Безопасность -> Вирусы -> 5 мифов о безопастности

Проактивные технологии для борьбы с вирусами

Термин «проактивность» ворвался в лексикон антивирусных компаний как ураган. Меньше чем за год поставщики стали «проактивными», а продаваемые ими продукты неожиданно научились «защищать от еще не существующих угроз». Между тем практика показывает, что каждый разработчик вкладывает свой собственный смысл в понятие «проактивность», а декларируемые возможности проактивных продуктов несколько ниже, чем может показаться на первый взгляд.

Уже более 20 лет основной технологией борьбы с вредоносными кодами является сигнатурное сканирование. Его суть проста — вирусописатель выпускает свое очередное творение, антивирусная лаборатория ловит и анализирует вредителя, а потом создает вакцину и рассылает ее на компьютеры пользователей. Эта вакцина и есть та искомая сигнатура, которая позволяет антивирусному сканеру точно идентифицировать вирус в океане программ. Легко заметить главную слабость только что описанного метода: белыми в этой партии играет злоумышленник, в то время как экспертам и домашним пользователям остается лишь защищаться. С научной точки зрения, такой подход можно назвать реактивным, так как действия антивирусного сообщества лишь реакция на активность противника.

Введя новый термин (проактивные технологии), разработчики хотели подчеркнуть, что теперь ситуация изменилась и право первого хода перешло к антивирусным экспертам. Другими словами, проактивный подход противопоставляется классическому сигнатурному сканированию. При этом каждый поставщик имеет собственное понятие о проактивности и зачастую вкладывает в него совершенно оригинальный смысл. Рассмотрим подробнее антивирусные технологии, которые сегодня позиционируются как проактивные.

Эвристический анализатор (эвристик) — это антивирусный модуль, который анализирует код исполняемого файла и определяет, инфицирован ли проверяемый объект. Во время эвристического анализа не используются стандартные сигнатуры. Напротив, эвристик принимает решение на основе заранее в него заложенных, иногда не совсем четких правил.

Для большей наглядности такой подход можно сравнить с искусственным интеллектом, самостоятельно проводящим анализ и принимающим решения. Тем не менее такая аналогия отражает суть лишь отчасти, поскольку эвристик не умеет учиться и, к сожалению, обладает низкой эффективностью. По оценкам антивирусных экспертов, даже самые современные анализаторы не способны остановить более 30% вредоносных кодов. Еще одна проблема — ложные срабатывания, когда легитимная программа определяется как инфицированная.

Однако, несмотря на все недостатки, эвристические методы по-прежнему используются в антивирусных продуктах. Дело в том, что комбинация различных подходов позволяет повысить итоговую эффективность сканера. Сегодня эвристиками снабжены продукты всех основных игроков на рынке: Symantec, «Лаборатории Касперского», Panda, Trend Micro и McAfee.

Заметим, эвристические анализаторы, безусловно, являются проактивной технологией. Правда, они известны продолжительное время, а упор на проактивность разработчики стали делать совсем недавно.

Некоторые антивирусные разработчики отошли от классического понимания «политики» и предлагают своим клиентам «безопасность на основе политик» (policy-based security). Так, компания Trend Micro продвигает Outbreak Prevention Services. В рамках этого подхода пользователь получает набор политик (ограничений), которые позволяют защититься от нового вируса до появления обновлений к антивирусной базе или заплатки для открытой уязвимости. Таким путем разработчик пытается сократить отрезок времени, в течение которого клиенты являются полностью беззащитными перед новой угрозой. Стоит также отметить, что политика (в данном контексте) — это лишь временная защита, призванная сдержать эпидемию до подхода «тяжелой артиллерии».

Однако подход, предложенный Trend Micro, вряд ли можно назвать эффективным. Во-первых, далеко не факт, что для создания политики экспертам требуется намного меньше времени, чем для создания вакцины (сигнатурного обновления антивирусных баз). Ведь чтобы понять, какие бреши в операционной системе или способы заражения использует вирус, все равно необходимо анализировать его код. Во-вторых, в некоторых случаях может возникнуть проблема смены политик. Особенно когда новые политики поступают слишком часто. Пользователи начинают путаться в том, что можно делать, а что — нет.

Таким образом, подход на основе политик призван компенсировать относительно низкую скорость реакции антивирусной лаборатории TrendLab на появление новых угроз. Кроме того, данная технология не является проактивной, так как все равно существует промежуток времени, в течение которого пользователь остается без защиты, да и для создания самой политики точно так же, как и для выпуска сигнатуры, требуется проводить анализ вредоносного кода.

Еще один интересный метод защиты предлагают компании Cisco и Microsoft. Речь идет о карантинной зоне, в которую попадают компьютеры, не удовлетворяющие требованиям политики IT-безопасности, но все равно пытающиеся подключиться к корпоративной сети. Например, если удаленный пользователь стремится войти в сеть своего работодателя, то его компьютер проходит сканирование на предмет наличия актуальной базы антивирусных сигнатур, обновлений операционной системы и т. д. По результатам проверки служащему может быть предоставлен доступ только к карантинной зоне — серверу, с которого можно скачать необходимые обновления. После этого можно снова попытаться подключиться к корпоративной сети. Такой подход тоже не является проактивным, поскольку сводится к антивирусной проверке с использованием обновленной базы сигнатур. Тем не менее идея, лежащая в основе карантинной зоны, подкупает своей очевидностью и эффективностью: если в операционной системе есть незакрытые бреши или антивирус уже устарел, то о какой безопасности может идти речь?

Технология IPS действительно является «более или менее» проактивной — ведь она позволяет предотвратить попадание на компьютер вирусов и червей, а также защититься от хакерских атак. Достигается это посредством своевременной блокировки отдельных портов (например, тех, через которые на компьютер попадает опасный на данный момент червь), запрета доступа к определенным файлам и папкам и т. д. В определенном смысле такие административные ограничения напоминают «безопасность на основе политик», рассмотренную выше, хотя антивирусные поставщики, использующие IPS, позиционируют себя отдельно. Следует отметить, что технология IPS бессильна сделать что-либо против почтовых червей, файловых вирусов и вирусов-троянцев. Однако эту технологию активно используют «Лаборатория Касперского», Symantec, Panda и Trend Micro.

Но в истории антивирусной индустрии есть, по крайней мере, один пример эффективного поведенческого блокиратора. Речь идет о Kaspersky Office Guard. Обойтись без участия пользователей разработчикам удалось только потому, что они сузили область проверяемых объектов — блокиратор защищал только от макровирусов, «живущих» в офисных документах. Более того, «Лаборатория Касперского» довела эффективность анализа VBA-программ (кода, работающего в среде Microsoft Office) до такой степени, что гарантировала практически 100%-ную защиту от макровирусов. Сомневаться в этом не приходится, так как анализировать поведение макросов несравнимо легче, чем обычных EXE-программ. Однако никто из конкурентов такой подход не реализовал. Конечно, эпоха макровирусов уже прошла, ее пик пришелся на вторую половину 1990-х, и сегодня макровредитель является большой редкостью, к тому же детектируется обычным сигнатурным сканером.

Некоторое время назад антивирусная индустрия снова вернулась к технологии анализа поведения программ. Немного повысить качество результатов удалось за счет проверки на допустимость не каждой операции в отдельности, а последовательности действий программы. При этом эксперты избавили пользователя от участия в самом процессе и смирились с невысокой в целом эффективностью поведенческих блокираторов. Точно так же, как и эвристический анализ, данный подход способен дать более-менее приемлемый результат только в комбинации с другими технологиями.

Отметим, что поведенческие блокираторы являются в полной мере проактивными, так как позволяют бороться с неизвестными вредителями, сигнатуры которых не внесены в антивирусную базу. Сегодня этот подход нашел свое место в продуктах «Лаборатории Касперского», Panda и Cisco.

Еще одним проактивным поставщиком сегодня является компания McAfee. Семейство продуктов McAfee Entercept включает в себя систему предотвращения вторжений (IPS) и защиту от переполнения буфера. Компания также предлагает своим клиентам эвристическую, а значит проактивную, технологию WormStopper. С ее помощью можно выявлять некоторые новые почтовые черви, а также блокировать подозрительную активность (например, массовую и неавторизованную рассылку писем по контактным данным из адресной книги).

Продукты компании Panda тоже имеют проактивные модули. К примеру, Panda TruPrevent состоит из эвристического анализатора, поведенческого блокиратора и системы обнаружения вторжений (IDS). Эвристик служит для выявления новых вредителей, блокиратор — для анализа запущенных процессов, а IDS — для борьбы с червями. Продукт не требует сложной настройки и подходит для домашних пользователей.

Гигант антивирусной индустрии, компания Symantec, предлагает своим клиентам эвристический анализатор, систему предотвращения вторжений (IPS) и услугу оповещения о новых угрозах. Первые два вида технологий рассмотрены выше, поэтому упомянем лишь программу Outbreak Alert, входящую в состав Norton Internet Security 2005 и сообщающую пользователю о новых угрозах. Кроме того, компания предлагает услугу Early Warning Services (EWS), которая позволяет получать ранние оповещения об обнаруженных уязвимостях.

Компания Trend Micro тоже включила проактивные модули в состав PC-cillin Internet Security 2005. Это эвристический анализатор и Outbreak Alert System (оповещение о новых угрозах). Для корпоративных клиентов есть еще и «безопасность на основе политик». Так, пользователи OfficeScan Corporate Edition 6.5 получают доступ к услуге Outbreak Prevention Service, в рамках которой разработчик поставляет ограничивающие политики.

Российская компания «Лаборатория Касперского» также является проактивной. Антивирус Касперского вооружен эвристическим анализатором, системой обнаружения и предотвращения вторжений (IPS/IDS), средством оповещения о новых угрозах и поведенческим блокиратором. Система IPS/ IDS позволяет защититься от хакерских атак и бестелесных вредителей, а поведенческий блокиратор второго поколения обладает такой возможностью, как откат действий, совершенных вредоносным кодом.

Итоги

В заключение напомним, что заказчикам не следует поддаваться ажиотажу, царящему вокруг проактивных технологий. Безусловно, все эти подходы повышают общую степень защиты, но в одиночку, без использования классического сигнатурного сканирования, они не способны обеспечить даже минимально необходимого уровня безопасности.

Автор: Алексей Доля
Источник:electronica.finestreet.ru