Когда компьютерные вирусы только появились, они выполняли свои вредоносные функции, интегрируясь в приложения. Первые борцы с вирусами искали эти вредные коды и блокировали их вызов. Через некоторое время, когда операционные системы стали многозадачными, появились отдельные саморазмножающиеся вредоносные программы, которые стали называться «червями». Если от вирусов программы лечили, то червей нужно было просто удалять, впрочем, достаточно было исключить их из дерева автозапуска. Фактически, для защиты от всех саморазмножающихся кодов и были придуманы антивирусы. Это было их первое поколение.

Примерно в то же время появились троянские программы, которые не имели модуля саморазмножения, но также содержали вредоносные функции. Поскольку пользователи, как правило, устанавливали такие программы самостоятельно под видом чего-то нужного (скажем, для оптимизации работы в Internet), то антивирусные производители долго не обращали на них должного внимания. Однако в какой-то момент появились антивирусные продукты, которые занимались поиском таких троянских программ, рекламных систем, «дозвонщиков» на платные телефоны, программ-шуток и других вредоносных программ, которые не имели собственных модулей размножения. Это были антивирусные продукты второго поколения.

Через некоторое время выяснилось, что есть атаки, которые вообще не связаны с программами, — спам, фишинг и сетевые атаки не создают программных файлов на дисках. Примерно в то же время появились программы-невидимки, которые сами по себе не были вредоносными, но скрывали от пользователя или системного администратора реальных «вредоносов». Антивирусы второго поколения уже не могли защитить от них, поэтому возник новый класс защитных продуктов, которые в своем названии получили приставку Internet Security. В то же время аналитики убедились в несовершенстве сигнатурных методов обнаружения вредоносных программ, а производители в ответ начали говорить о так называемой проактивной защите, которая определяла бы не один конкретный вредоносный код, но целую группу, причем используя для этого сведения о поведении программы или структуры ее системных вызовов. Такие технологии под кодовым названием HIPS стали неотъемлемой частью антивирусов третьего поколения.

Однако и это последнее поколение продуктов не может защитить пользователей от всех угроз. В частности, есть вредоносный код, который шифрует данные пользователя и самоуничтожается, не забыв оставить файл с требованиями выкупа. Защититься от таких атак даже с помощью средств категории Internet Security крайне сложно: проактивные технологии дают много ложных срабатываний, а сигнатурные методы часто опаздывают. В этом случае защищать данные лучше с помощью резервного копирования.

Другой проблемой, которую вызывают современные вредоносные программы, является неэффективное использование вычислительных ресурсов и сетей. Это вызвано тем, что паразиты делают все возможное для того, чтобы их не обнаружили, — они перестраивают антивирусы так, чтобы те ничего не обнаруживали, попытки зайти на сайты антивирусных компаний блокировались, а решение проблемы с помощью встроенных средств было невозможно. В результате атаки такой вредоносной программы пользователь может потерять контроль над своей системой. Для защиты от подобных угроз нужны средства контроля конфигурации и оптимизации работы ОС, а также система инвентаризации установленного программного обеспечения и блокирования нежелательных программ.

Еще одной проблемой является защита от проникновения с помощью систем обмена мгновенными сообщениями (Instant Messaging, IM). Частично это является продолжением старой проблемы безопасности Web, но есть и новые аспекты, такие как защита от переполнения буферов в IM-клиентах, спам через IM-систему и утечка конфиденциальной информации с использованием протоколов IM и одноранговых сетей. Утечка конфиденциальных данных является еще одной проблемой современных ИТ. Для защиты от этих угроз в антивирусных продуктах следующего поколения должны быть соответствующие модули.

Несколько компаний уже выпустили антивредоносные программные продукты, которые можно отнести к четвертому поколению. Для них также оформилось новое общее обозначение — Endpoint Security. Одним из таких продуктов является Sophos Endpoint Security, в котором реализовано большинство описанных выше защитных инструментов. Аналогичный продукт подготовила компания Symantec — Endpoint Security 11.0, который ранее был известен под кодовым названием Hamlet. Правда, пока в обоих продуктах отсутствует резервное копирование. Впрочем, Symantec уже выпустила продукт, который защищает индивидуальных пользователей от современных угроз. Он носит название Norton 360 и включает в себя в том числе и резервное копирование. Остальные производители, скорее всего, в течение нынешней осени также выпустят свои версии антивирусов четвертого поколения.

Поделитесь материалом с коллегами и друзьями