вредоносного программного обеспечения. В сущности, жесткий набор методов, которые нужно постоянно обновлять и менять, аналогичен сигнатурному методу программ-антивирусов. Но только если база данных по вирусам может обновляться сколь угодно часто, то постоянно менять правила работы сотрудников – вряд ли удачное решение.
У системы предотвращения вторжений IPS есть свой плюс: это хорошая технология для защиты от атак хакеров и бесфайловых вирусов, но IPS неприменима для обнаружения других типов вредоносного программного обеспечения и требует обновления сигнатур атак. Однако эта технология отлично себя зарекомендовала в продуктах для защиты рабочих станций и интернет-шлюзов.
Защита от переполнения буфера на 100 % предотвращает ущерб от вредоносного программного обеспечения, использующего уязвимость «переполнение буфера». Она не требует обновления, здесь практически исключены ложные срабатывания, но ее нельзя использовать для обнаружения других типов вредоносного программного обеспечения. Все современные процессоры поддерживают эту технологию на аппаратном уровне. Она востребована для защиты рабочих станций, интернет-шлюзов и других серверов, которые имеют прямой выход в Интернет.
Поведенческие блокираторы имеют довольно высокий уровень обнаружения (до 60–70 %) и могут обнаруживать любой тип вредоносного программного обеспечения, не требуя больших затрат процессорного времени и других ресурсов. Однако у них бывают ложные срабатывания, так как существует много программ, похожих по своим действиям на вирусы. Поведенческие блокираторы задают много вопросов пользователям с просьбой принимать решения, и для них требуется иметь функцию «откат» (восстановление изменений, сделанных обнаруженным вредоносным кодом, до момента детектирования на этапе сбора информации). Они применимы только на рабочих станциях, когда возможно исполнение подозрительной программы. На почтовых, файловых серверах и шлюзах подозрительные программы не должны запускаться в принципе, и поведенческий блокиратор не будет востребован там, где идет постоянный трафик. На основании различной статистики и анализа почтовых сообщений можно остановить эпидемию в самом начале. Один из признаков опасности – массовая рассылка или прием одинаковых вложений, одинаковых писем с различными вложениями, наличие двойного расширения у вложений.
Кооперация. Проактивные методы часто противопоставляют сигнатурным. У тех и у других есть свои плюсы и минусы. В табл. 1 можно увидеть сравнение этих методов. Ни одна из технологий отдельно не дает оптимального уровня обнаружения вредоносных программ без ложных срабатываний. Лишь комплексный подход и объединение различных технологий дадут необходимый результат. Поэтому нужно строить антивирусную защиту не по принципу «сигнатуры или поведенческий блокиратор», а по системе «сигнатуры и поведенческий блокиратор».
Таблица 1
