Статьи по теме
  •  

     

    Движение к Новой Модели Антивируса

    Это - второе в ряду статей, выдвигая на первый план причины, почему мы нуждаемся в новой модели для решений для безопасности и антивируса.

    Причина #1: Основная Модель

    Продавцы антивирусного программного обеспечения все еще полагаются на вчерашние методы для того, чтобы решить сегодняшние проблемы: они ждут следующего вируса, чтобы нанести ущерб и затем произвести решение. Это работало в течение долгого времени, когда вирус займет годы, чтобы пересечь мир. Но в этом быстро изменяющемся Interet-сумасшедшем мире мы живем в сегодня, этот тип решения больше не применим. Теперь вирус может пересечь мир и заразить миллионы компьютеров в минутах.

    В добрых старых временах вирус поехал дискетой. Поместите гибкий диск в свой компьютер и сохраните некоторые данные к этому, и вирус заразил бы гибкий диск. Тогда невольно поместите зараженный гибкий диск в другой компьютер, и престо новый компьютер стал бы зараженным. (Я скольжу по большому количеству деталей здесь, чтобы сделать пункт). Таким образом продвижение вируса было медленным и устойчивым. У продавцов антивируса было время на их стороне. У них было время, чтобы получить копию вируса, анализировать это, управлять этим через ряд тестов, чтобы придумать последовательность подписи (см. ниже для определения), поместите последовательность в базу данных последовательностей, чтобы искать, просматривая Ваш накопитель на жестких дисках (и дискеты) и выпустить новую базу данных к общественности. Десять лет назад эта система работала очень хорошо.

    Но теперь все связаны через Интернет. Теперь, используя электронную почту как транспортный пункт, не требуются лет, чтобы усилиться, вместо этого это берет вопрос минут. И вот то, где модель ломается. Отстранитесь и спросите себя следующий вопрос: если продавцы могут поймать известный и неизвестный viruses как их литературные государства, как тогда это, что мы продолжаем иметь вирусные проблемы?

    Ответ находится в факте, что вирусные авторы были более творческими в том, чтобы придумывать новые способы заразить и нанести ущерб, и промышленность программного обеспечения не ответила натуральная, предпочитая оставаться вложенной в ее старые вылепленные методологии.

    Почему старые пути не работают больше, Вы могли бы спросить? Это относительно просто. Пойдем через шаги.

    Вирусный автор развязывает NewVirus через электронную почту. Он массовые почты его вирус тысячам людей. Некоторые, не все, невольно открывают приложение, думая, что это от друга, или предмет настолько соблазнителен, что их дурачат в открытие этого, не думая, что это - проблема (сравни нагие картины Анны Kournikova). Приложение электронной почты немедленно начинает посылать по электронной почте, все в его контакте перечисляют, и включает себя в его операционную систему так, чтобы это активизировало каждый раз, когда он включает свой компьютер.

    Людей, которых он посылает по электронной почте в свою очередь, дурачат в размышление, что электронная почта действительна, и они открывают приложение. Очень быстро весь ад ломается свободный. Агентства, которые контролируют интернет-движение, видят проблемы возникнуть с внезапными шипами в движении электронной почты, и они начинают получать запросы или приведение в готовность электронных писем их к факту, что есть новая проблема. Образцы получены и отосланы продавцам антивируса. Они передают электронные письма через ряд тестов, чтобы проанализировать то, что точно делает вирус и как он делает это. Дополнительно анализ выполнен, чтобы извлечь уникальную последовательность 1's и 0's, чтобы идентифицировать это приложение как никого другой чем NewVirus. Это называют последовательностью подписи. Важно, что независимо от того, что последовательность достигнута, не существует ни в какой другой программе или части программного обеспечения; иначе, Вы получите то, что обычно называют ложным положительным.

    Быстрое отклонение на ложный positives: если продавец достигает уникальной последовательности, которая только, случается, вложена в Microsoft Word, то каждый раз пользователь управляет просмотром их накопителя на жестких дисках, Microsoft Word будет идентифицирован как заражаемый NewVirus. Пользователи неустановят Слово и повторно установят только, чтобы узнать, что они все еще заражены. Будут жалобы; продавец будет вынужден переоценить подпись, натягивают и повторно выпускают его список последовательностей и допускают ошибку.

    Типично последовательности подписи подобраны против целой полной лодки банального программного обеспечения только, чтобы защитить против этого возникновения, но это все еще случается, и продавцы учатся добавлять новое программное обеспечение к их испытательным кроватям.

    Хорошо, таким образом продавец достиг последовательности подписи. Затем? Осуществите последовательность в их базу данных последовательности так, чтобы, когда их сканеры просматривают, они соответствовали тому, что находится на Вашем накопителе на жестких дисках к тому, что находится в базе данных. После того, как база данных была обновлена, они выпускают базу данных их клиентам в том, что обычно называло push куда они посылают обновления их первичным пользователям.

    Если бы Вы не покупали в это обслуживание, то Вы должны знать достаточно, чтобы зарегистрировать в Вашего продавца антивируса и обновить Ваше программное обеспечение так, чтобы Вы остались текущими.

    Так, где мы? Плохой парень - или подросток проблемы - развязал NewVirus. NewVirus заразил тысячи компьютеров; продавцы были приведены в готовность; NewVirus продолжает заражать; решения достигнуты и pushed корпоративным клиентам; NewVirus продолжает заражать сотни и тысячи компьютеров; корпоративные клиенты вдыхают вздох облегчения и приводят в готовность их пользователей относительно новой угрозы.

    Тысячи, если не миллионы, компьютеров становятся зараженными и должны быть убраны, потому что лучший способ решить вирусную проблему состоит в том, чтобы ждать каждого нового вируса, чтобы прийти и решить на индивидуальной основе.

    Но если Вы бездельничали и сказали: что, если? То, что, если Вы категоризировали все вещи, вирус может сделать (или мог бы сделать), построило ряд компьютеров, чтобы позволить приложение любой электронной почты, или программа, чтобы иметь полную узду компьютера (очень как это будет иметь на Вашем собственном компьютере - такой компьютер называют honeypot) и затем анализируют тот компьютер для неприятного поведения?

    Это было бы истинным превентивным ударом против всего злонамеренного программного обеспечения. Это - основанная на поведении модель. Такая модель фактически защитила бы Вас неизвестные вирусы, наряду со всеми известными 70 000 вирусов.

    В части 2 мы обсудим риски и отказы безопасности того, что распределили программное обеспечение продавца на Вашем рабочем столе.

    Тим Klemmer
    Президент, OnceRed LLC

    Тим Klemmer потратил лучшую часть 12 лет, проектируя и совершенствования первое истинное запатентованное основанное на поведении решение злонамеренного программного обеспечения.




     
    Меню