S tím, jak se rozšiřují tabulky signatur malwaru, musejí výrobci antivirových řešení vývoj nových technologií, jež budou schopny sofistikovanějšími metodami odhalit a zneškodnit škodlivý kód, urychlit. Antivirová řešení byla donedávna postavena téměř výhradně na systému signatur. Současný vývoj malwaru však toto pojetí obrany postupně odsouvá na vedlejší kolej.
Dokončení článku Jaká je budoucnost antivirů? (1.)
Nejen whitelisting
„Antivirový software má bezesporu své uplatnění. Pokud je systém aktuálně napaden malwarem, představuje antivir nejméně bolestný způsob toho, jak nákazu z počítače dostat,“ říká David Harley, administrátor Avienu, což je výměnná síť pro antivirové informace, a dodává: “Whitelisting se v současnosti možná ukazuje jako všelék. Já si ale myslím, že úporné hledání „Odpovědi“, kdy je vyřazena jedna relativně úspěšná sada řešení kvůli jiné metodě, do níž se vkládají naděje, že bude eliminovat dosavadní problémy, je poněkud neprofesionální.”
Harley tento argument zdůraznil kvůli tomu, že má určité pochybnosti o tom, zda je jakákoliv jednorázová technologie schopna zaručit stoprocentní výsledek v oblasti bezpečnosti, a navíc je přesvědčen, že whitelisting představuje pro boj s malwarem spíše suplementární technologii a staví ji na úroveň dalších novějších technik, které již byly adoptovány – ať už se jedná o heuristiku, sandboxing či monitoring chování.
Korporátní manažeři IT bezpečnosti samozřejmě neočekávají, že se pro řešení jejich problémů nalezne jedna univerzální odpověď. „Pokud v oblasti bezpečnosti spoléháte jen na signatury, jste mnohem zranitelnější,“ říká Ken Pfeil, šéf informační bezpečnosti v německé bance WestLB. Pfeil si myslí, že signatury jsou užitečné a jejich firma je také využívá. Avšak, když se objeví nový malware, velmi často shledá, že je mnohem efektivnější pokusit se pochopit jeho potenciální efekt než pasivně čekat, až mu jeho dodavatel antivirového řešení poskytne příslušnou aktualizaci. Firma WestLB má rovněž implementovány nástroje, které využívají heuristické techniky a testování anomálií, čímž posiluje svou antivirovou ochranu.
Takový přístup založený na více vrstvách přidávaných k softwaru je podle Natalie Lambertové, analytičky ve firmě Forrester Research, cesta, kudy se trh s antivirovými řešeními bude v budoucnu ubírat. Lambertová tvrdí, že antivirus postavený na bázi signatur je z hlediska bezpečnostního softwaru jakýmsi minimem. Prvky, jako jsou heuristické systémy či HIPS (Host-based Intrusion Prevention System), které jsou schopny vyhledávat pomocí softwaru podezřelé akce, například když se aplikace sama otevírá z pracovního adresáře.
Lambertová dále uvádí, že firma McAfee ve využití systémů HIPS zřejmě pokročila nejdále mezi antivirovými výrobci, když tuto funkcionalitu postupně zahrnovala do svého softwaru v rámci akvizičních aktivit.
Stinnou stránkou všech těchto pokročilých technologií je ale to, že žádná z nich není tak jednoduchá a tak lákavá, jako je starý dobrý antivirus postavený na bázi signatur, který sama Lambertová označuje jako technologii, kterou stačí nainstalovat a více se o ní nestarat. Lambertová také podotýká, že technologie HIPS jsou poměrně obtížně spravovatelné a že nikdy nebudou tak jednoduché, jako tomu bylo v případě klasických antivirů, i když, jak připomíná, postupem času k určitému zjednodušení práce s HIPS bezesporu dojde.
Shipley z firmy Neohapsis navíc tvrdí, že žádná z výše zmíněných technik není úplně nová — podle něj je to například už více než čtyři roky, co společnost McAfee koupila firmu Entercept, dodavatele řešení HIPS. Avšak mnohem důležitou otázkou je, jakou roli budou nové techniky v ochraně před malwarem do budoucna hrát a jak velký podíl škodlivého kódu budou schopny zachytit. „V tomto směru tak daleko nevidím,“ tvrdí Shipley a dodává, že se hodlá v blízké době blíže podívat na řešení firmy Bit9, zda je skutečně schopno nahradit současné antivirové programy.
Antivirové firmy souhlasí s tím, že se průběžně transformují. Například firma Sophos využívá ke svému antivirovému řešení postavenému na bázi signatur několik přídavných technologií – mimo jiné prověřuje chování programů (jde o modifikace, které program zanáší do takových prvků, jako je systémová konfigurace či jiné soubory, v době, kdy je spuštěn).
Firma rovněž vytvořila preexekuční algoritmus, určitý druh křišťálové koule sloužící k simulaci toho, co by mohl neznámý programový kód dělat. Richard Wang, manažer laboratoří Sophos Labs v USA, tvrdí, že zatímco signatury škodlivých kódů je snadné vytvářet, věci jako preexekutivní kód jsou mnohem složitější a jejich vytváření zabere i mnohem více času. Na druhou stranu však přínosem takových řešení je to, že mohou být nasazeny proti mnohem širšímu spektru malwaru. Jak podotýká, v případě červa Storm, podle mnohých odborníků jedné z nejzávažnějších hrozeb loňského roku, Sophos vygeneroval pouze jedinou signaturu a přitom byl schopen rozpoznat v podstatě všechny varianty tohoto škodlivého kódu. Wang tento typ techniky boje proti malwaru popisuje jako “širokospektrální antibiotikum”.
Dětská hra?
Pro zajímavost, dalším místem, kam se můžete při hledání nových antivirových technik poohlédnout, je OLPC XO (počítač dodávaný v rámci aktivity One Laptop Per Child Foundation). XO totiž využívá specifikace Bitfrost vyvinuté speciálně pro jednoduché a málo výkonné počítače. OLPC tvrdí, že jimi používaný systém je oproti hlavním antivirovým systémům dostupným v současnosti na trhu „jednak výrazně bezpečnější, jednak mnohem lépe použitelný“.
OLPC XO je dodáván ve výchozím zamknutém stavu, ale pro uživatele není nijak složité jej otevřít. Specifikace Bitfrost využívá řadu vestavěných prvků ochrany, jež zahrnují mimo jiné sandboxing, programové zámky pro aplikace či ochranu na úrovni systému, která zabraňuje úpravám kódu, jež by mohly představovat hrozbu.
Zda by Bitfrost mohl fungovat i v korporátním prostředí nebo zda by mohl být prodáván mimo projekty OLPC, není úplně jasné. Harley z firmy Avien si však myslí, že to, že by antivirové programy zmizely z trhu, je už jen z psychologického důvodu prakticky nemyslitelné.
„Myšlenka řešení, které zastavuje reálné hrozby a přitom neomezuje nemaligní objekty či procesy, je velmi atraktivní. Lidé (ti obyčejní, nikoliv bezpečnostní specialisté) mají rádi ideu softwaru orientovaného na specifické nebezpečí, který je schopen zachytit všechen přicházející malware a zároveň negenerovat žádná falešná pozitivní hlášení, protože pak mohou takový software pouze nainstalovat a o nic víc se nestarat. Bohužel však jde o nedosažitelný ideál.“
PŘEDPLATNÉ
ČLÁNKY DO MAILU