Лучший экспертный HIPS (проактивная защита)

СЕРГЕЙ ЯРЕМЧУК, фрилансер. Автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС

Проактивные системы защиты,

или Есть ли жизнь без антивируса?

Антивирусное программное обеспечение так тесно вошло в жизнь каждого пользователя компьютеров, что редко кто задумывается о наличии альтернативного решения. Существуют программы проактивной защиты компьютеров, которые в отличие от реактивных систем, используемых в настоящее время, способны обнаруживать новые угрозы.

Отношения пользователей по отношению к антивирусам варьируется от полной уверенности в защите до осознания того, что главное – выдержать первый удар. Действительно антивирусы сегодня несут уже не столько защитную функцию, а скорее используются как средство оценки нанесенного ущерба и удаления заразы. Антивирусные компании, полностью осознавая то, что вирус – это некий алгоритм, включающий не только программу со всеми командами, но и определенные действия, приводящие к поражению данных, упорно продолжают идти наиболее простым путем. И мы до сих пор пользуемся антивирусами, которые просто сравнивают набор знаков, взятых из антивирусных баз, с другим (файлом пользователя или оперативной памятью).

В итоге традиционные антивирусные решения фактически оказались не способны в одиночку противостоять качественному разнообразию существующих угроз. На одном из курсов, для того чтобы убедить скептиков, я распаковал вирус MyDoom, до этого благополучно распознаваемый антивирусами с обновленными базами, а затем запаковал уже другим упаковщиком. Антивирусы оказались не способны найти модернизированный, но работоспособный вариант вируса. Система обнаружения, основанная на опыте предыдущих атак, становится бесполезной при столкновении с неизвестным вирусом или шпионской программой. Для того чтобы сгенерировать сигнатуру, антивирусной компании необходимо получить экземпляр вируса, выделить специфический только для него фрагмент, и только после этого он будет занесен в базу. На все это уходит некоторое время (а вслучае полиморфного вируса процесс создания сигнатуры может еще более затянуться), в течение которого антивирусы не способны, противостоять новому врагу, но вполне достаточному, чтобы новый червь заразил сотни тысяч компьютеров. Классические сигнатурные антивирусы оказываются не способны предотвратить глобальные эпидемии.

С другой стороны, наблюдение за работой системы либо за основными файлами позволяет определить неприятности и предотвратить нападение, такие системы принято относить к классу систем предотвращения проникновения (Intrusion prevention systems) и проактивным системам защиты. В мире Linux давно известны такие проекты, как LIDS, RSBAC, grsecurity, tripwire и другие которые при правильной настройке надежно защищают систему. В последнее время стало заметно оживление и среди разработчиков систем безопасности для ОС Windows.

Прежде чем приступить к конкретным решениям, хотелось бы пару слов сказать об проблемах. Первое и самое трудное, что придется сделать – это убедить самого себя в том, что такая утилита способна защитить компьютер или хотя бы отреагировать. В течение двух лет мой подопытный компьютер защищался одним из бесплатных антивирусов, как правило, с базами полугодичной давности, межсетевым экраном и одной из программ, описанных ниже. За это время система подвергалась (и постоянно подвергается) многочисленным атакам, но заражения так и не произошло.

Вполне возможно, что просто повезло, а может, пора действительно пересмотреть взгляды. Но вся загвоздка в том, что утилиты требуют от пользователя определенных знаний и некоторого понимания происходящего в системе. Появление нового процесса должно насторожить пользователя, он должен как минимум прочитать предупреждающее сообщение и затем принять верное решение. Щелчок по кнопке без раздумий может привести к заражению. Хотя стоит отметить, что в последнее время такие программы, задают уже меньше вопросов, самостоятельно принимая решение.

Далее, если утилиты отреагируют на новый процесс, вызванный атакой червя, то, вполне возможно, смогут проспать макровирус, если он будет заражать только файл шаблонов или рабочий документ без создания новых файлов и процессов. Но в большинстве своем они реагируют на возникшую проблему. Естественно, лучше всего подобные программы устанавливать на «чистую» систему, так легче будет контролировать добавление программ в «белый» список. Плюс ко всему поведенческие программы не всегда могут остановить проникновение, и для того чтобы вылечить или найти зараженные файлы, все равно необходимо использовать антивирус, поэтому такие средства следует относить скорее к вспомогательным (подстраховочным), основной их задачей остается недопущение эпидемий, поскольку они могут блокировать массовые заражения. Для основной защиты по-прежнему необходимо использовать связку – межсетевой экран + антивирус.

Часовой по имени Scotty

Начну с программы, которой пользуюсь уже более двух лет. WinPatrol (http://www.winpatrol.com) текущая версия 9.1, статус freeware, поддерживаются Windows 95, 98, ME, 2000, NT и XP, размер – 0.98 Кб.

WinPatrol делает снимок критических системных ресурсов и предупреждает в случае любых изменений. После запуска в трее возле часов появится значок с изображением собаки, названной Scotty the Windows Watch Dog. Вот теперь этот самый Scotty WWD безустанно и будет следить за всем, что происходит на доверенном ему компьютере, «разнюхает» все о саморазмножающиеся вирусах, Adware, Spyware, троянах, пробравшихся на ваш компьютер и, конечно, Cookies, которые будут поступать к вам постоянно. Scotty позволяет подтверждать установку любых новых программ на компьютере. Вызвав программу, получим окно программы с несколькими вкладками (рис. 1):

• Startup Programs – позволяет просмотреть все запущенные приложения, остановить или вообще удалить из автозапуска ненужные, получить информацию о каждом (имя, версия программы, ключ реестра и пр.) или нажатием кнопки «Full Report» получить отчет о всех программах за один раз. При первом запуске Scotty просматривает список автоматически запускающихся программ и при его изменении предупреждает об этом пользователя.
• IE Helpers – контроль за Browser Helper Objects, т.е. информация об имеющихся объектах, запрос на установку новых объектов, удаление подозрительных объектов. Надо сказать, что Browser Helper Objects запускаются каждый раз вместе с Internet Explorer (который стараниями Microsoft является неотделимой частью систему), в том числе и при открытии папок на локальном компьютере. Поэтому при их помощи можно без проблем следить за пользователем, что и применяется в программах типа SpyWare.
• Scheduled Task Monitoring – отображение запланированных задач, контроль над добавлением новых и получение дополнительной информации о планируемых работах
• Services – отключить или временно остановить запущенные сервисы и получение дополнительной информации о них. Чтобы не выискивать подозрительные программы в большом списке, можно включить пункт «List non-Microsoft services only», убрав таким образом системные.
• View Active Tasks – получение информации о запущенных на данный момент программах и задачах, уничтожение и приостановка ненужных и подозрительных. Также при помощи этого пункта можно разобраться в работе запущенной системы, т.е. узнать, для чего предназначена та или иная программа.
• Cookies – информирование о появлении новых Cookies, отклонение, управление и просмотр информации записанной в Cookies для принятия решения. Можно также составить правило фильтрования для Cookies, которые всегда должны удаляться (Cookies with Nuts).
• Options – установка опций самой программы. Здесь же устанавливается контроль за подменой домашней страницы в веб-браузере, реакция на изменение файла hosts или его полная блокировка, выведение полного отчета по системе, ведение истории изменений.
• File Types – позволяет просматривать, контролировать и восстанавливать измененную ассоциацию приложений с расширениями файлов.
• PLUS – зарегистрировавшись, вы получаете доступ к сетевой базе данных программ, цель которой помочь пользователям разобраться в списке незнакомых названий, ведь надпись servise.exe в таблице процессов большинству ничего не скажет. На момент написания статьи регистрация была бесплатной.

Менеджер процессов AnVir Task Manager

Первое, что приходит в голову после знакомства с менеджером процессов AnVir Task Manager (http://anvir.com/anvirrus.exe), что это не серьезно. Виной является небольшой размер программы, чуть меньше 380 Кб. А зря. Несмотря на такой маленький размер, программа помогает:

• получить полную информацию о запущенных процессах (путь к файлу, описание, время работы, родительский процесс, командная строка, использование процессора, памяти, список используемых dll, файлов, драйверов, потоков, окон и пр.);
• вылечить зараженный компьютер от вирусов, spyware и резидентных вирусов-троянов;
• управлять приложениями, запускающимися при старте Windows, с возможностью отложенного (через 1 минуту) запуска и блокировки добавления новых программ (рис. 2).

При помощи AnVir Task Manager возможно остановить любой процесс, изменить приоритет, добавить в автозагрузку (рис. 3).

Антивирусная база содержит только наиболее распространенные вирусы, все запускаемые программы и записи реестра автоматически проверяются на наличие вирусов. Кроме всего прочего, в трее отображаются иконки загрузки процессора и диска, а из консоли управления можно быстро получить доступ к основным системным утилитам.

Перехват системных вызовов с Safe’n’Sec

Российская компания StarForce (http://www.star-force.ru) уже давно известна своим одноименным механизмом защиты дисков от нелегального копирования. Новая разработка Safe’n’Sec, представленная в ноябре прошлого года, практически сразу получила признание и была названа журналом PC Magazine/RE антивирусом месяца. При этом Safe’n’Sec не относится к антивирусам, а принадлежит к классу систем проактивной защиты, которые анализируют подозрительное поведение пользователя или программы. Для малых и средних предприятий, а также индивидуального использования предназначена версия Personal. В корпоративной версии Safe’n’Sec Business имеется административная консоль, которая позволяет системному администратору дистанционно инсталлировать и настраивать программу на компьютерах пользователей.

Версия 1.1, актуальная на момент написания статьи, доступна в двух вариантах – усеченная Safe’n’Sec ver. 1.1 и полная Safe’n’Sec ver. 1.1 + antivirus. Последняя, как понятно из названия, включает возможность антивирусной проверки. Основу продукта составляет модуль Intelligent activity control, позволяющий обнаруживать комбинированные атаки, предотвратить попытки внести изменения в системный реестр или состояние сервисов операционной системы, открыть доступ к регистрационным данным пользователя и пр. При этом механизм принятия решения Safe’n’Sec действует на основе правил, учитывающих все возможные последовательности действий, классифицируемых как вредоносные. Защита всех данных на компьютере пользователя осуществляется в соответствии с политикой контроля активности, определяющую, какие действия и их последовательность нужно считать вредоносными. На данный момент имеются три политики – жесткая, строгая и доверительная. После обнаружения подозрительного приложения Safe’n’Sec самостоятельно принимает решение об его вредоносности и уведомляет пользователя, который должен определить, что делать с таким приложением (разрешить или заблокировать) (рис. 4).

Причем для упрощения принятия решения доступна история активности, по которой он может подробно изучить последовательность действий, выполненных приложением. Дополнительно из консоли можно получить доступ к списку запрещенных и доверенных приложений, который можно здесь же отредактировать. Для тестирования работоспособности вместе с программой поставляется утилита snstest.exe, которая имитирует занесение данных в системный реестр, попытку записи и удаления из системного каталога.

Всесторонний контроль с RegRun

RegRun Security Suite (http://www.greatis.com) работает со всеми версиями Windows. Еще один комплект средств для защиты компьютера против вирусов или троянцев, spyware и adware. Он доступен в трех основных вариантах: Standart (для обычных пользователей, обеспечивает легкое управление и безопасность), Professional (имеет дополнительные возможности по работе с системным реестром, позволят быстро оптимизировать системные параметры и обеспечить надежную защиту), и самые большие возможности имеет Gold, предназначенная для профессионалов. По ссылке http://www.greatis.com/security/rus.exe доступен русификатор программы, к тому же на сайте http://www.ruhelp.narod.ru имеется неофициальный перевод файла помощи, облегчающий знакомство с программой.

После запуска RegRun активизируется защита, определяемая уровнем безопасности – от низкого до ультравысокого. В Центре Управления RegRun настраиваются параметры работы основных модулей (рис. 5). Например, «WATCH DOG» обеспечивает контроль за автозагрузкой в течение работы, он может быть настроен на проверку конфигурации автозагрузки при старте и выключении Windows либо через заданные промежутки времени. Если при проверке обнаруживаются изменения, пользователь будет извещен об этом, и дополнительно запустится утилита Start Control, при помощи которой можно получить детальную информацию об автоматически запускаемых программах.

Одной из самых полезных функций является File Protection, защищающая компьютер от вирусов, троянов и работающих со сбоями программ. Первоначально создается список файлов, состояние которых необходимо контролировать. Для последующего восстановления они копируются в хранилище, которое находится в «Мои документыRegRun». Правда, само хранилище почему-то программа никак не защищает и на подмену файлов никак не реагирует.

При обнаружении модификации защищаемых файлов будет выведено предупреждение, с указанием размера и даты создания обоих файлов. Теперь этот файл можно копировать, переименовать, удалить, открыть или просканировать антивирусной программой. Для поиска вирусов, не известных антивирусным программам, RegRun открывает и контролирует множество программ-«приманок», если обнаруживается изменение любого из этих файлов, RegRun сообщит о присутствии вируса. Для Windows такой приманкой является файл winbait.exe, автозапуск которой заносится в реестр и сравнивается с winbait.org, кроме того, предусмотрена возможность добавления своего подконтрольного файла. RegRun имеет базу данных приложений, которая содержит описание наиболее часто встречающихся программ, помогающую пользователю определить принадлежность к одной из четырех групп: необходимые, бесполезные, опасные и по вашему выбору. RegRun проверяет присутствие любых потенциально опасных программ и информирует пользователя о них, кроме того, он совместим со всеми известными антивирусами, и Антивирус Координатор может быстро проверить файлы, помещенные в автозагрузку. Дополнительно детектор подстановки сравнивает реальный путь к исполняемому файлу с загруженным. Например, если процесс с именем explorer.exe запускается не из папки c:windowssystem, а из другого места, то пользователь будет оповещен. Трассировщик системного реестра Registry Tracer, который имеется в версиях Professional или Gold, позволяет указать список ключей реестра, при попытке изменения которых RegRun выдаст предупреждающее сообщение.

Контроль целостности с Xintegrity

Немного другим путем пошли разработчики Xintegrity (http://www.xintegrity.com). Основная задача которой – контроль целостности и обнаружение любого даже самого незначительного изменения файлов. Кроме контроля содержания файлов, утилита обнаруживает изменения в структуре каталога, включая альтернативные потоки данных (Alternate Data Streams), изменения параметров доступа к файлам, регистрационных данных и сервисах. Для этого первоначально создается база данных, содержащая информацию о контролируемых приложениях. Интересно, что разработчики учли возможность скрытого применения утилиты, и можно задать любое название, расширение и месторасположение баз. Поэтому, назвав файл как-то буднично, например, kursovik.rtf или song.mp3 и положив в группу подобных файлов, можно ее скрыть. При создании базы возможны три варианта: в нее заносятся только контрольные суммы файлов, делается резервная копия всех данных, и резервные копии дополнительно шифруются (256 бит AES). В последних двух случаях, кроме контроля, позволяют восстанавливать измененные файлы. В качестве контрольной суммы можно использовать несколько вариантов – от 128-разрядной хеш-функции MD5 до AES с 256-разрядной длиной ключа. При помощи Xintegrity можно проверять целостность файлов по требованию или запустить ее в фоновом режиме, тогда при обнаружении изменения пользователь будет сразу же уведомлен. Когда Xintegrity обнаружит такой измененный файл, пользователю будет выдана подробная информация о том, как и когда файл был изменен, и при определенных опциях создания базы будет предложено заменить его резервной копией. Например, на рис. 7 выведено различие контролируемого файла и этого же файла, зараженного вирусом Win32.HLLP.Underscore.36864.

В целях безопасности при открытии базы Xintegrity автоматически проверяет как себя, так и все зарегистрированные базы на предмет целостности. При создании базы данных в нее можно занести все файлы, лежащие в определенном каталоге, либо при помощи набора фильтров отобрать файлы, удовлетворяющие определенным критериям (размер, время модификации или создания, по типу, содержимому, атрибутам и функциональным возможностям). Имеется пункт, включающий в себя все вышеперечисленное, а также поддерживается Drag’and’Drop и вставка файла с буфера обмена. Файлы, расположенные на дисках с файловой системой FAT32, NTFS, и сетевые папки могут быть перечислены в одной базе данных. Как видите, можно задать практически любые условия. Поэтому можно создать несколько баз, в одну собрать исполняемые и системные файлы, в другую – сетевые ресурсы, к которым имеете доступ, в третью – ресурсы, способные работать в сети. И для каждой задать свой режим проверки.

Заключение

Существующие на сегодняшний день решения в области защиты информации эффективны в борьбе с уже известными угрозами и уязвимостями. Время реакции антивирусных компаний после обнаружения неизвестного вируса можно назвать медленным и достаточным для поражения тысяч компьютеров. Но тенденции позволяют говорить о том, что нас ждет появление новых методов распространения угроз, с еще большей скоростью размножения. Новые угрозы требуют нового подхода. В статье описаны только самостоятельные приложения. Между тем производители уже встраивают подобные инструменты в свои утилиты. Например, Tiny Firewall (http://www.tinysoftware.com) содержит Host Security Engine (HSE), по принципу работы несколько напоминающий проактивные антивирусы, а при помощи Track’n Reverse позволяет в случае обнаружения зловредной утилиты вернуть систему в исходное состояние. Или продукт компании Aladdin (http://www.eAladdin.com) eSafe (http://www.esafe.com) использует, кроме традиционных средств, и проактивный антивирус (Proactive Security Engine). По мнению многих аналитиков, ближайшее время пройдет под знаком проактивной защиты.

Проактивная защита

Проактивные технологии – совокупность технологий и методов, используемых в антивирусном программном обеспечении , основной целью которых, в отличие от реактивных (сигнатурных) технологий , является предотвращение заражения системы пользователя, а не поиск уже известного вредоносного программного обеспечения в системе.

История развития проактивных технологий антивирусной защиты

Проактивные технологии начали развиваться практически одновременно с классическими (сигнатурными) технологиями. Однако, первые реализации проактивных технологий антивирусной защиты требовали высокий уровень квалификации пользователя, т.е. не были рассчитаны на массовое использование простыми пользователями персональных компьютеров. Спустя десятилетие антивирусной индустрии стало очевидно, что сигнатурные методы обнаружения уже не могут обеспечить эффективную защиту пользователей. Этот факт и подтолкнул к возрождению проактивных технологий.

Технологии проактивной защиты

Технология эвристического анализа позволяет на основе анализа кода выполняемого приложения, скрипта или макроса обнаружить участки кода, отвечающие за вредоносную активность.
Эффективность данной технологии не является высокой, что обусловлено большим количеством ложных срабатываний при повышении чувствительности анализатора, а также большим набором техник, используемых авторами вредоносного ПО для обхода эвристического компонента антивирусного ПО .

Технология эмуляции позволяет запускать приложение в среде эмуляции, эмулируя поведение ОС или центрального процессора. При выполнении приложения в режиме эмуляции приложение не сможет нанести вреда системе пользователя, а вредоносное действие будет детектировано эмулятором.
Несмотря на кажущуюся эффективность данного подхода, он также не лишен недостатков – эмуляция занимает слишком много времени и ресурсов компьютера пользователя, что негативно сказывается на быстродействии при выполнении повседневных операций, также, современные вредоносные программы способны обнаруживать выполнение в эмулированной среде и прекращать свое выполнение в ней.

• Анализ поведения

Технология анализа поведения основывается на перехвате всех важных системных функций или установке т.н. мини-фильтров, что позволяет отслеживать всю активность в системе пользователя. Технология поведенческого анализа позволяет оценивать не только единичное действие, но и цепочку действий, что многократно повышает эффективность противодействия вирусным угрозам. Также, поведенческий анализ является технологической основой для целого класса программ – поведенческих блокираторов (HIPS – Host-based Intrusion Systems).

Технология Песочницы работает по принципу ограничения активности потенциально вредоносных приложений таким образом, чтобы они не могли нанести вреда системе пользователя.
Ограничение активности достигается за счет выполнения неизвестных приложений в ограниченной среде – собственно песочнице, откуда приложение не имеет прав доступа к критическим системным файлам, веткам реестра и другой важной информации. Технология ограничения привилегий выполнения является эффективной технологией противодействия современным угрозам, но, следует понимать, что пользователь должен обладать знаниями, необходимыми для правильной оценки неизвестного приложения.

• Виртуализация рабочего окружения

Технология виртуализации рабочего окружения работает с помощью системного драйвера, который перехватывает все запросы на запись на жесткий диск и вместо выполнения записи на реальный жесткий диск выполняет запись в специальную дисковую область – буфер. Таким образом, даже в том случае, если пользователь запустит вредоносное программное обеспечение, оно проживет не далее чем до очистки буфера, которая по умолчанию выполняется при выключении компьютера.
Однако, следует понимать, что технология виртуализации рабочего окружения не сможет защитить от вредоносных программ, основной целью которых является кража конфиденциальной информации, т.к. доступ на чтение к жесткому диску не запрещен.

Применение проактивных технологий в настоящее время

В настоящее время проактивные технологии являются важным и неотъемлемым компонентом антивирусного программного обеспечения. Более того, как правило, в антивирусных продуктах используется сочетание сразу нескольких технологий проактивной защиты, например

Что такое проактивная система безопасности?

Часто в текстах про системы безопасности используются термины «проактивная» или «реактивная» система. Что они обозначают и чем они отличаются?

Реактивная система реагирует на уже зарегистрированную угрозу. Примером такой системы может быть датчик движения: при обнаружении движения уже внутри здания сигнал тревоги поступает на пульт охраны, и команда выезжает для проверки.

Проактивная система безопаности направлена на предотвращение угрозы безопасности. Например, система контроля доступа не позволит проникнуть в помещение без специального разрешения.

В чем разница между проактивной и реактивной защитой?

Любые проблемы с безопасностью, будь они на предприятии или в частном доме, лучше предотвратить, чем испытать их последствия. Поэтому необходимы системы безопасности, которые не просто показывают видео уже совершенного преступления, а помогают его избежать.

Сегодня рынок наводнён различными системами сигнализации, которые дают ложную тревогу почти в 97% случаев. Это тратит ресурсы охраны и полиции: только в США каждый год на обработку ложных вызовов тратится более 2 миллиардов долларов.

Ассоциация по уменьшению количества ложных тревог (FARA False Alarm Reduction Association) считает видеоподтверждение эффективным способом снижения количества ложных тревог и позволяет полиции выезжать только тогда, когда действительно совершается преступление. Для конечных пользователей систем сигнализации самым важным фактором выбора является как раз баланс между количеством ложных тревог и вероятностью обнаружения настоящей угрозы. Инвестиции в видеоаналитику как раз позволяют уменьшить первое и увеличить второе.

Видеоаналитика идеально подходит для защиты, так как предлагает и сигнал тревоги, и его видеоподтверждение. Основным преимуществом этой технологии является возможность сразу определить, является ли тревога ложной просто взглянув на экран. Это позволяет экономить деньги на количестве персонала охраны, так как то же количество людей может просматривать большее количество точек наблюдения.

Видеоаналитика является идеальным решением для проактивной защиты. Кроме очевидных возможностей видеосистем для предоставления доказательств в суде, аналитика позволяет вовремя реагировать на событие и даже ловить преступников на месте преступления.

Конкурируя с традиционным ПО по информационной безопасности, на первый план выходят новые проактивные технологии, одно из направлений в которых составляют решения для предотвращения вторжений в систему - Host Intrusion Prevention System. В данной статье подобные технологии рассматриваются на примере российской разработки Safe’n’Sec от StarForce Technologies.

Проблема качественной и надежной защиты корпоративных сетей от взлома и кражи хранящейся в них информации на сегодня составляет головную боль руководителей предприятий и системных администраторов. Крупные и мелкие игроки на рынке информационной безопасности предлагают передовые разработки и свежие решения. Старые версии обновляются, дополняются, улучшаются.

В настоящее время, успешно конкурируя с традиционным ПО по информационной безопасности, на первый план выходят новые проактивные технологии, одно из направлений в которых составляют решения для предотвращения вторжений в систему (Host Intrusion Prevention System - HIPS).

Программы класса Host Intrusion Prevention System обладают рядом существенных преимуществ, по сути это поведенческие анализаторы, которые по определенным признакам, характерным для вредоносных объектов, предотвращают атаку и нежелательные действия в системе. Об этом классе программ стоит поговорить подробнее.

Современный рынок средств защиты персональных компьютеров и корпоративных сетей от различных видов внешних угроз представлен 4-мя основными направлениями:

• антивирусные программы, работающие как по сигнатурному принципу (выявление вредоносного кода), так и на основе эвристического анализатора (анализ кода по нескольким заданным показателям и заключение об опасности/безвредности приложения);
• корпоративные межсетевые экраны (firewall), которые часто используются совместно с Network Intrusion Detection, контролирующей потоки информации в компьютерной сети;
• персональные firewall, анализирующие трафик на конкретном компьютере;
• программы Host Intrusion Prevention, основанные на системе проактивной защиты ПК от любых видов угроз, базирующейся на анализе поведения компонентов информационной системы.

Все эти направления эффективно борются с определенными видами угроз и вместе представляют единый комплекс надежной защиты от различных типов вторжения. Однако ни одна технология не даст Вам 100% гарантию безопасности. Проактивные технологии Host Intrusion Prevention удачно дополняет вышеперечисленные средства защиты, делая защиту компьютера более универсальной и комплексной.

Например, Safe’n’Sec, разработка российской компании StarForce Technologies имеет целый ряд преимуществ, восполняющих пробелы традиционных систем защиты ПК. Программный продукт Safe’n’Sec предлагает проактивную защиту компьютерных сетей в том числе и от ранее неизвестных вирусов, отслеживающую и блокирующую любые несанкционированные действия, прежде чем они нанесут какой-либо вред.

Сетевые файерволы контролируют трафик по периметру корпоративной сети, не анализируя информационные потоки на входе в каждый конкретный компьютер. Персональные файерволы не контролируют активность внутри самого компьютера. Проактивная система защиты Safe’n’Sec эффективно контролирует весь спектр активности как по периметру, так и внутри корпоративных сетей и персональных компьютеров.

Сейчас продуктовая линейка Safe’n’Sec представлена версиями Personal, Business для защиты корпоративных информационных сетей малого и среднего бизнеса. Персональная версия Personal Safe’n’Sec - это надежная защита ПК от неизвестных вирусов, программ-шпионов, троянских программ, хакерских атак, взлома, кражи информации, ошибочных действий пользователя. Как заявляет производитель, программа бережно относится к ресурсам компьютера, комфортная работа гарантирована даже на процессорах Intel 300 МГц. Кроме того, Safe’n’Sec на 100% совместим с большинством традиционного программ по безопасности (Agnitum Outpost Firewall, Антивирус Касперского, антивирус DrWeb и др.) Эффективность проактивной защиты Safe’n’Sec постоянна и не снижается при появлении новых видов угроз, поскольку не опирается на анализ кода вредоносных приложений и, следовательно, практически не зависит от обновлений.

StarForce Safe’n’Sec 1.1 - процесс сканирования жесткого диска

StarForce Safe’n’Sec 1.1 - настройки программы

Business Safe’n’Sec - программный продукт, основанный на системе проактивной защиты и предназначенный для информационных сетей малых и средних предприятий с количеством рабочих станций не более 1000. Business Safe’n’Sec способен эффективно противостоять вирусным эпидемиям, хакерским атакам, шпионским программам и попыткам несанкционированного доступа в систему на всех входящих в сеть ПК.

Консоль централизованного управления системой Safe’n’Sec Admin Explorer не требует инсталляции и имеет знакомый всем пользователям Windows XP привычный интерфейс управления. В программе предусмотрена возможность централизованной и удаленной установки, изменения свойств клиентских станций, централизованного и удаленного выполнения сервисных задач. Это позволяет в несколько раз снизить временные затраты на развертывание безопасности предприятия. Business Safe"n"Sec позволяет существенно экономить бюджет компании-заказчика и людские ресурсы без ущерба общему уровню информационной безопасности предприятия. В бизнес-версии введена новая система лицензирования программы, в отличие от версии для индивидуальных пользователей, в которой используется технология ProActive, в многопользовательском продукте реализован метод введения серийных ключей.

По оценке самой StarForce ее продукт Business Safe’n’Sec позволяет в 8-10 раз сократить время обработки сигнала тревоги и устранения угрозы, на 15-45% эко6номить материальные и человеческие ресурсы на развертывание и поддержание системы безопасности и сэкономить от $500 до $5000 в год на одну рабочую станцию в зависимости от направления бизнеса!

В планах StarForce уже в 2006 году выпустить новый программный продукт Enterprise Safe’n’Sec, предназначенный для защиты корпоративных сетей крупных предприятий, общее количество машин в которых превышает одну тысячу. Пользователям версии Enterprise станет доступен широкий спектр услуг сервисных центров: управление правами пользователя, настройка групповых политик, управление задачами по расписанию, централизованная система обновлений, рассылка e-mail-уведомлений о критических событиях в сети, отложенное выполнение задач на off-line станциях.

Проактивная система защиты Host Intrusion Prevention System, такая как Safe’n’Sec является весомым и эффективным дополнением ко всем стандартным видам защиты ПК, образуя комплексный заслон на пути различных типов угроз. Сочетание поведенческих и сигнатурных технологий позволяет контролировать широкий спектр событий, связанных с предотвращением вторжений.

Подводя итоги, можно рекомендовать продукты такого класса в качестве дополнения к существующей системе безопасности, как персонального компьютера, так и корпоративной сети предприятия. Стоит, однако, признать, что подобные технологии в той или иной степени, не так давно стали интегрироваться в персональные антивирусные продукты и продукты для рабочих станций ведущих мировых производителей, таких как:

• Symantec (Norton AntiVirus, Norton Internet Security 2005 и выше (только worm protection), Symantec Client Security 2.0);
• McAfee (McAfee VirusScan 9.0 и выше, McAfee Internet Security Suite 7.0 и выше, VirusScan Enterprise 8.0i);
• Trend Micro (Trend Micro PC-cillin Internet Security 2005);
• Panda Software (все продукты с технологией TruPrevent);
• Лаборатория Касперского (Антивирус Personal и Personal Pro 5.0 c MP2 и выше).

Конечно, функционально встроенные в антивирусные продукты HID пока не могут сравниться с отдельными решениями, но все же частично решают задачу, но это уже другая тема. Если же Вы используете какой-то другой «чистый» антивирус, не вошедший в список выше, то такое решение как Safe’n’Sec Вам просто необходимо. В любом случае, продукты Host Intrusion Prevention System надо использовать, ведь 100% гарантии Вам не даст ни одни отдельный продукт и дополнительная проактивная защита в свете все увеличивающегося потока заразы никогда не будет лишней.

Скачать бесплатную пробную 30-ти дневную версию Safe"n"Sec 1.1 вы можете , Safe"n"Sec 1.1 + Антивирус (движок и базы BitDefender)– .

Основатель проекта сайт

Благодарю компанию StarForce Technologies за предоставленную информацию о продуктах Safe’n’Sec.

Олег Гудилин

Сегодня вирусные атаки прочно удерживают пальму первенства во всех хит-парадах угроз ИТ-безопасности. Эти вредители наносят прямой финансовый ущерб, а также служат отправной точкой для реализации многих других опасных угроз, среди которых кража конфиденциальной информации и несанкционированный доступ к данным. В свою очередь антивирусная индустрия предлагает несколько новых подходов к защите ИТ-инфраструктуры: проактивные технологии, форсированный выпуск критически важных вакцин, серьезное увеличение частоты обновления антивирусных баз и т.д. Данный материал открывает цикл статей, которые призваны помочь читателю сориентироваться в новых технологиях антивирусных компаний и более или менее объективно оценить их эффективность. Первая статья цикла посвящена проактивным технологиям.

Характерной чертой сегодняшнего дня является не только огромный ущерб, наносимый вирусными атаками, но и непрекращающийся рост числа самих вредоносных кодов. Отметим, что в 2005 году рост популяции компьютерных вредителей приобрел просто взрывной характер. Например, по данным "Лаборатории Касперского", количество ежемесячно детектируемых вирусов выросло на конец 2005 года в среднем до 6368 экземпляров, а по итогам года рост составил 117%, в то время как в прошлом году рост составил только 93%.

Таким образом, налицо изменение характера угрозы: вредителей стало намного больше, а сами они стали намного опаснее. Логично ожидать ответной реакции и со стороны антивирусной индустрии, которая действительно предложила ряд новых подходов к защите от вирусных атак. Среди них проактивные технологии, повышение скорости реакции на появление особо опасных вредителей, способных вызвать эпидемию, а также просто увеличение частоты обновления антивирусных баз. В данной статье будет подробно рассмотрен проактивный подход, часто продвигаемый поставщиками в качестве панацеи от всех существующих и вообще возможных вирусов.

Введение в проактивные технологии

В современных антивирусных продуктах используются два основных подхода к обнаружению вредителей. Это сигнатурный и проактивный / эвристический. Первый метод достаточно прост: проверяемые на компьютере пользователя объекты сравниваются с шаблонами (сигнатурами) известных вирусов. Эта технология предполагает непрерывное отслеживание новых экземпляров вредителей, их описание и включение в базу сигнатур. Таким образом, у антивирусной компании должна эффективно работать служба обнаружения и анализа вредоносных кодов (то есть, антивирусная лаборатория). Главные критерии эффективности сигнатурного метода - это скорость реакции на новые угрозы, частота обновлений, максимальное число обнаруженных угроз.

Очевидно, что у сигнатурного метода есть ряд недостатков. Самый главный из них - задержка при реакции на новые угрозы. Сигнатуры всегда появляются только через некоторое время после появления вируса, а современные вредоносные коды способны за очень короткое время заразить миллионы компьютеров.

В связи с этим все большее распространение получают проактивные / эвристические методы обнаружения вирусов. Этот подход не требует выпуска сигнатур. Антивирусная программа анализирует код проверяемого объекта и / или поведение запущенного приложения, а потом на основе заложенных в ней правил принимает решение о том, является ли данное программное обеспечение вредоносным.

В принципе, использование этой технологии позволяет обнаруживать еще неизвестные вредоносные программы. Поэтому многие производители антивирусных средств поспешили заявить о проактивных методах, как о панацее от нарастающей волны новых вредителей. Тем не менее, это не так. Чтобы оценить эффективность применения проактивного подхода и возможность его использования отдельно от сигнатурных методов, следует подробнее изучить принцип работы проактивных технологий.

Существует несколько подходов к проактивной защите. Рассмотрим два самых популярных: эвристические анализаторы и поведенческие блокираторы.

Эвристический анализ

Эвристический анализатор (эвристик) - это программа, которая анализирует код проверяемого объекта и по косвенным признакам определяет, является ли объект вредоносным. Причем в отличие от сигнатурного метода эвристик может детектировать как известные, так и неизвестные вирусы (то есть те, которые были созданы после эвристика).

Работа анализатора, как правило, начинается с поиска в коде подозрительных признаков (команд), характерных для вредоносных программ. Этот метод называется статичным анализом. Например, многие вредоносные коды ищут исполняемые программы, открывают найденные файлы и изменяют их. Эвристик просматривает код приложения и, встретив подозрительную команду, увеличивает некий "счетчик подозрительности" для данного приложения. Если после просмотра всего кода значение счетчика превышает заданное пороговое значение, то объект признается подозрительным.

Преимуществом этого метода является простота реализации и высокая скорость работы, однако уровень обнаружения новых вредоносных кодов остается довольно низким, а вероятность ложных срабатываний высокой.

Поэтому в современных антивирусах статический анализ используются в сочетании с динамическим. Идея такого комбинированного подхода состоит в том, чтобы до того как приложение будет запущено на компьютере пользователя, эмулировать его запуск в безопасном виртуальном окружении, которое называется также буфером эмуляции, или "песочницей". В маркетинговых материалах поставщики используют еще один термин - "эмуляция виртуального компьютера в компьютере".

Итак, динамический эвристический анализатор читает часть кода приложения в буфер эмуляции антивируса и с помощью специальных "трюков" эмулирует его исполнение. Если в процессе этого "псевдоисполнения" обнаруживаются какие-либо подозрительные действия, объект признается вредоносным и его запуск на компьютере пользователя блокируется.

В отличие от статического метода, динамический более требователен к ресурсам ПК, так как для анализа приходится использовать безопасное виртуальное пространство, а запуск приложения на компьютере пользователя откладывается на время анализа. Однако и уровень обнаружения вредителей у динамического метода значительно выше статического, а вероятность ложных срабатываний существенно меньше.

В заключение заметим, что первые эвристические анализаторы появились в антивирусных продуктах довольно давно и на сегодняшний день более или менее совершенные эвристики реализованы во всех антивирусных решениях.

Поведенческие блокираторы

Поведенческий блокиратор - это программа, которая анализирует поведение запущенного приложения и блокирует любые опасные действия. В отличие от эвристических анализаторов, где подозрительные действия отслеживаются в режиме эмуляции (динамический эвристик), поведенческие блокираторы работают в реальных условиях.

Принцип действия первых поведенческих блокираторов был прост. При обнаружении потенциально опасного действия задавался вопрос пользователю: разрешить или запретить это действие. Во многих случаях такой подход работал, но "подозрительные" действия производили и легитимные программы (вплоть до операционной системы). Поэтому если пользователь не обладал должной квалификацией, вопросы антивируса вызывали непонимание.

Поведенческие блокираторы нового поколения анализируют уже не отдельные действия, а последовательность операций. Другими словами, заключение об опасности того или иного приложения выносится на основе более сложного анализа. Таким образом, удается значительно сократить количество запросов к пользователю и повысить надежность детектирования.

Современные поведенческие блокираторы способны контролировать широкий спектр событий происходящих в системе. Это прежде всего контроль опасной активности (анализ поведения всех процессов, запущенных в системе, сохранение всех изменений, производимых в файловой системе и реестре). При выполнении некоторым приложением набора подозрительных действий выдаётся предупреждение пользователю об опасности данного процесса. Помимо этого блокиратор позволяет перехватить все возможности внедрения программного кода в чужие процессы. Вдобавок, блокиратор способен обнаружить руткиты, то есть программы, которые скрывают от пользователя работу вредоносного кода с файлами, папками и ключами реестра, а также прячут запущенные программы, системные службы, драйверы и сетевые соединения.

Особо стоит выделить такую функциональность поведенческих блокираторов, как контроль целостности приложений и системного реестра Microsoft Windows. В последнем случае блокиратор контролирует изменения ключей реестра и позволяет задавать правила доступа к ним для различных приложений. Все вместе это позволяет осуществить откат изменений после определения опасной активности в системе. Таким образом, можно восстанавливать систему даже после вредоносных действий неизвестных программ, вернув ее к незараженному состоянию.

В отличие от эвристиков, которые присутствуют практически во всех современных антивирусных программах, поведенческие блокираторы на данный момент реализованы далеко не везде. В качестве примера эффективного поведенческого блокиратора нового поколения можно привести модуль проактивной защиты (Proactive Defence Module), реализованный в продуктах "Лаборатории Касперского".

Данный модуль включает в себя все перечисленные выше возможности и, что особенно важно, хорошую систему информирования пользователя о том, в чем реально состоит опасность тех или иных подозрительных действий. Любой поведенческий блокиратор на определенном этапе требует вмешательства пользователя, что предполагает наличие у последнего определенной квалификации. На практике пользователь часто не обладает необходимыми знаниями, поэтому информационная поддержка - фактически поддержка принятия решений - является обязательным атрибутом современных антивирусных решений.

Таким образом, можно резюмировать: поведенческий блокиратор может предотвратить распространение как известного, так и неизвестного (написанного после создания блокиратора) вируса, что является неоспоримым преимуществом такого подхода к защите. Важным недостатком поведенческих блокираторов остается срабатывание на действия ряда легитимных программ. Вдобавок, для принятия окончательного решения о вредоносности приложения требуется вмешательство пользователя, что предполагает наличие у него достаточной квалификации.

Проактивная защита и бреши в программном обеспечении

В рекламных и маркетинговых материалах антивирусных поставщиков часто можно встретить заявления о том, что проактивная / эвристическая защита - это панацея от новых угроз, не требующая обновлений, а следовательно, всегда готовая к отражению атак еще даже не созданных вирусов. Более того, в брошюрах и листовках речь часто идет не просто о новых угрозах, эксплуатирующих известные бреши, а об угрозах класса "zero-day". Другими словами, разработчики утверждают, что их проактивные технологии способны остановить даже те вредоносные коды, которые используют еще никому не известные бреши в приложениях, то есть такие, для которых еще не выпущена соответствующая заплатка.

К сожалению, в таких рекламных материалах присутствует большая доля лукавства - или их авторы недостаточно хорошо понимают, о чем говорят. В частности, борьба с вредоносными кодами представлена как борьба между вирусописателями и автоматическими методами (проактивными / эвристическими). На самом же деле борьба идет между людьми: вирусописателями и антивирусными экспертами.

Выше уже были рассмотрены различные методы проактивной защиты: эвристики и поведенческие блокираторы. В их основе лежат "знания" о подозрительных действиях, которые обычно производят вредоносные программы. Но правда заключается в том, что эти "знания" (набор поведенческих правил) заложены в программу антивирусными экспертами, и получены эти "знания" путем анализа поведения уже известных вирусов. Таким образом, проактивные технологии бессильны против вредоносных кодов, использующих принципиально новые методы проникновения и заражения, появившиеся после момента создания правил. Это, собственно, и есть угрозы класса "zero-day". Кроме того, вирусописатели целенаправленно находят новые возможности обхода существующих в антивирусах поведенческих правил, что опять же значительно снижает эффективность проактивных методов.

Разработчики антивирусов просто вынуждены обновлять наборы поведенческих правил и "докручивать" свои эвристики, чтобы отреагировать на появление новых угроз. Несомненно, такое обновление происходит реже, чем обновление обычных сигнатур (шаблонов кода). Однако оно все равно происходит регулярно, а по мере роста числа новых угроз будет происходить все чаще и чаще. В итоге индустрия придет к тому же сигнатурному методу, только сигнатуры станут "поведенческими", а не шаблонами кода.

Скрывая от пользователей факт необходимости обновлений проактивной защиты, некоторые антивирусные поставщики, по сути, вводят в заблуждение как своих корпоративных и домашних клиентов, так и прессу. В результате в обществе создается не совсем верное представление о возможностях проактивной защиты.

Проактивные и сигнатурные методы

Несмотря на имеющиеся недостатки, проактивные методы действительно позволяют обнаруживать некоторые новые угрозы еще до выхода соответствующих сигнатур. Рассмотрим, например, реакцию антивирусов на червя Email-Worm.Win32.Nyxem.e (далее просто Nyxem).

Червь Nyxem (известный также как Blackmal, BlackWorm, MyWife, Kama Sutra, Grew и CME-24) попадает на компьютер при открытии вложения к письму, где помещены ссылки на сайты порнографической и эротической направленности, а также через файлы, расположенные в открытом сетевом доступе. В течение считанного времени вирус стирает информацию на жестком диске, поражая файлы в 11 различных форматах (включая Microsoft Word, Excel, PowerPoint, Access, Adobe Acrobat). При этом вся полезная информация замещается бессмысленным набором символов. Еще одной характерной особенностью Nyxem является его активизация третьего числа каждого месяца.

Исследовательская группа из Магдебургского университета (AV-Test.org ) провела независимую оценку скорости реакции антивирусных разработчиков на появление Nyxem. Выяснилось, что несколько антивирусных продуктов оказались способны обнаружить червя с помощью проактивных технологий, то есть еще до выпуска сигнатур: