- W i r u s P C - polskie centrum antywirusowe - Wszystko o ochronie proaktywnej

Bądź na bieżąco! Kanały RSS

Artykuły

Wszystko o ochronie proaktywnej

Coraz większa liczba przypadków epidemii wirusów, spektakularne ataki hakerów, próby oszustw sieciowych, programy spyware - wszystkie te zagrożenia przyczyniają się do wzrostu zapotrzebowania na systemy antywirusowe. Na rynku dostępnych jest wiele rozwiązań antywirusowych. Jak wybrać najlepszy z nich? Który program antywirusowy oferuje 100% wykrywalności przy najniższym poziomie fałszywych trafień? Które rozwiązanie oferuje najszerszy zakres technologii zapewniających właściwą ochronę komputera i sieci przed wszystkimi rodzajami złośliwych programów?

Istotnym składnikiem produktu antywirusowego jest tak zwany silnik antywirusowy, moduł odpowiedzialny za skanowanie obiektów i wykrywanie złośliwych programów. To właśnie silnik antywirusowy decyduje o jakości wykrywania złośliwych programów, a więc także o poziomie ochrony zapewnianej przez rozwiązanie antywirusowe. Jednak, z powodu gwałtownie rosnącej liczby złośliwych programów, zwiększyło się w ostatnim czasie znaczenie metod wczesnego wykrywania złośliwych programów, tak zwanych metod proaktywnych. Metody te pomagają wykrywać złośliwe programy, zanim zostaną uaktualnione antywirusowe bazy danych - innymi słowy, wykrywają zagrożenie, zanim jeszcze się pojawi. W tym przypadku bardzo istotne są również możliwie jak najniższe współczynniki fałszywych trafień (idealnie byłoby, gdyby w ogóle nie występowały).

W dokumencie tym opisano i oceniono główne podejścia do ochrony proaktywnej różnych producentów. Tekst skierowany jest przede wszystkim do ekspertów z dziedziny bezpieczeństwa komputerowego posiadających podstawową wiedzę z zakresu działania programów antywirusowych.

Ochrona proaktywna

Analizator heurystyczny
Bezpieczeństwo oparte na polityce
Systemy zapobiegające włamaniom (IPS)
Ochrona przed przepełnieniami bufora
Mechanizmy blokowania zachowań
Różne podejścia do ochrony proaktywnej
Podsumowanie
Wady i zalety różnych metod proaktywnego wykrywania

W ciągu ostatnich kilku lat wiele dyskutowano na rynku bezpieczeństwa informacji na temat "śmierci" klasycznych rozwiązań antywirusowych, które wykorzystują takie czy inne sygnatury do wykrywania złośliwych programów. Główną przyczynę tego zjawiska upatruje się w tempie rozprzestrzeniania się złośliwych programów, które znacznie przewyższa szybkość dystrybucji antywirusowych baz danych. Poza tym, analiza nowego wirusa wymaga dodatkowego czasu. Powoduje to przerwanie ciągłości ochrony użytkowników - jest to okres pomiędzy wykryciem złośliwego programu a udostępnieniem uaktualnionych baz danych. Różne firmy stosują odmienne podejścia do tego problemu.

Analizator heurystyczny

Gdy liczba istniejących wirusów przekroczyła kilka setek, eksperci z branży antywirusowej zaczęli badać możliwość wykrywania złośliwych programów, które nie są znane programom antywirusowym w momencie pojawienia się, ponieważ nie istnieją jeszcze odpowiednie sygnatury. W rezultacie powstały tak zwane analizatory heurystyczne.

Analizator heurystyczny jest zbiorem podprogramów analizujących kod plików wykonywalnych, makra, skrypty, sektory pamięci i startowe w celu wykrycia wszystkich rodzajów złośliwych programów, których nie można zidentyfikować przy użyciu zwykłych metod (opartych na sygnaturach). Innymi słowy, analizatory heurystyczne przeznaczone są do wykrywania nieznanych złośliwych programów.

Technologia ta odznacza się stosunkowo niskimi współczynnikami wykrywalności, ponieważ twórcy wirusów mają do dyspozycji wiele metod “oszukania” ich. Poza tym, analizatory heurystyczne o wysokich współczynnikach wykrywalności obarczone są dużym odsetkiem fałszywych trafień, przez co w wielu dziedzinach nie mają zastosowania. W przypadku nowych złośliwych programów, współczynniki wykrywalności nawet najlepszych mechanizmów heurystycznych nie przekraczają 25-30%. Pomimo niskiej wykrywalności, metody heurystyczne są wciąż powszechnie stosowane we współczesnych rozwiązaniach antywirusowych. Istnieje jedna prosta przyczyna: jakość wykrywania można podnieść łącząc różne proaktywne metody wykrywania wirusów.

Bezpieczeństwo oparte na polityce

Polityka bezpieczeństwa jest istotną częścią każdej dobrze opracowanej strategii ochrony przed zagrożeniami IT. Dobrze skrojona polityka kilkakrotnie zmniejsza ryzyko infekcji złośliwymi programami, ataków hakerów lub przecieku poufnych informacji. Prosty przykład: jeśli zabronimy użytkownikom otwierania załączników wiadomości e-mail, praktycznie wyeliminujemy ryzyko zainfekowania komputera robakami pocztowymi. Zablokowanie możliwości używania nośników przenośnych również zmniejsza niebezpieczeństwo przeniknięcia złośliwego kodu. Należy bardzo starannie opracowywać politykę bezpieczeństwa uwzględniając potrzeby i procesy zachodzące w przedsiębiorstwie w odniesieniu do wszystkich działów i pracowników firmy.

Oprócz podejścia opisanego wyżej, wielu producentów nadmienia w swych materiałach informacyjnych o bezpieczeństwie opartym na polityce. Obecnie w obrębie tej metody zapewniania bezpieczeństwa wykształciły się różne podejścia:

Polityka bezpieczeństwa jest istotną częścią dobrze opracowanej strategii ochrony przed zagrożeniami IT.

Podejście firmy Trend Micro: Trend Micro Outbreak Prevention Services. Usługa ta opiera się na dystrybucji polityk pomagających zapobiegać epidemiom, co oznacza że dystrybucja polityki następuje przed opublikowaniem uaktualnień antywirusowych baz danych i łat. Na pierwszy rzut oka wygląda to na rozsądne rozwiązanie. Jednak, Trend Micro nie śpieszy się z dodawaniem procedury dla nowych wirusów, a rozwiązanie to ma na celu jedynie "zatkanie dziury" w powolnej pracy laboratorium antywirusowego TrendLab. Poza tym, opracowanie polityki wymaga czasu (czasami trwa to tak długo, jak analiza nowego wirusa i dodanie do antywirusowych baz danych procedur wykrywania), co oznacza, że wciąż istnieje okres braku ochrony użytkowników przed nowymi zagrożeniami. Inną wadą tego podejścia jest prędkość, z jaką zmienia się polityka bezpieczeństwa. Wszystkie zalety bezpieczeństwa opartego na polityce opierają się na małej częstotliwości jej zmian. Pomaga to personelowi przyzwyczaić się do tego, które działania są dozwolone, a które zakazane. Jeśli jednak polityka będzie zmieniana kilka razy dziennie, powstanie dezorientacja, a w rezultacie nie będą stosowane żadne zasady. Ścisłość nakazywałaby więc uznać metodę Trend Micro jako przyspieszenie publikacji pewnego rodzaju aktualizacji sygnatur, raczej niż podejście bezpieczeństwa oparte na polityce. Dlatego w większości przypadków podejście to nie jest proaktywne. Wyjątkiem może być polityka uniemożliwiająca wykorzystanie pewnych luk programowych.

