Сергей Яремчук

В течение многих лет пользователи доверяли защиту своих компьютеров антивирусным программам, но многочисленные эпидемии показали, что сравнение сигнатур часто не спасает и необходим принципиально иной подход. Появление на рынке программ, работающих по новому принципу, может пошатнуть позиции антивирусных компаний.

В журнале уже шла речь о проактивных системах защиты [1] и узловой системе остановки атак CORE FORCE [2]. Назначение у них одно – защита персонального компьютера от вирусов, известных и неизвестных уязвимостей, червей, шпионских и троянских программ. В том числе они способны среагировать на так называемые атаки нулевого дня, которые, как правило, не обнаруживаются традиционными средствами. Но эти системы отличаются принципом работы. Первые самостоятельно составляют безопасный профиль системы и работающих программ, а CORE FORCE использует профиль, заранее подготовленный сообществом пользователей. Недостатки есть у обеих систем. На составление автоматического профиля (обучение) уходит некоторое время, в течение которого решение о допуске программы, как правило, принимает пользователь. И хотя подобные системы сегодня все меньше и меньше задают вопросов, от пользователя требуется некий уровень понимания происходящего в системе, хотя бы такого, чтобы появление нового процесса вызвало подозрение. На составление и тестирование профиля для CORE FORCE требуется время, кроме того, в списке известных программ может не оказаться нужной утилиты. Хотя эта проблема также решаема, пользователь сам может составить профиль или попросить помощи у сообщества, быстрота реакции которого – вещь труднопрогнозируемая. При правильно составленном профиле пользователь может и не участвовать в отражении атаки, но следует учесть, что вручную профили составляются только для заведомо хороших программ. Вирус и шпионский модуль будут пойманы, только при попытке выполнить какое-то неизвестное системе защиты действие. А ресурсы, затраченные для автоматической генерации профиля в проактивных системах, остаются неизвестными сообществу, к тому же для них характерны ложные тревоги. Истина, как известно, где-то посередине. Возможно, создателям общественной системы предотвращения атак (Community Intrusion Prevention System – CIPS) Prevx 1 удалось ее найти.