Video: Coronavirus and herd immunity explained by Yale School of Public health professor (November 2024)
Op de Internationale Conferentie over schadelijke en ongewenste software van dit jaar, ook bekend als MalCon 2015, Fanny Lalonde Lévesque, Ph.D. student aan de École Polytechnique de Montréal, demonstreerde de fascinerende resultaten die kunnen worden verkregen wanneer je enorme hoeveelheden informatie hebt over antivirusbescherming op een miljard computers. Gebruikmakend van een benadering uit de studie van natuurlijke ecosystemen, bedacht ze een aantal statistieken om de gezondheid van het hele antivirus-ecosysteem te meten.
Je hebt misschien het Malicious Software Removal Tool (MSRT) opgemerkt dat wordt uitgevoerd als onderdeel van elke Microsoft-update. Het zoekt zeer specifiek naar en elimineert enkele tientallen zeer voorkomende malwarefamilies, die elke maand worden geselecteerd door het beveiligingsteam van Microsoft. Het stuurt ook aanzienlijke telemetrie terug naar Microsoft. Volgens Dennis Batchelder, directeur van het Microsoft Malware Protection Center (MMPC), is deze telemetrie de reden dat Microsoft geen antivirus-tests nodig heeft. In een keynote speech van een paar jaar geleden op MalCon, lichtte hij gedetailleerd de enorme hoeveelheid gegevens toe die MSRT verzamelde en nodigde academici uit om voorstellen in te dienen voor het gebruik van die gegevens in onderzoek.
Miljoenen en miljoenen
De MSRT rapporteert onder andere of er malware is gevonden, welke antivirus (indien aanwezig) is geïnstalleerd en of de antivirus is geconfigureerd en correct werkt. Mevrouw Lalonde Lévesque begon met vier maanden MSRT-gegevens van Microsoft. Na het verwijderen van vermeldingen van machines zonder antivirus, had ze nog steeds bijna een miljard vermeldingen. Er is een zekere vertekening in de voorbeeldset, omdat sommige gebruikers ervoor kozen om Windows Update of MSRT niet uit te voeren. Om dat vooroordeel te helpen overwinnen, selecteerde ze willekeurig 10 procent van de inzendingen. Dat zijn nog steeds meer dan 90 miljoen monsters.
Met de geselecteerde doelpopulatie analyseerde ze de gezondheid van het totale systeem. Deze analyse kijkt specifiek naar drie gebieden, afgeleid van natuurlijke ecosysteemanalyses: activiteit, diversiteit en stabiliteit.
In het antivirus-ecosysteem staat de mate van bescherming voor activiteit. Een geïnstalleerde antivirus kan verouderd zijn of uitgeschakeld, of de realtime-beveiliging is gesnoozed. Mevrouw Lalonde Lévesque ontdekte dat het aantal correct geconfigureerde, up-to-date installaties in de loop van de vier maanden rond de 87 tot 88 procent schommelde.
Diversiteit in een natuurlijk ecosysteem betekent dat geen enkele soort volledig dominant is. Mevrouw Lalonde Lévesque onderzocht de 100+ verschillende antivirusproducten in het antivirus-ecosysteem en vond een hoge mate van diversiteit. Het dominante product, dat met de grootste geïnstalleerde basis, heeft nooit meer dan 18 procent van de markt geclaimd.
Om de stabiliteit te onderzoeken, beperkte ze eerst de lijst tot computers die in alle vier maanden op MSRT hadden gereageerd. Ze keek naar veranderingen in de antivirusstatus en vond bemoedigende resultaten. Slechts ongeveer 3 procent van de computers met werkende en up-to-date antivirus dreef naar een minder veilige staat, en veel computers in de andere staten verbeterden.
Maar hier is een verrassing. In de loop van de studie schakelde volledig een derde van de computers over naar een andere antivirus. Sommige aanwezigen speculeerden over de mogelijkheid van een scheef resultaat op basis van het verlopen van gratis antivirus op nieuwe computers. Wat de reden ook is, dat is veel verandering.
De laatste stap was om te onderzoeken welke rapportagecomputers door malware werden getroffen, ondanks dat antivirus was geïnstalleerd. Het is niet verrassend dat een laag percentage besmettingen met malware sterk gecorreleerd was met actuele en werkende antivirus. Omgekeerd correleerde een lage stabiliteitsgraad, wat veel verandering betekent in de geïnstalleerde antivirus- of antivirusstatus, sterk met een hogere infectiegraad.
Monocultuur en kudde-immuniteit
De volgende stap was het uitbreken van de gegevens voor elk van de 126 betrokken landen en het matchen van de landelijke gezondheid van het antivirus-ecosysteem met de landelijke infectiegraad. Voor dit deel van de studie keek mevrouw Lalonde Lévesque zowel naar computers die door antivirus werden beschermd als naar computers zonder bescherming.
Sommige landen vertoonden een sombere diversiteitsclassificatie, waarbij één product de meerderheid van alle systemen beschermde. Deze landen vertoonden routinematig een hoger dan gemiddeld infectiegraad, terwijl landen met meer diversiteit een lager percentage hadden. Haar volledige rapport beschrijft hoe ze de statistische significantie van dit resultaat verifieerde. In het antivirus-ecosysteem, zoals in het leven, is monocultuur niet gezond.
Het is niet zo verwonderlijk dat een groter percentage computers met up-to-date functionele antivirus sterk correleert met een lager besmettingspercentage. Als dat niet het geval was, zou er iets heel, heel erg mis zijn. De kicker is, dezelfde correlatie geldt wanneer we kijken naar computers zonder antivirus in hetzelfde land. Het lijkt erop dat hier een soort kudde-immuniteit kan optreden, dus zelfs degenen die afzien van antivirusbescherming hebben er baat bij hun buren volledig gepantserd te hebben.
Dan is er het MSRT-effect. Landen met een hoog besmettingspercentage vertoonden ook een hoog percentage "churn", waarbij veel gebruikers van antivirusproducten wisselden. Zou het kunnen dat het simpele feit van het zien van MSRT malware elimineert, ertoe heeft geleid dat de gebruiker niet tevreden was met de bestaande bescherming en een andere leverancier koos? Dat zou moeilijk te bewijzen zijn, gezien het feit dat er geen computers in het onderzoek zijn die nog nooit MSRT hebben gebruikt.
Slechts één weergave
Mevrouw Lalonde Lévesque deed haar best om erop te wijzen dat de resultaten van dit onderzoek bepaalde beperkingen hebben. Alleen computers die verbinding maakten met het MSRT-systeem, bijvoorbeeld. En infectieresultaten zijn alleen beschikbaar voor de wijdverspreide malwarefamilies die elke maand door Microsoft worden geselecteerd. Bovendien zijn de theorieën over monocultuur en kudde-immuniteit niet de enige verklaringen voor de ontdekte correlaties.
De enorme gegevensverzameling van Microsoft is beschikbaar voor gebruik door gekwalificeerde onderzoekers. Anderen kunnen het onderzoek van Mevr. Lalonde Lévesque uitbreiden of in een geheel andere richting opstijgen. Ik kijk er naar uit om te zien wat ze bedenken.