Podejście firmy Cisco-Microsoft. Ograniczenie dostępu do sieci korporacyjnej komputerom, które nie spełniają wymogów polityki bezpieczeństwa firmy (np. nie posiadają wymaganych uaktualnień systemu operacyjnego, najnowszych uaktualnień antywirusowych baz danych itd.). Aby przystosować komputer do zasad polityki bezpieczeństwa, jego dostęp ograniczony jest do specjalnego serwera aktualizacji. Po zainstalowaniu wszystkich niezbędnych uaktualnień i wykonaniu innych czynności wymaganych przez politykę bezpieczeństwa, komputer uzyskuje dostęp do sieci korporacyjnej.

Systemy zapobiegania włamaniom

Systemy zapobiegania włamaniom (IPS) posiadają zdolność usuwania najczęściej wykorzystywanych luk w komputerach, przez co uniemożliwiają przedostanie się do systemów złośliwych programów, zanim antywirusowe bazy danych zostaną zaktualizowane. Ich działanie obejmuje: blokowanie portów w celu uniemożliwienia infekcji, a następnie jej dalsze rozprzestrzenianie się, tworzenie polityki ograniczającej dostęp do folderów lub poszczególnych plików, wykrywanie źródła infekcji w sieci i blokowanie dalszej komunikacji z nim. Technologia ta zapewnia dobrą ochronę przed atakami hakerów oraz robakami i wirusami bezplikowymi, nie jest jednak skuteczna w stosunku do robaków pocztowych, klasycznych wirusów i koni trojańskich.

Ochrona przed przepełnieniami bufora

Technologia ta ma za zadanie zapobieganie przepełnieniom bufora najbardziej popularnych programów i usług systemu Windows, łącznie z takimi jak Word, Excel, Internet Explorer, Outlook oraz SQL Server. Obecnie większość ataków wykorzystuje różne luki pozwalające na przepełnienie bufora. Zapobieganie przepełnieniom bufora można również uznać za ochronę proaktywną, ponieważ technologia ta uniemożliwia wykorzystywanie luk przez złośliwe programy lub przeprowadzenie ataków.

Mechanizmy blokowania zachowań

Historia mechanizmów blokowania zachowań ma ponad 13 lat. Ten typ oprogramowania antywirusowego nie był popularny 8-10 lat temu, przypomniano sobie o nim dopiero, gdy pojawiły się nowe zagrożenia IT. Działanie mechanizmu blokowania zachowań polega zasadniczo na analizowaniu zachowania programu i blokowaniu każdej niebezpiecznej czynności. W teorii mechanizm ten może zapobiec rozprzestrzenianiu dowolnego wirusa, zarówno znanego jak i nieznanego (tj. napisanego po opublikowaniu mechanizmu blokowania). Jest to kierunek, w którym zmierza większość producentów oprogramowań antywirusowych. Technologia ta posiada wiele implementacji. Ostatnio większość systemów ochrony przed robakami pocztowymi zostało opracowanych na podstawie mechanizmów blokowania zachowań.

«Prehistoryczne» mechanizmy blokowania zachowań

Pierwsza generacja mechanizmów blokowania zachowań pojawiła się już w połowie lat dziewięćdziesiątych. Zasada ich działania była prosta: po wykryciu potencjalnie niebezpiecznego działania mechanizm pytał użytkowników, czy ma zezwolić na wykonanie czynności czy zablokować ją. W wielu przypadkach, podejście to działało. Problem polegał na tym, że również legalne programy (łącznie z systemem operacyjnym) wykonywały "podejrzane" czynności, a jeśli użytkownik nie był wystarczająco kompetentny, zapytania programów antywirusowych wywoływały zamieszanie. Wraz z rozpowszechnieniem komputerów osobistych wzrastał poziom wiedzy przeciętnego użytkownika, a zapotrzebowanie na na mechanizmy blokowania zachowań pierwszej generacji topniało.

Mechanizmy blokowania zachowań dla programów VBA. KAV Office Guard

Zgodnie z tym, co zostało powiedziane wcześniej, główną wadą wczesnych mechanizmów blokowania zachowań była częstotliwość, z jaką użytkownik pytany był o podjęcie działań. Wynikało to z tego, że mechanizm blokowania zachowań nie potrafił zdecydować, czy określone działanie było złośliwe czy nie. W przypadku programów napisanych w języku programowania VBA, można z dużą dokładnością odróżnić działania złośliwe od przydatnych. Dlatego właśnie KAV Office Guard nie jest tak "natrętny" jak jego "bracia". Pomimo mniejszej liczby wyświetlanych zapytań mechanizm ten nie stracił na swej skuteczności: chroni użytkownika przed praktycznie wszystkimi makrowirusami, zarówno istniejącymi, jak i takimi, które jeszcze nie zostały napisane. Innymi słowy, dzięki wykorzystaniu zalet oferowanych przez środowisko operacyjne osiągnięto równowagę między skutecznością a liczbą zapytań kierowanych do użytkownika. Jednak pod względem zasad działania KAV Office Guard wciąż należy do "prehistorycznych" mechanizmów blokowania zachowań.

Mechanizmy blokowania zachowań drugiej generacji

Druga generacja mechanizmów blokowania zachowań różni się od pierwszej tym, że w celu określenia, czy określony program jest złośliwy, nie są analizowane poszczególne czynności, a ich sekwencje. Znacznie zmniejsza to częstotliwość, z jaką program zadaje pytania użytkownikowi, zwiększając jednocześnie jego skuteczność. Przykładem mechanizmów blokowania zachowań drugiej generacji jest Proactive Defense Module zaimplementowany w produktach firmy Kaspersky Lab.

Różne podejścia do ochrony proaktywnej

Okena, firma specjalizująca się w rozwoju systemów wykrywania i zapobiegania włamaniom, opublikowała StormFront, pierwszy produkt z rodziny komercyjnych systemów proaktywnej ochrony nowej generacji opartych na mechanizmach blokowania zachowań. W styczniu 2003 roku firma ta została przejęta przez Cisco Systems, a program StormFront został opublikowany pod nazwą Cisco Security Agent. Produkt ten jest klasycznym mechanizmem blokowania zachowań przeznaczonym dla klientów korporacyjnych.

McAfee aktywnie rozwija technologie ochrony proaktywnej, w które wyposaża swoje produkty z rodziny McAfee Entercept. Za pomocą tych produktów można usunąć luki w komputerze, które mogą zostać wykorzystane przez nowe zagrożenia, jeszcze zanim zostaną opublikowane uaktualnienia antywirusowych baz danych (IPS/IDS). Ich działanie obejmuje blokowanie portów, tj. możliwości przeniknięcia infekcji do komputera i jej dalszego rozprzestrzeniania się, tworzenie polityki w celu ograniczenia dostępu do folderów i pojedynczych plików, wykrywanie źródła infekcji w sieci i blokowanie dalszej komunikacji z nim. Dodatkowo, produkty te mogą zapobiegać przepełnieniom bufora dla około 20 najpopularniejszych programów i usług systemu Windows, łącznie z takimi jak Word, Excel, Internet Explorer, Outlook oraz SQL Server, co również można uznać za ochronę proaktywną. Produkty dla użytkowników indywidualnych wykorzystują tylko WormStopper, ulepszoną technologię heurystyczną wykrywającą robaki internetowe rozpowszechniane za pośrednictwem wiadomości e-mail oraz blokującą podejrzane czynności na komputerze, takie jak wysyłanie dużej liczby nieautoryzowanych wiadomości e-mail do osób z książki adresowej.

Panda TruPrevent składa się z trzech składników: analizatora zachowań procesów, który analizuje zachowanie procesów uruchomionych w systemie i wykrywa podejrzane czynności, analizatora heurystycznego i zestawu funkcji IDS, które wykrywają złośliwe pakiety i chronią przed przepełnieniem bufora. Panda Software pozycjonuje ten produkt jako drugą linię obrony przed nieznanymi złośliwymi programami (klasyczne rozwiązanie antywirusowe powinno być stosowane jako pierwsza linia obrony) i przeznaczony jest do wykrywania nieznanych złośliwych programów uruchamianych na komputerze. Produkt przeznaczony jest dla użytkowników końcowych (nie administratorów).

Mechanizm blokowania zachowań drugiej generacji posiada ważną funkcję: “odwołanie” czynności wykonywanych przez złośliwy program.

W produktach firmy Symantec funkcję ochrony proaktywnej spełnia wbudowany analizator heurystyczny zdolny do wykrywania modyfikacji nieznanych wirusów w oparciu o ich charakterystyczne czynności w systemie, jak również Norton Internet Worm Protection, zestaw elementów IPS/IDS (system zapobiegania włamaniom/system wykrywania włamań) blokujących najczęstsze ścieżki przedostawania się złośliwych programów do systemu (zapobieganie) i wykrywających podejrzane czynności (wykrywanie). Firma oferuje również funkcję Outbreak Alert, która ostrzega przed szczególnie niebezpiecznymi zagrożeniami internetowymi (dostarczana wraz z programem Norton Internet Security 2005). Dodatkowo, Symantec oferuje Early Warning Services (EWS), usługę zapewniającą wczesne ostrzeżenia w przypadku zidentyfikowania luk. Usługa ta została teraz zintegrowana z nowym systemem, Global Intelligence Services.

Microsoft również rozwija proaktywne metody ochrony przed złośliwymi programami. Szczegóły projektu i ramy czasowe nie zostały jeszcze podane do wiadomości publicznej.

PC-cillin Internet Security 2005 firmy Trend Micro został wyposażony w analizator heurystyczny oraz Outbreak Alert System zapewniający proaktywne powiadamianie o nowych bezpośrednich zagrożeniach. Produkt dla korporacji, Trend Micro OfficeScan Corporate Edition 6.5, wykorzystuje sygnatury w usłudze Outbreak Prevention Service, która automatycznie konfiguruje reguły ochrony w celu uniemożliwienia infekcji poprzez przeniknięcie do sytemu, jeszcze zanim zostaną zaktualizowane antywirusowe bazy danych. Funkcja ta nie jest dostępna w produktach dla użytkowników indywidualnych.

W przypadku produktów BitDefender, ochronę proaktywną stanowi analizator zachowań blokujący złośliwe programy w oparciu o analizowanie ich charakterystycznych działań w systemie (aplikacja monitoruje pliki systemowe, rejestr systemowy i aktywność internetową).

Nowe produkty firmy Kaspersky Lab wykorzystują sprawdzony analizator heurystyczny firmy w połączeniu z wieloma innymi przełomowymi technologiami ochrony proaktywnej. Produkty firmy Kaspersky Lab wykorzystują systemy wykrywania i zapobiegania włamaniom (IPS/IDS) przeznaczone do walki z atakami hakerów i wirusami bezplikowymi. System powiadomień informuje użytkowników o epidemiach i innych zagrożeniach. Jednak najważniejszą innowacją z punktu widzenia zwalczania nowych zagrożeń jest mechanizm blokowania zachowań drugiej generacji. Mechanizm posiada ważną funkcję: "odwołanie" czynności wykonywanych przez złośliwe programy. Pomaga to znacznie zmniejszyć liczbę zapytań kierowanych do użytkownika przez system oraz zminimalizować ryzyko szkód w systemie przed wykryciem nowego złośliwego programu.

Inne metody

Ruch pocztowy można chronić przy użyciu specjalnych metod opartych na analizie wiadomości przechodzących przez serwer pocztowy, tłumiąc epidemię w zarodku. Poniższe dane statystyczne mogą stanowić podstawę do podejrzewania epidemii:

Masowe rozsyłane wiadomości lub otrzymanie identycznych załączników
Masowe rozsyłane wiadomości lub otrzymanie identycznych wiadomości z różnymi załącznikami
Załączniki z podwójnymi rozszerzeniami
itd.

Dodatkowo, analizie lingwistycznej może zostać poddany tekst wiadomości.

Podsumowanie

Jako podsumowanie warto wymienić dostępne obecnie na rynku metody ochrony proaktywnej:

Analizator zachowań analizujący procesy uruchamiane w systemie i wykrywający podejrzane działania, tj. nieznane złośliwe programy.
Eliminowanie potencjalnych dróg przenikania wirusów do komputera, blokowanie portów wykorzystywanych przez znane wirusy oraz tych, które mogą być wykorzystywane przez nowe modyfikacje (składnik IPS/IDS).
Zapobieganie przepełnieniom bufora dla programów i usług systemu Windows, które są najczęściej wykorzystywane podczas przeprowadzania ataków (komponent IPS/IDS).
Minimalizacja szkód powstałych w wyniku infekcji, uniemożliwianie dalszego rozprzestrzeniania się infekcji, ograniczenie dostępu do plików i folderów, wykrywanie i blokowanie źródła infekcji w sieci (komponent IPS/IDS).

Technologie proaktywnej ochrony ewoluowały z zabawki w rękach profesjonalistów lub maniaków komputerowych do narzędzia przeznaczonego dla użytkowników indywidualnych oraz korporacyjnych i stają się obecnie priorytetem dla producentów oprogramowania antywirusowego.

Wady i zalety różnych metod wykrywania proaktywnego

Analizator heurystyczny

Zalety	Wady
Dobrze znana i sprawdzona technologia Nie wymaga częstych uaktualnień	Powoduje duże obciążenie procesora Niskie współczynniki wykrywalności (25-30%). Wysoki poziom fałszywych trafień (zwiększający się wraz ze wzrostem współczynników wykrywalności)

Technologia ta może być wykorzystywana we wszystkich produktach antywirusowych zarówno na stacjach roboczych, jak i serwerach plików/poczty i bramach internetowych. Analizator heurystyczny jest obecnie jedyną proaktywną technologią, która może być stosowana we wszystkich produktach antywirusowych.

Bezpieczeństwo oparte na polityce

Zalety	Wady
Istotna część zintegrowanego podejścia do bezpieczeństwa Nie zależy od typu oprogramowania	Ocenianie współczynników wykrywalności jest bezcelowe, gdyż nie można ich zmierzyć Podejście Trend Micro zasadniczo nie jest metodą proaktywną. Jest to wariacja z tematem sygnatur, przy czym w miejsce sygnatur zastosowano opisy polityki. Dlatego w większości przypadków podejście to nie jest proaktywne.

Bezpieczeństwo oparte na polityce możne być stosowane w pewnej formie przez każdą firmę, niezależnie od jej rozmiarów, infrastruktury IT czy branży. Co więcej, dobrze opracowana polityka może pomóc wielokrotnie zmniejszyć ryzyko związane z zagrożeniami IT przy praktycznie zerowych kosztach.

IPS

Zalety	Wady
Zapewnia dobrą ochronę przed atakami hakerów, robakami i wirusami bezplikowymi	Nie można jej zastosować do wykrywania innych rodzajów złośliwych programów Wymaga uaktualniania sygnatur ataków

Technologia ta okazała się bardzo skuteczna w odniesieniu do produktów przeznaczonych do ochrony stacji roboczych i bram internetowych. Nie można jej jednak stosować do ochrony ruchu pocztowego.

