 |
Массовые вредоносы приносят запустившему большой улов. Но зато сами сразу попадаются в антивирусные базы. А индивидуального пошива трояны и черви могут месяцами оставаться неотдетектированными и неосигнатуренными – как "Red October". Но зато и улов их хозяина будет в миллион раз менее объёмным. Скорее всего, такая разработка не окупится с чисто коммерческой точки зрения. Из-за высокой скрытности и слабой попадаемости в антивирусные базы такая индивидуальная малварь статистической оценке не поддаётся. Не исключено, что её перечень исчерпывается двумя упомянутыми названиями.
Всё сказанное касается внешних угроз. А для внутренних – расклад иной.
Случайные утечки – суть массовые и типичные. Их "сигнатуры" заранее известны или быстро появляются после новой угрозы.
А злонамеренные утечки – почти все индивидуальны. Злоинсайдер всегда рассчитывает на конкретную информационную систему своего предприятия и пытается преодолеть конкретную защиту, а не типичную. Если он создаёт какие-то вредоносные программы, то они предназначены работать на конкретном компьютере и в конкретном окружении, а на совместимость с другими ему наплевать.
Поэтому DLP-системы с самого своего появления имели дело с APT. А защита от внешних угроз только сейчас начинает поднимать это направление.
