Захист присутності в Інтернеті від вірусів

1. Сучасні комп'ютерні загрози: тенденції та прогнози
2. Зомбі-мережі
3. DoS-атаки
4. тактика вирусописателей
5. Перспективи розвитку вірусів
6. Захист від завтрашніх загроз сьогодні
7. евристичний аналізатор
8. Безпека на основі політик
9. Intrusion Prevention System (IPS)
10. Захист від переповнення буфера (Buffer overrun)
11. поведінковіблокатори
12. «Доісторичні» поведінковіблокатори
13. Поведінковий блокує для VBA-програм KAV Office Guard
14. Поведінковіблокатори другого покоління
15. Різні підходи до проактивного захисту
16. інші методи

Олександр Прохоров

Сучасні комп'ютерні загрози: тенденції та прогнози

Зомбі-мережі

DoS-атаки

тактика вирусописателей

Перспективи розвитку вірусів

Захист від завтрашніх загроз сьогодні

евристичний аналізатор

Безпека на основі політик

Intrusion Prevention System (IPS)

Захист від переповнення буфера (Buffer overrun)

поведінковіблокатори

«Доісторичні» поведінковіблокатори

Поведінковий блокує для VBA-програм KAV Office Guard

Поведінковіблокатори другого покоління

Різні підходи до проактивного захисту

інші методи

У квітні 2005 року Навчальний центр Мікроінформ1 провів семінар на тему «Захист вашої присутності в Інтернеті від вірусів і спаму». У цій статті ми хочемо ознайомити читачів з двома доповідями на антивірусну тему, зробленими на даному семінарі фахівцями «Лабораторії Касперського».
Доповідь Євгена Касперського наводиться у вигляді, близькому до тексту повідомлення, що пролунав на семінарі. Друга доповідь, представлений начальником відділу маркетингових досліджень Андрієм Нікішина, доповнений матеріалами, які доповідач надав пізніше.

Сучасні комп'ютерні загрози: тенденції та прогнози

сновним сучасна тенденція еволюції комп'ютерних загроз полягає в тому, що шкідливі програми з коштів «шкідництва заради шкідництва» поступово перетворюються в засоби заробляння грошей. На кривій шкоди макроекономіки від шкідливих програм (рис. 1) чітко видно пік, який припадає наприкінці 1999-го - початок 2000 року.

Мал. 1. Шкода, яка завдається макроекономіці шкідливими програмами (джерело: Computer Economics, 2004)

Саме в цей період прокотилася хвиля епідемій, викликаних вірусами Melissa і Love Letter. Провал на кривій, який припадає на 2001 рік, пов'язаний з тим, що люди нарешті почали розуміти, що антивірус - це абсолютно необхідна річ і що з вірусами необхідно боротися. До 2000 року в пресі неодноразово порушувалося питання неправомірності перевірки поштового трафіку на наявність шкідливого коду, оскільки це порушувало б таємницю листування і було б вторгненням в приватне життя. 2000 рік став в цьому плані переломним - люди усвідомили, що віруси необхідно ловити на всіх етапах. І вжиті заходи не забарилися принести результати.

Євген Касперський, керівник антивірусних досліджень «Лабораторії Касперського»

Розглянемо далі, з чим пов'язане зростання кривої, який спостерігається з кінця 2001 року. Справа в тому, що шкідливі програми перестають бути областю діяльності виключно хуліганів і стають засобом заробляння грошей.

Вирусописательстве сильно змінилося. Хто писав віруси 10 років тому? Переважно школярі і студенти, в основному в період так званого неадекватної поведінки - від 12 до 17 років. Влуч такому підлітку в руки на безлюдній вулиці камінь - буде розбита вітрина, потрап комп'ютер - піде гуляти по мережах вірус. Звичайно, сьогодні все ще зустрічаються вирусописатели-хулігани, але переважна більшість шкідливих програм пишеться в наші дні в комерційних кримінальних цілях.

Якщо взяти сучасні віруси MyDoom і Bagle (рис. 1), то обидва вони несли троянців в кримінальних цілях. Сучасні автори подібних кодів - це програмісти зі стажем. Досить сказати, що багатьох з них розшукують співробітники ФБР. І гроші, які стають здобиччю сучасних авторів шкідливого коду, дуже і дуже чималі. Нещодавно вибухнув скандал - хакер хотів зняти в одному з відділень банку Сумітомо ні багато ні мало 460 млн. Дол. Видів комп'ютерного шахрайства з'являється все більше. Найпоширенішою формою злочинів в світі стають банківські атаки. У нашій країні це поки не є таким актуальним через недостатнє поширення банківських Інтернет-послуг. Якщо у нас в країні для доступу до своїх банківських рахунків Інтернетом користуються не більше 10%, то на Заході в разі відключення даної послуги ощадкаси просто не змогли б обслужити всіх своїх клієнтів.

Досить поширеною формою шахрайства став так званий фішинг. Схема тут дуже проста - на запит про підтвердження ваших логіна і пароля в зв'язку з тим, що ваш банк нібито оновлює сервіс, відгукується чимало наївних користувачів. Таким чином, простаки самі посилають ключ до свого рахунку. Судити про обсяги доходів цього прибуткового бізнесу дозволяють кримінальні зведення. Наприклад, недавно в пресі повідомлялося, що в минулому році було заарештовано 30 бразильських хакерів, які займалися банківським шахрайством і заробляли на цьому від 30 до 80 млн. Дол. На рік, не виходячи зі своєї кімнати.

Цікаво відзначити, що схеми відмивання грошей, до яких підбираються хакери, часом досить винахідливі. Багато хто, напевно, отримували по Інтернету пропозиції купити софт або що-небудь ще за півціни. Найчастіше це хакерська акція, в процесі якої шахраї не можуть зняти гроші, але можуть їх витратити.

Мал. 2. Мережева криміналізація (джерело: дані «Лабораторії Касперського»)

Динаміка мережевий криміналізації показана на рис. 2. До 1995 року шкідливі програми - це сфера діяльності виключно хуліганів, починаючи з 1995-го до них приєднуються дрібні шахраї, з 2003-го з'являється електронна мафія - ті, хто будує свій бізнес на мережевому фінансовому шахрайстві, шантажі, здирстві і т. п., і нарешті, сьогодні число кіберзлочинців перевищує 70%.

Зомбі-мережі

Окремим напрямком бізнесу є спам. Щоб уникнути відповідальності за розсилку спаму, зловмисники не займаються цим зі свого комп'ютера. Вони вважають за краще заразити чужі комп'ютери спеціальним троянцем, перетворює їх на сервери розсилки спаму. Зловмиснику залишається лише вказати троянської програми, який лист і за якими адресами розсилати.

На практиці потрібна ціла мережа заражених комп'ютерів. Такі мережі керованих зловмисником комп'ютерів називають мережами зомбі-машин або просто зомбі-мережами. Типова зомбі-мережа охоплює близько тисячі комп'ютерів. Щоб заразити велику кількість комп'ютерів і перетворити їх в сервери розсилки спаму, зловмисники комбінують різні види шкідливих кодів. Зомбі-мережі об'єднують сотні і тисячі машин. Хакери і спамери кооперуються. Спамери не займаються створенням зомбі-мереж, а купують їх у хакерів. В Інтернеті можна знайти пропозиції про продаж зомбі-мереж.

Мал. 3. Гучні вірусні епідемії (джерело: дані «Лабораторії Касперського»)

На графіку, представленому на рис. 3, видно, що кількість гучних епідемій останнім часом знижується. Це пов'язано, по-перше, з тим, що швидкість оновлення антивірусної бази стала дуже високою і епідемія зупиняється на зльоті, а по-друге, з активізацією діяльності правоохоронних органів різних країн. Досить сказати, що на сайті ФБР з 20 осіб, оголошених в розшук, троє розшукуються за написання троянців. І нарешті, по-третє, хакери не ставлять перед собою мети заразити мільйони комп'ютерів, оскільки масове зараження не дозволить їм викачувати з жертви гроші. Якщо зомбі-мережа складається з тисячі комп'ютерів, існує ймовірність, що троянця ніхто не виявить. Створення зомбі-мережі на мільйон комп'ютерів не має сенсу. Хакерам вигідні множинні локальні епідемії за принципом 1000 + 1000 + 1000.

DoS-атаки

DoS-атака, або атака типу «відмова в обслуговуванні», ставить собі за мету вичерпати ресурси інформаційної системи. У разі успішного проведення DoS-атаки система перестає виконувати покладені на неї функції і стає недоступною. Найчастіше об'єктом атаки типу «відмова в обслуговуванні» є Web-сервер. DDoS-атака, або розподілена атака типу «відмова в обслуговуванні», відрізняється від DoS-атаки тим, що в цьому випадку один і той же вузол атакують відразу кілька комп'ютерів. Для того щоб вичерпати ресурси Web-сервера, зловмисник повинен штучно створити підвищене навантаження на нього. Якщо велике число комп'ютерів, на яких встановлена ​​утиліта для проведення DDoS-атак, одночасно почнуть посилати свої запити Web-сервера, то велика ймовірність, що ресурси Web-сервера швидко вичерпаються, а сам сервер не зможе обслуговувати легальних користувачів. При проведенні масштабної розподіленої атаки типу «відмова в обслуговуванні» зловмисник найчастіше контролює і координує дії комп'ютерів, заражених троянською програмою.

Деякі компанії мало залежать від свого сайту. Якщо протягом декількох днів не буде функціонувати сайт паперового видавництва, то нічого страшного, швидше за все, не відбудеться, але якщо компанія надає користувачам таку послугу, як Інтернет-казино, то падіння її сайту може принести великі неприємності її відвідувачам і, як наслідок, власнику казино.

І тут все відбувається за тією ж схемою, що і десять років тому з комерційними кіосками. Тоді до власника намети приходили міцні хлопці і попереджали, що сучасний бізнес піддається масі небезпек, що намет може згоріти і т.д. і т.п., але якщо він буде їм платити, то нічого поганого з його наметом не трапиться. Точно так само поводяться сьогодні представники електронної мафії. Керівництву Інтернет-казино приходить лист з погрозами. І якщо власники бізнесу не платять, їм влаштовують показові DDoS-атаки. Так що онлайновий рекет абсолютно ідентичний офлайновому. Одні звертаються в міліцію або поліцію, інші вважають, що спокійніше платити данину мафії, і платять. А скільки на цьому має е-мафія, точно ніхто не знає.

тактика вирусописателей

Пошта вже більше не є головним джерелом зараження. У цій ролі сьогодні виступає Web. Єдине, що потрібно, - привернути користувача на потрібну сторінку. Часто це здійснюється за допомогою запрошення листа, який розсилається по електронній пошті. У Мережі нерідко спостерігається наступна картина: на тій чи іншій сторінці висить троянець, потім зникає, потім з'являється новий. Чому так відбувається? Справа в тому, що хакери контролюють розмір епідемій. Вони створюють 10 тис. Заражень за допомогою даного троянця, а потім знімають його. У світі е-мафії починається кооперація. Наприклад, крадуться e-mail-адреси і передаються спамерам. Одночасно спостерігається конкуренція і навіть війна між хакерами. Уявіть собі, що один троянець щомісяця знімає з деякого рахунку суми, непомітні для господаря рахунку. А якщо таких троянців присмоктуватиме до цього рахунку кілька? У цьому випадку господар може виявити пропажу. В результаті троянці різних хакерських груп починають воювати. Все відбувається так само, як в офлайновом світі. Кримінальні розбірки ведуть до того, що залишається хтось один, хто контролює ситуацію на певній території.

Посилюється боротьба хакерів з антивірусними компаніями. Хакери тестують свої програми на предмет того, наскільки добре вони ловляться різними антивірусами.

Таким чином, основними рисами сучасних шкідливих програм є наступні:

• локальні вірусні епідемії;

• комбінація технологій зараження: e-mail + Web;

• кооперація вірусів: структуризація криміналу в Інтернеті:

- конкуренція (війни вірусів),

- протидія антивірусним компаніям.

Тактика антивірусних компаній зводиться до підвищення швидкості наступних процесів:

• збору інформації про нові шкідливі програми;

• реакція (оновлення антивірусних баз);

• доставка (оновленого антивіруса).

Для того щоб зрозуміти, як відбувається процес детектування нових вірусів в часі, можна звернутися до ресурсу http://www.kaspersky.com/cebit2005 (Рис. 4).

Мал. 4. Динаміка виявлення вірусів «Лабораторією Касперського»

Перспективи розвитку вірусів

Які ж системи опиняться під загрозою завтра? Вже сьогодні можна отримати доступ до свого банківського рахунку по смартфону. Поки смартфонів мало, відповідно мало і вірусів для них. Як тільки ціна на смартфони знизиться і вони отримають більше поширення, зросте і кількість вірусів під них. По всій видимості, ситуація зі смартфонами буде гірше, ніж з настільними комп'ютерами, а загрози залишаться колишніми: злодійство інформації, спам, DoS-атаки.

Творці смартфонів, напевно, мали намір зробити їх недоступними для вірусів. Однак практика показує, що вірусам схильні навіть ті системи, які планувалися як потенційно захищені від вірусів.

Сьогодні широко рекламуються послуги так званих розумних будинків. У Дубаї можна зустріти таку рекламу: «Твій дім - це суцільний відпустку!» Всі системи в подібному будинку управляються комп'ютером. А що буде, якщо в цьому комп'ютері з'явиться вірус? А якщо цей вірус з'явиться в бортовому комп'ютері автомобіля? Або літака? А якщо в бортовому комп'ютері крилатої ракети? Таке припущення може здатися абсурдним тільки на перший погляд. В умовах все розширюється аутсорсингу і офшорного програмування трапляються курйози. Відомий випадок, коли замовлення по лінії міністерства оборони Ізраїлю, розміщений в Європі, частково виконувався силами офшорних програмістів, які перебувають в Єгипті.

Відповідаючи на питання про те, що нас очікує в майбутньому, можна виділити дві перспективи:

1. Подальша криміналізація:

• війни вірусів і хакерів;
• поява ознак організованої структури;
• застосування технічних засобів для збільшення ефективності.

2. Освоєння мобільних технологій: віруси для смартфонів, КПК, побутових електронних пристроїв.

Вихід тільки один - захищатися! Захистити всі вузли мережі: робочі станції, КПК, файлові сервери, ноутбуки, поштові сервери, смартфони.

Захист від завтрашніх загроз сьогодні

истрий зростання числа вірусних епідемій, гучні атаки хакерів, мережеве шахрайство, загроза spy-ware2 - все це зумовило зростання попиту на системи антивірусного захисту.

Андрій Нікішин, начальник відділу маркетингових досліджень «Лабораторії Касперського»

Кількість вірусів сьогодні перевищує прогнози (рис. 5) - число записів в антивірусних базах даних перевищила 122 тис., Хоча, за прогнозами, зробленими в кінці 2004 року, передбачалося трохи менше число - 120 тис.

Пропозицій на ринку антивірусного захисту існує маса. Як вибрати кращий продукт? Який з антивірусів може гарантувати 100% детектування вірусів при мінімальному рівні помилкових спрацьовувань? Який антивірус пропонує найбільш повний набір технологій для забезпечення адекватного захисту комп'ютера і мережі від усіх видів шкідливих програм?

Мал. 5. Прогнози зростання кількості вірусів

Одна з основних частин будь-якого антивіруса - так званий антивірусний движок - модуль, який відповідає за перевірку об'єктів і виявлення шкідливих програм. Саме від антивірусного движка залежить якість детектування шкідливих програм і, як наслідок, рівень захисту, що надається антивірусом. Але останнім часом, у зв'язку з бурхливим зростанням кількості шкідливого ПО, все більшого значення набувають превентивні або проактивні методи виявлення цього ПО. Дані методи дозволяють виявляти шкідливе ПЗ до оновлення антивірусних баз, іншими словами - виявляти загрозу до її появи. При цьому кількість помилкових спрацьовувань також має бути мінімальним (в ідеалі помилкових спрацьовувань взагалі бути не повинно).

В останні кілька років на ринку антивірусної безпеки активно обговорюється тема смерті класичних антивірусів, що використовують для детектування шкідливого ПО ті чи інші види сигнатур. Основною причиною цього називається те, що швидкість поширення шкідливого ПЗ перевищує швидкість розповсюдження оновлень антивірусної бази, а також те, що на аналіз нового вірусу завжди потрібен якийсь час. Таким чином, на період від виявлення нової шкідливої ​​програми до появи оновлення антивірусної бази користувачі залишаються беззахисними. Вихід з даної ситуації різні компанії бачать в декількох підходах.

2 Spy-ware (шпигунське ПЗ) - це програма, яка посилає інформацію з вашого комп'ютера на інший без вашого відома і згоди. Пересилається інформація може включати все, що знаходиться на вашому комп'ютері або є з нього. Велика частина spy-ware розрахована на пересилку адрес відвідуваних вами сторінок в Інтернеті або адрес електронної пошти, виявлених на дисках вашого комп'ютера.

евристичний аналізатор

Коли кількість вірусів перевищила кілька сотень, антивірусні експерти задумалися над ідеєю детектування шкідливих програм, про існування яких антивірусна програма ще не знає (через відсутність відповідних сигнатур). Результатом стало створення так званих евристичних аналізаторів.

Евристичним аналізатором називається набір підпрограм, які аналізують код виконуваних файлів, макросів, скриптів, пам'яті або завантажувальних секторів для виявлення в ньому різних типів шкідливих комп'ютерних програм, не обумовлених звичайними (сигнатурними) методами. Іншими словами - евристичні аналізатори призначені для пошуку невідомого шкідливого ПЗ.

Рівень детектування у евристичних аналізаторів не дуже високий, оскільки існують десятки різних методів обману евристичних аналізаторів, якими користуються автори вірусів. Крім того, евристичні аналізатори з високим рівнем виявлення володіють великим рівнем помилкових спрацьовувань, що робить їх використання неприйнятним. Навіть у найкращих антивірусів рівень виявлення нових шкідливих програм не перевищує 25-30%. Незважаючи на невисокий рівень виявлення, евристичні методи залишаються затребуваними в сучасних антивирусах. Причина цього проста - комбінація різних методів превентивного виявлення обумовлює підвищення якості виявлення.

Переваги евристичних методів:

• відома і добре зарекомендувала себе технологія;
• не вимагають частого оновлення.

недоліки:

• вимагають великих витрат процесорного часу;
• невисокий рівень виявлення (25-30%);
• високий рівень помилкових спрацьовувань (при підвищенні рівня детектування).

Дана технологія може бути використана в усіх антивірусних продуктах - як на робочих станціях, так і на файлових, поштових серверах і шлюзах Інтернету. Сьогодні евристичний аналізатор - єдина проактивний технологія, яка може бути ефективно використана в усіх антивірусних продуктах.

Безпека на основі політик

Політика безпеки є необхідним атрибутом будь-якої грамотної стратегії захисту від IT-загроз. Продумана політика дозволяє в кілька разів знизити ризик зараження шкідливою програмою, а також захиститися від атаки хакерів або витоку конфіденційної інформації. Простий приклад - заборона на відкриття вкладених файлів в електронних листах зводить ризик зараження поштовим хробаком практично до нуля. Ризик впливу шкідливого коду зменшує і заборона на використання змінних носіїв. До розробки політики завжди слід підходити дуже виважено, враховуючи як бізнес-процеси, характерні для всіх підрозділів компанії, так і конкретні потреби її працівників.

Крім вищеописаного підходу до політики безпеки, в матеріалах різних виробників нерідко згадується безпеку на основі політик (policy-based security). Сьогодні існує кілька підходів щодо забезпечення безпеки такого роду.

Переваги безпеки на основі політик:

• необхідна частина будь-якого комплексного підходу до забезпечення безпеки;
• незалежність від типу ПО.

Недолік - не має сенсу говорити про рівень виявлення, оскільки неможливо його визначити.

Безпека на основі політик може бути використана в тому чи іншому вигляді в будь-якій компанії незалежно від її розміру, IT-інфраструктури та роду діяльності. Більш того, грамотна політика дозволяє практично без фінансових витрат в рази знизити ризики від IT-загроз.

Intrusion Prevention System (IPS)

Системи запобігання вторгнень (IPS) передбачають можливість закриття вразливостей комп'ютера перед лицем нової загрози ще до виходу оновлення антивірусних баз.

До таких можливостей відносяться: блокування портів (дозволяє виключити можливість потрапляння в комп'ютер інфекції та її подальшого розмноження), створення політик для обмеження доступу до тек або до окремих файлів, виявлення джерела інфекції в мережі і блокування подальших комунікацій з ним. Дана технологія - відмінний засіб проти атак хакерів, а також безфайлові черв'яків і вірусів, однак проти поштових черв'яків, класичних вірусів і троянських програм вона не ефективна.

Гідність системи запобігання вторгнень - хороша технологія для захисту від атак хакерів, від безфайлові черв'яків і вірусів.

недоліки:

• непридатна для виявлення інших типів шкідливого ПЗ;
• потребує оновлення сигнатур атак.

Дана технологія чудово зарекомендувала себе в продуктах для захисту робочих станцій і ІнтернетеШлюзів. Однак для захисту поштового трафіку вона непридатна.

Захист від переповнення буфера (Buffer overrun)

Основна ідея даного методу - не допустити переповнення буфера для найбільш поширених програм, сервісів Windows, включаючи Word, Excel, Internet Explorer, Outlook і SQL Server. Справа в тому, що більшість сучасних атак використовують різні уразливості, викликані переповненням буфера. Запобігання переповнення буфера може також вважатися методом проактивного захисту, так як воно зводиться до виключення використання такої вразливості будь-яким шкідливим кодом або атакою.

Переваги захисту від переповнення буфера:

• ефективна технологія для захисту від шкідливого ПО, що використовує уразливість типу «переповнення буфера», - 100% детектування;
• не вимагає оновлення;
• практично виключені помилкові спрацьовування.

недоліки:

• непридатна для виявлення інших типів шкідливого ПЗ;
• більшість сучасних комп'ютерів підтримують цю технологію на апаратному рівні (NX-прапор в процесорах AMD, Execution Disable Bit - в процесорах Intel) - програмна реалізація не буде затребувана.

З урахуванням того, що всі сучасні процесори підтримують на апаратному рівні захист від переповнення буфера, перспективність програмної реалізації викликає сумніви. Проте захист від переповнення буфера затребувана для захисту робочих станцій, Інтернет-шлюзів і інших серверів, які мають прямий вихід в Інтернет.

поведінковіблокатори

Поведінковіблокатори існують вже більше 13 років. Даний вид антивірусного ПЗ не був популярним 8-10 років тому, але з появою нових видів IT-загроз про поведінковіблокатори знову згадали. Основна ідея того, що блокує - аналіз поведінки програм і блокування виконання будь-яких небезпечних дій. Теоретично блокіратор здатний запобігти поширенню будь-якого - як відомого, так і невідомого (написаного після створення блокіратора) - вірусу. Саме в цьому напрямку і ведуть роботу більшість творців антивірусного ПО. Прикладів реалізації даної технології досить багато. Більшість систем запобігання поширенню поштових черв'яків останнього часу є за принципом дії поведінковими блокаторами.

«Доісторичні» поведінковіблокатори

Перше покоління поведінкових блокіраторів з'явилося ще в середині 90-х років (в самий розпал епохи DoS-вірусів). Принцип їх роботи був простий - при виявленні потенційно небезпечного діяння користувачеві ставилося запитання, дозволити або заборонити дію. У багатьох випадках такий підхід себе виправдовував, але підозрілі дії виробляли і легітимні програми (аж до операційної системи), і якщо користувач не мав належної кваліфікації, то питання антивіруса викликали у нього подив. У міру все більш глибокого проникнення персональних комп'ютерів в повсякденне життя середній рівень кваліфікації користувачів знижувався, тому перші поведінковіблокатори втратили затребуваність на ринку.

Поведінковий блокує для VBA-програм KAV Office Guard

Як уже згадувалося, основним недоліком перших поведінкових блокіраторів було надмірна кількість запитів до користувача. Причина цього - нездатність поведінкового блокіратора судити про шкідливість того чи іншого дії. А ось в програмах, написаних на VBA, можна з дуже великою часткою ймовірності відрізнити шкідливі дії від корисних. Саме завдяки цьому KAV Office Guard не настільки «настирливий», як його файлові брати. Але, задаючи менше питань користувачеві, цей блокіратор не втратив надійності: використовуючи його, користувач практично стовідсотково захищена від макровірусів - як відомих, так і ще не написаних. Іншими словами, використовуючи переваги операційного середовища, вдалося домогтися розумного балансу між надійністю і кількістю питань. Однак за принципом роботи KAV Office Guard як і раніше залишається «доісторичним» поведінковим блокатором.

Поведінковіблокатори другого покоління

Друге покоління поведінкових блокіраторів відрізняється тим, що вони аналізують не окремі дії, а послідовність дій і вже на підставі цього роблять висновок про шкідливість того чи іншого ПО. Це значно зменшує кількість запитів до користувача і підвищує надійність детектування. Як приклад поведінкового блокіратора другого покоління можна привести систему Proactive Defense Module, реалізовану в продуктах «Лабораторії Касперського».

Різні підходи до проактивного захисту

Перший представник нового покоління комерційних систем проактивного захисту на основі поведінкового блокіратора був випущений компанією Okena (продукт - StormFront), яка спеціалізувалася на розробці систем виявлення і запобігання вторгнень. У січні 2003 року компанія Okena була поглинена компанією Cisco Systems, і StormFront отримав назву Cisco Security Agent. Продукт вимагає попереднього налаштування кваліфікованим адміністратором.

Компанія McAfee активно розвиває проактивні технології захисту в продуктах свого сімейства McAfee Entercept. Вони передбачають можливість закриття уразливості комп'ютера перед новою загрозою ще до виходу оновлення антивірусних баз (IPS / IDS3): блокування портів, тобто можливостей потрапляння інфекції в комп'ютер і її подальшого розмноження; створення політик для обмеження доступу до тек або до окремих файлів; виявлення джерела інфекції в мережі і блокування подальших комунікацій з ним. Крім того, продукти не допускають переповнення буфера у приблизно 20 найбільш поширених програм, сервісів Windows, включаючи Word, Excel, Internet Explorer, Outlook і SQL Server, що також може бути віднесено до проактивного захисту. У персональних продуктах застосовується тільки вдосконалена евристична технологія WormStopper для детектування Інтернет-хробаків, які розповсюджуються по e-mail, яка скидає підозрілу активність на комп'ютері, таку як відправка великого числа неавторизованих e-mail-повідомлень особам, занесеним в адресну книгу.

Panda TruPrevent складається з трьох компонентів: поведінкового аналізатора процесів для аналізу поведінки запущених в системі процесів і виявлення підозрілих дій, евристичного аналізатора і набору IDS-функцій для виявлення шкідливих мережевих пакетів і захисту від переповнення буфера. Продукт позиціонується компанією Panda Software як друга лінія оборони від будь-якого невідомого шкідливого ПО (в якості першої лінії повинен виступати класичний антивірус) і призначений для виявлення невідомого шкідливого ПО, що запускається на комп'ютері. Продукт орієнтований на кінцевого користувача (не адміністратор).

У продуктах Symantec в якості проактивного захисту використовується вбудований евристичний аналізатор, здатний виявляти ще невідомі модифікації вірусів на підставі їх специфічних дій в системі, а також компоненти системи IPS / IDS Norton Internet Worm Protection, яка дозволяє закрити найбільш поширені шляхи інфекції в систему (Prevention) і детектувати підозрілі дії (Detection). Додатково компанія пропонує Outbreak Alert - засіб оповіщення про появу особливо небезпечних Інтернет-загроз (входить до складу Norton Internet Security 2005). Крім того, на рівні сервісів Symantec пропонує послугу Early Warning Services (EWS), яка дозволяє отримувати ранні оповіщення про виявлені вразливості і яка в даний час інтегрується в новий Global Intelligence Services.

Microsoft також працює над створенням проактивних методів захисту від шкідливого ПЗ. Конкретні деталі і терміни невідомі.

Trend Micro в якості проактивного захисту PC-cillin Internet Security 2005 використовує евристичний аналізатор і Outbreak Alert System - проактивное оповіщення про нові наступаючих загрози. У корпоративному продукті Trend Micro OfficeScan Corporate Edition 6.5 використовуються сигнатури з Outbreak Prevention Service, які дозволяють автоматично встановлювати захисні правила для запобігання заражень ще до виходу оновлення антивірусних баз. Остання можливість відсутня в персональному продукті.

У продуктах BitDefender під проактивним захистом розуміється поведінковий аналізатор, який блокує шкідливі програми на підставі аналізу їх специфічних дій в системі (контролюються системні файли, реєстр і Інтернет-активність).

У нових продуктах «Лабораторії Касперського», поряд з зарекомендували себе магічними аналізатором, об'єднаний ряд новітніх технологій проактивного захисту. Наприклад, використовується система виявлення і запобігання вторгнень (IPS / IDS), спрямована на боротьбу з хакерськими атаками і безфайлові вірусами. Система нотифікації попередить клієнта про епідемії та інші події, що стосуються безпеки. Але найбільш важливим нововведенням з точки зору боротьби з новими загрозами є поведінковий блокує другого покоління. Даний блокіратор характеризує важлива особливість - «відкат» дій, скоєних шкідливим кодом. Це дозволяє значно знизити кількість питань користувачеві і зменшити ризик пошкодження системи до детектування нового шкідливого ПО.

Переваги продуктів «Лабораторії Касперського»:

• досить високий рівень виявлення (до 60-70%);
• відома і добре зарекомендувала себе технологія;
• не вимагають частого оновлення;
• можливість виявити будь-який тип шкідливого ПЗ;
• не вимагають великих витрат процесорного часу і інших ресурсів у порівнянні з наближеними аналізаторами.

недоліки:

• є помилкові спрацьовування;
• поведінковіблокатори задають користувачам багато питань з проханням прийняти те чи інше рішення;
• необхідна наявність функції «відкат» (відновлення змін, зроблених виявленим шкідливим кодом, до моменту детектування на етапі збору інформації).

Поведінковіблокатори застосовні тільки в тих випадках, коли можливе виконання підозрілої програми, - на робочих станціях. На поштових, файлових серверах і шлюзах запуск підозрілих програм не повинен здійснюватися в принципі, і відповідно поведінковий блокує вже більше не буде затребуваний.

3 Intrusion Prevention Systems - системи запобігання вторгнень; Intrusion Detection Systems - системи виявлення вторгнень.

інші методи

Для захисту поштового трафіку можуть використовуватися методи, що враховують, що через поштовий сервер проходить маса листів, і дозволяють на підставі різної статистики та аналізу власне поштових повідомлень зупинити епідемію в самому початку. Статистика може бути наступною:

• масова розсилка або прийом однакових вкладень;
• масова розсилка або прийом однакових листів з різними вкладеннями;
• наявність подвійного розширення у вкладень і т.д.

Крім цього можливий лінгвістичний аналіз тел листів.

Підсумовуючи все вищесказане, можна говорити про те, що під проактивними методами захисту, пропонованими сьогодні ринком, мається на увазі наступне:

1. Поведінковий аналізатор процесів для аналізу поведінки запущених в системі процесів і виявлення підозрілих дій, тобто невідомих шкідливих програм.
2. Усунення можливостей потрапляння інфекції на комп'ютер, блокування портів, які використовуються вже відомими вірусами, і тих, які можуть використовуватися їх новими модифікаціями (IPS / IDS-компонент).
3. Недопущення переповнення буфера у найбільш поширених програм і сервісів Windows, що найбільш часто використовується зловмисниками і для здійснення атаки (IPS / IDS-компонент).
4. Мінімізація шкоди, заподіяної інфекцією, запобігання подальшого її розмноження, обмеження доступу до файлів і тек; виявлення та блокування джерела інфекції в мережі (IPS / IDS-компонент).

Таким чином, технології проактивного захисту поступово перетворюються з приналежності професіоналів або комп'ютерних асів в інструмент, призначений для домашнього та корпоративного користувача, і стають пріоритетним напрямком для компаній - розробників антивірусного ПО.

З усіх вищеописаних методів проактивного детектування шкідливого ПО найбільш перспективними є поведінковіблокатори. Однак жодна з розглянутих технологій в поодинці не здатна впоратися із завданням максимально повного виявлення шкідливих програм при мінімальному рівні помилкових спрацьовувань. Тільки комплексний підхід і об'єднання різних технологій дозволяють досягти поставленої мети.

КомпьютерПресс 6'2005