随着最近问题过去一周,McAfee 客户提出了许多意见,认为不仅 AV 供应商应该进行更好的测试,而且客户也应该在部署之前测试 AV 签名。
这可行吗?如果您已经这样做了,您是否采取了其他措施来尽量减少测试期间受到恶意软件的攻击?
更新: 关于可行性,我的意思是,是否可行对每个 AV 签名/定义更新进行全套测试,还是仅限于关键应用程序或关键功能测试?与台式机相比,您对服务器的方法是否不同?
答案1
设置一个测试环境应该不会有太大麻烦,该测试环境可以首先获得定义(提前一小时或与您的 AV 供应商相关的任何时间),并且它生成的任何 AV 警报都会暂停全公司范围的部署,直到有人确认为止。
正如有人所说,设置手动测试注定会失败,因为无聊,而不是因为不可能。
但是只是为了在“辩论”中加入一些观点,当谈论 Windows 时,切换到类似软件限制策略或 Windows 7 / 2008 R2 中的改进版本 AppLocker - 它采用更成熟的方法,只允许指定的程序运行,而不是相反......
...您也可以使用代码证书来执行此操作,因此说允许所有 Microsoft 应用程序,并且允许内部开发的应用程序 - 而无需指定单独的可执行文件。
如果正确实施,则不需要 AV 软件。
我现在想不出有哪个防火墙一开始就以“允许除特定恶意流量之外的所有流量”作为开头。除非有人做得不好,否则它们都是“阻止除特定允许的流量之外的所有流量”。
答案2
使用 McAfee 自己的 ePo (ePolicy Orchestrator) AV 客户端管理服务器,您可以做到这一点 - 通过安排从 McAfee 下载 Dats 的时间,并设置测试机器在公众之前获取更新,您可以在部署 Dats 之前试用一两天。我想大多数“企业”AV 解决方案都会有类似的机制。
然而我有两个问题:
1) 你会觉得无聊 - 5-6 年内几千个错误中只有一个是错误的?
这可以归结为一个简单的成本效益方程 - 如果每年几百个“人工小时”的测试成本低于因错误更新导致服务中断而造成的利润损失(科尔斯超市例如,如果你真的想做某件事(比如,你想做某件事),那当然就这么做。
2) 更重要的是,尽快向用户提供新的定义真的非常重要。举例来说,就在上周,我收到了一个感染了自动运行型恶意软件的 USB 驱动器 - 这不是当前数据,而是在第二天的定义集中出现的(我只是在使用 Mac 时才检测到它,并看到了可疑文件)。
从根本上讲,McAfee 不应该发布误报 Windows 系统文件的 DAT!我们每年向 McAfee 支付一大笔钱,希望他们的质量控制能比这更好!
- -编辑 - -
顺便说一句,还有人想到过这个吗韓國当他们看到运行 AV 软件的收银机时……
答案3
要记住的是,等待部署定义的时间越长,新感染扎根的机会窗口就越长。
AV 供应商应该进行测试,而 McAfee 承认他们搞砸了内部测试。
为了进行测试,您必须有一个模拟环境,该环境运行每个部署的机器,并具有精确的 dll 安装、应用程序组合、更新组合等。
...因此基本上你可能无法保证你会发现边缘情况。
但是,您可以使用备份来控制影响。您可能无法阻止灾难发生,但您可以控制结果;拥有备份意味着您可以将其备份并联机,并且您可能能够回滚更改(通常,最新的 McAfee 问题是一个意外,当时 Windows 受到了严重影响,但是一旦人们知道了原因,至少可以使用 Linux 启动盘复制该文件……)
所以最终你要求重复大量工作而回报甚微,并且给用户带来更多风险。你最好确保定期备份,以便恢复用户系统并保护他们的数据。
答案4
您可以更频繁地对 10% 的子集进行分阶段部署。如果您的电话开始响起,那么至少只有 10% 的计算机有问题。我们使用此方法部署 Windows 更新,我们会在 2 天内对 10% 的计算机进行部署,然后再部署其余的计算机。您还可以找到一家在不破坏您的系统方面享有更好声誉的 av 供应商。