Wracając do mechanizmów wspierających skuteczność rozwiązań AV. Coraz więcej producentów korzysta z rozwiązań czerpiących wiedzę z chmury. Mowa tutaj np. o mechanizmach reputacyjnych. Dla przykładu w rozwiązaniach Symanteca zaimplementowana jest technologia Insight. Jest to dynamiczna baza reputacyjna zawierająca informacje o reputacji miliardów plików wykorzystywanych przez innych użytkowników oprogramowania. Na wskazanie reputacji składa się np. wiek, częstotliwość używania, powiązania, sposób zachowania pliku, źródło. Zanim zatem plik zostanie pobrany na stację, zostaje sprawdzony w bazie i w zależności od wyniku mogą zostać podjęte określone działania.
Standardem w dobrym oprogramowaniu są również wszelkiej maści pluginy do klientów pocztowych, przeglądarek, które poprzez ścisłą z nimi integrację lepiej radzą sobie z wykrywaniem zagrożeń płynących tymi kanałami.
Oprócz wspomnianych mechanizmów związanych bezpośrednio z technologią AV mamy wiele dodatkowych technologii ochronnych. Normą jest, że w pakiecie znajdzie się firewall, który pozwoli na kontrolę dostępu sieciowego poszczególnych aplikacji. Jest także IPS, moduł kontroli urządzeń czy aplikacji.
Microsoft EMET – aktywna
Warto wreszcie wspomnieć o kilku ciekawych inicjatywach, których celem jest walka z malware’em, ale niekoniecznie w sposób konwencjonalny. Dla przykładu firma Bromium (vSentry) pokazuje nowatorskie podejście do kwestii wirtualizacji jako remedium na nowoczesny malware. Twórcy odchodzą od standardowych mechanizmów detekcji i blokowania na rzecz izolacji, sięgając do podstaw działania kodu złośliwego. Ten zostaje odseparowany od systemu operacyjnego oraz otoczenia sieciowego i niejako z automatu usunięty po zakończeniu sesji przeglądarki czy pracy z dokumentem. Dzieje się tak ponieważ Bromium wykrywa podatne zadania realizowane przez aplikacje i dla każdego z nich korzystając z wirtualizacji sprzętowej tworzy wirtualną minimaszynę. Każda z maszyn pracuje pod kontrolą minihypervisora (Microvisor), jest utwardzona i nie pozwala na instalację jakiegokolwiek oprogramowania. Po zakończeniu zadania, dla którego została uruchomiona, jest usuwana. Zatem nawet jeśli kod złośliwy wykorzysta podatność jakiejś aplikacji wykonującej chronione przez narzędzie zadanie, to tylko to zadanie zostanie skompromitowane. Kod złośliwy nie będzie w stanie uzyskać dostępu do innych zadań i aplikacji, systemu operacyjnego czy systemu plików.
Inni stawiają na wykorzystanie zasobów chmury. Przykładem jest tutaj FireAMP - technologia kupiona jakiś czas temu przez niekojarzoną z antywirusami firmę SourceFire. Novum stanowi podejście - główny silnik wykrywczy znajduje się w chmurze. Wykorzystano tutaj uczenie maszynowe, które jak podaje producent weryfikuje ok. 400 cech pliku. Ponadto każda zidentyfikowana infekcja obudowana jest dodatkowymi, interesującymi i dość nietypowymi informacjami, takimi jak zrzuty ekranu pokazującymi kod złośliwy w działaniu oraz zawartość pakietów.
