Международные основы и стандарты информационной безопасности финансово-экономических систем
справляются отлично, для этого используя сигнатурный поиск. Главная проблема в том, что вирусов становится все больше, и новые появляются буквально каждый час. Для обнаружения новых экземпляров нужно использовать эвристические анализаторы, которые пытаются эмулировать действие программы и понять, осуществляет ли она вредоносные действия. Generic – детектирование, основанное на анализе кода уже известных версий «червей» и поиске аналогичных функций в иных файлах, позволяет обнаруживать похожие, однотипные вирусы. Но все это по отдельности не помогает полностью защититься от вредоносного программного обеспечения. Комплексно это может сделать система проактивной защиты.
Проактивная защита. Проактивная защита дает возможность обнаружить вредоносное программное обеспечение, созданное после системы проактивной защиты. Другими словами, проактивная защита создана, чтобы обнаруживать еще неизвестное вредоносное программное обеспечение. По оценке специалистов, существует шесть инструментов проактивной защиты. Это эвристический анализатор, безопасность на основе политик, система обнаружения вторжений Intrusion Prevention System (IPS), защита от переполнения буфера (Buffer Overrun Protection), поведенческие блокираторы и статистические методы. Эвристический анализатор – известная и хорошо зарекомендовавшая себя технология, не требующая частого обновления. Но, к сожалению, такие системы обнаруживают всего 25–30 % вирусов и при этом высок показатель ложных срабатываний при повышении уровня детектирования. Это похоже на работу радиолокатора. Можно сделать его настолько чувствительным, что он будет обнаруживать помимо опасных объектов и все остальное, но это не даст возможности выявить опасность. Кроме того, эвристические анализаторы требуют больших затрат процессорного времени.
Политика безопасности может быть использована в любой компании. Грамотная политика позволяет практически без финансовых затрат в несколько раз снизить риски информационных угроз, она не зависит от типа используемого оборудования и программного обеспечения. Можно запретить сотрудникам открывать вложения в письмах, ограничивать доступ к электронной почте и интернет-сайтам и т. д. Однако при этом подходе невозможно подсчитать уровень обнаружения вредоносного программного обеспечения. В сущности, жесткий набор методов, которые нужно постоянно обновлять и менять, аналогичен сигнатурному методу программ-антивирусов. Но только если база данных по вирусам может обновляться сколь угодно часто, то постоянно менять правила работы сотрудников – вряд ли удачное решение.
У системы предотвращения вторжений IPS есть свой плюс: это хорошая технология для защиты от атак хакеров и бесфайловых вирусов, но IPS неприменима для обнаружения других типов вредоносного программного обеспечения и требует обновления сигнатур атак. Однако эта технология отлично себя зарекомендовала в продуктах для защиты рабочих станций и интернет-шлюзов.
Защита