Kto odpowiada za wykrywanie wirusów?

Pierwszy krok obejmuje gromadzenie obiektywnych danych o badanym komputerze oraz działających na nim programach. Ten krok najlepiej przeprowadzić przy użyciu szybkiego, automatycznego sprzętu, który potrafi generować raporty nadające się do przetwarzania automatycznego oraz działać bez interwencji człowieka.

W drugim kroku zebrane dane są poddawane szczegółowej analizie. Na przykład, jeżeli raport zawiera informację o wykryciu podejrzanego obiektu, taki obiekt należy poddać kwarantannie i dokładnej analizie w celu określenia, jakie stanowi zagrożenie, a następnie trzeba podjąć decyzję odnośnie dalszych działań.

Trzeci krok stanowi rzeczywistą procedurę rozwiązania problemu, dla której można wykorzystać specjalny język skryptowy. Zawiera ona polecenia niezbędne do usunięcia wszelkich szkodliwych plików oraz przywrócenia prawidłowych parametrów operacyjnych komputera.

Jeszcze kilka lat temu kroki 2 i 3 były wykonywane jedynie przez analityków firm bezpieczeństwa IT oraz ekspertów działających na wyspecjalizowanych forach niemal bez użycia jakiejkolwiek automatyzacji. Jednak wraz ze wzrostem liczby użytkowników padających ofiarą szkodliwego oprogramowania, a tym samym potrzebujących specjalistycznej pomocy, pojawiło się wiele problemów:

• Jeżeli protokoły i pliki kwarantanny są przetwarzane ręcznie, analityk wirusów otrzymuje ogromne ilości nieustannie zmieniających się informacji, które wymagają zintegrowania i pełnego zrozumienia – taki proces nie może być szybki.
• Człowiek posiada naturalne ograniczenia psychiczne i fizjologiczne. Specjalista może zmęczyć się i popełnić błąd; im bardziej złożone zadanie, tym większe prawdopodobieństwo popełnienia błędu. Na przykład przeciążony pracą ekspert od szkodliwego oprogramowania może pominąć szkodliwy program lub usunąć nieszkodliwą aplikację.
• Analiza plików umieszczonych w kwarantannie jest bardzo czasochłonną operacją, ponieważ ekspert musi przeanalizować unikatowe cechy każdej próbki – tj. gdzie i w jaki sposób pojawiła się i co jest w niej podejrzanego.

Polecamy: Jakie są wady i zalety chmury antywirusowej?

Jedynym rozwiązaniem tych problemów jest całkowita automatyzacja analizy oraz leczenia szkodliwego oprogramowania, jednak dotychczasowe próby wykorzystujące różne algorytmy nie przyniosły pozytywnych rezultatów. Głównym powodem tych niepowodzeń jest nieustanna ewolucja szkodliwego oprogramowania oraz fakt, że każdego dnia w Internecie pojawiają się dziesiątki nowych szkodliwych programów wykorzystujących coraz bardziej wyrafinowane metody osadzania się i ukrywania. Dlatego algorytmy wykrywania muszą być niezwykle złożone. Sprawę komplikuje ponadto fakt, że algorytmy te bardzo szybko dezaktualizują się - należy je nieustannie aktualizować i usuwać z nich błędy. Kolejnym problemem jest to, że skuteczność każdego algorytmu ograniczają umiejętności jego twórców.

Nieco skuteczniejsze wydaje się wykorzystanie do “łapania wirusów”  systemów eksperckich. Jednak twórcy antywirusowych systemów eksperckich borykają się z podobnymi problemami do tych wymienionych wyżej – skuteczność takiego systemu zależy od jakości wykorzystywanych przez niego reguł i baz wiedzy. Ponadto, bazy wiedzy muszą być nieustannie aktualizowane, co wymaga inwestycji w zasoby ludzkie.

Polecamy: Jakie są plusy i minusy VOiP?