Dużo łatwiej jest wykryć problem w komputerze niż go usunąć. Rozwiązania antymalware są precyzyjniejsze w wynajdywaniu złosliwego oprogramowania, niż w oczyszczaniu i naprawianiu zainfekowanych systemów. Taki stan stawia specjalistów od bezpieczeństwa przed trudnym problemem: jak uzyskać pewność, że system został dokładnie wyczyszczony po infekcji lub ataku? Sam komunikat o usunięciu infekcji nie oznacza jeszcze, że tak jest naprawdę. Kod złośliwy może zmodyfikować np. tylko jeden bit, a kiedy nie wiadomo, który to bit, to konieczne jest wtedy pełne odtworzenie.

Polecamy Kiepskie zabezpieczenia kosztują więcej

Zobacz również:

• Co trzecia firma w Polsce z cyberincydentem
• Zerowanie Windows 10/11 - z której opcji skorzystać?

Wniosek z tego jest taki: dopóty nie można mieć pełnego zaufania do systemu, który został zaatakowany, dopóki nie odtworzy się go całkowicie. W sytuacji braku pełnych kopii awaryjnych, zadanie to zazwyczaj przeistacza się w żmudne i czasochłonne zajęcie. Może się okazać, że konieczne będzie: skopiowanie wszystkich danych, które nie zostały zeskładowane w postaci kopii awaryjnej, sformatowanie dysku, wykonanie reinstalacji systemu operacyjnego oraz oprogramowania, i następnie odtworzenie danych.

Popularne mechanizmy zabezpieczeń chroniące przez złośliwymi atakami i kodami skupiają się bardziej na wykrywaniu niż zapobieganiu lub usuwaniu problemów. Na przykład: większość oprogramowania szyfrującego dyski (Microsoft BitLocker Drive Encryption, Symantec PGP Whole Disk Encryption czy open source TrueCrypt) podniesie alarm kiedy chronione dane zostaną zmodyfikowane, ale nie potrafi tych danych naprawić. Czemu zresztą nie należy się dziwić - szyfrowanie i zachowanie integralności to dwie różne funkcje.

Polecamy FPM - opanować firewalle

W ostatniej dekadzie pojawiło się wiele rozwiązań podejmujących próby ulepszenia tego elementu ochrony. Tripwire, jedna z wczesnych i dobrze znanych aplikacji wykrywających ataki intruzów na hosta, może nie tylko wykrywać nieautoryzowane zmiany, ale także przywracać system do stanu zarejestrowanego przed ich wprowadzeniem. Tripwire i inne rozwiązania wykorzystujące technikę kopii migawkowych (snapshoot) mogą powiadamiać o tym, że system uległ modyfikacji, nie potrafią jednak ocenić czy sam system już wcześniej był godny zaufania. Skąd program ma się dowiedzieć czy system, z którego właśnie zapisał kopię migawkową stanu nie był już narażony? Odpowiedź narzuca się sama: trzeba mieć pewność, że system jest czysty i godny zaufania od samego początku, ale może to nie być takie proste w dużym środowisku przedsiębiorstwa.