比特前一陣子被Cerber的變種虐得不要不要的,
當時每隔幾天就出一個變種,每一個變種都過比特的預設主防.
主防調到最高可以擋住幾個變種,但是有些變種即使擋住,
還是有部分檔案被加密,比特的主防沒有回滾,
不能復原這些檔案.
當時弄得很多人對比特都失去信心了.
這個測試的作者也承認測試有侷限性,
有些防毒的主防是和雲端連動的,例如sonar,
斷網等於主防就廢了,所以根本測不出這種主防的能力,
可是不斷網測又沒辦法單獨測主防,
所以無奈之下只好這樣測,但是這樣測試的結果就不一定能反應真實的情況.
而且防毒的防護能力不是只有主防,而是一個整體,
例如這次的wannacry是由port445利用SMB的漏洞入侵進來的,
沒有SMB的漏洞入侵就沒有後續的感染,
有些防毒的防火牆預設就阻擋外網的445連入,
有些防毒有入侵預防,早就有SMB漏洞入侵的特徵庫,
即使作業統沒有打補丁,入侵預防/防火牆也能先一步阻擋.
所以即使後面的主防沒能測出來,也一點都不重要,
因為真實使用情況,wannacry根本無法主動進來.
有的防毒雖然預設沒有防火牆阻擋,但是有很強大的雲端鑑識,
雖然是未見過的病毒,但是可以由雲端評估先行判斷阻擋.
有些防毒就算防火牆都關了,而且雲端鑑識不突出,
病毒庫更新速度更是緩慢,別人都入庫十幾天了防毒還是掃不出來,
即使看起來這麼恐怖,wannacry還是無法破壞這個系統,
因為這個防毒有強大的自動沙盒系統,
而且別人家不能防的,
這個測起來最差的防毒運用自動沙盒還通通都能防,
幾乎不會失守.
這個測試可以告訴我們,在半年前的時候,
各家主防對於wannacry的主動防禦成果,
但這是半年前的結果,經過了半年,各家主防更新以後結果是否再有變化,
我們不得而知,而且有些主防斷網後完全無法測試出實力,
所以這些主防到底能不能攔下,我們也不得而知.
我並不是要說比特不好,事實上比特是最好的幾個防毒之一,
真的是最好的選擇之一,這篇回文的主要目的是要釐清測試的侷限性,
理解和如何運用從這個測試中獲得的資訊.