Tecnologías proactivas : un conjunto de tecnologías y métodos utilizados en el software antivirus , cuyo objetivo principal, a diferencia de las tecnologías reactivas (de firma) , es prevenir la infección del sistema del usuario y no buscar software malicioso ya conocido en el sistema. Al mismo tiempo, la defensa proactiva intenta bloquear la actividad de aplicaciones potencialmente peligrosa solo si esta actividad representa una amenaza real. Un grave inconveniente de la protección proactiva es el bloqueo de programas legítimos (falsos positivos).
Las tecnologías proactivas comenzaron a desarrollarse casi simultáneamente con las tecnologías clásicas (firma). Sin embargo, las primeras implementaciones de tecnologías de protección antivirus proactivas requerían un alto nivel de habilidad del usuario, es decir, no estaban diseñadas para un uso masivo por parte de usuarios comunes de computadoras personales. Una década más tarde, ha quedado claro para la industria antivirus que los métodos de detección basados en firmas ya no pueden brindar una protección efectiva a los usuarios. Este hecho impulsó el renacimiento de las tecnologías proactivas.
La tecnología de análisis heurístico permite, basándose en el análisis del código de una aplicación, script o macro en ejecución, detectar secciones de código responsables de actividad maliciosa.
La efectividad de esta tecnología no es alta, lo que se debe a una gran cantidad de falsos positivos cuando se aumenta la sensibilidad del analizador, así como a un gran conjunto de técnicas utilizadas por los autores de malware para eludir el componente heurístico del software antivirus .
La tecnología de emulación le permite ejecutar una aplicación en un entorno de emulación, emulando el comportamiento de un sistema operativo o una CPU. Cuando la aplicación se ejecuta en modo de emulación, la aplicación no podrá dañar el sistema del usuario y el emulador detectará la acción maliciosa.
A pesar de la aparente eficacia de este enfoque, también presenta inconvenientes: la emulación requiere demasiado tiempo y recursos de la computadora del usuario, lo que afecta negativamente el rendimiento al realizar las operaciones diarias; además, el malware moderno puede detectar la ejecución en un entorno emulado . y detener su ejecución en él.
La tecnología de análisis de comportamiento se basa en la interceptación de todas las funciones importantes del sistema o la instalación de las llamadas. mini-filtros, que le permite rastrear toda la actividad en el sistema del usuario. La tecnología de análisis de comportamiento le permite evaluar no solo una sola acción, sino también una cadena de acciones, lo que aumenta en gran medida la eficacia de contrarrestar las amenazas de virus. Además, el análisis de comportamiento es la base tecnológica para toda una clase de programas: bloqueadores de comportamiento ( HIPS - Host-based Intrusion Systems ).
La tecnología Sandbox funciona según el principio de limitar la actividad de aplicaciones potencialmente maliciosas para que no puedan dañar el sistema del usuario.
La restricción de actividad se logra mediante la ejecución de aplicaciones desconocidas en un entorno restringido: el sandbox real, desde donde la aplicación no tiene derechos de acceso a archivos críticos del sistema, ramas de registro y otra información importante. La tecnología de restricción de privilegios de ejecución es una tecnología eficaz para contrarrestar las amenazas modernas, pero debe entenderse que el usuario debe tener los conocimientos necesarios para evaluar correctamente una aplicación desconocida.
La tecnología de virtualización del espacio de trabajo funciona con la ayuda de un controlador de sistema que intercepta todas las solicitudes para escribir en el disco duro y, en lugar de escribir en un disco duro real, escribe en un área especial del disco: un búfer. Por lo tanto, incluso si un usuario ejecuta software malicioso, no vivirá más allá de la descarga del búfer, que se realiza de manera predeterminada cuando la computadora está apagada.
Sin embargo, debe entenderse que la tecnología de virtualización de escritorio no podrá proteger contra el malware, cuyo objetivo principal es robar información confidencial, ya que no está prohibido el acceso de lectura al disco duro.
Las tecnologías proactivas son ahora un componente importante e integral del software antivirus. Además, por regla general, los productos antivirus utilizan una combinación de varias tecnologías de protección proactiva a la vez, por ejemplo, el análisis heurístico y la emulación de código se combinan con éxito con el análisis de comportamiento, lo que permite multiplicar la eficacia de los productos antivirus modernos. contra malware nuevo, cada vez más sofisticado. La protección proactiva en algunos antivirus analiza de forma independiente el comportamiento de los programas utilizando firmas de comportamiento (patrones de comportamiento peligroso).