SG.hu
Meredeken nő az IT-károkozók száma
2008 első negyedévében több rosszindulatú program jelent meg, mint a korábbi tíz évben, és ez komoly kihívást jelenti az IT-biztonsági fejlesztőknek.
Az IT biztonsági megoldásokat fejlesztő VirusBuster Kft. észlelése szerint 2008 első három hónapja során korábban soha nem látott mértékben emelkedett a számítógépes kártevők száma. Míg 2007. végén a cég kártevőellenes termékei nem egészen félmillió károkozó azonosítására voltak képesek, addig 2008. első három hónapja után a rosszindulatú programok megszaporodása miatt ez a szám majdnem elérte, április végére pedig már jócskán elkerülte a milliót.
Ez azt jelenti, hogy 2007. december 31-ig összesen 209 ezer vírusszignatúra - a rosszindulatú programok azonosítására alkalmas kódsorozat - került bele a cég adatbázisába, addig csak 2008. első negyedévben 298 ezer új azonosító kód került bele ugyanebbe az állományba. Ezt az adatbázist használják a cég több platformon futó kártevőellenes rendszerei a kártékony kódok azonosítására úgy, hogy egy szignatúra több károkozó azonosítására is alkalmas, ezért az adatbázis lefedi a teljes kártevőspektrumot.
A jelenségnek több következménye is van. Általános elv, hogy a biztonsági fejlesztők a rosszindulatú ágenseket a felhasználók előtt igyekeznek begyűjteni. A kártevők számának ugrásszerű - és várhatóan folyamatos - növekedése miatt felértékelődnek azok az eszközök - email-szűrők, "féregcsapdák", "mézesbödönök", az URL-listák, továbbá az IRC- a P2P- és az üzenőrendszerek forgalmának monitorozása - melyekkel ezt meg lehet oldani.
A megjelenő új kórokozók feldolgozása más irányban is fokozott terhet ró a biztonsági fejlesztőkre, hiszen a napi 30 ezer(!) új vírusminta miatt csökken az egy kártevőre fordítható idő, illetve az elemzés a megnövekedett volumen miatt személyi és technológiai értelemben is jelentős erőforrástöbbletet igényel. Az erőforrások azonban egy határon túl már nem növelhetők, ezért minőségi változásra van szükség.
Az elemzésben a többletterhelés elsősorban az automatizálás fokozásával követhető, de a károkozószám növekedése a biztonsági termékekkel szemben is új követelményeket támaszt. Az egyre növekvő szignatúraállomány rövid úton felemésztené a felhasználók gépeinek memóriáját. A probléma megoldására a VirusBuster szakemberei kidolgoztak egy olyan eljárást, amellyel drasztikusan növelhető az adatbázisba kerülő szignatúrák, és ezzel a felismerhető vírusok száma.
A hihetetlen gyorsasággal megjelenő kártevővariánsok miatt a kórokozóknak pillanatok alatt jelennek meg olyan új változatai, melyek felismerésére már a néhány órás szignatúra-adatbázis sem lenne alkalmas. A folyamatot csak olyan generikus felismerési módszerekkel lehet kezelni, melyek a reaktivitás helyett minden eddiginél nagyobb mértékben a megelőzésre helyezik a hangsúlyt.
Be kell látnunk azt is, hogy a gyorsan érkező új kártevők miatt be-becsúszhatnak fertőzések. Jelenleg egyszerűen nem létezik - és jó darabig (talán soha) nem is lesz - olyan proaktív megoldás, amellyel százszázalékos biztonságot lehetne garantálni. Ez viszont azt jelenti, hogy a védelmi rendszereknek fertőzött környezetben is hatékonyan kell működniük és úgy kell orvosolniuk a problémát, hogy a felhasználói rendszer épsége és produktivitása a lehető legteljesebb mértékben visszaállítható legyen.
Az IT biztonsági megoldásokat fejlesztő VirusBuster Kft. észlelése szerint 2008 első három hónapja során korábban soha nem látott mértékben emelkedett a számítógépes kártevők száma. Míg 2007. végén a cég kártevőellenes termékei nem egészen félmillió károkozó azonosítására voltak képesek, addig 2008. első három hónapja után a rosszindulatú programok megszaporodása miatt ez a szám majdnem elérte, április végére pedig már jócskán elkerülte a milliót.
Ez azt jelenti, hogy 2007. december 31-ig összesen 209 ezer vírusszignatúra - a rosszindulatú programok azonosítására alkalmas kódsorozat - került bele a cég adatbázisába, addig csak 2008. első negyedévben 298 ezer új azonosító kód került bele ugyanebbe az állományba. Ezt az adatbázist használják a cég több platformon futó kártevőellenes rendszerei a kártékony kódok azonosítására úgy, hogy egy szignatúra több károkozó azonosítására is alkalmas, ezért az adatbázis lefedi a teljes kártevőspektrumot.
A jelenségnek több következménye is van. Általános elv, hogy a biztonsági fejlesztők a rosszindulatú ágenseket a felhasználók előtt igyekeznek begyűjteni. A kártevők számának ugrásszerű - és várhatóan folyamatos - növekedése miatt felértékelődnek azok az eszközök - email-szűrők, "féregcsapdák", "mézesbödönök", az URL-listák, továbbá az IRC- a P2P- és az üzenőrendszerek forgalmának monitorozása - melyekkel ezt meg lehet oldani.
A megjelenő új kórokozók feldolgozása más irányban is fokozott terhet ró a biztonsági fejlesztőkre, hiszen a napi 30 ezer(!) új vírusminta miatt csökken az egy kártevőre fordítható idő, illetve az elemzés a megnövekedett volumen miatt személyi és technológiai értelemben is jelentős erőforrástöbbletet igényel. Az erőforrások azonban egy határon túl már nem növelhetők, ezért minőségi változásra van szükség.
Az elemzésben a többletterhelés elsősorban az automatizálás fokozásával követhető, de a károkozószám növekedése a biztonsági termékekkel szemben is új követelményeket támaszt. Az egyre növekvő szignatúraállomány rövid úton felemésztené a felhasználók gépeinek memóriáját. A probléma megoldására a VirusBuster szakemberei kidolgoztak egy olyan eljárást, amellyel drasztikusan növelhető az adatbázisba kerülő szignatúrák, és ezzel a felismerhető vírusok száma.
A hihetetlen gyorsasággal megjelenő kártevővariánsok miatt a kórokozóknak pillanatok alatt jelennek meg olyan új változatai, melyek felismerésére már a néhány órás szignatúra-adatbázis sem lenne alkalmas. A folyamatot csak olyan generikus felismerési módszerekkel lehet kezelni, melyek a reaktivitás helyett minden eddiginél nagyobb mértékben a megelőzésre helyezik a hangsúlyt.
Be kell látnunk azt is, hogy a gyorsan érkező új kártevők miatt be-becsúszhatnak fertőzések. Jelenleg egyszerűen nem létezik - és jó darabig (talán soha) nem is lesz - olyan proaktív megoldás, amellyel százszázalékos biztonságot lehetne garantálni. Ez viszont azt jelenti, hogy a védelmi rendszereknek fertőzött környezetben is hatékonyan kell működniük és úgy kell orvosolniuk a problémát, hogy a felhasználói rendszer épsége és produktivitása a lehető legteljesebb mértékben visszaállítható legyen.