestovat, že vaše antimalware řešení dokáže detekovat i zcela nový malware, tak si již s testovacím souborem EICAR nevystačíte a musíte provést obdobný test se soubory, které ověří skutečné detekční schopnosti vašeho řešení. Více vizte náš antimalware test.

E-book obsahuje jednoduchý návod jak antimalware test provést a především pak příslušné testovací soubory. Ty samozřejmě žádný škodlivý kód neobsahují, ale jestliže projdou a vaše řešení je nedetekuje, tak to znamená, že by zcela jistě prošel i spustitelný soubor se škodlivým kódem.

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
DASHA, , 2018. Jak otestovat účinnost antimalware řešení. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/jak-otestovat-ucinnost-antimalware-reseni/. [citováno 07.12.2024].


K článku “Jak otestovat účinnost antimalware řešení” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: