Как известно специалистам по информационной безопасности, классические антивирусные средства работают на основе сведений об угрозе.

Такими сведениями могут быть:

  • сигнатуры (известные строки кода);
  • особенности поведения вредоносного ПО.

Для формирования базы данных угроз разработчики средств защиты информации данного типа проводят значительное количество исследований, собирают коллекции сигнатур и зловредных кодов. При выполнении своих функций такие средства защиты информации вынуждены постоянно проводить сканирование или анализ активности всех объектов, содержащих программный код. При обнаружении вируса, его лечение не всегда заканчивается успехом. Кроме того, вирусы научились противодействовать различным видам защиты пользовательских систем. Таким образом, в сегодняшних реалиях уповать только на антивирусную защиту крайне опасно. Поэтому развитие средств борьбы с вредоносными кодами привело к появлению на рынке информационной безопасности решений, работающих на сетевом уровне. Это сетевые шлюзы безопасности и, так называемые, «песочницы». Первые позволяют «чистить» трафик, содержащий вирусы и эксплойты. Вторые – эмулируют пользовательскую среду (внутри программно-аппаратного комплекса или в «облаке»), «провоцируя» зловредный код проявить себя и тем самым обнаруживают его.  При этом сетевые шлюзы не могут «видеть» весь контент, передаваемый по сети, не контролируют пользовательские устройства ввода/вывода информации (флеш-карты, CD/DVD и т.д.) и не всегда способны заблокировать подозрительную активность по разрешенным портам. Из минусов «песочниц» следует отметить нереальность эмуляции абсолютно всех пользовательских сред, а также их высокую стоимость. Стоит затронуть и такую проблему – а что делать с хостами, которые уже подверглись атаке злоумышленника (до начала использования «песочницы») и являются зараженными? Как их обнаружить и «вылечить»? Читать далее