Первые полтора десятилетия с начала развития антивирусной индустрии на рынке антивирусного программного обеспечения доминирующее положение занимали продукты, использующие сигнатурные базы для поиска известного вредоносного кода в системе. На то время выбор в пользу сигнатур был вполне оправдан – базы сигнатур были очень небольшими по объему, а скорость появления новых образцов позволяла разработчикам вовремя анализировать поступающие образцы и обеспечивать эффективную защиту для своих пользователей. Для противодействия таким явлениям как полиморфизм, обфускация (преобразование кода программы к виду, максимально затрудняющему понимание алгоритма работы программного кода) и некоторым другим, были созданы технологии эвристического обнаружения, а также различные эмуляторы. Однако, через некоторое время, стало очевидно, что классические технологии защиты рано или поздно устареют и уже не смогут обеспечивать эффективную защиту пользователей. Это и послужило толчком для развития современных технологий проактивной защиты, основная цель которых заключается не в обнаружении вредоносного кода, а в предотвращении заражения системы.
По данным независимого исследования, проведенного специалистами компании McAfee при содействии более 50 компаний-разработчиков и общественных организаций, на сегодняшний день в антивирусные лаборатории ежедневно поступает более 50000 образцов вредоносного кода, общим объемом более 10 гигабайт. [1] В связи с тем, что на анализ всех образцов, поступивших в антивирусную лаборатории, требуются колоссальные машинные и человеческие ресурсы, а создатели вирусов применяют все более изощренные техники для обхода классических методов обнаружения вредоносного кода, возрастает вероятность заражения системы еще до того, как вредоносный код будет проанализирован и будет выпущено соответствующее обновление. Так, по результатам тестирования на защиту от новейших вредоносных программ, проведенном независимой тестовой лабораторией Anti-Malware, средний уровень эффективности продуктов, не применяющих современных проактивных технологий, равен 51%, что свидетельствует о крайне низком уровне эффективности классических методов защиты. По результатам того же тестирования от Anti-Malware, средний уровень эффективности продуктов, применяющих только проактивные технологии защиты, равен 87,5%.[2]
Часто для распространения вредоносных программ киберпреступники используют методы социального инжиниринга, например, предлагая пользователям просмотреть эксклюзивное видео с участием знаменитостей или загрузить программное обеспечение для ускорения работы компьютера.[3] После перехода по ссылке пользователи, вместо просмотра обещанного видео или загрузки программного обеспечения, получают образец вредоносной программы и заражают свою систему. В данном случае классические технологии защиты бессильны, поскольку в большинстве случаев доверчивые пользователи, несмотря на предупреждения антивирусных программ, переходят по вредоносным ссылкам или запускают инфицированные приложения. В отличие от классических технологий, проактивная защита может предотвратить заражение системы даже в том случае, если пользователь сам санкционировал запуск вредоносного приложения, запустив приложение в ограниченной среде выполнения, откуда вредоносное приложение не сможет нанести вреда системе.
В настоящее время достаточно популярны атаки на информационные ресурсы компаний. Как правило, данные атаки являются неотъемлемой частью конкурентной борьбы. Целью атак на корпоративные информационные ресурсы может являться выведение из строя сетевого оборудования и парализация работы конкурирующего предприятия, или же кража информации, составляющей коммерческую тайну. В первом случае применяются так называемые DDoS атаки, когда к серверам компании одновременно направляется огромное количество запросов, в результате чего сервера не справляются с сетевой нагрузкой и выходят из строя. Для защиты от сетевых атак достаточно установить аппаратный межсетевой экран с функцией защиты от сетевых атак. Кража конфиденциальной информации является более нетривиальной задачей, нежели организация DDoS атаки. Для кражи информации используются уникальные вредоносные коды, написанные с учетом особенностей сетевой инфраструктуры и используемого программного обеспечения. Киберпреступникам удается достичь нулевого уровня детектирования вредоносных программ с помощью классических технологий, но обойти проактивные технологии защиты гораздо сложнее и удается это далеко не всегда.
Частным и наиболее перспективным способом организации проактивной защиты конечной точки сети является контроль запуска и активности приложений. К продуктам, использующим такой метод, относятся решения компании SafenSoft, например SafenSoft SysWatch. В данном подходе используются так называемые «белые списки», запуск приложений происходит по схеме «запрещено то, что явно не разрешено». Фактически, в SafenSoft SysWatch создается список установленных приложений, которым раздаются права на изменение тех или иных частей системы. Любые приложения, устанавливаемые в дальнейшем, по умолчанию считаются потенциально опасным (и, по выбору администратора, исполняются либо в ограниченной среде, либо с полными правами). Такой подход позволяет сохранить систему в изначальном, заведомо исправном, состоянии, обеспечивая целостность модулей системы и установленного ПО.
Рассмотрев некоторые аспекты антивирусной защиты, в рамках которых корректно сравнение классических и проактивных технологий защиты, можно сделать вывод о том, что на сегодняшний день обеспечить эффективную защиту пользователей от современных компьютерных угроз можно только с помощью проактивных технологий, таким образом развитие проактивных технологий является закономерностью, обусловленной реалиями антивирусной индустрии.
[1] – WASTE MANAGEMENT: THE CURRENT STATE OF SAMPLE SHARING
Dmitry Gryaznov, McAfee Labs, USA
[2] – ZERO-DAY PROTECTION TEST
Anti-Malware Test Lab, Russia
[3] – SOCIAL ENGINEERING TRUMPS A ZERO-DAY EVERY TIME
Bruce E. Hughes, AVG Technologies USA, USA
Роман Рашевский
SafenSoft Ltd.