Kaspersky Open Space Security R2: що нового?

1. Технології iChecker і iSwift
2. переваги технології
3. Модуль проактивного захисту
4. Емулятор виконуваних файлів Windows

Так-так, я не обмовився. На мій погляд, це не друга версія того ж KOSS, а новий продукт. Особливо якщо виходити з усього різноманіття змін. Саме про них ми і поговоримо.

Перше, що відразу ж впадає в очі, це необхідність оновлення консолі управління, Kaspersky Admin Kit. Більш того, змінився навіть номер версії. Тепер це вже 8.0.2048 (Kaspersky Administration Kit 8.0), а не 6.0.

Змін дуже багато і описати їх все в межах однієї статті, на мій погляд, просто неможливо. Тому перерахуємо лише деякі з них, а зведена інформація наведена в таблицях 1 і 2 .

• Установчі пакети для віддаленої установки програм «Антивірус Касперського 6.0» для Windows Workstations MP4 і «Антивірус Касперського 6.0» для Windows Servers MP4 створюються при установці програми.
• Додано механізм збору інформації про встановлені на клієнтських комп'ютерах програмах.
• Додана можливість SNMP-моніторингу за основними параметрами антивірусного захисту корпоративної мережі.
• Додана підтримка технології Microsoft NAP.
• Додана можливість створення груп адміністрування на основі структури Active Directory.
• Додані уявлення бази даних, що дозволяють користувачам створювати власні системи звітності.
• Додана можливість створення автономного пакета установки для програм «Лабораторії Касперського».
• Додана можливість експорту звітів в файли форматів PDF і XML (Microsoft Excel).
• Додана можливість перегляду наявних на комп'ютері користувача сесій і контактної інформації користувачів (в разі її наявності в Active Directory).
• Функція видалення сторонніх програм тепер дозволяє видаляти відразу кілька програм.
• В консолі адміністрування і при генерації звітів адміністратори не бачать об'єктів, для яких у них відсутні права на читання.
• Додані нові звіти (про найбільш активних віруси, про розгортання захисту, про реєстр програм, про події, про версії оновлень програмних модулів додатків «Лабораторії Касперського», про нотатках адміністратора).
• Реалізовано механізм отримання необхідних для програми оновлень безпосередньо після створення її установчого пакета.
• Додана можливість збору деталізованих даних при побудові загальних звітів.

Природно, це далеко не всі зміни, однак, з моєї точки зору, працювати стало значно зручніше. Більш того, з урахуванням функції експорту звітів з'являється можливість побудови самостійних звітів, що дозволить адміністратором і керівництву володіти більш повною інформацією про стан корпоративного антивірусного захисту і істотно полегшить процес прийняття рішень в області антивірусного захисту.

На мій погляд, головне, що з'явилося з виходом нового Admin Kit, це можливість спростити процес управління та налаштування антивірусного програмного забезпечення.

У разі якщо організація має масу філій, розкиданих по великій території, і далеко не всі канали зв'язку стійкі, без сумніву, допоможе створення автономного пакета установки для програм «Лабораторії Касперського», який можна передати в ті чи інші філії, для того щоб персонал зміг сам провести установку антивірусного пакета. Зокрема, в нашій організації такої спосіб установки дуже знадобився. Крім того, ми скористалися механізмом отримання необхідних для програми оновлень безпосередньо після створення її установчого пакета.

Але управління - добре, а що ж ми отримали на робочої станції? Адже треба визнати, що попередня версія цього програмного продукту вимагала набагато більше ресурсів, ніж було заявлено в документації. Там було сказано, що для установки антивіруса досить 256 Мбайт оперативної пам'яті, а сам антивірус займав понад 170 Мбайт, що не дозволяло використовувати його на комп'ютерах з об'ємом оперативної пам'яті менше 512 Мбайт. Що ж ми маємо сьогодні? Як не дивно, сьогодні дійсно вистачає 256 Мбайт, тому що антивірусу потрібно всього 30. Разом з тим варто врахувати, що «Антивірус Касперського» для Windows Workstations 6.0 R2 (далі KAV for WKS 6.0 R2) не підтримує застарілі версії Windows, такі як 98 / Me і NT 4.0. Для їх захисту можна застосовувати корпоративні продукти «Лабораторії Касперського» версії 6.0 MP3 і нижче, підтримка яких буде продовжена.

