Spør eksperten

SearchSecurity ekspert Michael Cobb står klar til å svare på spørsmål om bedriften applikasjonssikkerhet og plattform sikkerhet. Send inn ditt spørsmål via e-post. (Alle spørsmål er anonyme.)

Content-Agnostic Malware Protection (CAMP) er den nyeste sikkerhetsfunksjon som Google Inc. har lagt til sin Chrome nettleser. Ment å bekjempe dynamikken i moderne malware, CAMP for Chrome som mål å hindre brukere fra å laste ned skadelige filer ved å evaluere sannsynligheten for at en fil er skadelig. Det er et rykte-basert metode for påvisning av potensielt skadelig kode, som Google håper vil bygge bro over gapet mellom hviteliste og svarteliste deteksjonssystemer.

Svartelisting, et felles trekk ved de fleste antimalware suiter, innebærer en konstant kamp for å holde signatur og URL lister oppdatert, som hackere stadig endre hosting domener og mutere deres malware binærfiler til AV programvare ikke lenger kan oppdage dem. Brukerne er eksponert under oppdateringen intervall på svartelister, spesielt nå som det er en overflod av dynamiske DNS-leverandører som lar angripere ofte rotere domener. Hvitlisting, hvor kun kjent og lov programvare er lov til å kjøre, er en sikrere metode, men det er ikke det mest praktiske gitt det store antallet programmer som brukes i en bedrift, alle blir oppdatert og lappet på en jevnlig basis.

CAMP består av en klient komponenten innebygd i Google Chrome og en server komponent. CAMP bruker Googles Safe Browsing API for å sjekke nedlastinger mot både en lokal svarteliste og hviteliste over klarerte domener og klarert binære skrev. Hvis det ikke blir funnet, er visse opplysninger om den binære sendt til CAMP server, som beregner et rykte avgjørelse. Nedlastingen anses godartet, ondsinnet eller ukjent; de to sistnevnte betegnelser generere en advarsel om nedlasting og et tilbud om å slette den nedlastede filen. Ifølge Google er ukjent rykte tilsynelatende en god prediktor for skadelige nedlastinger.

Selv om CAMP bare kontakter CAMP service for ca 30% av binære nedlastinger, sende data til skyen for analyse kan ha personvernet, slik at bare funksjoner beregnet fra det binære, ikke den binære i seg selv, blir sendt. Bruken av klientdelen i stedet for en ekstern server for noen oppgaver er en viktig forskjell mellom CAMP og Microsofts Smartscreen-teknologi. Sistnevnte brukes i Windows 8 og Internet Explorer for å beskytte brukeren og systemet fra skadelige nedlastinger og koblinger.

CAMP for Chrome er bygget for å målrette brukerinitierte nedlastinger, ikke de som er installert via nettleseren utnytter i drive-by laste angrep der malware er installert i bakgrunnen uten brukerens viten. Logikken bak denne tilnærmingen er at automatiserte leserens utnyttelser har blitt vanskeligere å gjennomføre, med angripere for tiden fokuserer mer av sin oppmerksomhet på å bruke social engineering teknikker for å lure brukere til å laste ned malware selv. Som et resultat, bedrifter trenger andre tiltak utover CAMP å fange malware som utnytter sårbarheter i nettleseren eller leverer dem via malware-infiserte vedlegg.

Er Content-Agnostic Malware Protection deteksjon priser bedre, og har Chrome sikkerhet passert andre nettlesere? Det avhenger veldig mye på hvilken rapport du leser. Google hevder at CAMP hell oppdager 99% av malware, og slår fast at det kombinerte lokal-klient og server-side beskyttelsessystem gir bedre resultater enn fire ledende antivirusprodukter. Men en fersk rapport fra NSS Labs sier Internet Explorer 10 brukere er langt mindre sannsynlig at lider malware infeksjoner mens nettsurfing i forhold til brukere av Chrome, Safari, Firefox og Opera.

Hovedkonklusjonen å ta unna all disse rapportene er at nettleserleverandørene tar brukeren sikkerhet svært alvorlig, noe som bare kan gjøre nettsurfing tryggere. Anmeldelser