Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах Пользователи Компании Лента заказов Курс по ITSM

Антивирусное ПО не справляется с задачей?

Антивирусное ПО не справляется с задачей?

Существует мнение, что антивирусное программное обеспечение в том виде, в каком оно присутствует на рынке сегодня, совершенно не справляется с поставленной задачей. Ориентируясь исключительно на анализ сигнатур вредоносного программного обеспечения, даже самое дорогое ПО оказывается бессильно против современных масштабов вирусной угрозы. Правда, участники рынка продолжают его активно использовать. Где тут подвох, и чего на самом деле стоит опасаться, прокомментировал Саймон Эдвардс (Simon Edwards), руководитель AntiMalware Testing Standards Organization.

Среди многих ИТ-специалистов и экспертов в области сетевой безопасности распространено мнение, что сама по себе отрасль антивирусного программного обеспечения слишком медленно реагирует на появление новых угроз. Подавляющее большинство распространенных продуктов ищет вирусы с помощью сравнения содержания файлов с базой известного вредоносного кода. Таким образом, прежде чем новый программный модуль будет «пойман» на компьютере пользователя, потребуется достаточно много времени на то, чтобы его обнаружили и проанализировали специалисты, пополняющие базу вредоносного кода. Кроме того, установленная копия антивируса должна успеть обновиться. Более того, с развитием технологий появились вирусы, которые просто так не «подаются» подобной модели. Во время заражения новых файлов, такие вирусы создают свои метаморфические копии, «скрывая» свое присутствие от антивируса. Бороться с такими системами можно было бы, применяя различные варианты эвристического анализа. Но попытки «предсказать» поведение кода всегда приводят к повышению частоты ложных срабатываний, что может понравиться специалистам по сетевой безопасности, но никак не устраивает конечных пользователей антивирусов, не знакомых с деталями технологии.

Но давайте взглянем не на недостатки, а на преимущества. Сегодня «классический» антивирус – это не просто сканер файлов. Подобное ПО выполняет гораздо больше функций, помимо удаления файлов и фрагментов кода, соответствующих сигнатурам из базы. Как считает Саймон Эдвардс, в определенной степени и эти сложные комплексы тоже можно назвать «нерасторопными». Как и вредоносное программное обеспечение, другие типы угроз постоянно меняются. Однако далеко не все преступники планируют атаки с самого низкого логического уровня; большинство злоумышленников пользуются автоматизированными инструментами, оставляющими свои следы. И это дает «антивирусу» дополнительный шанс на успех. Таким образом, несмотря на проблемы развития антивирусного ПО, его все же следует использовать в качестве дополнительной меры безопасности.

А основной мерой должно стать информирование пользователей о том, в каком виде они могут столкнуться с угрозой. Только так можно защититься от наиболее актуальных угроз, к числу которых Саймон Эдвардс в первую очередь относит целевую направленность атак, значительно повышающую время их обнаружения. В качестве пояснения своей мысли, специалист приводит два весьма распространенных сценария:

·         в первом случае злоумышленник нападает на популярный сайт, внедряя в него вредоносное программное обеспечение, которое заражает компьютеры пользователей, обращающихся к ресурсу, и крадет данные их банковских счетов;

·         во втором случае злоумышленник направляет работающим в определенной сфере промышленности топ-менеджерам письма, содержащие ссылку на инфицированный сайт, не известный широкой общественности. Теоретически такой сайт может быть даже не проиндексирован поисковыми системами.

В первом варианте сценария количество инфицированных компьютеров будет огромным. Но столь широкое распространение угрозы повышает вероятность, что один из зараженных компьютеров передаст информацию о новом вирусе в антивирусную лабораторию. Таким образом, спустя достаточно короткое время сигнатура проанализированного вредоносного ПО уже попадет в базы, а владельцы сайта предпримут меры для защиты посетителей. Время жизни этой угрозы минимально (как и финансовые потери, учитывая разрозненность аудитории), в отличие от второго примера. Поскольку в этом случае воздействию злоумышленников подвергается очень ограниченная аудитория, вредоносное ПО окажется в поле зрения специалистов по безопасности не скоро, если вообще когда-либо будет зафиксировано. Узкая целевая аудитория ведет не только к сложностям с обнаружением, но и к росту финансовых потерь.

Таким образом, к антивирусному программному обеспечению следует относиться, как к прививке от некого типа болезней, не исключающей необходимость профилактики от других заболеваний.

По материалам TechRepublic

Дополнительные материалы:

Комментарии (2)

  • Аватар

    Безгуб Михаил Владимирович [SvoiLudi], 04 марта 2013, 13:41

    0

    либо уходить в линукс, либо как-то так:

    Настройка Windows для более безопасного интернета (неоконченная статья Видео).

  • Аватар

    Демченко Александр [Darkman], 04 марта 2013, 13:50

    0

    Родители сидят в Одноклассниках и постоянно что-то подхватывали, мучался, забил, поставил Убунту и уже год полет без вирусов.

    А так да, вирусы бывает достают. Недавно только юзер поймал вымогателя, что не один антивирусник в упор не видит, пришлось самому выкорчевывать. Да и на днях знакомый бук приволок, там вымогатель в буте сидел и окно выкидывал еще до загрузки системы.

    А по скорости реакции, сам если что-то нахожу что другие не находят, то отправляю на поддержку Каспера и обычно уже на следующий день он уже видит вредоноса.