با وجود هشدارها و تمهیدات انجام شده، هیچگونه نشانهای از کاهش این قبیل حملات وجود ندارد. یک دلیل این امر آن است که گرچه سامانههای محافظت در برابر حملههای آشکار و مرسوم کاملا رایج و فراگیر شده اما این محافظت در مقابل بیشتر تهدیدهای پیشرفته بیتأثیر است؛ بنابراین یک رویکرد جدید جهت محافظت از مجموعه زیرساختها و تجهیزات شرکتها بسیار ضروری بهنظر میرسد.
بهرغم استفاده از به روزترین و معتبرترین سامانههای محافظتی و امنیتی در شرکتها، بیشتر شرکتهای بزرگ دانسته یا ندانسته توسط بدافزارهای پیشرفته قابل نفوذ هستند. نسل اولیه این سامانههای امنیتی بر پایه قراردادن بدافزارهای مشهور در لیست سیاه و استفاده از تحلیلگرهای ابتدایی و ساده جهت جستوجو و شناسایی رفتارهای این قبیل بدافزارها طراحی شدهاند.
گرچه تهیه لیست سیاه از بدافزارهای شناختهشدهای که در طول زمان بدون تغییر باقی میمانند (مانند مزاحمافزارهایی که بهمنظور بازکردن صفحات تبلیغاتی بهکار میروند یا آنها که بهمنظور عوضکردن نتیجه جستوجوی موتورهای جستوجو طراحی شدهاند) یک راهحل بسیار کارآمد است اما در نهایت این روش به آسانی توسط بدافزارهای هوشمندی که بهمنظور مقابله با لیست سیاه ساخته شدهاند شکست خورده است. نسل دوم سامانههای مقابله با بدافزارها با استفاده از تکنیک کنترل برنامهها و با جلوگیریکردن از اجرای فایلهای مخرب روی سیستمها توانستهاند به مقدار قابل توجهی امنیت را بهبود بخشند. روش دیگر تهیه یک لیست سفید از نرمافزارهای سالم است که در آن تنها اجازه اجرا شدن نرمافزارهای این لیست در سیستمها داده میشود. رویکرد دیگر استفاده از تکنیک sand box در اجرای نرمافزارهاست. در این روش با استفاده از قابلیت مجازیسازی، برنامههای کاربردی را از محیط اصلی میزبان و سایر برنامههای کاربردی جدا و نهایتا سیستمهای HIP تغییرات سیستمی توسط منابع غیرمجاز را محدود میکنند.
این رویکردها از نقطه نظر امنیتی بسیار مؤثر بهنظر میرسند اما یک ایراد اساسی دارند: اداره و مدیریت برنامهها.
اولین مشکل در استفاده از تکنیک کنترل برنامهها آن است که سازمانها باید از پیش تعیینکنند که کدام فایلها و برنامههای کاربردی قابل اعتماد هستند. انجام چنین کاری نیازمند منابع و تلاش بسیار برای پیکربندی و حفظ فایلهاست بهطوریکه باید میلیاردها فایل در این سیستم مورد بازنگری قرارگیرند.
بهدلیل طبیعت پویای برنامههای کاربردی و محیطهای کاربر، ادمینها باید بهطور مستمر در حال به روز کردن سیاستهای امنیتی باشند. این کار نیازمند آن است که همواره موارد استثنا و جدیدی اضافه شود و سیاستهای امنیتی تغییر یابد که در نهایت این امر به نوبهخود درها را برای ورود بدافزارها میگشاید.
این رویکردها و بهویژه تکنیک HIPS اغلب نیازمند آن است هنگامی که فایلهای جعلی یا مشکوک توسط سیستم شناسایی میشود کاربر به هشدارهای ایجاد شده توسط سیستم پاسخ دهد. این امر هم برای بسیاری از کاربران ایجاد مزاحمت کرده و هم موجب افزایش بار امنیتی در سیستم میشود. همچنین کاربران عادی بهشدت هنگام تصمیمگیری در موارد امنیتی دچار اشتباه میشوند و اغلب بسیاری از هشدارهای سیستم امنیتی را نادیده میگیرند. در واقع میتوان گفت که بهدلیل وجود همین ضعفها و محدودیتها تا به امروز تعداد بسیار اندکی از روشها و سامانههای کنترل برنامه وجود دارند که بهمعنای واقعی کاربردی و سودمند هستند.
هادی احمدی، کارشناس فناوری اطلاعات
