Главная » Проактивные технологии для борьбы с вирусами
Термин «проактивность» ворвался в лексикон антивирусных компаний какураган. Меньше чем за год поставщики стали «проактивными», апродаваемые ими продукты неожиданно научились«защищать от еще не существующих угроз». Между тем практика показывает,что каждый разработчик вкладывает свой собственный смысл в понятие«проактивность», а декларируемые возможности проактивныхпродуктов несколько ниже, чем может показаться на первый взгляд.Уже более 20 лет основной технологией борьбы с вредоноснымикодами является сигнатурное сканирование. Его суть проста —вирусописатель выпускает свое очередное творение, антивируснаялабораторияловит и анализирует вредителя, а потом создает вакцину и рассылает еена компьютеры пользователей. Эта вакцина и есть та искомая сигнатура,которая позволяет антивирусному сканеру точноидентифицировать вирус в океане программ. Легко заметить главнуюслабость только что описанного метода: белыми в этой партии играетзлоумышленник, в то время как экспертам и домашним пользователямостается лишь защищаться. С научной точки зрения, такой подход можноназвать реактивным, так как действия антивирусного сообщества лишьреакция на активность противника.Введя новый термин (проактивные технологии), разработчики хотелиподчеркнуть, что теперь ситуация изменилась и право первого ходаперешло к антивирусным экспертам. Другими словами, проактивныйподход противопоставляется классическому сигнатурному сканированию. Приэтом каждый поставщик имеет собственное понятие о проактивности изачастую вкладывает в него совершенно оригинальный смысл.Рассмотрим подробнее антивирусные технологии, которые сегодняпозиционируются как проактивные.Эвристический анализатор: классика жанраНа самом деле сигнатурному подходу никогда не принадлежала монополия наборьбу с вирусами. Наиболее достойным конкурентом этой технологиитрадиционно считался эвристик. Эвристический анализатор (эвристик) — это антивирусный модуль,который анализирует код исполняемого файла и определяет, инфицирован липроверяемый объект. Во время эвристического анализа неиспользуются стандартные сигнатуры. Напротив, эвристик принимаетрешение на основе заранее в него заложенных, иногда не совсем четкихправил.Для большей наглядности такой подход можно сравнить с искусственныминтеллектом, самостоятельно проводящим анализ и принимающим решения.Тем не менее такая аналогия отражает суть лишь отчасти,поскольку эвристик не умеет учиться и, к сожалению, обладает низкойэффективностью. По оценкам антивирусных экспертов, даже самыесовременные анализаторы не способны остановить более 30%вредоносных кодов. Еще одна проблема — ложные срабатывания, когдалегитимная программа определяется как инфицированная.Однако, несмотря на все недостатки, эвристические методы по-прежнемуиспользуются в антивирусных продуктах. Дело в том, что комбинацияразличных подходов позволяет повысить итоговую эффективностьсканера. Сегодня эвристиками снабжены продукты всех основных игроков нарынке: Symantec, «Лаборатории Касперского», Panda, Trend Micro и McAfee.Заметим, эвристические анализаторы, безусловно, являются проактивнойтехнологией. Правда, они известны продолжительное время, а упор напроактивность разработчики стали делать совсем недавно.Политика как основа безопасностиОчевидно, построение эффективной системы защиты подразумевает созданиеполитики IT-безопасности. Этот документ определяет четкие рамки: кому ичто запрещено делать, а также кому и что следует делать.Чаще всего в политику попадают административные ограничения, напримерна использование мобильных устройств и внешних накопителей вкорпоративной сети. Некоторые антивирусные разработчики отошли от классическогопонимания «политики» и предлагают своим клиентам «безопасность наоснове политик» (policy-based security). Так, компания Trend Microпродвигает Outbreak Prevention Services. В рамках этого подходапользователь получает набор политик (ограничений), которые позволяютзащититься от нового вируса до появления обновлений к антивируснойбазе или заплатки для открытой уязвимости. Таким путем разработчикпытается сократить отрезок времени, в течение которого клиенты являютсяполностью беззащитными перед новой угрозой. Стоит такжеотметить, что политика (в данном контексте) — это лишь временнаязащита, призванная сдержать эпидемию до подхода «тяжелой артиллерии».Однако подход, предложенный Trend Micro, вряд ли можно назватьэффективным. Во-первых, далеко не факт, что для создания политикиэкспертам требуется намного меньше времени, чем для созданиявакцины (сигнатурного обновления антивирусных баз). Ведь чтобы понять,какие бреши в операционной системе или способы заражения используетвирус, все равно необходимо анализировать его код.Во-вторых, в некоторых случаях может возникнуть проблема смены политик.Особенно когда новые политики поступают слишком часто. Пользователиначинают путаться в том, что можно делать, а что — нет.Таким образом, подход на основе политик призван компенсироватьотносительно низкую скорость реакции антивирусной лаборатории TrendLabна появление новых угроз. Кроме того, данная технология неявляется проактивной, так как все равно существует промежуток времени,в течение которого пользователь остается без защиты, да и для созданиясамой политики точно так же, как и для выпуска сигнатуры,требуется проводить анализ вредоносного кода.Еще один интересный метод защиты предлагают компании Cisco иMicrosoft. Речь идет о карантинной зоне, в которую попадают компьютеры,не удовлетворяющие требованиям политики IT-безопасности, но всеравно пытающиеся подключиться к корпоративной сети. Например, еслиудаленный пользователь стремится войти в сеть своего работодателя, тоего компьютер проходит сканирование на предмет наличияактуальной базы антивирусных сигнатур, обновлений операционной системыи т. д. По результатам проверки служащему может быть предоставлендоступ только к карантинной зоне — серверу, с которого можноскачать необходимые обновления. После этого можно снова попытатьсяподключиться к корпоративной сети. Такой подход тоже не являетсяпроактивным, поскольку сводится к антивирусной проверке сиспользованием обновленной базы сигнатур. Тем не менее идея, лежащая воснове карантинной зоны, подкупает своей очевидностью и эффективностью:если в операционной системе есть незакрытые бреши илиантивирус уже устарел, то о какой безопасности может идти речь?IPS — теперь в антивирусахАббревиатура IPS (Intrusion Prevention System — система предотвращениявторжений) традиционно используется в контексте защиты сетевогопериметра от внешних злоумышленников (хакеров). Однако благодаряусилиям антивирусных компаний сегодня можно говорить и о предотвращениивторжений вредоносных программ. Технология IPS действительно является «более или менее»проактивной — ведь она позволяет предотвратить попадание на компьютервирусов и червей, а также защититься от хакерских атак. Достигаетсяэто посредством своевременной блокировки отдельных портов (например,тех, через которые на компьютер попадает опасный на данный моментчервь), запрета доступа к определенным файлам и папкам и т. д. Вопределенном смысле такие административные ограничения напоминают«безопасность на основе политик», рассмотренную выше, хотя антивирусныепоставщики, использующие IPS, позиционируют себя отдельно.Следует отметить, что технология IPS бессильна сделать что-либо противпочтовых червей, файловых вирусов и вирусов-троянцев. Однако этутехнологию активно используют «Лаборатория Касперского»,Symantec, Panda и Trend Micro.Защита от переполнения буфераСуть технологии в том, чтобы не допустить переполнения буфера внаиболее популярных сервисах и программах, например системных службахWindows, приложениях Microsoft Office, браузере Internet Explorerи СУБД SQL Server. В результате вредоносный код при всем желании несможет воспользоваться уязвимостью определенного программногообеспечения (то есть будет не в состоянии вызывать переполнениебуфера). Таким образом, данную технологию можно с полным правом назватьпроактивной, а с учетом того, что переполнение буфера являетсяпопулярным среди вирусописателей приемом, этот метод защиты ещеи эффективен. Сегодня своим клиентам данную технологию предлагаеттолько McAfee. Поведенческие блокираторыЕще один проактивный подход, известный так же, как и эвристическиеанализаторы, это поведенческие блокираторы. Суть технологии в том,чтобы анализировать поведения программы во время исполнения иблокировать те действия, которые являются опасными. Тут же возникаетвопрос: «Какие действия следует считать вредоносными?» Разработчикипервых блокираторов поступили очень просто: если программапытается сделать что-то подозрительное, надо обратиться за советом кпользователю. В результате львиная доля ответственности за принимаемыерешения перекладывалась на человека, которому действительноприходилось изучать информационные окошки антивируса и выбирать междукнопками: «разрешить» или «запретить». Естественно, огромное количестволожных (или спорных) срабатываний привело к тому, чтоданная технология была просто отодвинута на задний план «до лучшихвремен». Но в истории антивирусной индустрии есть, по крайней мере, одинпример эффективного поведенческого блокиратора. Речь идет о KasperskyOffice Guard. Обойтись без участия пользователей разработчикамудалось только потому, что они сузили область проверяемых объектов —блокиратор защищал только от макровирусов, «живущих» в офисныхдокументах. Более того, «Лаборатория Касперского» довелаэффективность анализа VBA-программ (кода, работающего в среде MicrosoftOffice) до такой степени, что гарантировала практически 100%-ную защитуот макровирусов. Сомневаться в этом не приходится, таккак анализировать поведение макросов несравнимо легче, чем обычныхEXE-программ. Однако никто из конкурентов такой подход не реализовал.Конечно, эпоха макровирусов уже прошла, ее пик пришелся навторую половину 1990-х, и сегодня макровредитель является большойредкостью, к тому же детектируется обычным сигнатурным сканером.Некоторое время назад антивирусная индустрия снова вернулась ктехнологии анализа поведения программ. Немного повысить качестворезультатов удалось за счет проверки на допустимость не каждойоперации в отдельности, а последовательности действий программы. Приэтом эксперты избавили пользователя от участия в самом процессе исмирились с невысокой в целом эффективностью поведенческихблокираторов. Точно так же, как и эвристический анализ, данный подходспособен дать более-менее приемлемый результат только в комбинации сдругими технологиями.Отметим, что поведенческие блокираторы являются в полной мерепроактивными, так как позволяют бороться с неизвестными вредителями,сигнатуры которых не внесены в антивирусную базу. Сегодня этотподход нашел свое место в продуктах «Лаборатории Касперского», Panda иCisco.Проактивные подходы различных поставщиковОдной из первых компаний, создавших действительно проактивную системузащиты на основе поведенческого блокиратора, была Okena. В 2003 году еепоглотила корпорация Cisco, в результате чего продуктOkena StormFont превратился в Cisco Security Agent. По мнениюантивирусных экспертов, это классический поведенческий блокиратор дляиспользования в корпоративной среде. В отличие от многих другихпродуктов, он требует предварительной настройки квалифицированнымадминистратором. Еще одним проактивным поставщиком сегодня является компанияMcAfee. Семейство продуктов McAfee Entercept включает в себя системупредотвращения вторжений (IPS) и защиту от переполнения буфера.Компания также предлагает своим клиентам эвристическую, а значитпроактивную, технологию WormStopper. С ее помощью можно выявлятьнекоторые новые почтовые черви, а также блокировать подозрительнуюактивность (например, массовую и неавторизованную рассылку писем поконтактным данным из адресной книги).Продукты компании Panda тоже имеют проактивные модули. К примеру,Panda TruPrevent состоит из эвристического анализатора, поведенческогоблокиратора и системы обнаружения вторжений (IDS). Эвристикслужит для выявления новых вредителей, блокиратор — для анализазапущенных процессов, а IDS — для борьбы с червями. Продукт не требуетсложной настройки и подходит для домашних пользователей.Гигант антивирусной индустрии, компания Symantec, предлагает своимклиентам эвристический анализатор, систему предотвращения вторжений(IPS) и услугу оповещения о новых угрозах. Первые два видатехнологий рассмотрены выше, поэтому упомянем лишь программу OutbreakAlert, входящую в состав Norton Internet Security 2005 и сообщающуюпользователю о новых угрозах. Кроме того, компания предлагаетуслугу Early Warning Services (EWS), которая позволяет получать ранниеоповещения об обнаруженных уязвимостях.В состав Norton Internet Security входит программа Outbreak Alert, сообщающая пользователю о новых угрозахКомпания Trend Micro тоже включила проактивные модули в составPC-cillin Internet Security 2005. Это эвристический анализатор иOutbreak Alert System (оповещение о новых угрозах). Длякорпоративных клиентов есть еще и «безопасность на основе политик».Так, пользователи OfficeScan Corporate Edition 6.5 получают доступ куслуге Outbreak Prevention Service, в рамках которойразработчик поставляет ограничивающие политики.Пользователи OfficeScan Corporate Edition 6.5 получают доступк услуге Outbreak Prevention Service, в рамках которой разработчикпоставляет ограничивающие политикиРоссийская компания «Лаборатория Касперского» также являетсяпроактивной. Антивирус Касперского вооружен эвристическим анализатором,системой обнаружения и предотвращения вторжений (IPS/IDS),средством оповещения о новых угрозах и поведенческим блокиратором.Система IPS/ IDS позволяет защититься от хакерских атак и бестелесныхвредителей, а поведенческий блокиратор второго поколенияобладает такой возможностью, как откат действий, совершенныхвредоносным кодом. McAfeePandaSymantecTrend MicroЛаборатория КасперскогоЭвристический анализаторДаДаДаДаДаСистема предотвращения вторжений (IPS)ДаДаДаНетДаЗащита от переполнения буфераДаНетНетНетНетБезопасность на основе политикНетНетНетДаНетОповещение о новых угрозахНетНетДаДаДаПоведенческий блокираторНетДаНетНетДаТаблица. Проактивные технологии в антивирусных продуктахИтогиТаким образом, проактивными технологиями сегодня являются эвристическиеанализаторы, поведенческие блокираторы, системы предотвращениявторжений и средства защиты буфера от переполнения. Все они втой или иной степени позволяют защититься от новых, еще незанесенных всигнатурную базу вредителей. Отметим, что безопасность на основеполитик и программы новостного оповещения, хотя и позволяютнесколько снизить риски успешной реализации угроз, все же не являютсяпроактивными в полной мере. В заключение напомним, что заказчикам не следует поддаватьсяажиотажу, царящему вокруг проактивных технологий. Безусловно, все этиподходы повышают общую степень защиты, но в одиночку, безиспользования классического сигнатурного сканирования, они не способныобеспечить даже минимально необходимого уровня безопасности.Автор: Алексей Доля
Категория: Обеспечение безопасности | Просмотров: 154