Promjena antimalware strategije
Tradicionalne antimalware strategije oslanjaju se prije svega na antivirusnu zaštitu potpomognutu antispyware tehnologijama. Takav pristup dovoljan je za klasične opasnosti kojima je cilj prodrijeti u sustave preko poznatih ulaza, poput interneta, CD snimača, USB-a i sl. Njihova je odlika da su reaktivni, tj. djeluju u slučaju da je opasnost već prisutna u sustavu te da postoje već pronađena rješenja (signature) za pojedinu opasnost. U takvim slučajevima antivirusna zaštita može biti vrlo učinkovita i sasvim dovoljna.
No, noviji tipovi opasnost više se ne koriste tradicionalnim ulazima u sustave nego nastoje pronaći nezaštićena mjesta, točke koje ni projektantima softvera nisu poznate.
Conficker
Jedan od novijih slučajeva opasnosti koje iskorištavaju slabosti operativnog sustava bio je Conficker, koji se pojavio potkraj 2008. godine te se relativno brzo proširio informatičkim mrežama širom svijeta pa je tako došao i do hrvatskih korisnika. Odlika je Confickera da se širi različitim načinima te je dovoljno da samo jedno računalo u sustavu ne bude u potpunosti zaštićeno pa da se opasnost ponovno proširi cijelim sustavom. Jedan od korisnika koji su zaraženi Confickerom imao je u sustavu nekoliko stotina računala. Čak i u normalnim okolnostima tolik broj računala zahtijeva stalni nadzor i kontrolu ažuriranjem verzija softvera, krpanjem operativnih sustava i aplikacija i ostalim potrebnim radnjama. Za ovaj slučaj posebno je bilo bitno postavljanje novih zakrpa operativnog sustava. Naime, Conficker je bio dizajniran tako da iskoristi određenu slabost Microsoft Windows OS. Iako je Microsoft relativno rano objavio zakrpu, mnogi korisnici nisu je pravodobno primijenili, što je Confickeru omogućilo brzo širenje.
Rješenje
Budući da klasična antivirusna zaštita nije mogla spriječiti širenje, trebalo je primijeniti neki od naprednijih oblika zaštite. U ovom slučaju radilo se o McAfee Host Intrusion Prevention System (HIPS). Riječ je o rješenju koje u sebi sadrži tri različita oblika zaštite, IPS za računala, desktop firewall i blokadu aplikacija. Za ovaj slučaj posebno je bitna bila blokada aplikacija. Komponenta za blokadu aplikacija radi tako da se konfiguracijom odrede aplikacije kojima je dopušten rad na pojedinom računalu ili spajanje na ostale dijelove mreže. Nakon određivanja dopuštenih aplikacija, sve ostale aplikacije imaju ograničene mogućnosti rada. Zahvaljujući HIPS-u, jedna od zabranjenih aplikacija bio je i Conficker.
Iako je u početnim fazama bilo problematično izbrisati Conficker s pojedinog računala (barem dok proizvođači zaštitnih rješenja nisu ažurirali svoje sustave), primjenom blokade aplikacija Conficker je bio lokaliziran na pojedinim računalima te je spriječeno njegovo širenje. Nakon što je proizvođač objavio načine čišćenja Confickera, računala su relativno lako vraćena u optimalno stanje.
No, uskoro se pojavio nov problem. Naime, korisnik je na svojoj mreži imao i računala koja su služila isključivo u proizvodnji. S obzirom na to da nitko od zaposlenih nije radio na tim računalima, nisu smatrana dijelom mreže. No, Conficker ih je prepoznao kao računala te se malware na njih instalirao i ponovno se počeo širiti mrežom. S obzirom na to da su ostala računala bila ažurirana, bilo je potrebno pronaći novi izvor širenja. U tu svrhu primijenjen je alat za analizu mreže, Rogue System Detection, koji je dio konzole za administraciju zaštitnih sustava ePolicy Orchestratora. Nakon što je mreža analizirana te su nezaštićena računala pronađena i ažurirana, cijeli je sustav doveden u optimalno stanje.
Preporuke za daljnji rad
Budući da je do ranije navedenog problema došlo zbog velikog broj računala koje administratori nisu bili u mogućnosti pravodobno ažurirati, korisniku je preporučena ugradnja sustava koji bi omogućio automatsku periodičnu analizu ažiruranosti računala i cjelokupne mreže. Time bi se olakšao rad i nadzor nad sustavom te bi se smanjila opasnost od sličnih napada.