Каким должен быть современный антиврирус Gnostis ИМХО III

Так все таки что же делать с неизвестными угрозами? Большинство технически грамотного персонала при обнаружении неизвестного вируса его просто удаляет. Так что вероятность попадания в антивирусные базы у нового вируса не так уж и велика, да и когда появится этот порядочный пользователь, который не удалит вирус, а отправит его в антивирусную лабораторию?

Тут мы опять приходим к выводу что сигнатурный анализ — это плохо. Что же следует делать антивирусным компаниям для защиты своих клиентов? Самый простой способ — собирать все подозрительное на анализ.
Тут мы опять приходим к идеи облака. С домашними пользователями, конечно, сложнее, но реально. Проще, как мне кажется, это осуществить с корпоративными клиентами.

Итак, как это выглядит для корпоративной сети. Есть единый сервер, на котором специально выделено некое дисковое пространство под карантин (думаю гигабайт 10 будет достаточно). Антивирусный клиент, когда сканирует файлы на вирусы, отдельным потоком снимает с этого файла контрольную сумму и спрашивает у сервера:
Клиент: Ты его знаешь?
Сервер: Нет.
Клиент: Лови копию.
Т.е. тащит все подряд на антивирусный сервер, тот, в свою очередь, постепенно все передает в антивирусную лабораторию на анализ, где та же автоматика, совместно с аналитиками, все это добро анализирует.

В первое время поток файлов будет огромный, но постепенно он будет уменьшаться, пока не начнут идти действительно новые файлы.

Но это все надо было начинать несколько лет назад. Тогда сейчас бы многие вендоры, использующие эту идею, имели бы огромную базу известных файлов и работали только над ее постепенным пополнением.

С домашними пользователями проще.
Клиент: О, хозяин! Новый экзешник, давай отправим на анализ?
Тут уже по решению пользователя.

Думаю, общая идея ясна, но самое главное здесь, что исключается такой момент, как человеческий фактор и вирусы попадут в базу довольно скоро после появления.

Продолжение следует…

Автор: Дата: , Категория:Безопасность, Метки: .

Comments are closed.