Новинка берет под защиту ряд компонентов Windows и предлагает пользователям новую консоль
Деннис Фишер
Многие производители средств защиты сейчас отказываются от обнаружения атак по сигнатурам в пользу решений, анализирующих характер трафика и выявляющих в нем аномалии. Но небольшую группу компаний не устраивает и такой подход. В результате ряд разработчиков выбрал третий путь - использование современных технологий защиты памяти, не позволяющих запускать вредоносные коды на защищаемых машинах.
В подавляющем большинстве сегодняшние системы предупреждения взломов следят за поведением компьютера и определяют стереотипы, которые считаются нормальными. Попытки выполнить незнакомую задачу пресекаются. Другие средства такого назначения выявляют атаки по сигнатурам, используя тот же принцип, что и антивирусные сканеры, однако у такого способа есть серьезный недостаток. Чтобы обеспечить надежную защиту, сигнатуры приходится постоянно обновлять, в противном случае система просто не распознает новые типы атак.
Альтернативное решение предлагает фирма Determina из калифорнийского города Редвуд-Сити. В ноябре она выпустила вторую версию системы защиты памяти, которая берет под охрану целый ряд компонентов Windows, предлагая пользователям новую консоль управления. Здесь, как и в сходной продукции фирм вроде Sana Security, реализован подход, направленный на упреждение подозрительного поведения (Sana для этого применяет перехват системных вызовов).
SecureCore 2.0 - так называется новая система - инспектирует все коды, которые готовятся к запуску на защищаемом хосте, и не допускает их ввода в прикладную область памяти. Благодаря этому удается блокировать атаки с применением резидентных червей типа Code Red или Slammer, а также отражать попытки ввода кодов, переполняющих буфер, перегружающих стек и использующих уязвимости в строках форматирования.
С появлением новой версии SecureCore не только защищает все сервисы ядра Windows, но и оберегает системы с запущенными приложениями IIS (Internet Information Server - информационный сервер Интернета), SQL Server и Exchange корпорации Microsoft. А модернизированная консоль позволяет администраторам управлять всеми защищаемыми серверами из одной точки. Кроме того, с ее помощью можно просматривать журнальные файлы событий на каждом обслуживаемом устройстве.