検疫システムの問題点
検疫システムの仕組み上、ポリシーに合致しているか
していないかを判断して、通信の可否を決定する。
現状一般的な検疫システムは、ウィルス検知パターン番号、
パッチの適用有無を判断している
この前提であれば、LAN内で使う事に関しては、特に問題に
ならないだろうが、いまだ、64Kbpsだったりする、リモートアクセス環境では
パターンファイル、セキュリティパッチのダウンロードを完了するまで
数時間待たされることになるだろう。
先日の@RANDOMでもディスカッションでお話が出ていましたが
「ウィルス検知は未知のウィルスを検知するためにあるのだ」
パターンマッチングでのウィルス検知は限界が、きているのだろう・・・
今後、検疫として期待したいのは、マルウェア(悪意のあるソフト)検知する仕組みに注目したい。
システムの異常な動作を検知する「振る舞い検知型」で未知のウィルスも検知できるはず
振る舞いのポリシーベースのマルウェア検知を活用して欲しい。
まぁ、結局は大量ダウンロードを要求するパターン、パッチに依存しない
検疫システムを作ってほしい。#とはいえ、ポリシーといいつつも、パターンに陥りがち?!
#振る舞い検知型では
Cisco社 Cisco Security Agent Panda社 TruPrevent Microsoft ??? Trendmicro ない? Mcafee ない? Symantec ない?