Nowe metody walki z wirusami. Czy skazani jesteśmy na ciągłe pobieranie nowych definicji?
W ciągu ostatnich kilku lat liczba zagrożeń występujących w sieci drastycznie się zwiększyła. Według najnowszych raportów w roku 2007 zaobserwowano największą liczbę zagrożeń w sieci, a producenci oprogramowania antywirusowego informują o wykrywaniu nawet 5000 nowych szkodliwych programów dziennie.
Konwencjonalne zabezpieczenia przed szkodliwym oprogramowaniem wymagają gromadzenia jego próbek, opracowywania „wzorców”, a następnie szybkiego udostępnienia użytkownikom „plików z wzorcami”. Ponieważ rodzaje szkodliwych programów oraz ich liczba są coraz większe, samoreplikujący się kod w wielu przypadkach ulega także samomodyfikacji w takim stopniu, że nie może zostać zdefiniowany przez ciąg znajdujący się w próbce. Większość niereplikującego się kodu jest usuwana z obiegu w ciągu kilku minut (wkrótce będzie to kilka sekund). Według Davida Perry’ego, dyrektora ds. szkoleń w firmie Trend Micro „te fakty stanowią jasny dowód podjęcia środków zaradczych przeciwko branży rozwiązań antywirusowych. Widać stąd, że cyberprzestępcy działają obecnie we własnej, świetnie prosperującej branży”.
Ponieważ większość zagrożeń internetowych to jednak ataki mieszane i wprawdzie można gromadzić pojedyncze próbki szkodliwych programów, to obecnie o wiele trudniej jest wykryć całe rozwiązanie stanowiące zagrożenie w sieci. Ponadto ogromna (i cały czas rosnąca) liczba wariantów szkodliwego oprogramowania wykorzystuje różne metody przesyłania informacji (np. spam, komunikatory i serwisy internetowe), co sprawia, że standardowy proces gromadzenia próbek, tworzenia wzorców oraz ich wdrażania jest niewystarczający.
Problemy związane z wdrażaniem zabezpieczeń
Branża zabezpieczeń z początku reagowała na rosnącą liczbę szkodliwego oprogramowania poprzez częstsze aktualizacje programów zabezpieczających. Niektórzy producenci przeszli z aktualizacji cotygodniowych na codzienne lub nawet na udostępniane nowych plików z wzorcami co pół godziny. Ilość aktualizacji wpłynęła w znacznym stopniu na zasoby systemowe i sieciowe wymagane do zarządzania pobieraniem tych plików, co w wielu przypadkach prowadziło do powstawania problemów z wydajnością oraz było źródłem dużych kosztów.
Wystarczy wyobrazić sobie na przykład przepustowość wymaganą do pobierania częstych aktualizacji na komputery użytkowników w przedsiębiorstwie zatrudniającym 250 000 pracowników na całym świecie. Wdrożenie jednej aktualizacji pliku z wzorcem w całym przedsiębiorstwie wymaga co najmniej pięciu godzin, a niektóre firmy otrzymują aktualizacje nawet osiem razy dziennie w celu zapewniania najbardziej aktualnej ochrony przed zagrożeniami internetowymi.
Ponadto wiele dużych firm testuje pliki z wzorcami w laboratorium lub w kontrolowanym środowisku przed udostępnieniem ich w całej sieci. Ponieważ aktualizacji jest coraz więcej, administratorzy sieci poświęcają więcej czasu na zarządzanie nimi. Dodatkowo pracownicy zdalni lub mobilni są szczególnie narażeni na ataki, gdyż mogą nie otrzymywać plików z wzorcami przez kilka godzin lub dni, w zależności od tego, jak długo nie są zalogowani do sieci firmy. Oczywiście ciągłe wprowadzanie tak wielu aktualizacji plików z wzorcami nie może trwać długo.
„O dziwo największy problem po stronie klienta dotyczący aktualizacji nie ma nic wspólnego ze zdolnością blokowania i usuwania skutków zagrożeń przez pliki z wzorcami. Najgorsze jest to, że biorąc pod uwagę obecny gwałtowny wzrost liczby szkodliwych programów, przed którymi należy się chronić, rozmiar plików oraz częstotliwość aktualizacji staje się większym problemem niż samo szkodliwe oprogramowanie. Aktualizacje plików z wzorcami są tak duże i częste, że — szczególnie w przypadku instalacji w dużych przedsiębiorstwach — powodują one zbyt duży ruch sieciowy” — powiedział Perry.
Co kryje przyszłość
Według Davida Perry’ego „dylemat dotyczący plików z wzorcami nie jest zależny od konkretnego producenta oprogramowania; jest to raczej problem dotyczący całej branży”. Niektórzy producenci przeniosą funkcje wykrywania poza sieci lokalne. Na przykład firma Trend Micro uruchomiła niedawno Trend Micro Smart Protection Network — internetową infrastrukturę kliencką (cloud client) do zabezpieczania treści, która blokuje najnowsze zagrożenia, zanim dotrą one do komputera użytkownika lub sieci firmowej. Dzięki możliwości porównania adresów URL, wiadomości e-mail oraz plików z informacjami o zagrożeniach zapisanymi w bazach danych w Internecie klienci mają dostęp do stałych aktualizacji z każdego miejsca, z którego się połączą — z domu, za pośrednictwem sieci firmowej lub w czasie podróży.
Technologie instalowane poza siecią lokalną (in-the-cloud), takie jak Smart Protection Network, są najlepszym sposobem na rozwiązanie problemów dotyczących wdrażania plików z wzorcami. Dzięki funkcji oceny reputacji serwisów internetowych, skanowania i technologii korelacji firmy są mniej zależne od tradycyjnej metody pobierania plików z wzorcami i mogą wyeliminować opóźnienia pojawiające się powszechnie w procesie aktualizacji oprogramowania na komputerach. Przedsiębiorstwa odnoszą korzyści ze zwiększonej przepustowości sieci, zwiększonej mocy obliczeniowej oraz związanych z tym oszczędności.
Inni dostawcy mogą opracować dodatkowe rozwiązania opcjonalne, aby rozwiązać problem plików z wzorcami. Może to być na przykład przetwarzanie rozproszone lub aplikacje, które przejmą część obciążenia procesami ochrony. Niemal każdy system przeciwdziałania szkodliwemu oprogramowaniu lub ochrony treści internetowych bez wątpienia będzie mieć jeden element ochrony — pliki z wzorcami!
Pliki z wzorcami?
Przepraszam? Tak, pliki z wzorcami będą w dalszym ciągu istotne, ponieważ niektóre zagrożenia zawsze będą musiały zostać pozytywnie zidentyfikowane. Niektóre systemy wykrywania będą musiały odwoływać się do internetowych usług usuwania skutków ataku. Inne elementy będą wymagać aktualizacji w celu ochrony przed ustawicznie zmieniającymi się zagrożeniami. Aktualizacje plików z wzorcami będą prawdopodobnie mieć mniejsze znaczenie, lecz zawsze pozostaną ważnym elementem kompleksowej strategii ochrony przed zagrożeniami internetowymi. A zatem aktualizacje plików z wzorcami mogą się okazać niewystarczające jako jedyne źródło ochrony, lecz z pewnością przetrwają jako część złożonego systemu zabezpieczeń przed zagrożeniami internetowymi!
Komentarze
2W momencie instalacji oprogramowania sprawdzamy podpis dla aplikacji i soft działa bez dodatkowego obciązenia, a każdy program musi być wpisany do bazy w systemie operacyjnym i spokój ...