Дневник megavtogal.com

МЕНЮ
  • Контакты
  • Статьи

Что такое проактивная защита в антивирусе

Обновлено: 15.01.2025

Тестируем проактивную защиту популярных антивирусов.

Проактивная защита занимает сегодня видное место в описании антивирусных продуктов всех известных производителей, которые позиционируют ее как средство защиты от новых и неизвестных угроз. Чтобы проверить насколько эффективен данный механизм мы провели небольшое тестирование популярных коммерческих продуктов.

В теории проактивная защита, основываясь на поведении запущенных программ, должна определять и пресекать потенциально опасные действия, такие как изменение файла hosts, добавление программы в автозагрузку, подмену системных файлов, маскировку под системные процессы и т.д. и т.п., или уведомлять пользователя, если действие нельзя однозначно трактовать как вредоносное.

Производители антивирусного ПО не устают повторять, что только проактивная защита, в сочетании с остальными компонентами антивируса, способна обеспечить полноценную защиту от современных угроз. Действительно, как показала эпидемия блокировщиков Windows, антивирусное ПО оказалось бессильно перед новым классом вредоносного ПО, которое не имело признаков "классического" вредоносного ПО и следовательно не обнаруживалось ни сигнатурным анализом, ни эвристиком. В данном случае основной удар должна принять на себя проактивная защита, если не предотвратив проникновение в систему, то хотя бы уведомив об этом пользователя и предложив ему запретить (или разрешить) дальнейшую активность программы.

Сегодня сложно найти продукт, в описании которого не было бы указано, что он использует эффективные технологии проактивной защиты, которые позволяют защитить пользователя лучше и эффективнее, чем какой либо иной продукт. Понятно, что в данных заявлениях больше маркетинга, чем технологий, однако если данный модуль есть, то он должен как-то работать.

Мы решили протестировать младшие продукты в линейках известных производителей, так как именно в них проактивная защита нужнее всего, так как без нее пользователь остается только с сигнатурным сканером против всего спектра интернет угроз, в то время как продукты более высокого уровня содержат множество фильтров, экранов и защит, которые могут эффективно препятствовать заражению. Не последнюю роль здесь играет и цена, делая младшие продукты наиболее привлекательными для потребителей.

Для тестирования мы использовали методику предложенную Agnitum, суть которой сводится к следующему: у продукта отключаются все сигнатурные сканеры и запускается образец вредоносного ПО, который остается один на один с проактивной защитой. Данная методика не идеальна и содержит ряд недостатков, самый существенный из которых, что модуль проактивной защиты используется в отрыве от остальных механизмов защиты. Однако получить определенное представление о работе данного механизма такой подход позволяет.

В тестировании приняли участие наиболее популярные и распространенные на российском рынке продукты, кроме Dr.Web и MSE, которые не позволяют отключить сигнатурный сканер отдельно от модуля проактивной защиты.

В качестве образца вредоносного ПО мы использовали сэмпл вируса P2P-Worm.Win32.Palevo.gidq, первое обнаружение которого специалистами Лаборатории Касперского датировано 26 декабря 2012 года, экземпляр достаточно свежий и в то же время относящийся к давно известно семейству вредоносного ПО.

proactive-protection-test-001.jpg

После запуска в системе зловред копирует собственное тело в папку профиля пользователя под именем etkrkf.exe, создает ключ в реестре для собственной автозагрузки и запускается, маскируясь под системный процесс svchost.exe. Как видим - вполне стандартный набор действий для вредоносного ПО, осталось проверить как на это будет реагировать проактивная защита.

Антивирус Касперского 2013. Результат: удовлетворительно.

Антивирус Касперского 2013 успешно распознал и удалил наш образец еще на стадии распаковки. Проактивная защита также определила вредоносную активность и даже попыталась удалить исходный файл, однако не смогла воспрепятствовать заражению. После включения всех компонентов защиты антивирус определил активное заражение и, с помощью специальной процедуры лечения, успешно его устранил.

Как рассматривать данный результат? С одной стороны заражение системы все-таки произошло, с другой - пользователь был уведомлен о попытке заражения и мог своевременно принять меры по дополнительной проверке системы. Тем более что в реальной ситуации в дело могут вступить и иные компоненты защиты. Поэтому оценка удовлетворительно, так как несмотря ни на что пользователь как минимум в курсе о происходящей в системе нездоровой активности.

ESET NOD32 Антивирус 6. Результат: плохо.

Шестая версия NOD32 также без труда определила и обезвредила вредоносный образец. Однако оставшись со зловредом один на один модуль проактивной защиты никак не отреагировал на процесс заражения системы. С лечением активного заражения антивирус справился хорошо, однако оставил созданные вирусом следы в реестре, что в ряде случаев может привести к некорректной работе системы и потребовать дополнительных процедур по ее восстановлению. Общая оценка: плохо, так как пользователь остался в неведении о потенциально опасной активности в его системе.

Norton AntiVirus. Результат: тест не пройден.

