Rzeka zgłoszeń

Ponieważ do centrum danych usługodawcy docierają informacje o zgłoszeniach z wielu komputerów na całym świecie, nie istnieje problem lokalnego biura i słabej komunikacji, typowy dla pierwszych programów antywirusowych sprzed niemal 10 lat. Zgłoszenia są bardzo szybkie i umożliwiają planowanie rozwoju infekcji w czasie. Dzięki geokodowaniu można nie tylko określać wektory zarażeń, ale także określać prognozowanie zarażeń. Jeśli w tym samym czasie z różnych miejsc świata gwałtownie wzrośnie ilość zapytań o obiekt wykazujący się tym samym skrótem kryptograficznym, w większości przypadków znaczy to, że mamy do czynienia z infekcją systemów Windows przez nową wersję złośliwego oprogramowania. Prawdopodobieństwo zablokowania w ten sposób normalnej aktualizacji Windows jest stosunkowo niskie, gdyż paczki aktualizacyjne identyczne w skali całego świata są rzadkością. Ponadto aktualizacja odbywa się stosunkowo powoli, a inżynierowie znają listę plików i dodają ją do spisu plików wolnych od podejrzeń.

W niektórych przypadkach systemy obronne umożliwiają też określenie celu ataku jeszcze przed jego rozwinięciem. Hybrydowe programy antywirusowe, które posiadają moduł behawioralny, mogą analizować programy już podczas jego uruchamiania, więc z dość wysokim prawdopodobieństwem wykryją oprogramowanie, które zachowuje się jak spyware. Czasami niezbędna jest przy tym interwencja specjalisty, ale w przypadku masowych infektorów mechanizmy analizy zgłoszeń potrafią z dużym prawdopodobieństwem wykryć złośliwe oprogramowanie jeszcze w początkowej fazie infekcji. Prostsze przypadki szybkich infektorów albo złośliwego oprogramowania, które wykorzystuje znane już składniki, mogą być rozwiązane tylko za pomocą oprogramowania analizującego zgłoszenia. Takiej szybkości i elastyczności nie zapewni żadne tradycyjne oprogramowanie ochronne, nawet przy najlepszej dostępnej aktualizacji.

Chmura pilnuje pobieranych plików

Ponieważ mechanizm ten nie jest przywiązany do plików (w odróżnieniu od modułu HIPS i heurystyki analizatora kodu), może badać niemal dowolne obiekty. W szczególności mogą być nimi hiperłącza. Jest to szczególnie dobry mechanizm przy wykrywaniu nowoczesnego malware'u, który jest dystrybuowany w częściach pobieranych z różnych serwerów. Wtedy dodanie dowolnego ze znanych łącz do czarnej listy, automatycznie umożliwia wykrycie innego źródła infekcji. Analiza pobranego automatycznie kodu umożliwia ochronę nawet przed nieznanym dotąd, złośliwym oprogramowaniem, o ile jest ono składane przynajmniej z jednego ze znanych składników (lub pobierane ze znanego serwera) bądź znany jest pierwszy wektor infekcji.