Новые качества антивирусов

Рабочие станции и серверы будут защищаться более эффективными методами, суть которых в анализе поведения только зарегистрированных приложений и разрешение или запрещение их выполнения. Некоторые компании, специализирующиеся на защите компьютерных систем, уже выпустили подобные продукты, работа которых основана только на проверке «белого списка» программных продуктов, в отслеживании потенциально опасных изменений в системе и предупреждении об этом пользователей.

Таким образом, наблюдается тенденция перехода от «реактивного» к «проактивному» подходу. Подобные принципы уже реализованы в Windows Vista, где работа всех приложений и компонентов операционной системы находится под контролем. Разработанные средства анализа поведения отслеживают все действия работающих приложений и блокируют программы, которые вызывают какие-либо подозрения, ориентируясь на сотни параметров и характеристик. Конечно, возможны и ложные срабатывания, поэтому рекомендуется использование дополнительного антивирусного сканирования.

Аналитики полагают, что для обычных офисных или домашних компьютеров антивирус по-прежнему будет необходим, но рекомендуют использовать дополнительно систему предотвращения вторжений – IPS (Intrusion Prevention System). Многие поставщики антивирусных продуктов используют не только сигнатурные методы выявления вредоносных объектов, но и эвристические и поведенческие методы. Большинство современных антивирусов использует комбинацию эвристических и сигнатурных методов, причем чаще всего сигнатурный подход применяется для борьбы с конкретным вариантом вредоносной программы.

Так, например, Symantec в последние свои продукты уже начал встраивать новые технологии, в частности, IPS. Эксперты компании уверены, что антивирусные программы нового поколения будут основаны на более развитых методах защиты от сложных угроз. Специалисты компании Symantec каждый месяц получают образцы 200 тысяч вредоносных объектов. Их количество неуклонно растет, поэтому сигнатурный анализ должен постоянно пополняться новыми способами выявления угроз. Разработчик запланировал представить новую версию антивирусного продукта для корпоративного использования с технологией whitelisting – белых списков.

На основе определенных правил новое программное обеспечение от компании Symantec способно контролировать все приложения из белого списка и блокировать работу вредоносного кода, исходя из анализа его поведения. Например, для того чтобы впервые запустить какое-либо новое ПО, например, бухгалтерскую программу или обновление 1С, необходимо сначала занести ее в «белый список», иначе выполнение будет заблокировано.

В лаборатории Касперского также работают в этом направлении. Эволюция антивирусных продуктов ведет к созданию комплексного ПО, которое способно на защиту любого сетевого узла — от мобильного устройства до сервера. При этом под контролем находятся все потоки данных на компьютере — сетевые взаимодействия, трафик Internet, электронная почта.