9. november 2005 kell 22:00

Ennetav kaitse avastab kahjurprogramme enne viirusetõrjebaaside uuendamist

Viirusetõrjeprogrammi olulisemaid komponente on nn viirusetõrjemootor, mis vastutab objektide kontrolli ja kahjurprogrammide avastamise eest.

Just viirusetõrjemootorist sõltub kahjurprogrammide tuvastamise kvaliteet ning vastavalt sellele viirusetõrjeprogrammi poolt võimaldatav kaitsetase.

Viimasel ajal on omandanud järjest suurema tähtsuse ennetavad ehk proaktiivsed kahjurprogrammide avastusmeetodid, mis võimaldavad kahjurprogramme avastada veel enne viirusetõrjebaaside uuendamist.

Arvutiturbeturul arutletakse klassikalise signatuuripõhise viirusetõrje ?surma? teemadel. Selle peamiseks põhjuseks loetakse kahjurprogrammide levikiirust, mis ületab viirusetõrjebaaside uuenduste ilmumiskiiruse.

Uue viiruse analüüs võtab viirusetõrjefirmadel alati teatud aja. Sel moel jäävad kasutajad uue kahjurprogrammi avastamishetkest kuni viirusetõrjebaaside uuenduseni kaitseta. Et seda vältida, näevad erinevad viirusetõrjefirmad mitut võimalust.

Heuristiline analüsaator. Heuristilised analüsaatorid on loodud tundmatute kahjurprogrammide tuvastamiseks. Nad analüüsivad täidetavaid faile, makrosid, skripte, mälu ja alglaadimissektoreid, avastamaks kahjurprogramme, mida pole tavaliste (signatuursete) meetoditega avastatud.

Heuristiliste analüsaatorite tuvastustase pole eriti kõrge, sest nende petmiseks on viirusekirjutajatel kümneid erinevaid ning aja jooksul muutuvaid võimalusi. Heuristilistele analüsaatoritele on iseloomulik kõrge valehäirete hulk. Isegi parimatel viirusetõrjeprogrammidel ei ületa uute kahjurprogrammide tuvastusmäär 25?30%.

Poliitikapõhine turvalisus. Turvapoliitika on iga IT-ohtude vastase läbimõeldud kaitsestrateegia lahutamatu atribuut. Läbimõeldud poliitika võimaldab mitu korda vähendada kahjurprogrammidega nakatumise riski, häkkerite rünnakuid ja konfidentsiaalse info leket.

Lihtne näide ? e-kirjade manuste avamiskeeld viib postiussidega nakatumisohu peaaegu nullilähedaseks. Turvapoliitika väljatöötamisse tuleb suhtuda alati väga kaalutletult ning arvestada firma kõikide allüksuste ja töötajate vajaduste ning äriprotsessidega.

Intrusion Prevention System. Sissetungi ennetavad süsteemid (IPS) näevad ette kahjurprogrammide poolt kasutatavate turvaaukude sulgemisvõimalust uue ohu eest veel enne viirusetõrjebaaside uuenemist.

IPS blokeerib porte, ei võimalda infektsiooni sattumist arvutisse ja selle paljunemist. Kujundab poliitika ligipääsu piiramiseks failidele ja kaustadele. Tuvastab infektsiooniallika asukoha võrgus ning blokeerib selle kommunikatsiooni.

See tehnoloogia töötab edukalt häkkerite, ilma failideta usside ja viiruste vastu, kuid postiusside, klassikaliste viiruste ning trooja programmide vastu pole IPS efektiivne.

Puhvri ületäitumise vastane kaitse. Tehnoloogia idee seisneb puhvri ületäitumise ennetamises enamlevinud Windowsi teenuste ja programmide puhul.

Enamiku tänapäevaste rünnete korral kasutatakse erinevaid, puhvri ületäitumist põhjustavaid turvaauke.

Käitumisblokeerijad. Blokeerija põhiidee on programmide käitumise analüüs ja suvaliste ohtlike toimingute tõkestamine.

Teoreetiliselt võib blokeerija ennetada suvalise ? nii tuntud kui ka tundmatu (pärast blokeerijat kirjutatud) ? viiruse leviku.

Just selles suunas liigubki suurem osa viirusetõrjetarkvara tootjaist. Sellise tehnoloogia kasutusnäiteid on üsna palju. Viimasel ajal on enamik postiusside levikuid tõkestavaid süsteeme töömehhanismilt käitumisblokeerijad.

Teise põlvkonna käitumisblokeerijad iseloomustab see, et nad analüüsivad mitte üksikuid toiminguid, vaid toimingute järgnevust ning juba selle alusel teevad järelduse ühe või teise tarkvara kahjulikkusest. See vähendab oluliselt kasutajale esitatavate küsimuste hulka ning suurendab tuvastuskindlust.

Autor: Toivo Peegel

Hetkel kuum