Ochrona antywirusowa: ewolucja i metody

Przeczytaj także: Panda Malware Radar

Podsumowując, im bardziej złożony jest system analityczny, tym silniejsza ochrona antywirusowa. Jednak większa złożoność oznacza większą liczbę fałszywych trafień, co można zrekompensować większą ilością danych wprowadzanych przez użytkownika.

Opisany wyżej model teoretycznie ułatwia ocenę wad i zalet każdej technologii. Weźmy przykład emulatora ze złożonym komponentem analitycznym. Ta forma ochrony jest bardzo bezpieczna (ponieważ nie wymaga uruchomienia skanowanego pliku), jednak pewien odsetek szkodliwych programów zostanie niewykryty, albo na skutek sztuczek wykorzystywanych przez szkodliwy kod w celu "przechytrzenia" emulatora, albo z powodu nieuniknionych błędów w samym emulatorze. Jednak, ten rodzaj ochrony posiada duży potencjał i jeżeli zostanie ostrożnie zaimplementowany, będzie wykrywał - co prawda wolno - spory odsetek nieznanych szkodliwych programów.

Jak wybrać ochronę nieopartą na sygnaturach?

Obecnie większość rozwiązań bezpieczeństwa łączy w sobie kilka różnych technologii. Klasyczne programy antywirusowe często wykorzystują wykrywanie oparte na sygnaturach w połączeniu z pewną formą monitorowania zdarzeń systemowych, emulatora oraz piaskownicy. Tak więc, na co zdaniem Kaspersky Lab należy zwracać uwagę, wybierając ochronę, która najlepiej odpowiada określonym potrzebom?

Po pierwsze, należy pamiętać, że nie istnieje żadne uniwersalne czy 'najlepsze' rozwiązanie. Każda technologia posiada zarówno zalety jak i wady. Na przykład, monitorowanie zdarzeń systemowych ciągle zabiera dużo czasu procesora, jest to jednak najtrudniejsza metoda do przechytrzenia. Szkodliwe programy mogą obejść proces emulacji poprzez użycie pewnych poleceń w swoim kodzie, jeżeli jednak polecenia te zostaną wykorzystane, szkodliwy kod zostanie wykryty w sposób nienaruszający system. Ponadto proste reguły podejmowania decyzji wymagają zbyt dużo danych wprowadzanych przez użytkownika, który musi odpowiedzieć na wiele pytań, podczas gdy bardziej złożone reguły podejmowania decyzji, które nie wymagają tak wiele danych wprowadzanych przez użytkownika, prowadzą do wielu fałszywych trafień.

Wybierając technologię tak naprawdę wybieramy złoty środek, tzn. decydujemy się na rozwiązanie biorąc pod uwagę określone wymagania oraz warunki. Na przykład osoby, które pracują w warunkach sprzyjających zagrożeniom (niezałatany system, brak restrykcji dotyczących używania dodatków do przeglądarki, skryptów itd.) będą bardzo zainteresowane kwestią bezpieczeństwa i będą posiadały wystarczające zasoby do zaimplementowania odpowiednich środków bezpieczeństwa. Najodpowiedniejszy dla tego rodzaju użytkownika będzie system typu piaskownica z wysokiej jakości komponentem analitycznym. Ten rodzaj systemu oferuje maksymalne bezpieczeństwo, jednak biorąc pod uwagę obecne warunki, zajmie zbyt dużo pamięci RAM oraz czasu procesora, co mogłoby spowolnić działanie systemu operacyjnego poniżej akceptowalnych poziomów. Z drugiej strony, ekspertowi, który chce kontrolować wszystkie krytyczne zdarzenia systemu i zabezpieczyć się przed nieznanymi szkodliwymi programami, wystarczy monitor systemu w czasie rzeczywistym. Ten rodzaj systemu działa stabilnie, nie przeciążając jednak systemu operacyjnego, i wymaga danych wprowadzanych przez użytkownika w celu utworzenia reguł i wyjątków. Ponadto, dla użytkownika, który posiada ograniczone zasoby lub nie chce obciążać systemu ciągłym monitorowaniem, ale chce posiadać opcję tworzenia reguł, najlepsza będzie prosta heurystyka. W końcu wysokiej jakości wykrywanie szkodliwych programów zapewnia nie pojedynczy komponent, ale rozwiązanie bezpieczeństwa jako całość. Złożona metoda podejmowania decyzji może zrekompensować prostsze technologie.

Systemy nie oparte na sygnaturach, wykorzystywane do wykrywania nieznanego wcześniej szkodliwego oprogramowania, można podzielić na dwie kategorie. Pierwsza z nich obejmuje samodzielne systemy HIPS, takie jak Prevx czy Cyberhawk. Do drugiej grupy należą czołowe produkty antywirusowe, które, ewoluując w kierunku większej skuteczności, zaczęły wykorzystywać technologie nieopierające się na sygnaturach. Zalety zarówno jednych jak i drugich są oczywiste: pierwsza kategoria oferuje wysoce wyspecjalizowane rozwiązanie posiadające nieograniczony potencjał jeżeli chodzi o poprawę jakości. Druga wykorzystuje bogate doświadczenie nabyte podczas toczonej na wielu frontach walki ze szkodliwymi programami.

Wybierając nowy produkt, powinniśmy zaufać własnym doświadczeniom oraz wynikom niezależnych testów.