Ochrona przed przepełnieniami bufora

Zalety	Wady
Zapewnia dobrą ochronę przed złośliwymi programami wykorzystującymi luki takie jak “przepełnienie bufora” – stuprocentowe współczynniki wykrywalności Nie wymaga aktualizacji Fałszywe trafienia praktycznie nie istnieją	Nie można jej zastosować do wykrywania innych rodzajów złośliwych programów Większość współczesnych komputerów obsługuje tę technologię na poziomie sprzętowym (flaga NX w procesorach AMD , Execution Disable Bit – Intel) - nie ma zapotrzebowania na implementację programową

Biorąc pod uwagę to, że wszystkie współczesne procesory obsługują ochronę przed przepełnieniem bufora na poziomie sprzętowym, implementacja programowa nie ma perspektyw. Mimo to, istnieje zapotrzebowanie na ochronę przed przepełnieniem bufora stacji roboczych, bram internetowych i innych serwerów z bezpośrednimi połączeniami internetowymi.

Mechanizmy blokowania zachowań

Zalety	Wady
Stosunkowo wysokie współczynniki wykrywalności (do 60-70%) Dobrze znana i sprawdzona technologia Nie wymaga częstych aktualizacji Wykrywanie wszystkich rodzajów złośliwych programów Nie powoduje dużego obciążenia procesora i innych zasobów w porównaniu z analizatorami heurystycznymi	Fałszywe trafienia Mechanizmy blokowania zachowań wyświetlają dużo zapytań do użytkownika, który sam musi podejmować decyzje Wymagana jest funkcja "odwołania" (przywrócenie systemu do stanu sprzed zmian dokonanych przez złośliwy program przed wykryciem go, na poziomie gromadzenia informacji)

Mechanizmy blokowania zachowań stosowane są tylko w przypadkach, gdy możliwe jest uruchomienie podejrzanego programu, tj. na stacjach roboczych. Na serwerach pocztowych, serwerach plików i bramach podejrzane programy w ogóle nie powinny być uruchamiane i dlatego maszyny te nie będą potrzebowały mechanizmu blokowania zachowań.

Wnioski

Z wszystkich opisanych wyżej proaktywnych metod wykrywania złośliwych programów najbardziej obiecujące są mechanizmy blokowania zachowań. Systemy wykrywania i zapobiegania włamaniom oraz analizatory heurystyczne mogą również posiadać potencjał, pod warunkiem, że opisane wyżej wady zostaną zminimalizowane. Żadna z tych technologii nie jest w stanie podołać w pojedynkę zadaniu, jakim jest zapewnienie maksymalnej wykrywalności złośliwych programów przy minimalnych współczynnikach fałszywych trafień. Można to osiągnąć stosując podejście zintegrowane łączące różne technologie.

Tabela podsumowująca proaktywne technologie wykorzystywane przez wybranych producentów

	Cisco	McAfee	Panda	Symantec	Trend Micro	BitDefender	Kaspersky Lab
Analizator heurystyczny		+	+	+	+	+	+
IPS		+	+	+			+
Przepełnienie bufora		+
Bezpieczeństwo oparte na polityce					+
System ostrzegania				+	+		+
Mechanizm blokowania zachowań	+		+			+	+

Źródło:

Kaspersky Lab

WirusPC.pl

Zagrożenia

Porady

Polecamy

Sponsorzy

Artykuły

Wszystko o ochronie proaktywnej

Ochrona proaktywna

Analizator heurystyczny

Bezpieczeństwo oparte na polityce

Systemy zapobiegania włamaniom

Ochrona przed przepełnieniami bufora

Mechanizmy blokowania zachowań

«Prehistoryczne» mechanizmy blokowania zachowań

Mechanizmy blokowania zachowań dla programów VBA. KAV Office Guard

Mechanizmy blokowania zachowań drugiej generacji

Różne podejścia do ochrony proaktywnej

Inne metody

Podsumowanie

Wady i zalety różnych metod wykrywania proaktywnego

Analizator heurystyczny

Bezpieczeństwo oparte na polityce

IPS

Ochrona przed przepełnieniami bufora

Mechanizmy blokowania zachowań

Wnioski

Tabela podsumowująca proaktywne technologie wykorzystywane przez wybranych producentów

Źródło: