Na atak podatne są systemy, w których nie zainstalowano poprawek, a więc także takie, które są poprawnie skonfigurowane do periodycznej, automatycznej aktualizacji, ale narzędzia jeszcze nie zdążyły pobrać i zainstalować łat. Gdy łata dotyczy serwera Windows, dochodzi jeszcze jeden dość poważny problem. Niemal każda istotna aktualizacja bezpieczeństwa wymaga restartu komputera. Serwer nie zawsze można zamknąć i uruchomić ponownie, dlatego często zdarza się, że administratorzy odkładają instalację poprawek tak długo, jak to tylko jest możliwe.

Skomplikowana bariera ochronna

Choć nie od dziś wiadomo, że aktualizacje są ważnym elementem obrony przed włamywaczami, ale pojawienie się mechanizmów do automatycznego tworzenia eksploitów stwarza nową sytuację - być może już wkrótce okaże się, że brak dbałości lub opóźnienie w instalacji poprawek to nie tylko zwiększenie prawdopodobieństwa, że system zostanie skutecznie zaatakowany, ale pewność, że tak się stanie. Dlatego uruchomienie odpowiednich narzędzi do aktualizacji i regularne sprawdzanie ich działania stanie się rutynową czynnością każdego administratora.

Ale nie wolno też zapominać o klasycznych zabezpieczeniach. Dobrze skonfigurowana zapora sieciowa wraz z filtrem treści poważnie utrudni włamania wykorzystujące pliki wykonywalne. Warto też pamiętać o możliwości odseparowania podsieci serwerów od stacji roboczych za pomocą odpowiednich zapór. Dzięki nim, dla stacji roboczych będą dostępne tylko te usługi serwerów, które są niezbędne, a nie cała podsieć. Wielu administratorów zapomina o wyłączeniu nieużywanych usług, a zmniejszenie ich liczby przez wyłączenie i blokowanie komunikacji istotnie utrudnia włamania.

Wszystkie systemy Windows powinny być wyposażone w program antywirusowy z modułem HIPS. Tego typu oprogramowanie oprócz analizy heurystycznej posiada często również moduł analizy behawioralnej. Nie jest to nowość, ale bardzo dobrze sprawdza się jako ostatnia linia obrony, gdy złośliwy kod już został uruchomiony i działa. Posiadanie modułów HIPS na stacjach roboczych jest bezwzględnie koniecznie, gdyż wiele ataków wykorzystuje obecnie luki, które nie są znane systemom antywirusowym bazującym na sygnaturach.

Niektóre narzędzia (takie jak niektóre sieciowe IPS-y) zawierają moduły do dokładnej analizy ruchu sieciowego. Wszelkie jego anomalie podlegają wówczas kontroli i w pewnych przypadkach sieciowy IPS podniesie alarm, zanim jeszcze dojdzie do infekcji. Ponadto bazy danych niektórych tego typu systemów są aktualizowane codziennie (a czasami nawet kilka razy dziennie). Pod względem szybkości reakcji na nowe zagrożenia IPS ma wówczas istotną przewagę nad poprawkami dostarczanymi przez producenta systemu lub aplikacji.

Bardzo ważne jest połączenie wymienionych elementów w spójny system, by alarm podniesiony przez jeden moduł HIPS dostarczał ważnych informacji na temat rozwoju infekcji. W pewnych warunkach można tak skonfigurować system, by alarm powodował automatyczne wykonywanie szybkiej kopii przyrostowej, a następnie blokował kopię tak, by nie można było jej już zmienić.