Следите за новостями

Цифра дня

250 МВт составит мощность новой ветровой электростанци близ Атырау

    Можно ли отказаться от антивирусной защиты на конечных точках?

    New! Ни один антивирус, пусть даже со скоростью обновления несколько десятков раз в час или сверхкомплексной эвристикой, не может поддерживать приемлемый уровень безопасности. Назрела необходимость в принципиально новых подходах

    12 декабря 2012 13:49, Computerworld.kz
    Рубрики: Мир

    Начиная с 1980-х гг., когда появились антивирусы, они позиционировались как основное средство защиты компьютеров от вредоносного кода и различных хакерских атак. Основной упор делался на полноту антивирусной базы и количество уникальных сигнатур вирусов, которые она могла распознать. По мере развития рынка IТ и широкого использования компьютеров во всех областях жизни количество вредоносного кода развивалось опережающими темпами, и в попытках догнать непрерывно растущее количество вирусов компании-производители антивирусного ПО предпринимали попытки либо компенсировать неполноту антивирусных баз дополнительными эвристическими анализаторами (защищенная область памяти для эмуляции кода, так называемая песочница; проприетарные эвристические алгоритмы с минимально раскрытой информацией), либо догнать вирусописателей путем бесконтрольного выпуска антивирусных обновлений. Обе тенденции имеют место и по сей день. И обе, что печально, не обеспечивают по-настоящему полной защиты.

    Новые подходы

    Согласно последней информации от аналитиков исследовательской лаборатории McAfee, количество уникальных в нее обращений превысило 100 млрд/мес. Из этого становится очевидно, что ни один антивирус, пусть даже со скоростью обновления несколько десятков раз в час или сверхкомплексной эвристикой, не может более поддерживать приемлемый уровень безопасности. Назрела необходимость в принципиально новых подходах, особенно из-за того, что некоторые системы по своей специфике не могут непрерывно обновляться либо из-за риска снятия с гарантии, либо из-за низкой пропускной способности сетевых каналов связи, либо в силу своей критичности для бизнеса/здоровья/государства (банкоматы, киоски, кассовые терминалы, медицинское оборудование, системы промышленной автоматики и пр.).

    Для перечисленного класса систем сейчас стало не только актуально, но и возможно произвести частичный или полный отказ от антивируса за счет обеспечения нескольких ключевых принципов:

    - контроль изменений всех системных объектов, начиная от файлов ОС и заканчивая библиотеками драйверов либо системным реестром;

    - проверка всех запускаемых кодов на соответствие исходному образу (так называемый динамический белый список).

    В случае запуска исполняемого кода, не принадлежащего динамическому белому списку, попытка блокируется;

    - защита памяти для разрешенного ПО с целью предотвращения возможности проникновения или заражения за счет атак переполнения буфера обмена;

    - возможность в режиме реального времени осуществить запрос глобальной базы знаний по вирусам, угрозам и уязвимостям с целью оценить степень риска от активности того или иного кода в рамках ОС.

    При соблюдении данных условий на системах, на которых работа антивируса невозможна по ряду перечисленных причин, отказ от антивирусного пакета возможен без компромиссов с безопасностью.