10.12.2012

Можно ли отказаться от антивирусной защиты на конечных точках?

Источник: InformationSecyrity
Начиная с 1980-х гг., когда появились антивирусы, они позиционировались как основное средство защиты компьютеров от вредоносного кода и различных хакерских атак. Основной упор делался на полноту антивирусной базы и количество уникальных сигнатур вирусов, которые она могла распознать. По мере развития рынка IТ и широкого использования компьютеров во всех областях жизни количество вредоносного кода развивалось опережающими темпами, и в попытках догнать непрерывно растущее количество вирусов компании-производители антивирусного ПО предпринимали попытки либо компенсировать неполноту антивирусных баз дополнительными эвристическими анализаторами (защищенная область памяти для эмуляции кода, так называемая песочница; проприетарные эвристические алгоритмы с минимально раскрытой информацией), либо догнать вирусописателей путем бесконтрольного выпуска антивирусных обновлений. Обе тенденции имеют место и по сей день. И обе, что печально, не обеспечивают по-настоящему полной защиты.

Новые подходы
Согласно последней информации от аналитиков исследовательской лаборатории McAfee, количество уникальных в нее обращений превысило 100 млрд/мес. Из этого становится очевидно, что ни один антивирус, пусть даже со скоростью обновления несколько десятков раз в час или сверхкомплексной эвристикой, не может более поддерживать приемлемый уровень безопасности. Назрела необходимость в принципиально новых подходах, особенно из-за того, что некоторые системы по своей специфике не могут непрерывно обновляться либо из-за риска снятия с гарантии, либо из-за низкой пропускной способности сетевых каналов связи, либо в силу своей критичности для бизнеса/здоровья/государства (банкоматы, киоски, кассовые терминалы, медицинское оборудование, системы промышленной автоматики и пр.).

Для перечисленного класса систем сейчас стало не только актуально, но и возможно произвести частичный или полный отказ от антивируса за счет обеспечения нескольких ключевых принципов:
- контроль изменений всех системных объектов, начиная от файлов ОС и заканчивая библиотеками драйверов либо системным реестром;
- проверка всех запускаемых кодов на соответствие исходному образу (так называемый динамический белый список).

В случае запуска исполняемого кода, не принадлежащего динамическому белому списку, попытка блокируется;
- защита памяти для разрешенного ПО с целью предотвращения возможности проникновения или заражения за счет атак переполнения буфера обмена;
- возможность в режиме реального времени осуществить запрос глобальной базы знаний по вирусам, угрозам и уязвимостям с целью оценить степень риска от активности того или иного кода в рамках ОС.

При соблюдении данных условий на системах, на которых работа антивируса невозможна по ряду перечисленных причин, отказ от антивирусного пакета возможен без компромиссов с безопасностью.

Комментарии

  • Facebook
  • Вконтакте

Это может быть интересно