Проактивная защита от вредоносных программ кратко

Обновлено: 05.07.2024

История компьютерных вирусов насчитывает уже более 25 лет. Неразрывно с вирусами развивались и средства противодействия вирусам - антивирусы. Исторически сложилось так, что лидерство на рынке антивирусных технологий заняли системы сигнатурного поиска, иначе называемые реактивными, имеющие целый ряд серьезных недостатков. На смену им приходят новые проактивные технологии такие как HIPS, Sandbox, VIPS и другие.

Классические проактивные системы обнаружения вредоносных программ, несмотря на кажущуюся простоту реализации и надежность, имеют ряд существенных недостатков, а именно:

Слабая эффективность против угроз типа 0-day, так как эффективность напрямую связана с базой сигнатур вредоносного ПО, в которую внесены сигнатуры только известного, на данный момент, вредоносного ПО;
Необходимость постоянного обновления базы сигнатур вирусов для эффективной защиты от нового вредоносного ПО;
Для определения вредоносного ПО необходима процедура сканирования, которая отнимает достаточно много времени и системных ресурсов;

Данные причины и послужили толчком к развитию т.н. проактивных систем защиты, о которых и пойдет речь в данной статье.

Методы проактивной защиты

История развития проактивных методов защиты

На сегодняшний день наиболее известны и часто применимы следующие методы проактивной защиты:

Методы поведенческого анализа;
Методы ограничения выполнение операций;
Методы контроля целостности ПО и ОС.

Методы предотвращения вторжений (IPS-методы)

HIPS - метод контроля активности, основанный на перехвате обращений к ядру ОС и блокировке выполнения потенциально опасных действий ПО, работающего в user-mode, выполняемых без ведома пользователя;

Принцип работы

HIPS-система с помощью собственного драйвера перехватывает все обращения ПО к ядру ОС. В случае попытки выполнения потенциально опасного действия со стороны ПО, HIPS-система блокирует выполнение данного действия и выдает запрос пользователю, который решает разрешить или запретить выполнение данного действия.

Преимущества систем, построенных на методе HIPS:

Низкое потребление системных ресурсов;
Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
Высокая эффективность противостояния угрозам 0-day;
Высокая эффективность противодействия руткитам, работающим в user-mode;

Недостатки систем, построенных на методе HIPS:

Низкая эффективность противодействия руткитам, работающим в kernel-mode;
Большое количество обращений к пользователю ПК;
Пользователь должен обладать знаниями о принципах функционирования ОС;
Невозможность противодействия активному заражению ПК;

VIPS - метод контроля активности, основанный на мониторинге выполняемых операций ПО, установленном на ПК, и блокировке выполнения потенциально опасных действий ПО, выполняемых без ведома пользователя.

Принцип работы

Преимущества систем, построенных на методе VIPS:

Низкое потребление системных ресурсов;
Высокая эффективность противостояния угрозам 0-day;
Высокая эффективность противодействия руткитам, работающим и в user-mode, и в kernel-mode;

Недостатки систем, построенных на методе VIPS:

Требовательны к аппаратному обеспечению ПК (для работы VIPS-системы необходима аппаратная поддержка процессором технологий аппаратной виртуализации (Intel VT-x или AMD-V);
Большое количество обращений к пользователю ПК;
Пользователь должен обладать знаниями о принципах функционирования ОС;
Невозможность противодействия активному заражению ПК;

Песочница (sandbox)

Принцип работы

Преимущества систем, построенных на методе песочница (sandbox):

Низкое потребление системных ресурсов;
Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
Малое количество обращений к пользователю ПК;

Недостатки систем, построенных на методе песочница (sandbox):

Пользователь должен обладать знаниями о принципах функционирования ОС;
Невозможность противодействия активному заражению ПК;

Методы поведенческого анализа

Поведенческий блокиратор (метод активного поведенческого анализа)

Поведенческий блокиратор (метод активного поведенческого анализа) - метод, основанный на методах IPS, анализа в реальном времени цепочек действий ПО и блокирования выполнение потенциально опасных алгоритмов в реальном времени.

Принцип работы

Различные проактивные системы защиты используют различные концепции реализации метода активного поведенческого анализа (т.к. метод активного поведенческого анализа может быть построен на базе любого IPS-метода). В общем и целом метод активного поведенческого анализа представляет собой IPS-метод с интеллектуальной системой принятия решений, анализирующей, не отдельные действия, а цепочки действий.

Преимущества систем, построенных на методе активного поведенческого анализа:

Меньшее количество обращений к пользователю, по сравнению с системами, построенными на IPS-методах;
Низкое потребление системных ресурсов;
Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);

Недостатки систем, построенных на методе активного поведенческого анализа:

Метод эмуляции системных событий (метод пассивного поведенческого анализа)

Методы эмуляции системных событий (метод пассивного поведенческого анализа) - метод определения вредоносного ПО путем анализа действий и/или цепочки действий с помощью выполнения ПО в специальной ограниченной среде (т.н. эмуляторе кода), имитирующей реальное аппаратное обеспечение.

Принцип работы

ПО запускается в специальной ограниченной среде (т.н. эмуляторе кода), имитирующей реальное аппаратное обеспечение, где производится проверка на выполнение определенных действий и/или цепочки действий. Если обнаружена возможность выполнения потенциально опасного действия и/или цепочки действий, ПО помечается как вредоносное.

Преимущества систем, построенных на методе активного поведенческого анализа:

Не требуют специальных знаний или навыков со стороны пользователя;
Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
Отсутствие обращений к пользователю, за исключением случаев обнаружения вредоносного ПО;

Недостатки систем, построенных на методе активного поведенческого анализа:

В некоторых случаях анализ кода может занимать достаточно продолжительное время;
Широкое применение методик противодействия эмуляции кода вредоносного ПО, поэтому системы, использующие метод пассивного поведенческого анализа, могут противостоять не всем видам вредоносного ПО;
Невозможность противодействия активному заражению ПК.

Сканер целостности

Сканер целостности осуществляет постоянный мониторинг ядра ОС, на предмет выявления изменений, которые могло произвести вредоносное ПО. В случае обнаружения изменений внесенных вредоносным ПО об этом оповещается пользователь и по возможности производится откат действий, произведенных вредоносными ПО.

Принцип работы

Сканер целостности осуществляет мониторинг всех обращений к ядру ОС. В случае обнаружения попытки изменения критически важных параметров, операция блокируется.

Не требуют специальных знаний или навыков со стороны пользователя;
Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
Малое количество обращений к пользователю;

Для осуществление контроля целостности необходимо контролировать большое количество различных параметров, что может негативно сказаться на производительности ПК;
Слабая эффективность противодействия user-mode и kernel-mode руткитам;
Невозможность противодействия активному заражению ПК;

Принцип работы

Не требуют специальных знаний или навыков со стороны пользователя;
Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
Полное отсутствие каких бы то ни было обращений к пользователю;

В данной статье рассматривались проактивные системы защиты. Была приведена краткая историческая справка по истории развития проактивных систем защиты, также были рассмотрены основные виды методов проактивной защиты:

Методы ограничения выполнения операций;
Методы поведенческого анализа;
Методы контроля целостности.

Подробно были рассмотрены принципы работы методов проактивных защиты, также были рассмотрены преимущества и недостатки проактивных методов защиты.

Подводя итог можно сделать вывод о том, что проактивные методы защиты являются высокоэффективным средством противодействия вредоносному ПО и могут составить весомую конкуренцию классическим, реактивным методам защиты, а в сочетании с ними могут многократно повысить эффективность антивирусных систем.

Слабая эффективность против угроз типа 0-day, так как эффективность напрямую связана с базой сигнатур вредоносного ПО, в которую внесены сигнатуры только известного, на данный момент, вредоносного ПО;
Необходимость постоянного обновления базы сигнатур вирусов для эффективной защиты от нового вредоносного ПО;
Для определения вредоносного ПО необходима процедура сканирования, которая отнимает достаточно много времени и системных ресурсов;

Методы проактивной защиты

История развития проактивных методов защиты

На сегодняшний день наиболее известны и часто применимы следующие методы проактивной защиты:

Методы поведенческого анализа;
Методы ограничения выполнение операций;
Методы контроля целостности ПО и ОС.

Методы предотвращения вторжений (IPS-методы):

HIPS

Принцип работы

Преимущества систем, построенных на методе HIPS:

Низкое потребление системных ресурсов;
Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
Высокая эффективность противостояния угрозам 0-day;
Высокая эффективность противодействия руткитам, работающим в user-mode;

Недостатки систем, построенных на методе HIPS:

Низкая эффективность противодействия руткитам, работающим в kernel-mode;
Большое количество обращений к пользователю ПК;
Пользователь должен обладать знаниями о принципах функционирования ОС;
Невозможность противодействия активному заражению ПК;

VIPS

Принцип работы

Преимущества систем, построенных на методе VIPS:

Низкое потребление системных ресурсов;
Высокая эффективность противостояния угрозам 0-day;
Высокая эффективность противодействия руткитам, работающим и в user-mode, и в kernel-mode;

Недостатки систем, построенных на методе VIPS:

Требовательны к аппаратному обеспечению ПК (для работы VIPS-системы необходима аппаратная поддержка процессором технологий аппаратной виртуализации (Intel VT-x или AMD-V);
Большое количество обращений к пользователю ПК;
Пользователь должен обладать знаниями о принципах функционирования ОС;
Невозможность противодействия активному заражению ПК;

Песочница (sandbox)

Принцип работы

Преимущества систем, построенных на методе песочница (sandbox):

Низкое потребление системных ресурсов;
Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
Малое количество обращений к пользователю ПК;

Недостатки систем, построенных на методе песочница (sandbox):

Пользователь должен обладать знаниями о принципах функционирования ОС;
Невозможность противодействия активному заражению ПК;

Методы поведенческого анализа

Поведенческий блокиратор (метод активного поведенческого анализа)

Принцип работы

Преимущества систем, построенных на методе активного поведенческого анализа:

Меньшее количество обращений к пользователю, по сравнению с системами, построенными на IPS-методах;
Низкое потребление системных ресурсов;
Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);

Недостатки систем, построенных на методе активного поведенческого анализа:

Метод эмуляции системных событий (метод пассивного поведенческого анализа)

Принцип работы

Преимущества систем, построенных на методе активного поведенческого анализа:

Не требуют специальных знаний или навыков со стороны пользователя;
Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
Отсутствие обращений к пользователю, за исключением случаев обнаружения вредоносного ПО;

Недостатки систем, построенных на методе активного поведенческого анализа:

В некоторых случаях анализ кода может занимать достаточно продолжительное время;
Широкое применение методик противодействия эмуляции кода вредоносного ПО, поэтому системы, использующие метод пассивного поведенческого анализа, могут противостоять не всем видам вредоносного ПО;
Невозможность противодействия активному заражению ПК.

Сканер целостности

Принцип работы

Не требуют специальных знаний или навыков со стороны пользователя;
Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
Малое количество обращений к пользователю;

Для осуществление контроля целостности необходимо контролировать большое количество различных параметров, что может негативно сказаться на производительности ПК;
Слабая эффективность противодействия user-mode и kernel-mode руткитам;
Невозможность противодействия активному заражению ПК;

Принцип работы

Не требуют специальных знаний или навыков со стороны пользователя;
Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
Полное отсутствие каких бы то ни было обращений к пользователю;

Методы ограничения выполнения операций;
Методы поведенческого анализа;
Методы контроля целостности.

Вложение	Размер
HIPS.PNG	19.48 КБ
VIPS.PNG	20.43 КБ
Sandbox.PNG	26.05 КБ
Scanner.PNG	17.98 КБ
Proactive.PNG	200.37 КБ

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Сегодня вирусные атаки прочно удерживают пальму первенства во всех хит-парадах угроз ИТ-безопасности. Эти вредители наносят прямой финансовый ущерб, а также служат отправной точкой для реализации многих других опасных угроз, среди которых кража конфиденциальной информации и несанкционированный доступ к данным. В свою очередь антивирусная индустрия предлагает несколько новых подходов к защите ИТ-инфраструктуры: проактивные технологии, форсированный выпуск критически важных вакцин, серьезное увеличение частоты обновления антивирусных баз и т.д. Данный материал открывает цикл статей, которые призваны помочь читателю сориентироваться в новых технологиях антивирусных компаний и более или менее объективно оценить их эффективность. Первая статья цикла посвящена проактивным технологиям.

Характерной чертой сегодняшнего дня является не только огромный ущерб, наносимый вирусными атаками, но и непрекращающийся рост числа самих вредоносных кодов. Отметим, что в 2005 году рост популяции компьютерных вредителей приобрел просто взрывной характер. Например, по данным "Лаборатории Касперского", количество ежемесячно детектируемых вирусов выросло на конец 2005 года в среднем до 6368 экземпляров, а по итогам года рост составил 117%, в то время как в прошлом году рост составил только 93%.

Таким образом, налицо изменение характера угрозы: вредителей стало намного больше, а сами они стали намного опаснее. Логично ожидать ответной реакции и со стороны антивирусной индустрии, которая действительно предложила ряд новых подходов к защите от вирусных атак. Среди них проактивные технологии, повышение скорости реакции на появление особо опасных вредителей, способных вызвать эпидемию, а также просто увеличение частоты обновления антивирусных баз. В данной статье будет подробно рассмотрен проактивный подход, часто продвигаемый поставщиками в качестве панацеи от всех существующих и вообще возможных вирусов.

Введение в проактивные технологии

В современных антивирусных продуктах используются два основных подхода к обнаружению вредителей. Это сигнатурный и проактивный / эвристический. Первый метод достаточно прост: проверяемые на компьютере пользователя объекты сравниваются с шаблонами (сигнатурами) известных вирусов. Эта технология предполагает непрерывное отслеживание новых экземпляров вредителей, их описание и включение в базу сигнатур. Таким образом, у антивирусной компании должна эффективно работать служба обнаружения и анализа вредоносных кодов (то есть, антивирусная лаборатория). Главные критерии эффективности сигнатурного метода - это скорость реакции на новые угрозы, частота обновлений, максимальное число обнаруженных угроз.

Очевидно, что у сигнатурного метода есть ряд недостатков. Самый главный из них - задержка при реакции на новые угрозы. Сигнатуры всегда появляются только через некоторое время после появления вируса, а современные вредоносные коды способны за очень короткое время заразить миллионы компьютеров.

В связи с этим все большее распространение получают проактивные / эвристические методы обнаружения вирусов. Этот подход не требует выпуска сигнатур. Антивирусная программа анализирует код проверяемого объекта и / или поведение запущенного приложения, а потом на основе заложенных в ней правил принимает решение о том, является ли данное программное обеспечение вредоносным.

В принципе, использование этой технологии позволяет обнаруживать еще неизвестные вредоносные программы. Поэтому многие производители антивирусных средств поспешили заявить о проактивных методах, как о панацее от нарастающей волны новых вредителей. Тем не менее, это не так. Чтобы оценить эффективность применения проактивного подхода и возможность его использования отдельно от сигнатурных методов, следует подробнее изучить принцип работы проактивных технологий.

Существует несколько подходов к проактивной защите. Рассмотрим два самых популярных: эвристические анализаторы и поведенческие блокираторы.

