Trên thực tế có rất nhiều giải pháp bảo mật đã được triển khai để chống lại các nguy cơ từ virus máy tính. Tuy nhiên chưa có giải pháp nào thực sự là phương thuốc trị bách bệnh. Thiệt hại do virus máy tính gây ra ngày càng lớn đòi hỏi cần có các giải pháp hữu hiệu hơn để bảo vệ các hệ thống máy tính, đặc biệt là các hệ thống máy tính dịch vụ và thương mại.
Chúng ta hãy hình dung một kịch bản trong đó virus cố gắng bằng mọi cách xâm nhập vào hệ thống máy tính của chúng ta. Còn chúng ta thì nghĩ cách chống lại chúng. Để có thể phá hoại được một hệ thống, trước hết virus cần xâm nhập được vào hệ thống, rồi sau đó mới tìm các lỗ hổng bảo mật hoặc điểm yếu của hệ thống để triển khai tấn công. Rõ ràng kịch bản tấn công của virus mang đến cho ta hai chiến lược chính để phòng chống. Đó là ngăn ngừa virus xâm nhập hệ thống và giảm thiểu thiệt hại của hệ thống trong trường hợp bị xâm nhập. Nói theo khía cạnh về kiểm soát truy xuất thì có hai yếu tố cần được đảm bảo đó là kiểm soát việc truy xuất tới hệ thống và kiểm soát sự truy xuất bên trong chính hệ thống đó [1].
Hai kỹ thuật tương ứng để triển khai các chiến lược lần lượt là đặt các chốt chặn và triển khai mô hình sandbox. Với chiến lược thứ nhất, chúng ta phải đặt các chốt chặn tại các điểm vào của hệ thống cần bảo vệ. Các chốt chặn này thực chất là các chương trình kiểm tra, phân tích để phát hiện virus. Với mô hình sandbox, chúng ta không tập trung vào phát hiện virus mà tập trung nghiêm khắc giới hạn sự truy xuất của các chương trình không tin cậy tới các dữ liệu và tài nguyên của hệ thống. Sự truy xuất tới hệ điều hành được kiểm soát chặt chẽ theo nguyên lý ít đặc quyền nhất (The Least Privilege). Nghĩa là chương trình chỉ được cấp quyền truy xuất tối thiểu để đủ thực hiện công việc. Việc giới hạn truy xuất vì thế sẽ giảm thiểu rủi ro cho hệ thống khi bị xâm hại .
Chốt chặn
Trước hết cần xác định ra các con đường (hay các điểm vào) từ đó virus có thể xâm nhập vào máy tính. Tại các điểm vào đó chúng ta đặt các chương trình kiểm tra (Hình 11.4). Ví dụ các chương trình firewall được cài đặt để kiểm soát luồng thông tin vào ra một hệ thống. Kỹ thuật ký mã (code signing) hoặc mã mang theo bằng chứng (proof-carrying code) được triển khai để kiểm tra tính tin cậy và toàn vẹn của thông tin đảm bảo thông tin đến từ các nguồn tin cậy và bản thân thông tin không bị làm giả trong quá trình di trú [29].
Tuy vậy chúng ta cần lưu ý rằng việc kết hợp sử dụng kỹ thuật firewall và code signing là không khả thi vì kỹ thuật firewall yêu cầu duyệt từng gói tin và có thể thêm vào đó các sửa đổi cần thiết. Trong khi kỹ thuật code signing không cho phép thông tin bị sửa
Mô hình chốt chặn
Mặc dù các kỹ thuật mới được triển khai rầm rộ song các phần mềm anti-virus ngày càng đóng vai trò quan trọng. Hàng chục ngàn virus đã tồn tại và virus mới xuất hiện hàng ngày hàng giờ. Nhận biết những virus này để bảo vệ máy tính là công việc vô cùng khó khăn nếu không có các chương trình anti-virus. Thực tế hầu hết các chương trình anti-virus đều triển khai kỹ thuật tìm kiếm kinh nghiệm (heuristics) để phát hiện virus. Kỹ thuật tìm kiếm kinh nghiệm bao gồm hai nhóm là tìm kiếm tĩnh (static) và tìm kiếm động (dynamic). Tìm kiếm tĩnh duyệt toàn bộ file, phân tích cấu trúc của nó và tìm kiếm các mẫu điển hình của virus. Sau đó sử dụng các thông tin này để đưa ra quyết định file có nhiễm virus hay không. Trong khi đó, tìm kiếm động thiết lập một môi trường kiểm soát ảo trong đó các file cần kiểm tra được mở ra (các file tài liệu) hoặc thực thi. Các hành vi lúc run-time của quá trình thử nghiệm sẽ được ghi lại, và dựa vào các luật bảo mật đã được thiết lập sẵn hệ thống sẽ đưa ra quyết định [30].
Chiến lược cơ bản để sử dụng kỹ thuật tìm kiếm kinh nghiệm là duy trì một cơ sở dữ liệu chứa các thông tin về virus. Tuy nhiên, nếu như thông tin về virus mới không được cập nhật đầy đủ (hoặc các luật bảo mật không đầy đủ trong trường hợp tìm kiếm động) thì các chương trình anti-virus trở thành vô dụng một khi có virus hoàn toàn mới xâm nhập hệ thống.