Проактивная защита. Проактивная защита дает возможность обнаружить вредоносное программное обеспечение, созданное после системы проактивной защиты. Другими словами, проактивная защита создана, чтобы обнаруживать еще неизвестное вредоносное программное обеспечение. По оценке специалистов, существует шесть инструментов проактивной защиты. Это эвристический анализатор, безопасность на основе политик, система обнаружения вторжений Intrusion Prevention System (IPS), защита от переполнения буфера (Buffer Overrun Protection), поведенческие блокираторы и статистические методы. Эвристический анализатор – известная и хорошо зарекомендовавшая себя технология, не требующая частого обновления. Но, к сожалению, такие системы обнаруживают всего 25–30 % вирусов и при этом высок показатель ложных срабатываний при повышении уровня детектирования. Это похоже на работу радиолокатора. Можно сделать его настолько чувствительным, что он будет обнаруживать помимо опасных объектов и все остальное, но это не даст возможности выявить опасность. Кроме того, эвристические анализаторы требуют больших затрат процессорного времени.

Политика безопасности может быть использована в любой компании. Грамотная политика позволяет практически без финансовых затрат в несколько раз снизить риски информационных угроз, она не зависит от типа используемого оборудования и программного обеспечения. Можно запретить сотрудникам открывать вложения в письмах, ограничивать доступ к электронной почте и интернет-сайтам и т. д. Однако при этом подходе невозможно подсчитать уровень обнаружения вредоносного программного обеспечения. В сущности, жесткий набор методов, которые нужно постоянно обновлять и менять, аналогичен сигнатурному методу программ-антивирусов. Но только если база данных по вирусам может обновляться сколь угодно часто, то постоянно менять правила работы сотрудников – вряд ли удачное решение.

У системы предотвращения вторжений IPS есть свой плюс: это хорошая технология для защиты от атак хакеров и бесфайловых вирусов, но IPS неприменима для обнаружения других типов вредоносного программного обеспечения и требует обновления сигнатур атак. Однако эта технология отлично себя зарекомендовала в продуктах для защиты рабочих станций и интернет-шлюзов.

Защита от переполнения буфера на 100 % предотвращает ущерб от вредоносного программного обеспечения, использующего уязвимость «переполнение буфера». Она не требует обновления, здесь практически исключены ложные срабатывания, но ее нельзя использовать для обнаружения других типов вредоносного программного обеспечения. Все современные процессоры поддерживают эту технологию на аппаратном уровне. Она востребована для защиты рабочих станций, интернет-шлюзов и других серверов, которые имеют прямой выход в Интернет.

Поведенческие блокираторы имеют довольно высокий уровень обнаружения (до 60–70 %) и могут обнаруживать любой тип вредоносного программного обеспечения, не требуя больших затрат процессорного времени и других ресурсов. Однако у них бывают ложные срабатывания, так как существует много программ, похожих по своим действиям на вирусы. Поведенческие блокираторы задают много вопросов пользователям с просьбой принимать решения, и для них требуется иметь функцию «откат» (восстановление изменений, сделанных обнаруженным вредоносным кодом, до момента детектирования на этапе сбора информации). Они применимы только на рабочих станциях, когда возможно исполнение подозрительной программы. На почтовых, файловых серверах и шлюзах подозрительные программы не должны запускаться в принципе, и поведенческий блокиратор не будет востребован там, где идет постоянный трафик. На основании различной статистики и анализа почтовых сообщений можно остановить эпидемию в самом начале. Один из признаков опасности – массовая рассылка или прием одинаковых вложений, одинаковых писем с различными вложениями, наличие двойного расширения у вложений.