Está testando cada definição de antivírus antes da implantação ser viável?

Não deve haver muita dificuldade em configurar um ambiente de teste que obtenha as definições primeiro (por uma hora ou o que for possível com o seu fornecedor de antivírus) e qualquer alerta AV gerado interrompa a implantação em toda a empresa até que alguém o confirme. / p>

Configurar isso para testes manuais está fadado ao fracasso, como alguém disse, devido ao tédio, não porque não é possível.

Mas apenas para incluir alguma perspectiva no "debate", ao falar do Windows, mudar para algo como Políticas de Restrição de Software ou no Windows 7/2008 R2, a versão muito melhor chamada AppLocker - é preciso uma abordagem mais madura de permitir programas especificados para executar, e não o contrário ...

... você também pode fazer isso com certificados de código, por isso todos os aplicativos da Microsoft são permitidos, e aplicativos desenvolvidos internamente são permitidos - sem precisar especificar executáveis individuais.

Quando adequadamente implementado, nenhum software antivírus é necessário.

Não consigo pensar em nenhum firewall hoje que comece com "permitir tudo, exceto tráfego malicioso especificado". A menos que alguém tenha feito um trabalho ruim, todos eles "bloqueiam tudo, exceto o tráfego especificamente permitido".

Usando o próprio servidor de gerenciamento de cliente AV da ePo (ePolicy Orchestrator) da McAfee, você pode fazer exatamente isso - com uma combinação de agendamento ao baixar os Dats da McAfee e configurar suas máquinas de teste para obter as atualizações antes da população geral os dats por um dia ou 2 antes de implantá-los. Eu imagino que a maioria das soluções AV "corporativas" terão mecanismos semelhantes.

Eu tenho 2 problemas com isso, no entanto:

1) Você vai ficar entediado - 1 único dodgey dat fora de vários milhares em que 5-6 anos?
Tudo se resume a uma simples equação de custo-benefício - se as centenas de "horas-homem" de testes a cada ano custam menos do que a perda de lucro causada por uma perda de serviço de uma atualização desonesta (Coles Supermakets por exemplo), então, é claro, faça isso

2) Mais importante, é realmente muito importante obter novas definições para seus usuários o mais rápido possível. Ilustrar; Na semana passada recebi uma unidade USB infectada com um malware do tipo Autorun - isso não estava no dat atual e foi detectado com o conjunto de definições dos dias seguintes (eu só detectei isso porque estava usando um Mac e vi a suspeita arquivos).

Fundamentalmente, a McAfee nunca deveria ter lançado um DAT que tivesse um falso positivo de um arquivo de sistema do Windows! Pagamos à McAfee uma quantia significativa de dinheiro todos os anos e esperamos que seu controle de qualidade seja melhor do que isso!

--- Editar ----

Como um aparte, alguém mais pensou nisso xkcd quando viu caixas registradoras rodando software AV ...

A coisa a lembrar é que, quanto mais você esperar para implantar as definições, mais longa será a oportunidade de novas infecções.

O fornecedor de antivírus deve testar as coisas e a McAfee reconheceu que eles erraram os testes internos.

Para que você possa testá-lo, você precisa ter um ambiente simulado que esteja executando uma máquina de cada uma das suas implantações com a instalação exata da dll, combinações de aplicativos, combinações de atualizações, etc.

... então basicamente você provavelmente não tem uma garantia de que você vai pegar casos de borda.

MAS você pode controlar o efeito usando backups. Você pode não ser capaz de impedir que desastres aconteçam, mas você pode controlar o resultado; ter backups disponíveis significa que você pode recuperá-los on-line e on-line, e poderá reverter as alterações (em geral, o último problema da McAfee foi um golpe de sorte que tirou o Windows dessa vez, mas quando as pessoas souberam o motivo pelo menos o arquivo poderia ser copiado com um disco de boot do Linux a partir do som dele ...)

Então, no final, você está pedindo para duplicar muito trabalho, com pouco retorno, para os usuários. Seria melhor certificar-se de manter backups periódicos para poder restaurar seus sistemas de usuários e proteger seus dados.

Se você confiar principalmente na detecção heurística em vez de em assinaturas, haverá menos atualizações. Portanto, há menos atualizações para testar. Eu gostaria de pensar que estamos nos movendo lentamente nessa direção.

Com essa detecção básica de heurística, você tem mais tempo para testar as atualizações. E você pode facilmente executar essas atualizações em uma integração contínua ou construir um servidor como os desenvolvedores. No entanto, isso exigiria bastante infraestrutura, especialmente se você estiver testando todas as configurações possíveis em execução em sua empresa.

Você poderia criar um subconjunto, digamos 10% de forma muito mais frequente. Se o seu telefone começar a tocar, pelo menos apenas 10% dos seus computadores estão com problemas. Usamos esse método para implantar atualizações do Windows, faríamos 10% por dois dias e depois o restante dos computadores. Você também pode encontrar um fornecedor de antivírus que tenha uma reputação melhor ao não limpar seus sistemas.