Ми з вами звикли до того, що антивірусну програму завжди відрізнялося підвищеною ресурсоемкостью. Для вирішення цієї проблеми співробітниками «Лабораторії Касперського» були використані технології iChecker і iSwift, знайомі нам по персональним версіями антивірусів від «Лабораторії Касперського».

Технології iChecker і iSwift

Від ресурсоємності антивірусних програм в першу чергу залежить тривалість процесу сканування файлів. Якщо в режимі сканування користувач всього лише вимушений був чекати довше, то при перевірці в реальному часі це реально доставляло масу клопоту, і у користувача з'являлося бажання відключити захист зовсім, щоб не заважала працювати. Для виключення надлишкового сканування були включені технології iChecker і iSwift. Дані технології призначені для виключення багаторазових перевірок вже просканованих файлів як в режимі постійного захисту, так і в режимі перевірки на вимогу.

Принцип роботи технології iChecker. При першій перевірці об'єкта створюється спеціальна контрольна сума, яка змінюється при будь-якій зміні об'єкта. Відповідно, при зміні цієї контрольної суми файл буде перевірений повторно. Якщо ж контрольна сума не змінилася, об'єкт не перевіряється.

Принцип роботи технології iSwift. При використанні даної технології замість контрольної суми використовується якийсь спеціальний ідентифікатор, який порівнюється зі значенням, що зберігається в базі даних iSwift. Якщо значення ідентифікатора не збігається, то перевіряється контрольна сума iChecker. Це дозволяє домогтися зниження надлишкового перевірки об'єктів і відповідно скоротити затримки в роботі.

Саме тому рекомендується проводити повне сканування системи відразу ж після установки антивіруса. Більш того, щоб домогтися реального зменшення часу сканування, необхідно встановлювати антивірус на чисту систему відразу після її розгортання.

переваги технології

Якщо об'єкт був перевірений, це автоматично означає, що його копії будуть розпізнані в будь-який інший папці, поштовому повідомленні або архіві, що дозволить знизити час і навантаження від сканування. Дана технологія дозволяє працювати не тільки з файлами на носіях, а й з об'єктами автозавантаження, поштовими вкладеннями і т. Д.

Крім того, технологія враховує дату останньої перевірки і приймає рішення перевіряти об'єкт повторно чи ні, грунтуючись на геометричній прогресії з деяким елементом випадковості. Таким чином, передові технології iChecker і iSwift дозволяють виключити повторну перевірку безпечних файлів, тим самим забезпечуючи ефективну прискорену роботу антивіруса. Говорячи про технології захисту, ми не повинні забувати про технології проактивного захисту, адже не секрет, що сьогодні обійтися тільки сигнатурним аналізом вже неможливо.

Модуль проактивного захисту

Основним завданням модуля Proactive Defense Module 2 (PDM2) є аналіз поведінки програм, виконуваних на комп'ютері користувача, їх класифікація за рівнем довіри та блокування шкідливої ​​активності. Блокування програм проводиться на підставі аналізу даних, отриманих при відстеженні ланцюжків реальних дій програми. Якщо ці дії відповідають шаблону шкідливого програмного забезпечення, програма блокується (див. Екран 1).

Поведінковий аналіз. Сьогодні швидкість появи нових загроз зростає стрімко. У зв'язку з цим все більшої актуальності набувають проактивні методи захисту, які дозволяють захиститися від шкідливого програмного забезпечення, ще не занесеного в бази сигнатурного аналізу.

У цьому випадку одним з ефективних методів проактивного захисту є аналіз поведінки програм. Більшість шкідливих програм виконують якісь схожі дії, наприклад такі, як впровадження коду в виконувані файли, запис в деякі області системного реєстру, моніторинг подій клавіатури і т. Д.

PDM2 контролює такі підозрілі дії програм, як:

• забезпечення запуску при кожному старті операційної системи, характерне для троянських програм;
• самокопірованіє, характерне для черв'яків;
• впровадження виконуваного коду в інші процеси і додатки, характерне для багатьох видів шкідливого програмного забезпечення;
• перехоплення даних, що вводяться користувачем з клавіатури;
• прихована установка драйверів;
• зміна ядра операційної системи;
• зміна файлу Hosts, що визначає відповідність доменних імен IP-адресами;
• підозріле звернення до реєстру;
• Передавання даних за допомогою довірених додатків в обхід брандмауера.

При аналізі поведінки програми модуль проактивного захисту порівнює його з шаблонами поведінки шкідливих програм.

Блокування шкідливих програм. Після виявлення шкідливих програм їх подальші дії блокуються. PDM2 обмежує доступ небезпечного програмного забезпечення до системних ресурсів, запобігаючи його подальше розмноження і поширення.

Модуль PDM2 класифікує активність програм на безпечну, небезпечну і підозрілу. Небезпечні події в інтерфейсі модуля позначаються значком знаку оклику в червоному колі, підозрілі - значком знаку оклику в жовтому трикутнику (див. Екран 2).

Емулятор виконуваних файлів Windows

Ще однією успішно цією технологією, реалізованої в продуктах «Лабораторії Касперського», є емулятор файлів формату Portable Executable (PE) - стандартного формату файлів, що виконуються в середовищі Windows. Емулятор дозволяє ефективно і в безпечному режимі виявляти нові, невідомі вірусним аналітикам шкідливі програми, а також визначати методи їх усунення.

PE-емулятор «Лабораторії Касперського» імітує виконання програм в середовищі самого популярного сімейства операційних систем - Windows. Виконання тільки імітується, а не відбувається в дійсності, тобто емулятор працює в безпечному режимі. Шкідлива програма не може розмножитися, поширитися або проявити свою деструктивну функціональність.

В ході емуляції відстежується поведінку досліджуваних програм. На підставі аналізу змін, які програми вносять у комп'ютерну систему, робиться висновок про їх шкодочинності, або, навпаки, безпеки. Наприклад, шкідливі програми можна детектувати на підставі зміни ними певних частин системного реєстру і впровадження в файли і завантажувальні записи.

Поведінковий аналіз дозволяє виявляти не тільки відомі, але й нові, невідомі вірусним аналітикам шкідливі програми, сигнатури яких ще не занесені в антивірусні бази. Тому емулятор відноситься до блоку проактивного (превентивної) захисту, його дані передаються модулю Proactive Defense Module (PDM) для подальшого аналізу. Емулятор найбільш ефективний при детектуванні нових шкідливих програм, що використовують відомі способи проникнення на комп'ютер і надання на нього шкідливого впливу.

При емуляції зашифровані і упаковані програми виробляють самостійну розшифровку і розпакування свого коду, що дозволяє досить швидко отримувати їх тіла, придатні для сигнатурного аналізу. Таким чином, емулятор ефективний для аналізу програмного забезпечення, яке використовує шифрування, упаковку та інші методи, що ускладнюють дослідження коду.

При Емулювання протоколюється взаємодія РЕ-файлу із середовищем виконання, а значить, можна відстежити всі його дії і виробити оптимальну методику усунення шкідливої ​​програми з комп'ютерної системи. РЕ-емулятор запускається при кожному антивірусний скануванні файлів.

Таким чином, ми можемо зробити висновок, що в черговий раз фахівцям «Лабораторії Касперського» вдалося створити цікавий продукт. У даній статті, без сумніву, не можна описати всі використовувані технології і гідності того чи іншого продукту. Втім, моєю метою було всього лише познайомити вас з продуктом і використовуваними в ньому технологіями. А все інше можна побачити лише в процесі експлуатації.

Володимир Безмалий ( [email protected] ) - фахівець із забезпечення безпеки, MVP Consumer Security, Microsoft Security Trusted Advisоr

Таблиця 1. Що нового в KAV for WKS 6.0 R2?

Таблиця 2. Більш дрібні зміни / поліпшення в KAV for WKS 6.0 R2