Norton AntiVirus на момент тестирования для данного вируса записей в базе сигнатур не имел, поэтому абсолютно никак не прореагировал на распаковку и запуск вредоносного сэмпла. Хотя заражения системы так и не произошло, запущенный вредоносный процесс не подвал никаких признаков активности, как и антивирус. Это происходило как при полностью включенной защите, так и при выключенной.

Несмотря на то, что антивирус препятствовал заражению системы, мы не засчитали данному продукту прохождение теста. Почему? Ответ прост: если блокировка активности вредоносного процесса произошла благодаря антивирусу, то пользователь должен получить уведомление об этом, как минимум запись в журнале. В нашем случае найти какую либо информацию о причастности данного антивируса к происходящему в системе мы не смогли. Остается только гадать что это было: работа антивируса, счастливое стечение обстоятельств, баг?

Есть еще очень неочевидный момент, если это все таки работа антивируса, то никто не мешает ему в следующий раз заблокировать вполне легальную программу или ее компонент. А если вспомнить, что антивирус относится к тому немногому числу программ, которые имеют доступ к коду исполняемому на уровне ядра, то становится понятно, что такое поведение может привести к самым разнообразным сбоям, вплоть до "синих окон смерти". А так как, в отличии от нашего случая, причинно следственная связь между сбоями и работой антивируса не очевидна, то пользователь или администратор может потратить очень много сил и времени для установления причин нестабильного поведения системы.

Поэтому наш результат: тест не пройден. Если антивирус проводит в системе какие либо действия, то он должен уведомить об этом пользователя, даже если продукт рассчитан на домохозяек. В этом случае достаточно записи в журнал: и домохозяйка спокойна, и специалист, при необходимости, без труда надет нужную информацию.

Trend Micro Titanium Antivirus Plus. Результат: тест не пройден.

Антивирус от Trend Micro нас сильно разочаровал. Не имея записей в сигнатурной базе продукт никак не препятствовал заражению и мы получили активное вредоносное ПО в системе при полностью рабочем антивирусе.

proactive-protection-test-002.jpg

Пожалуй мы последуем данному совету. А пока вполне закономерный результат: тест не пройден.

Outpost Antivirus Pro 8.0. Результат: тест не пройден.

Так как данная методика в свое время была предложена компанией Agnitum, то мы не могли не протестировать последнюю версию антивирусного продукта данного производителя. Тем более разработчики сами делают упор на проактивные технологии, которые должны обеспечить защиту от новых и ранее неизвестных угроз. Ну что же, посмотрим.

Как и в случае с Norton AntiVirus, данный продукт никак не отреагировал на распаковку и запуск образца вируса, однако препятствовал заражению. В итоге получил аналогичный результат: тест не пройден. Наше мнение: о всех своих действиях антивирус должен так или иначе уведомлять пользователя, иначе, если вдруг "молча" заблокирована легальная программа, какая разница между ним и вредоносным ПО?

Выводы.

Выводы сегодня не очень радостные: широко разрекламированная технология проактивной защиты в младших продуктах практически всех ведущих производителей антивирусного ПО оказалась сугубо маркетинговым ходом, а не рабочим и эффектным средством защиты. Отдельно стоит выделить только Лабораторию Касперского, продукт которой хоть как-то отреагировал и попытался воспрепятствовать нежелательной активности.

Проактивные методы антивирусной защиты

История компьютерных вирусов насчитывает уже более 25 лет. Неразрывно с вирусами развивались и средства противодействия вирусам - антивирусы. Исторически сложилось так, что лидерство на рынке антивирусных технологий заняли системы сигнатурного поиска, иначе называемые реактивными, имеющие целый ряд серьезных недостатков. На смену им приходят новые проактивные технологии такие как HIPS, Sandbox, VIPS и другие., к которых пойдет речь в этой статье.

Классические проактивные системы обнаружения вредоносных программ, несмотря на кажущуюся простоту реализации и надежность, имеют ряд существенных недостатков, а именно:

  • Слабая эффективность против угроз типа 0-day, так как эффективность напрямую связана с базой сигнатур вредоносного ПО, в которую внесены сигнатуры только известного, на данный момент, вредоносного ПО;
  • Необходимость постоянного обновления базы сигнатур вирусов для эффективной защиты от нового вредоносного ПО;
  • Для определения вредоносного ПО необходима процедура сканирования, которая отнимает достаточно много времени и системных ресурсов;

Данные причины и послужили толчком к развитию т.н. проактивных систем защиты, о которых и пойдет речь в данной статье.

Методы проактивной защиты

История развития проактивных методов защиты

Проактивные методы защиты появились почти одновременно с реактивными методами защиты, как и системы, применяющие данные методы. Но в силу недостаточной «дружественности» проактивных систем защиты по отношению к пользователю разработка подобных систем была прекращена, а методы преданы забвению. Относительно недавно проактивные методы защиты начали свое возрождение. На сегодняшний день методы проактивной защиты интегрируются в антивирусные программы, ранее использовавшие лишь реактивные системы защиты, а так же на основе проактивных методов создаются новые антивирусные системы, комбинирующие несколько методов проактивной защиты, и позволяющие эффективно противостоять новейшим угрозам.

На сегодняшний день наиболее известны и часто применимы следующие методы проактивной защиты:

  • Методы поведенческого анализа;
  • Методы ограничения выполнение операций;
  • Методы контроля целостности ПО и ОС.

Методы предотвращения вторжений (IPS-методы):

HIPS

HIPS - метод контроля активности, основанный на перехвате обращений к ядру ОС и блокировке выполнения потенциально опасных действий ПО, работающего в user-mode, выполняемых без ведома пользователя;

Принцип работы

HIPS-система с помощью собственного драйвера перехватывает все обращения ПО к ядру ОС. В случае попытки выполнения потенциально опасного действия со стороны ПО, HIPS-система блокирует выполнение данного действия и выдает запрос пользователю, который решает разрешить или запретить выполнение данного действия.


Преимущества систем, построенных на методе HIPS:

  • Низкое потребление системных ресурсов;
  • Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
  • Высокая эффективность противостояния угрозам 0-day;
  • Высокая эффективность противодействия руткитам, работающим в user-mode;

Недостатки систем, построенных на методе HIPS:

  • Низкая эффективность противодействия руткитам, работающим в kernel-mode;
  • Большое количество обращений к пользователю ПК;
  • Пользователь должен обладать знаниями о принципах функционирования ОС;
  • Невозможность противодействия активному заражению ПК;

VIPS

VIPS - метод контроля активности, основанный на мониторинге выполняемых операций ПО, установленном на ПК, и блокировке выполнения потенциально опасных действий ПО, выполняемых без ведома пользователя.

Принцип работы

VIPS-система при помощи технологий аппаратной виртуализации (Intel VT-x, AMD-V) запускает ОС в «виртуальной машине» и осуществляет контроль всех выполняемых операций. В случае попытки выполнения потенциально опасного действия со стороны ПО, VIPS-система блокирует выполнение данного действия и выдает запрос пользователю, который решает разрешить или запретить выполнение данного действия.


Преимущества систем, построенных на методе VIPS:

  • Низкое потребление системных ресурсов;
  • Высокая эффективность противостояния угрозам 0-day;
  • Высокая эффективность противодействия руткитам, работающим и в user-mode, и в kernel-mode;

Недостатки систем, построенных на методе VIPS:

  • Требовательны к аппаратному обеспечению ПК (для работы VIPS-системы необходима аппаратная поддержка процессором технологий аппаратной виртуализации (Intel VT-x или AMD-V);
  • Большое количество обращений к пользователю ПК;
  • Пользователь должен обладать знаниями о принципах функционирования ОС;
  • Невозможность противодействия активному заражению ПК;

Песочница (sandbox)

Песочница (sandbox) - метод, основанный на выполнении потенциально опасного ПО в ограниченной среде выполнения (т.н. «песочнице»), которая допускает контакт потенциально опасного ПО с ОС.

Принцип работы

Песочница разделяет установленное ПО на две категории: «Доверенные» и «Не доверенные». ПО, входящее в группу «Доверенные» выполняется без каких либо ограничений. ПО входящее в группу «Не доверенные» выполняется в специальной ограниченной среде выполнения (т.н. песочнице), данному ПО запрещено выполнение любых операций, которые могут привести к краху ОС.


Преимущества систем, построенных на методе песочница (sandbox):

  • Низкое потребление системных ресурсов;
  • Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
  • Малое количество обращений к пользователю ПК;

Недостатки систем, построенных на методе песочница (sandbox):

  • Пользователь должен обладать знаниями о принципах функционирования ОС;
  • Невозможность противодействия активному заражению ПК;

Методы поведенческого анализа

Поведенческий блокиратор (метод активного поведенческого анализа)

Поведенческий блокиратор (метод активного поведенческого анализа) - метод, основанный на методах IPS, анализа в реальном времени цепочек действий ПО и блокирования выполнение потенциально опасных алгоритмов в реальном времени.

Принцип работы

Различные проактивные системы защиты используют различные концепции реализации метода активного поведенческого анализа (т.к. метод активного поведенческого анализа может быть построен на базе любого IPS-метода). В общем и целом метод активного поведенческого анализа представляет собой IPS-метод с интеллектуальной системой принятия решений, анализирующей, не отдельные действия, а цепочки действий.

Преимущества систем, построенных на методе активного поведенческого анализа:

  • Меньшее количество обращений к пользователю, по сравнению с системами, построенными на IPS-методах;
  • Низкое потребление системных ресурсов;
  • Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);

Недостатки систем, построенных на методе активного поведенческого анализа:

  • Интеллектуальная система вынесения вердиктов может вызывать «ложные срабатывания» (блокирование работы не вредоносного ПО, из-за совершения операций, схожих с деятельностью вредоносного ПО);
  • Невозможность противодействия активному заражению ПК;

Метод эмуляции системных событий (метод пассивного поведенческого анализа)

Методы эмуляции системных событий (метод пассивного поведенческого анализа) - метод определения вредоносного ПО путем анализа действий и/или цепочки действий с помощью выполнения ПО в специальной ограниченной среде (т.н. эмуляторе кода), имитирующей реальное аппаратное обеспечение.

Принцип работы

ПО запускается в специальной ограниченной среде (т.н. эмуляторе кода), имитирующей реальное аппаратное обеспечение, где производится проверка на выполнение определенных действий и/или цепочки действий. Если обнаружена возможность выполнения потенциально опасного действия и/или цепочки действий, ПО помечается как вредоносное.

Преимущества систем, построенных на методе активного поведенческого анализа:

  • Не требуют специальных знаний или навыков со стороны пользователя;
  • Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
  • Отсутствие обращений к пользователю, за исключением случаев обнаружения вредоносного ПО;

Недостатки систем, построенных на методе активного поведенческого анализа:

  • В некоторых случаях анализ кода может занимать достаточно продолжительное время;
  • Широкое применение методик противодействия эмуляции кода вредоносного ПО, поэтому системы, использующие метод пассивного поведенческого анализа, могут противостоять не всем видам вредоносного ПО;
  • Невозможность противодействия активному заражению ПК.

Сканер целостности

Сканер целостности осуществляет постоянный мониторинг ядра ОС, на предмет выявления изменений, которые могло произвести вредоносное ПО. В случае обнаружения изменений внесенных вредоносным ПО об этом оповещается пользователь и по возможности производится откат действий, произведенных вредоносными ПО.

Принцип работы

Сканер целостности осуществляет мониторинг всех обращений к ядру ОС. В случае обнаружения попытки изменения критически важных параметров, операция блокируется.


Преимущества систем, построенных на методе «сканер целостности»:

  • Не требуют специальных знаний или навыков со стороны пользователя;
  • Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
  • Малое количество обращений к пользователю;

Недостатки систем, построенных на методе «сканер целостности»:

  • Для осуществление контроля целостности необходимо контролировать большое количество различных параметров, что может негативно сказаться на производительности ПК;
  • Слабая эффективность противодействия user-mode и kernel-mode руткитам;
  • Невозможность противодействия активному заражению ПК;

Метод предотвращения атак на переполнение буфера («эмулятор NX-бита»)

«Эмулятор NX-бита» осуществляет мониторинг содержимого оперативной памяти. В случае обнаружения попытки внесения критических изменений в содержимое оперативной памяти, действие блокируется.

Принцип работы

Как известно, суть атак на переполнение буфера заключается в преднамеренном переполнении оперативной памяти и как следствие вывода из строя ПК, на определенное время. «Эмулятор NX-бита» создает специальную зарезервированную область оперативной памяти, куда запись данных невозможна. В случае обнаружения попытки записи данных в зарезервированную область памяти, «эмулятор NX-бита» блокирует действие, таким образом, предотвращая вывод ПК из строя.

Преимущества систем, построенных на методе «эмулятора NX-бита»:

  • Не требуют специальных знаний или навыков со стороны пользователя;
  • Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
  • Полное отсутствие каких бы то ни было обращений к пользователю;

Недостатки систем, построенных на методе «эмулятора NX-бита»:

  • Системы, построенные на методе «эмулятора NX-бита», могут противостоять только против хакерских атак на переполнение буфера, любым другим видам угроз данные системы противостоять не могут;
  • Невозможность противодействия активному заражению ПК.

В данной статье рассматривались проактивные системы защиты. Была приведена краткая историческая справка по истории развития проактивных систем защиты, также были рассмотрены основные виды методов проактивной защиты:

  • Методы ограничения выполнения операций;
  • Методы поведенческого анализа;
  • Методы контроля целостности.

Подробно были рассмотрены принципы работы методов проактивных защиты, также были рассмотрены преимущества и недостатки проактивных методов защиты.

Подводя итог можно сделать вывод о том, что проактивные методы защиты являются высокоэффективным средством противодействия вредоносному ПО и могут составить весомую конкуренцию классическим, реактивным методам защиты, а в сочетании с ними могут многократно повысить эффективность антивирусных систем.

Проактивные технологии – совокупность технологий и методов, используемых в антивирусном программном обеспечении, основной целью которых, в отличие от реактивных (сигнатурных) технологий, является предотвращение заражения системы пользователя, а не поиск уже известного вредоносного программного обеспечения в системе.

История развития проактивных технологий антивирусной защиты

Проактивные технологии начали развиваться практически одновременно с классическими (сигнатурными) технологиями. Однако, первые реализации проактивных технологий антивирусной защиты требовали высокий уровень квалификации пользователя, т.е. не были рассчитаны на массовое использование простыми пользователями персональных компьютеров. Спустя десятилетие антивирусной индустрии стало очевидно, что сигнатурные методы обнаружения уже не могут обеспечить эффективную защиту пользователей. Этот факт и подтолкнул к возрождению проактивных технологий.

Технологии проактивной защиты

Технология эвристического анализа позволяет на основе анализа кода выполняемого приложения, скрипта или макроса обнаружить участки кода, отвечающие за вредоносную активность.
Эффективность данной технологии не является высокой, что обусловлено большим количеством ложных срабатываний при повышении чувствительности анализатора, а также большим набором техник, используемых авторами вредоносного ПО для обхода эвристического компонента антивирусного ПО.

Технология эмуляции позволяет запускать приложение в среде эмуляции, эмулируя поведение ОС или центрального процессора. При выполнении приложения в режиме эмуляции приложение не сможет нанести вреда системе пользователя, а вредоносное действие будет детектировано эмулятором.
Несмотря на кажущуюся эффективность данного подхода, он также не лишен недостатков – эмуляция занимает слишком много времени и ресурсов компьютера пользователя, что негативно сказывается на быстродействии при выполнении повседневных операций, также, современные вредоносные программы способны обнаруживать выполнение в эмулированной среде и прекращать свое выполнение в ней.

Технология анализа поведения основывается на перехвате всех важных системных функций или установке т.н. мини-фильтров, что позволяет отслеживать всю активность в системе пользователя. Технология поведенческого анализа позволяет оценивать не только единичное действие, но и цепочку действий, что многократно повышает эффективность противодействия вирусным угрозам. Также, поведенческий анализ является технологической основой для целого класса программ – поведенческих блокираторов (HIPS – Host-based Intrusion Systems).

Технология Песочницы работает по принципу ограничения активности потенциально вредоносных приложений таким образом, чтобы они не могли нанести вреда системе пользователя.
Ограничение активности достигается за счет выполнения неизвестных приложений в ограниченной среде – собственно песочнице, откуда приложение не имеет прав доступа к критическим системным файлам, веткам реестра и другой важной информации. Технология ограничения привилегий выполнения является эффективной технологией противодействия современным угрозам, но, следует понимать, что пользователь должен обладать знаниями, необходимыми для правильной оценки неизвестного приложения.

Технология виртуализации рабочего окружения работает с помощью системного драйвера, который перехватывает все запросы на запись на жесткий диск и вместо выполнения записи на реальный жесткий диск выполняет запись в специальную дисковую область – буфер. Таким образом, даже в том случае, если пользователь запустит вредоносное программное обеспечение, оно проживет не далее чем до очистки буфера, которая по умолчанию выполняется при выключении компьютера.
Однако, следует понимать, что технология виртуализации рабочего окружения не сможет защитить от вредоносных программ, основной целью которых является кража конфиденциальной информации, т.к. доступ на чтение к жесткому диску не запрещен.

Применение проактивных технологий в настоящее время

В настоящее время проактивные технологии являются важным и неотъемлемым компонентом антивирусного программного обеспечения. Более того, как правило, в антивирусных продуктах используется сочетание сразу нескольких технологий проактивной защиты, например эвристический анализ и эмуляция кода успешно сочетаются с поведенческим анализом, что позволяет многократно повысить эффективность современных антивирусных продуктов против новых, все более и более изощренных вредоносных программ.


Быстрый рост количества вирусных эпидемий, громкие атаки хакеров, сетевое мошенничество, угроза spyware, — все это подняло спрос на системы антивирусной защиты. Предложений на рынке антивирусной защиты существует множество. Как выбрать лучший продукт? Какой из антивирусов может гарантировать 100% детектирование вирусов при минимальном уровне ложных срабатываний? Какой из антивирусов предлагает наиболее полный набор технологий для обеспечения адекватной защиты компьютера и сети от всех видов вредоносных программ?

Одной из основных частей любого антивируса является так называемый антивирусный «движок» — модуль, отвечающий за проверку объектов и обнаружение вредоносных программ. Именно от антивирусного «движка» зависит качество детектирования вредоносных программ и, как следствие, уровень защиты, предоставляемый антивирусом. Но в последнее время, в связи с взрывным ростом количества вредоносного ПО, все большую важность приобретают превентивные — или проактивные — методы обнаружения вредоносного ПО. Данные методы позволяют обнаруживать вредоносное ПО до обновления антивирусных баз, иначе говоря — обнаруживать угрозу до ее появления. При этом количество ложных срабатываний также должно быть минимальным (в идеале ложных срабатываний не должно быть вовсе).

Данный документ описывает основные подходы к превентивной защите, реализованные различными производителями. Дается оценка этих технологий. Документ главным образом предназначен для экспертов и подготовленных специалистов по компьютерной безопасности, знакомых с основными принципами работы антивирусных программ.

Проактивная защита

В последние несколько лет на рынке антивирусной безопасности активно обсуждается тема «смерти» классических антивирусов, использующих для детектирования вредоносного ПО те или иные виды сигнатур. Основной причиной этого называется скорость распространения вредоносного ПО, которая выше скорости распространения обновлений антивирусной базы и, в дополнение, на анализ нового вируса всегда требуется некоторое время. Таким образом, на время от обнаружения новой вредоносной программы до появления обновления антивирусного обновления пользователи остаются беззащитными. Выходом из данной ситуации разные компании видят несколько подходов.

Эвристический анализатор

Эвристическим анализатором называется набор подпрограмм, которые анализируют код исполняемых файлов, макросов, скриптов, памяти или загрузочных секторов для обнаружения в нем разных типов вредоносных компьютерных программ, не определяемых обычными (сигнатурными) методами. Другими словами — эвристические анализаторы предназначены для поиска неизвестного вредоносного ПО.

Уровень детектирования у эвристических анализаторов не очень высок, так как существуют десятки различных методов их «обмана», которыми пользуются авторы вирусов. Кроме этого, для эвристических анализаторов с высоким уровнем обнаружения характерен высокий уровень ложных срабатываний, что делает их использование неприемлемым. Даже у самых лучших антивирусов уровень обнаружения новых вредоносных программ не превышает 25-30%. Несмотря на невысокий уровень обнаружения, эвристические методы остаются востребованными в современных антивирусах. Причина проста — комбинация различных методов превентивного обнаружения приводит к повышению качества обнаружения.

Безопасность на основе политик

Политика безопасности является необходимым атрибутом любой продуманной стратегии защиты от ИТ-угроз. Продуманная политика позволяет в несколько раз уменьшить риск заражения вредоносной программой, атаки хакеров или утечки конфиденциальной информации. Простой пример — запрет на открытие вложенных файлов из электронных писем снижает риск заражения почтовым червем практически до 0. Запрет на использование сменных носителей также снижает риск проникновения вредоносного кода. К разработке политики всегда нужно подходить очень взвешенно и учитывать потребности и бизнес-процессы всех подразделений и работников компании.

Кроме вышеописанного подхода к политике безопасности, в материалах различных производителей встречаются упоминания безопасности на основе политик (policy-based security). На сегодняшний день существует несколько подходов к такому способу обеспечения безопасности.

Политика безопасности является необходимым атрибутом любой продуманной стратегии защиты от ИТ-угроз.

Подход Trend Micro — Trend Micro Outbreak Prevention Services. Данный сервис подразумевает распространение неких политик, позволяющих предотвратить эпидемию. Т.е. политика распространяется до появления обновления антивирусных баз или патчей. С первого взгляда кажется, что данное решение выглядит разумным, но дело в том, что скорость добавления процедур обнаружения нового malware в Trend Micro низка и данное решение сделано для того, чтобы «заткнуть дыру» медленной работы антивирусной лаборатории TrendLab. Кроме этого, на формирование политики также требуется время (не всегда меньшее, чем на анализ вируса для добавления процедур детектирования в АВ базу) и все равно есть промежуток времени, в который пользователь остается беззащитным перед новой угрозой. Другим недостатком данного подхода является частота смены политик безопасности. Все плюсы от безопасности на основе политик заключаются в малой частоте смены самой политики. Это позволяет персоналу привыкнуть к тому, что и как делать можно, а что запрещено. Если же политики будут меняться по нескольку раз в день, это просто внесет сумятицу и приведет к тому, что никакой политики безопасности не будет. Корректнее всего назвать метод Trend Micro не policy-based security, а ускоренным выпуском неких сигнатур. Следовательно, такой подход не является в большинстве случаев проактивным. Исключение составляют политики, которые делают невозможной эксплуатацию тех или иных уязвимостей в программном обеспечении.

Подход Cisco-Microsoft. Ограничение доступа в корпоративную сеть для компьютеров, которые не соответствуют политике безопасности компании (например, отсутствуют необходимые обновления операционной системы, нет последних обновлений антивирусных баз и т.д.). Для приведения компьютера в соответствие политике, выделяется доступ только на специальный сервер обновлений. После установки всех необходимых обновлений и выполнения других действий, требуемых политикой безопасности, компьютер получает доступ в корпоративную сеть.

Intrusion Prevention System

Системы предотвращения вторжений (IPS) предусматривают возможность закрытия наиболее часто используемых вредоносными программами уязвимостей компьютера перед новой угрозой еще до выхода обновления антивирусных баз: блокировка портов, т.е. возможности попадания инфекции на компьютер и ее дальнейшего размножения; создание политик для ограничения доступа к директориям или отдельным файлам; обнаружение источника инфекции в сети и блокировка дальнейших коммуникаций с ним. Данная технология отлично работает против атак хакеров и бесфайловых червей и вирусов, но против почтовых червей, классических вирусов и троянских программ IPS не эффективна.

Защита от переполнения буфера

Идея технологии — не допустить переполнения буфера для наиболее распространенных программ, сервисов Windows, включая Word, Excel, Internet Explorer, Outlook и SQL Server. При большинстве современных атак задействуются различные уязвимости, использующие переполнение буфера. Предотвращение переполнения буфера также можно отнести к проактивной защите, т.к. эта технология просто исключает использование такой уязвимости любым вредоносным кодом или атакой.

Поведенческие блокираторы

«Доисторические» поведенческие блокираторы

Первое поколение поведенческих блокираторов появилось еще в середине 90-х годов (в самый разгар эпохи DOS-вирусов). Принцип их действия был прост — при обнаружении потенциально опасного действия задавался вопрос пользователю — разрешить или запретить действие. Во многих случаях такой подход работал, но «подозрительные» действия производили и легитимные программы (вплоть до операционной системы) и если пользователь не обладал должной квалификацией, вопросы антивируса вызывали непонимание. С проникновением персональных компьютеров все глубже в повседневную жизнь снижался средний уровень квалификации пользователей и первые поведенческие блокираторы перестали быть востребованными рынком.

Поведенческий блокиратор для VBA-программ. KAV Office Guard

Как уже упоминалось выше, основным недостатком первых поведенческих блокираторов было количество запросов к пользователю. Причина этих запросов — неспособность поведенческого блокиратора самостоятельно судить о вредоносности того или иного действия. Однако, если рассматривать программы, написанные на VBA, то можно с очень большой долей вероятности отличить вредоносные действия от полезных. Именно благодаря этому KAV Office Guard не столь «навязчив», как его файловые братья. Но, задавая меньше вопросов пользователю, этот блокиратор не стал менее надежным — используя его, пользователь практически на 100% защищен от макро-вирусов, как известных, так и еще не написанных. Другими словами, используя преимущества операционной среды, удалось добиться разумного баланса между надежностью и количеством вопросов. Но, тем не менее, KAV Office Guard по принципу своей работы был по-прежнему «доисторическим» поведенческим блокиратором.

Поведенческие блокираторы второго поколения

Второе поколение поведенческих блокираторов отличает то, что они анализируют не отдельные действия, а последовательность действий, и уже на основании этого делается заключение о вредоносности того или иного ПО. Это значительно сокращает количество запросов к пользователю и повышает надежность детектирования. В качестве примера поведенческого блокиратора второго поколения можно привести систему Proactive Defense Module, реализованную в продуктах «Лаборатории Касперского».

Различные подходы к проактивной защите

Первый продукт из нового поколения коммерческих систем проактивной защиты на основе поведенческого блокиратора — StormFront — выпустила компания Okena, которая специализировалась на разработке систем обнаружения и предотвращения вторжений. В январе 2003 года компания Okena была поглощена компанией Cisco Systems, и StormFront вышел под названием Cisco Security Agent. Данный продукт является классическим поведенческим блокиратором и рассчитан на использование в компаниях. Продукт требует предварительной настройки квалифицированным администратором.

Panda TruPrevent включает в себя три компонента: поведенческий анализатор процессов для исследования поведения запущенных в системе процессов и обнаружения подозрительных действий, эвристический анализатор и набор IDS-функций для обнаружения вредоносных сетевых пакетов и защиты от переполнения буфера. Продукт позиционируется компанией Panda Software как вторая линия обороны от любого неизвестного вредоносного ПО (в качестве первой линии должен выступать классический антивирус) и предназначен для обнаружения неизвестного malware, запускаемого на компьютере. Продукт ориентирован на конечного пользователя (не администратора).

Поведенческий блокиратор второго поколения отличает важная особенность — «откат» действий, совершенных вредоносным кодом.

В продуктах Symantec в качестве проактивной защиты используется встроенный эвристический анализатор, способный обнаруживать еще неизвестные модификации вирусов на основании их специфических действий в системе, а также компоненты IPS/IDS (Intrusion Prevention/Detection System) Norton Internet Worm Protection, которая позволяет закрыть наиболее распространенные пути инфекции в систему (Prevention) и детектировать подозрительные действия (Detection). Дополнительно компания предлагает Outbreak Alert — средство оповещения о появлении особенно опасных интернет-угроз (входит в состав Norton Internet Security 2005). Кроме этого, на уровне сервисов Symantec предлагает услугу Early Warning Services (EWS) которая позволяет получать ранние оповещения об обнаруженных уязвимостях. В настоящее время услуга интегрируется в новую систему Global Intelligence Services.

Microsoft также работает в направлении разработки проактивных методов защиты от вредоносного ПО. Детали и сроки не известны.

Trend Micro в качестве проактивной защиты PC-cillin Internet Security 2005 использует эвристический анализатор и Outbreak Alert System — проактивное оповещение о новых наступающих угрозах. В корпоративном продукте Trend Micro OfficeScan Corporate Edition 6.5 используются сигнатуры с Outbreak Prevention Service, которые позволяют автоматически устанавливать защитные правила для предотвращения заражений еще до выхода обновления антивирусных баз. Такая возможность отсутствует в персональном продукте.

В продуктах BitDefender под проактивной защитой имеется в виду поведенческий анализатор, который блокирует вредоносные программы на основании анализа их специфических действий в системе (контролируются системные файлы, реестр и интернет-активность).

В новых продуктах от «Лаборатории Касперского» наряду с зарекомендовавшим себя эвристическим анализатором объединен ряд новейших технологий проактивной защиты. В продуктах используется и система обнаружения и предотвращения вторжений (IPS/IDS), направленная на борьбу с хакерскими атаками и бесфайловыми вирусами. Система нотификации позволяет предупреждать пользователей об эпидемиях и других событиях, касающихся безопасности. Но наиболее важным нововведением, с точки зрения борьбы с новыми угрозами, является поведенческий блокиратор второго поколения. Данный блокиратор отличает важная особенность — «откат» действий, совершенных вредоносным кодом. Это позволяет значительно сократить количество вопросов пользователю и уменьшить риск повреждения системы до детектирования нового вредоносного ПО.

Другие методы

Для защиты почтового трафика могут использоваться особые методы, основанные на анализе писем, проходящих через почтовый сервер. С помощью такого анализа можно остановить эпидемию в самом ее начале. Статистика, дающая основания подозревать начало эпидемии, может быть следующей:

  • массовая рассылка или прием одинаковых вложений;
  • массовая рассылка или прием одинаковых писем с различными вложениями;
  • наличие двойного расширения у вложений;
  • и т.д.

Кроме этого, возможен лингвистический анализ тел писем.

Итоги

Суммируя все вышесказанное, можно говорить о том, что под проактивными методами защиты, предлагаемыми на рынке, понимается:

  1. Поведенческий анализатор процессов для анализа поведения запущенных в системе процессов и обнаружения подозрительных действий, т. е. неизвестных вредоносных программ.
  2. Устранение возможностей попадания инфекции на компьютер, блокировка портов, которые используются уже известными вирусами, и могут использоваться их новыми модификациями (IPS/IDS-компонент).
  3. Недопущение переполнения буфера для наиболее распространенных программ и сервисов Windows, чаще всего используемых злоумышленниками для осуществления атаки (IPS/IDS-компонент).
  4. Минимизация ущерба, причиненного инфекцией, предотвращение дальнейшего ее размножения, ограничение доступа к файлам и директориям; обнаружение и блокировка источника инфекции в сети (IPS/IDS-компонент).

Таким образом, можно сказать, что технологии проактивной защиты превращаются из игрушки для профессионалов или компьютерных гуру в инструмент, предназначенный для домашнего и корпоративного пользователя, и являются приоритетным направлением работы для компаний-разработчиков антивирусного ПО.

Плюсы и минусы различных проактивных методов детектирования

Эвристический анализатор

Данная технология может быть использована во всех антивирусных продуктах, как на рабочих станциях, так и на файловых, почтовых серверах и интернет-шлюзах. На сегодняшний день эвристический анализатор — единственная проактивная технология, которая может эффективно использоваться во всех антивирусных продуктах.

Безопасность на основе политик

Безопасность на основе политик может быть использована в том или ином виде в любой компании вне зависимости от размера, ИТ-инфраструктуры или рода деятельности. Более того, грамотная политика позволяет практически без финансовых затрат в разы снизить риски от ИТ-угроз.

Эта технология отлично себя зарекомендовала в продуктах для защиты рабочих станций и интернет-шлюзов. Для защиты почтового трафика IDS неприменима.

Защита от переполнения буфера (Buffer Overrun)

С учетом того, что все современные процессоры поддерживают на аппаратном уровне защиту от переполнения буфера, перспективность программной реализации сомнительна. Но тем не менее, защита от переполнения буфера востребована для защиты рабочих станций, интернет-шлюзов и других серверов, которые имеют прямой выход в интернет.

Поведенческие блокираторы

Поведенческие блокираторы применимы только в случаях, когда возможно исполнение подозрительной программы — на рабочих станциях. На почтовых, файловых серверах и шлюзах запуск подозрительных программ не должен осуществляться в принципе, и, как следствие, поведенческий блокиратор не будет востребован.

Выводы

Проактивная защита – комплекс технологий, действующих совместно с сигнатурным сканированием для выявления и вредоносной активности. При этом блокируются действия, способные нанести вред.

методы проактивной защиты

Проактивные технологии делятся на:

    ,
  • эмуляцию кода,
  • анализ поведения,
  • песочницу (изолированную безопасную среду),
  • виртуализацию рабочего окружения.

Проактивные методы обнаружения вирусов применяются в антивирусах для повышения уровня выявления новых неизвестных вирусных угроз. Параллельное использование нескольких проактивных технологий увеличивает нагрузку на процессор, снижая быстродействие ПК. Поэтому разработчикам антивирусных программ приходится находить баланс.

Эвристический анализ

Эмуляция кода

Проактивная технология эмуляции кода предусматривает запуск программ в среде, которая эмулирует поведение операционной системы, чтобы проследить за их поведением. При этом вирус не способен причинить вред. Недостаток метода – высокая потребление ресурсов компьютера на выполнение процесса.

Поведенческий анализ

Метод анализа поведения основывается на перехвате событий, которые происходит в системе. При этом анализируется не единичное событие, а цепочка действий, что увеличивает эффективность технологии и снижает ложные срабатывания.

Безопасная изолированная песочница (Sandbox)

Песочница – специальная изолированная среда с ограниченными привилегиями. Запущенная в ней программа не имеет доступа к реальным файлам.

Виртуализация рабочего окружения

Виртуализация рабочего окружения функционирует с помощью системного драйвера, перехватывающего запросы записи на диск и записывающий данные в специальный буфер. Поэтому проникший вирус проживет до следующей перезагрузки компьютера. Отрицательная черта метода – не защищает от шпионских и троянских программ, целью которых является похищение и передача конфиденциальной информации.

Вывод: в настоящее время проактивная защита является неотъемлемой частью антивирусных программ, несмотря на свои недостатки она продолжает развиваться повышая уровень информационной безопасности.

Читайте также:

      
  • Самый быстрый ssd в мире
    •   
  • Как открыть msg файл в thunderbird
    •   
  • Где на моноблоке микрофон куда говорить
    •   
  • Php unlink не удаляет файл
    •   
  • Индикатор вай фая на ноутбуке горит оранжевым
  • Контакты
  • Политика конфиденциальности