Эвристический анализ

Эвристический анализатор (эвристик) - это программа, которая анализирует код проверяемого объекта и по косвенным признакам определяет, является ли объект вредоносным. Причем в отличие от сигнатурного метода эвристик может детектировать как известные, так и неизвестные вирусы (то есть те, которые были созданы после эвристика).

Работа анализатора, как правило, начинается с поиска в коде подозрительных признаков (команд), характерных для вредоносных программ. Этот метод называется статичным анализом. Например, многие вредоносные коды ищут исполняемые программы, открывают найденные файлы и изменяют их. Эвристик просматривает код приложения и, встретив подозрительную команду, увеличивает некий "счетчик подозрительности" для данного приложения. Если после просмотра всего кода значение счетчика превышает заданное пороговое значение, то объект признается подозрительным.

Преимуществом этого метода является простота реализации и высокая скорость работы, однако уровень обнаружения новых вредоносных кодов остается довольно низким, а вероятность ложных срабатываний высокой.

Поэтому в современных антивирусах статический анализ используются в сочетании с динамическим. Идея такого комбинированного подхода состоит в том, чтобы до того как приложение будет запущено на компьютере пользователя, эмулировать его запуск в безопасном виртуальном окружении, которое называется также буфером эмуляции, или "песочницей". В маркетинговых материалах поставщики используют еще один термин - "эмуляция виртуального компьютера в компьютере".

Итак, динамический эвристический анализатор читает часть кода приложения в буфер эмуляции антивируса и с помощью специальных "трюков" эмулирует его исполнение. Если в процессе этого "псевдоисполнения" обнаруживаются какие-либо подозрительные действия, объект признается вредоносным и его запуск на компьютере пользователя блокируется.

В отличие от статического метода, динамический более требователен к ресурсам ПК, так как для анализа приходится использовать безопасное виртуальное пространство, а запуск приложения на компьютере пользователя откладывается на время анализа. Однако и уровень обнаружения вредителей у динамического метода значительно выше статического, а вероятность ложных срабатываний существенно меньше.

В заключение заметим, что первые эвристические анализаторы появились в антивирусных продуктах довольно давно и на сегодняшний день более или менее совершенные эвристики реализованы во всех антивирусных решениях.

Поведенческие блокираторы

Поведенческий блокиратор - это программа, которая анализирует поведение запущенного приложения и блокирует любые опасные действия. В отличие от эвристических анализаторов, где подозрительные действия отслеживаются в режиме эмуляции (динамический эвристик), поведенческие блокираторы работают в реальных условиях.

Принцип действия первых поведенческих блокираторов был прост. При обнаружении потенциально опасного действия задавался вопрос пользователю: разрешить или запретить это действие. Во многих случаях такой подход работал, но "подозрительные" действия производили и легитимные программы (вплоть до операционной системы). Поэтому если пользователь не обладал должной квалификацией, вопросы антивируса вызывали непонимание.

Поведенческие блокираторы нового поколения анализируют уже не отдельные действия, а последовательность операций. Другими словами, заключение об опасности того или иного приложения выносится на основе более сложного анализа. Таким образом, удается значительно сократить количество запросов к пользователю и повысить надежность детектирования.

Современные поведенческие блокираторы способны контролировать широкий спектр событий происходящих в системе. Это прежде всего контроль опасной активности (анализ поведения всех процессов, запущенных в системе, сохранение всех изменений, производимых в файловой системе и реестре). При выполнении некоторым приложением набора подозрительных действий выдаётся предупреждение пользователю об опасности данного процесса. Помимо этого блокиратор позволяет перехватить все возможности внедрения программного кода в чужие процессы. Вдобавок, блокиратор способен обнаружить руткиты, то есть программы, которые скрывают от пользователя работу вредоносного кода с файлами, папками и ключами реестра, а также прячут запущенные программы, системные службы, драйверы и сетевые соединения.

Особо стоит выделить такую функциональность поведенческих блокираторов, как контроль целостности приложений и системного реестра Microsoft Windows. В последнем случае блокиратор контролирует изменения ключей реестра и позволяет задавать правила доступа к ним для различных приложений. Все вместе это позволяет осуществить откат изменений после определения опасной активности в системе. Таким образом, можно восстанавливать систему даже после вредоносных действий неизвестных программ, вернув ее к незараженному состоянию.

В отличие от эвристиков, которые присутствуют практически во всех современных антивирусных программах, поведенческие блокираторы на данный момент реализованы далеко не везде. В качестве примера эффективного поведенческого блокиратора нового поколения можно привести модуль проактивной защиты (Proactive Defence Module), реализованный в продуктах "Лаборатории Касперского".

Данный модуль включает в себя все перечисленные выше возможности и, что особенно важно, хорошую систему информирования пользователя о том, в чем реально состоит опасность тех или иных подозрительных действий. Любой поведенческий блокиратор на определенном этапе требует вмешательства пользователя, что предполагает наличие у последнего определенной квалификации. На практике пользователь часто не обладает необходимыми знаниями, поэтому информационная поддержка - фактически поддержка принятия решений - является обязательным атрибутом современных антивирусных решений.

Таким образом, можно резюмировать: поведенческий блокиратор может предотвратить распространение как известного, так и неизвестного (написанного после создания блокиратора) вируса, что является неоспоримым преимуществом такого подхода к защите. Важным недостатком поведенческих блокираторов остается срабатывание на действия ряда легитимных программ. Вдобавок, для принятия окончательного решения о вредоносности приложения требуется вмешательство пользователя, что предполагает наличие у него достаточной квалификации.

Проактивная защита и бреши в программном обеспечении

В рекламных и маркетинговых материалах антивирусных поставщиков часто можно встретить заявления о том, что проактивная / эвристическая защита - это панацея от новых угроз, не требующая обновлений, а следовательно, всегда готовая к отражению атак еще даже не созданных вирусов. Более того, в брошюрах и листовках речь часто идет не просто о новых угрозах, эксплуатирующих известные бреши, а об угрозах класса "zero-day". Другими словами, разработчики утверждают, что их проактивные технологии способны остановить даже те вредоносные коды, которые используют еще никому не известные бреши в приложениях, то есть такие, для которых еще не выпущена соответствующая заплатка.

К сожалению, в таких рекламных материалах присутствует большая доля лукавства - или их авторы недостаточно хорошо понимают, о чем говорят. В частности, борьба с вредоносными кодами представлена как борьба между вирусописателями и автоматическими методами (проактивными / эвристическими). На самом же деле борьба идет между людьми: вирусописателями и антивирусными экспертами.

Выше уже были рассмотрены различные методы проактивной защиты: эвристики и поведенческие блокираторы. В их основе лежат "знания" о подозрительных действиях, которые обычно производят вредоносные программы. Но правда заключается в том, что эти "знания" (набор поведенческих правил) заложены в программу антивирусными экспертами, и получены эти "знания" путем анализа поведения уже известных вирусов. Таким образом, проактивные технологии бессильны против вредоносных кодов, использующих принципиально новые методы проникновения и заражения, появившиеся после момента создания правил. Это, собственно, и есть угрозы класса "zero-day". Кроме того, вирусописатели целенаправленно находят новые возможности обхода существующих в антивирусах поведенческих правил, что опять же значительно снижает эффективность проактивных методов.

Разработчики антивирусов просто вынуждены обновлять наборы поведенческих правил и "докручивать" свои эвристики, чтобы отреагировать на появление новых угроз. Несомненно, такое обновление происходит реже, чем обновление обычных сигнатур (шаблонов кода). Однако оно все равно происходит регулярно, а по мере роста числа новых угроз будет происходить все чаще и чаще. В итоге индустрия придет к тому же сигнатурному методу, только сигнатуры станут "поведенческими", а не шаблонами кода.

Скрывая от пользователей факт необходимости обновлений проактивной защиты, некоторые антивирусные поставщики, по сути, вводят в заблуждение как своих корпоративных и домашних клиентов, так и прессу. В результате в обществе создается не совсем верное представление о возможностях проактивной защиты.

Проактивные и сигнатурные методы

Несмотря на имеющиеся недостатки, проактивные методы действительно позволяют обнаруживать некоторые новые угрозы еще до выхода соответствующих сигнатур. Рассмотрим, например, реакцию антивирусов на червя Email-Worm.Win32.Nyxem.e (далее просто Nyxem).

Червь Nyxem (известный также как Blackmal, BlackWorm, MyWife, Kama Sutra, Grew и CME-24) попадает на компьютер при открытии вложения к письму, где помещены ссылки на сайты порнографической и эротической направленности, а также через файлы, расположенные в открытом сетевом доступе. В течение считанного времени вирус стирает информацию на жестком диске, поражая файлы в 11 различных форматах (включая Microsoft Word, Excel, PowerPoint, Access, Adobe Acrobat). При этом вся полезная информация замещается бессмысленным набором символов. Еще одной характерной особенностью Nyxem является его активизация третьего числа каждого месяца.

Означает ли это, что проактивные технологии способны заменить "классические" сигнатурные? Конечно, нет. Для анализа эффективности проактивной защиты необходимо тестировать антивирусы на обширной коллекции вирусов, а не на отдельных (пусть и нашумевших) экземплярах.

По результатам теста, проведенного в 2005 году наиболее эффективными признаны эвристики Eset, Антивируса Касперского и Bitdefender:

Данный тест проводился на коллекции из 8259 вирусов. Легко видеть, что самый высокий уровень проактивного обнаружения, продемонстрированный в тесте, составляет около 70%. Это означает, что было пропущено 2 475 вирусов. Согласитесь, это весьма значительная цифра.

Кроме того, высокий уровень обнаружения у эвристических анализаторов имеет свою обратную сторону - количество ложных срабатываний оказывается тоже очень большим. Для нормальной работы антивируса необходимо соблюдать баланс между уровнем детектирования и уровнем ложных срабатываний. То же верно и для поведенческих блокираторов.

Результаты теста AV-Comparatives.org и AV-Test.org наглядно демонстрируют, что проактивные методы сами по себе не могут обеспечить необходимый уровень детектирования. Это, кстати, прекрасно понимают антивирусные поставщики, которые, несмотря на громкие заявления о проактивных технологиях, продолжают параллельно использовать классические сигнатурные методы детектирования. Отметим, что разработчикам чисто проактивных решений (Finjan, StarForce Safe'n'Sec) приходится приобретать у сторонних поставщиков лицензии на использование в своих продуктах "классических" сигнатурных технологий.

Конечно, сигнатурные методы также имеют свои недостатки, но на данный момент в антивирусной индустрии не придумали ничего, что могло бы позволить полностью отказаться от этого ставшего уже классическим подхода. Следовательно, наряду с проактивной защитой, скорость реакции на вирусные угрозы (скорость добавления сигнатуры в базу и скорость доставки обновлений пользователю) по-прежнему остается одним из важнейших критериев эффективности антивируса.

Итоги

Суммируя все вышесказанное, можно сделать несколько важных выводов. Прежде всего, проактивный подход к борьбе с вредоносными программами стал ответом антивирусной индустрии на все возрастающий поток новых вредителей и увеличивающуюся скорость их распространения. Существующие сегодня проактивные методы действительно позволяют бороться со многими новыми угрозами, но постулат о том, что проактивные технологии позволяют полностью уйти от регулярных обновлений антивирусной защиты, в корне неверен. На самом же деле проактивные методы так же, как и сигнатурные, требуют обновления.

Использование современных проактивных техник само по себе не может обеспечить высокий уровень детектирования вредоносных программ. Кроме того, повышение уровня обнаружения в этом случае влечет за собой увеличение количества ложных срабатываний. В этой ситуации скорость реакции на новые угрозы по-прежнему остается важнейшим критерием эффективности антивирусной программы.

Таким образом, пользователям антивирусных решений не стоит полностью полагаться на маркетинговые заявления поставщиков. Независимые испытания, позволяющие сравнить комплексные характеристики продуктов, лучше всего подходят для объективной оценки эффективности предлагаемых сегодня решений.

Проактивные технологии – совокупность технологий и методов, используемых в антивирусном программном обеспечении, основной целью которых, в отличие от реактивных (сигнатурных) технологий, является предотвращение заражения системы пользователя, а не поиск уже известного вредоносного программного обеспечения в системе.

История развития проактивных технологий антивирусной защиты

Проактивные технологии начали развиваться практически одновременно с классическими (сигнатурными) технологиями. Однако, первые реализации проактивных технологий антивирусной защиты требовали высокий уровень квалификации пользователя, т.е. не были рассчитаны на массовое использование простыми пользователями персональных компьютеров. Спустя десятилетие антивирусной индустрии стало очевидно, что сигнатурные методы обнаружения уже не могут обеспечить эффективную защиту пользователей. Этот факт и подтолкнул к возрождению проактивных технологий.

Технологии проактивной защиты

Технология эвристического анализа позволяет на основе анализа кода выполняемого приложения, скрипта или макроса обнаружить участки кода, отвечающие за вредоносную активность.
Эффективность данной технологии не является высокой, что обусловлено большим количеством ложных срабатываний при повышении чувствительности анализатора, а также большим набором техник, используемых авторами вредоносного ПО для обхода эвристического компонента антивирусного ПО.

Технология эмуляции позволяет запускать приложение в среде эмуляции, эмулируя поведение ОС или центрального процессора. При выполнении приложения в режиме эмуляции приложение не сможет нанести вреда системе пользователя, а вредоносное действие будет детектировано эмулятором.
Несмотря на кажущуюся эффективность данного подхода, он также не лишен недостатков – эмуляция занимает слишком много времени и ресурсов компьютера пользователя, что негативно сказывается на быстродействии при выполнении повседневных операций, также, современные вредоносные программы способны обнаруживать выполнение в эмулированной среде и прекращать свое выполнение в ней.

Технология анализа поведения основывается на перехвате всех важных системных функций или установке т.н. мини-фильтров, что позволяет отслеживать всю активность в системе пользователя. Технология поведенческого анализа позволяет оценивать не только единичное действие, но и цепочку действий, что многократно повышает эффективность противодействия вирусным угрозам. Также, поведенческий анализ является технологической основой для целого класса программ – поведенческих блокираторов (HIPS – Host-based Intrusion Systems).

Технология Песочницы работает по принципу ограничения активности потенциально вредоносных приложений таким образом, чтобы они не могли нанести вреда системе пользователя.
Ограничение активности достигается за счет выполнения неизвестных приложений в ограниченной среде – собственно песочнице, откуда приложение не имеет прав доступа к критическим системным файлам, веткам реестра и другой важной информации. Технология ограничения привилегий выполнения является эффективной технологией противодействия современным угрозам, но, следует понимать, что пользователь должен обладать знаниями, необходимыми для правильной оценки неизвестного приложения.

Технология виртуализации рабочего окружения работает с помощью системного драйвера, который перехватывает все запросы на запись на жесткий диск и вместо выполнения записи на реальный жесткий диск выполняет запись в специальную дисковую область – буфер. Таким образом, даже в том случае, если пользователь запустит вредоносное программное обеспечение, оно проживет не далее чем до очистки буфера, которая по умолчанию выполняется при выключении компьютера.
Однако, следует понимать, что технология виртуализации рабочего окружения не сможет защитить от вредоносных программ, основной целью которых является кража конфиденциальной информации, т.к. доступ на чтение к жесткому диску не запрещен.

Применение проактивных технологий в настоящее время

В настоящее время проактивные технологии являются важным и неотъемлемым компонентом антивирусного программного обеспечения. Более того, как правило, в антивирусных продуктах используется сочетание сразу нескольких технологий проактивной защиты, например эвристический анализ и эмуляция кода успешно сочетаются с поведенческим анализом, что позволяет многократно повысить эффективность современных антивирусных продуктов против новых, все более и более изощренных вредоносных программ.

Быстрый рост количества вирусных эпидемий, громкие атаки хакеров, сетевое мошенничество, угроза spyware, — все это подняло спрос на системы антивирусной защиты. Предложений на рынке антивирусной защиты существует множество. Как выбрать лучший продукт? Какой из антивирусов может гарантировать 100% детектирование вирусов при минимальном уровне ложных срабатываний? Какой из антивирусов предлагает наиболее полный набор технологий для обеспечения адекватной защиты компьютера и сети от всех видов вредоносных программ?

Данный документ описывает основные подходы к превентивной защите, реализованные различными производителями. Дается оценка этих технологий. Документ главным образом предназначен для экспертов и подготовленных специалистов по компьютерной безопасности, знакомых с основными принципами работы антивирусных программ.

Проактивная защита

Эвристический анализатор

Когда количество вирусов превысило несколько сотен, антивирусные эксперты задумались над идеей детектирования вредоносных программ, о существовании которых антивирусная программа еще не знает — нет соответствующих сигнатур. В результате были созданы так называемые эвристические анализаторы.

Эвристическим анализатором называется набор подпрограмм, которые анализируют код исполняемых файлов, макросов, скриптов, памяти или загрузочных секторов для обнаружения в нем разных типов вредоносных компьютерных программ, не определяемых обычными (сигнатурными) методами. Другими словами — эвристические анализаторы предназначены для поиска неизвестного вредоносного ПО.

Безопасность на основе политик

Политика безопасности является необходимым атрибутом любой продуманной стратегии защиты от ИТ-угроз. Продуманная политика позволяет в несколько раз уменьшить риск заражения вредоносной программой, атаки хакеров или утечки конфиденциальной информации. Простой пример — запрет на открытие вложенных файлов из электронных писем снижает риск заражения почтовым червем практически до 0. Запрет на использование сменных носителей также снижает риск проникновения вредоносного кода. К разработке политики всегда нужно подходить очень взвешенно и учитывать потребности и бизнес-процессы всех подразделений и работников компании.

Кроме вышеописанного подхода к политике безопасности, в материалах различных производителей встречаются упоминания безопасности на основе политик (policy-based security). На сегодняшний день существует несколько подходов к такому способу обеспечения безопасности.

Политика безопасности является необходимым атрибутом любой продуманной стратегии защиты от ИТ-угроз.

Подход Cisco-Microsoft. Ограничение доступа в корпоративную сеть для компьютеров, которые не соответствуют политике безопасности компании (например, отсутствуют необходимые обновления операционной системы, нет последних обновлений антивирусных баз и т.д.). Для приведения компьютера в соответствие политике, выделяется доступ только на специальный сервер обновлений. После установки всех необходимых обновлений и выполнения других действий, требуемых политикой безопасности, компьютер получает доступ в корпоративную сеть.

Intrusion Prevention System

Системы предотвращения вторжений (IPS) предусматривают возможность закрытия наиболее часто используемых вредоносными программами уязвимостей компьютера перед новой угрозой еще до выхода обновления антивирусных баз: блокировка портов, т.е. возможности попадания инфекции на компьютер и ее дальнейшего размножения; создание политик для ограничения доступа к директориям или отдельным файлам; обнаружение источника инфекции в сети и блокировка дальнейших коммуникаций с ним. Данная технология отлично работает против атак хакеров и бесфайловых червей и вирусов, но против почтовых червей, классических вирусов и троянских программ IPS не эффективна.

Защита от переполнения буфера

Идея технологии — не допустить переполнения буфера для наиболее распространенных программ, сервисов Windows, включая Word, Excel, Internet Explorer, Outlook и SQL Server. При большинстве современных атак задействуются различные уязвимости, использующие переполнение буфера. Предотвращение переполнения буфера также можно отнести к проактивной защите, т.к. эта технология просто исключает использование такой уязвимости любым вредоносным кодом или атакой.

Поведенческие блокираторы

Поведенческий блокиратор для VBA-программ. KAV Office Guard

Поведенческие блокираторы второго поколения

Различные подходы к проактивной защите

Первый продукт из нового поколения коммерческих систем проактивной защиты на основе поведенческого блокиратора — StormFront — выпустила компания Okena, которая специализировалась на разработке систем обнаружения и предотвращения вторжений. В январе 2003 года компания Okena была поглощена компанией Cisco Systems, и StormFront вышел под названием Cisco Security Agent. Данный продукт является классическим поведенческим блокиратором и рассчитан на использование в компаниях. Продукт требует предварительной настройки квалифицированным администратором.

Panda TruPrevent включает в себя три компонента: поведенческий анализатор процессов для исследования поведения запущенных в системе процессов и обнаружения подозрительных действий, эвристический анализатор и набор IDS-функций для обнаружения вредоносных сетевых пакетов и защиты от переполнения буфера. Продукт позиционируется компанией Panda Software как вторая линия обороны от любого неизвестного вредоносного ПО (в качестве первой линии должен выступать классический антивирус) и предназначен для обнаружения неизвестного malware, запускаемого на компьютере. Продукт ориентирован на конечного пользователя (не администратора).

В продуктах Symantec в качестве проактивной защиты используется встроенный эвристический анализатор, способный обнаруживать еще неизвестные модификации вирусов на основании их специфических действий в системе, а также компоненты IPS/IDS (Intrusion Prevention/Detection System) Norton Internet Worm Protection, которая позволяет закрыть наиболее распространенные пути инфекции в систему (Prevention) и детектировать подозрительные действия (Detection). Дополнительно компания предлагает Outbreak Alert — средство оповещения о появлении особенно опасных интернет-угроз (входит в состав Norton Internet Security 2005). Кроме этого, на уровне сервисов Symantec предлагает услугу Early Warning Services (EWS) которая позволяет получать ранние оповещения об обнаруженных уязвимостях. В настоящее время услуга интегрируется в новую систему Global Intelligence Services.

Microsoft также работает в направлении разработки проактивных методов защиты от вредоносного ПО. Детали и сроки не известны.

Trend Micro в качестве проактивной защиты PC-cillin Internet Security 2005 использует эвристический анализатор и Outbreak Alert System — проактивное оповещение о новых наступающих угрозах. В корпоративном продукте Trend Micro OfficeScan Corporate Edition 6.5 используются сигнатуры с Outbreak Prevention Service, которые позволяют автоматически устанавливать защитные правила для предотвращения заражений еще до выхода обновления антивирусных баз. Такая возможность отсутствует в персональном продукте.

В продуктах BitDefender под проактивной защитой имеется в виду поведенческий анализатор, который блокирует вредоносные программы на основании анализа их специфических действий в системе (контролируются системные файлы, реестр и интернет-активность).

Другие методы

Для защиты почтового трафика могут использоваться особые методы, основанные на анализе писем, проходящих через почтовый сервер. С помощью такого анализа можно остановить эпидемию в самом ее начале. Статистика, дающая основания подозревать начало эпидемии, может быть следующей:

массовая рассылка или прием одинаковых вложений;
массовая рассылка или прием одинаковых писем с различными вложениями;
наличие двойного расширения у вложений;
и т.д.

Кроме этого, возможен лингвистический анализ тел писем.

Итоги

Суммируя все вышесказанное, можно говорить о том, что под проактивными методами защиты, предлагаемыми на рынке, понимается:

Поведенческий анализатор процессов для анализа поведения запущенных в системе процессов и обнаружения подозрительных действий, т. е. неизвестных вредоносных программ.
Устранение возможностей попадания инфекции на компьютер, блокировка портов, которые используются уже известными вирусами, и могут использоваться их новыми модификациями (IPS/IDS-компонент).
Недопущение переполнения буфера для наиболее распространенных программ и сервисов Windows, чаще всего используемых злоумышленниками для осуществления атаки (IPS/IDS-компонент).
Минимизация ущерба, причиненного инфекцией, предотвращение дальнейшего ее размножения, ограничение доступа к файлам и директориям; обнаружение и блокировка источника инфекции в сети (IPS/IDS-компонент).

Таким образом, можно сказать, что технологии проактивной защиты превращаются из игрушки для профессионалов или компьютерных гуру в инструмент, предназначенный для домашнего и корпоративного пользователя, и являются приоритетным направлением работы для компаний-разработчиков антивирусного ПО.

Плюсы и минусы различных проактивных методов детектирования

Эвристический анализатор

Данная технология может быть использована во всех антивирусных продуктах, как на рабочих станциях, так и на файловых, почтовых серверах и интернет-шлюзах. На сегодняшний день эвристический анализатор — единственная проактивная технология, которая может эффективно использоваться во всех антивирусных продуктах.

Безопасность на основе политик

Безопасность на основе политик может быть использована в том или ином виде в любой компании вне зависимости от размера, ИТ-инфраструктуры или рода деятельности. Более того, грамотная политика позволяет практически без финансовых затрат в разы снизить риски от ИТ-угроз.

Эта технология отлично себя зарекомендовала в продуктах для защиты рабочих станций и интернет-шлюзов. Для защиты почтового трафика IDS неприменима.

Защита от переполнения буфера (Buffer Overrun)

С учетом того, что все современные процессоры поддерживают на аппаратном уровне защиту от переполнения буфера, перспективность программной реализации сомнительна. Но тем не менее, защита от переполнения буфера востребована для защиты рабочих станций, интернет-шлюзов и других серверов, которые имеют прямой выход в интернет.

Поведенческие блокираторы

Поведенческие блокираторы применимы только в случаях, когда возможно исполнение подозрительной программы — на рабочих станциях. На почтовых, файловых серверах и шлюзах запуск подозрительных программ не должен осуществляться в принципе, и, как следствие, поведенческий блокиратор не будет востребован.

Выводы

Читайте также: