Какие файлы проверяет модуль проактивной защиты

Обновлено: 15.01.2025

Безопасность веб-сайта - один из важнейших аспектов, который нельзя игнорировать и пускать на самотек. Компания Битрикс очень серьезно относится к проблемам безопасности и предлагает ряд эффективных инструментов для защиты сайта от вирусов и взлома.

Ниже мы рассмотрим встроенные инструменты безопасности 1С-Битрикс, а также расскажем как с ними работать для получения максимальной эффективности.

Проактивная защита Битрикс

Все инструменты безопасности в Битрикс объединены под общим названием "Проактивная защита":

Проактивный фильтр
Сканер безопасности веб-сайта
Веб-антивирус
Аудит безопасности PHP-кода
Защита от DDoS
Стоп-лист
Контроль активности
Защита административного раздела
Контроль целостности файлов
Защита сессий
Панель безопасности
Безопасная авторизация без SSL
Журнал вторжений
Двухэтапная авторизация и одноразовые пароли
Защита редиректов от фишинга
Защита от фреймов
Хосты/домены

Все инструменты доступны начиная с редакции 1С-Битрикс "Стандарт". Для некоторых потребуется установить модуль "Веб-аналитика".

Рассмотрим каждый инструмент подробнее.

Проактивный фильтр

Проактивный фильтр защищает от большинства известных атак. Он распознает потенциальные угрозы и блокирует вторжения на сайт, анализирует и фильтрует данные, которые поступают от посетителя через переменные и куки.

Проактивный фильтр – это наиболее эффективный способ защиты от возможных ошибок безопасности, допущенных при реализации интернет-проекта (XSS, SQL Injection, PHP Including и ряда других).

Все попытки атак Проактивный фильтр фиксирует в специальном журнале и при этом информирует администратора сайта о случаях вторжения. Фильтр может заблокировать атакующего, добавив его IP-адрес в стоп-лист.

Сканер безопасности веб-сайта

Администрирование - Настройки - Проактивная защита - сканер безопасности

Сканер безопасности — это сервис для мониторинга уязвимостей сайта. Вместе с модулем Проактивная защита сервис Сканер безопасности выполняет полную диагностику угроз безопасности веб-ресурса и своевременно их предотвращает.

Сканер проверяет окружение проекта, настройки всех систем безопасности находит, а также находит потенциальные уязвимости в коде.

Запустить сканирование можно одной кнопкой "Запустить сканирование".

После проверки выводятся результаты со списком всех угроз безопасности, найденных на сайте. Обратите внимание, что не все из найденного является угрозой, но по возможности стоит выполнить рекомендации.

Возможности сканера безопасности Битрикс:

Выполняет внутреннее сканирование окружения проекта. Например, насколько безопасно хранятся сессии.
Выполняет проверку настроек сайта. Например, включен ли WAF, установлен ли пароль к БД и т. д.
Выполняет поиск потенциальных уязвимостей в коде проекта с помощью статического анализа.
Запускает внешнее сканирование.

В результатах проверки сайта на уязвимости даются также рекомендации по их устранению. Особо важные пункты красным цветом и обозначены восклицательным знаком.

Веб-антивирус

Администрирование - Настройки - Проактивная защита - Веб-антивирус

Веб-антивирус препятствует внедрению вредоносного кода в веб-сайт. Он выявляет в HTML коде потенциально опасные участки и вырезает подозрительные объекты из кода сайта.

Веб-антивирус также уведомляет администратора сайта о найденных вирусах или подозрительных частей кода.

В настройках этого инструмента можно добавить исключения, чтобы Веб-антивирус не срабатывал на безопасные, но подозрительные части кода.

Аудит безопасности PHP-кода

Администрирование - Настройки - Инструменты - Монитор качества

Этот удобный, точный и понятный инструмент подсказывает потенциально опасные места в безопасности кода. Он не только предотвращает эксплуатацию уязвимости, но и устраняет ее источник. Проверка показывает в отчете возможные уязвимости в коде и усиливает защиту сайта от взлома.

Защита от DDoS

DDoS-атака или иначе распределенная атака на сайт с помощью большого числа мусорных запросов. Справится с такой атакой может только специализированная защита.

Начиная с 15-й версии в Битриксе появилась возможность подключить защиту от DDoS-атак. Это можно сделать как из админки сайта, так и со специальной страницы на сайте Битрикса, если админка Битрикса на сайте будет недоступна из-за DDos-атаки. В лицензию входит защита одного сайта от DDoS-атаки в год сроком на 10 дней бесплатно.

Напомним, что на нашем хостинге для Битрикс на всех тарифах уже присутствует аппаратная и программная защита от DDoS атак.

Стоп-лист

Очень полезный инструмент, который позволяет забанить неугодных посетителей. Возможности Стоп-листа:

Контроль активности установливает защиту от слишком активных пользователей, программных роботов, некоторых категорий DDoS-атак, а также отсекает попытки подбора паролей перебором.

В настройках инструмента можно установить максимальную активность пользователей для сайта (например, число запросов в секунду, которые может выполнить пользователь).

Возможности инструмента Контроля активности:

Защищает от чрезмерно активных пользователей, программных роботов и некоторых категорий DDoS-атак;
Отсекает попытки подбора паролей перебором;
Устанавливает максимальную активность пользователей для сайта (нормальной для человека);
Фиксирует превышение лимита активности пользователя в Журнале вторжений;
Блокирует пользователя, превысившего количество запросов в заданный временной интервал;
Выводит для заблокированного пользователя специальную информационную страницу.

Защита административного раздела

Этот инструмент позволяет строго ограничивать сети, которым разрешается доступ к административной части сайта. В нем можно задать список разрешенных IP, из которых можно управлять административной частью.

Это делает бессмысленными любые XSS/CSS атаки на компьютер администратора, а также перехват пароля, потому что доступ и авторизация с чужого компьютера будут невозможны.

В инструмент включена также защита от блокировки доступа самого администратора.

Контроль целостности файлов

Администрирование - Настройки - Проактивная защита - Контроль целостности

Контроль целостности файлов помогает быстро выяснить, вносились ли изменения в файлы системы. В любой момент вы можете проверить целостность ядра, системных областей, публичной части продукта.

Система также позволяет выполнять проверку скрипта контроля на наличие изменений.

Защита сессий

Также очень полезный инструмент защиты. Цель большинства атак на сайты — получение данных об авторизованной сессии пользователя. Включение защиты сессий делает такое похищение бесполезным.

Хранение данных сессий в таблице модуля позволяет избежать чтения этих данных через скрипты других сайтов на том же сервере, исключив ошибки конфигурирования виртуального хостинга, ошибки настройки прав доступа во временных каталогах и ряд других проблем настройки операционной среды.

Кроме того, это разгружает файловую систему, перенося нагрузку на сервер базы данных.

Панель безопасности

Панель безопасности позволяет установить и настроить уровень требуемой безопасности сайта: начальный, стандартный, высокий или повышенный. Система попутно дает рекомендации, какое действие необходимо установить для каждого параметра на выбранном текущем уровне.

Начальный уровень безопасности получают все проекты на базе Bitrix без установленного модуля "Проактивная защита".

Стандартный уровень безопасности — для тех проектов, где задействованы стандартные инструменты проактивной защиты продукта;

Высокий уровень безопасности — это рекомендованный уровень защиты, который получают проекты, выполнившие требования стандартного уровня, и дополнительно включающие:

Журналирование событий главного модуля;
Защиту административной части;
Хранение сессий в базе данных;
Смену идентификатора сессий.

Повышенный уровень безопасности включает специальные средства защиты, обязательные для сайтов, содержащих конфиденциальную информацию пользователей. В дополнение к высокому уровню сюда входит:

Включение одноразовых паролей;
Проверка целостности скрипта контроля.

Безопасная авторизация без SSL

Этот инструмент делает невозможным взлом паролей с формы авторизации, т.к. они шифруются по алгоритму RSA с ключом 1024 бит и в таком виде передаются на корпоративный сайт.

Безопасная авторизация с шифрованием пароля позволяет избежать передачи пароля в открытом виде без SSL. При этом все инструменты, которые использовались ранее для авторизации, продолжают работать.

Журнал вторжений

Журнал вторжений регистрирует все события, происходящие в системе, в том числе необычные или злонамеренные. События регистрируются в оперативном режиме, что позволяет просматривать соответствующие записи в Журнале сразу же после их генерации.

Такая оперативность позволяет обнаруживать атаки и попытки атак в момент их проведения. Это означает, что у вас есть возможность немедленно принимать ответные меры и предупреждать возможные атаки.

Двухэтапная авторизация и одноразовые пароли

Система одноразовых паролей дополняет стандартную систему авторизации и значительно усиливает систему безопасности сайта. Так реализуется двухэтапная авторизация — сначала обычный логин и пароль, а затем дополнительно еще и одноразовый пароль.

Подобную защиту можно реализовать как аппаратными средствами (аппаратные устройства-брелоки типа eToken PASS), так и программно с помощью Персонального генератора одноразовых паролей для сайта (ОТР).

Защита редиректов от фишинга

В Битриксе, как и в любой CMS, для подсчета числа кликов, есть возможность реализации ссылок через редиректы. Для безопасной работы данного функционала, чтобы исключить подмену ссылок, необходимо использовать защиту от фишинга:

Защита от фреймов

Опция позволяет разрешить/запретить загружать страницы сайта через frame за счет проставление заголовка X-Frame-Options в значение SAMEORIGIN. При активиции защиты от фреймов не будет работать Вебвизор в Яндекс.Метрике. Есть способы обойти это ограничение, если добавить блокировку iframe через Nginx, в котором можно исключить блокировку для Вебвизора, в этом вам помогут в поддержке хостинга.

Хосты/домены

Вы можете настроить блокировку таких попыток открытия сайта, или просто сделать переадресацию на нужный адрес.

Дополнительная защита 1С-Битрикс

Резервное копирование

В идеале это первое, о чем нужно позаботиться владельцу сайта. Резервное копирование позволяет восстановить рабочую версию сайта после каких-либо поломок или вторжения извне.

На нашем хостинге Джихост резервное копирование происходит в автоматическом режиме раз в неделю. Копии хранятся на независимых серверах и не занимают места на дисках клиентов.

И, тем не менее, пользователям рекомендуется самостоятельно создавать резервные копии. Особенно перед какими-либо важными изменениями или обновлениями на сайте. Сделать это можно как на нашем хостинге, так и непосредственно в самом Битриксе.

Последние несколько лет на рынке информационной безопасности остро встал вопрос защиты от автоматизированных направленных атак, однако в общем понимании направленная атака в первое время представлялась как результат продолжительной и профессиональной работы организованной группой киберпреступников с целью получения дорогостоящих критичных данных. В настоящее время на фоне развития технологий, популяризации open-source форумов (напр. Github, Reddit) и Darknet, предоставляющих исходные коды вредоносного ПО и пошагово описывающих действия по его модификации (для невозможности его детектирования сигнатурным анализом) и заражению хостов, реализация кибератак значительно упростилась. Для реализации успешной атаки, сопровождающейся пагубными последствиями для владельцев автоматизированных и информационных систем, достаточно неквалифицированного пользователя и энтузиазма в разборе предоставленного в сети Интернет / Darknet материала.

за 2016 год количество известных типов (семейств) троянов-вымогателей увеличилось на 752%: с 29 типов в 2015 году до 247 к концу 2016 года (по данным TrendLabs );
благодаря вирусам-вымогателям злоумышленники за 2016 год «заработали» 1 миллиард долларов США (по данным CSO);
в 1 квартале 2017 года появилось 11 новых семейств троянов-вымогателей и 55 679 модификаций. Для сравнения, во 2-4 кварталах 2016 года появилось 70 837 модификаций (по данным Kaspersky Lab).

Январь 2017 г. Заражение 70% камер видеонаблюдения за общественным порядком в Вашингтоне накануне инаугурации президента. Для устранения последствий камеры были демонтированы, перепрошиты или заменены на другие;
Февраль 2017 г. Вывод из строя всех муниципальных служб округа Огайо (США) более чем на одну неделю из-за массового шифрования данных на серверах и рабочих станциях пользователей (свыше 1000 хостов);
Март 2017 г. Вывод из строя систем Капитолия штата Пенсильвания (США) из-за атаки и блокировки доступа к данным информационных систем;
Май 2017 г. Крупномасштабная атака вируса-шифровальщика WannaCry (WanaCrypt0r 2.0), поразившая на 26.06.2017 более 546 тысяч компьютеров и серверов на базе операционных систем семейства Windows в более чем 150 странах. В России были заражены компьютеры и серверы таких крупных компаний, как Минздрав, МЧС, РЖД, МВД, «Мегафон», «Сбербанк», «Банк России». Универсального дешифратора данных до сих пор не существует (были опубликованы способы расшифровать данные на Windows XP). Общий ущерб от вируса по оценкам экспертов превышает 1 млрд долларов США;
Крупномасштабная атака вируса-шифровальщика XData в мае 2017 года (через неделю после начала атаки WannaCry), использующая для заражения аналогичную WannaCry уязвимость (EternalBlue) в протоколе SMBv1 и поразившая в основном корпоративный сегмент Украины (96% зараженных компьютеров и серверов находятся на территории Украины), скорость распространения которого превышает WannaCry в 4 раза. В настоящий момент ключ шифрования опубликован, выпущены дешифраторы для жертв вымогателя;
Июнь 2017 г. Обширной атаке Ransomware была подвержена сеть одного из крупнейших университетов мира – Univercity College London. Атака была направлена на блокирование доступа к общим сетевым хранилищам, автоматизированную систему студенческого управления. Выполнено это было в предэкзаменационный и выпускной период, когда студенты, хранящие свои дипломные работы на файловых серверах университета, вероятнее всего заплатят мошенникам с целью получения своей работы. Объем зашифрованных данных и пострадавших не раскрывается.

Проактивная защита от направленных атак и Ransomware

Рассмотрим возможные векторы доступа к защищаемой информации, находящейся на сервере или автоматизированном рабочем месте пользователя:

Воздействие на периметр локальной вычислительной сети из интернета возможно через:
корпоративную электронную почту;
веб-трафик, в том числе веб-почту;
периметровый маршрутизатор / межсетевой экран;
сторонние (некорпоративные) шлюзы доступа к интернету (модемы, смартфоны и т. д.);
системы защищенного удаленного доступа.
Воздействие на серверы, рабочие места пользователей по сети:
загрузка вредоносных программ на конечные точки / серверы по запросу от них же;
использование недокументированных возможностей (уязвимостей) системного/прикладного ПО;
загрузка вредоносов по шифрованному VPN-каналу, неконтролируемому службами ИТ и ИБ;
подключение к локальной сети нелегитимных устройств.
Прямое воздействие на информацию на серверах, рабочих местах пользователей:
подключение внешних носителей информации с вредоносом;
разработка вредоносных программ прямо на конечной точке / сервере.

Рисунок 1. Проактивные меры защиты от направленных атак и Ransomware

Организационные меры защиты от направленных атак и Ransomware

К основным организационным мерам проактивной защиты от направленных атак и Ransomware относятся:

Технические меры защиты от направленных атак и Ransomware

Технические мероприятия проактивной защиты от направленных атак и Ransomware предпринимаются на уровне сети и на уровне хоста.

Меры проактивной защиты на уровне сети

Использование систем фильтрации электронной почты, обеспечивающих анализ почтового трафика на наличие нежелательных писем (spam), ссылок, вложений, в том числе вредоносных (например, блокировка файлов JavaScript (JS) и Visual Basic (VBS), исполняемые файлы (.exe), файлы заставки (SCR), Android Package (.apk) и файлы ярлыков Windows (.lnk)).
Использование систем контентной фильтрации веб-трафика, обеспечивающих разграничение и контроль доступа пользователей к интернету (в т.ч. путем разбора SSL-трафика с помощью подмены сертификата сервера), потоковый анализ трафика на наличие вредоносных программ, разграничение доступа пользователей к содержимому веб-страниц.
Использование систем защиты от целенаправленных атак, атак нулевого дня (Sandbox, песочница), обеспечивающих эвристический и поведенческий анализ потенциально опасных файлов в изолированной среде перед отправкой файла в защищаемые информационные системы. Системы защиты от направленных атак должны быть интегрированы с системами контентной фильтрации веб-трафика, фильтрации электронной почты для блокирования вредоносных вложений. Также системы защиты от направленных атак интегрируют с информационными системами внутри периметра сети для обнаружения и блокировки сложных атак на критичные ресурсы, сервисы.
Обеспечение контроля доступа к корпоративной сети на уровне проводной и беспроводной сети с помощью технологии 802.1x. Такая мера исключает несанкционированное подключение нелегитимных устройств в корпоративную сеть, обеспечивает возможность выполнения проверки на соответствие корпоративным политикам при доступе в сеть организации (наличие антивирусного ПО, актуальные сигнатурные базы, наличие критических обновлений Windows). Контроль доступа к корпоративной сети с помощью 802.1x обеспечивается системами класса NAC (Network Access Control).
Исключение прямого взаимодействия внешних пользователей с ресурсами корпоративных информационных систем с помощью промежуточных шлюзов доступа с наложенными корпоративными средствами защиты информации (терминальный сервер, система виртуализации рабочих столов VDI), в том числе с возможностью фиксации действий внешних пользователей с помощью видео или текстовой записи сессии. Мера реализуется с помощью систем терминального доступа, систем класса PUM (Privileged User Management).
Сегментирование сети по принципу необходимой достаточности для исключения избыточных разрешений сетевого взаимодействия, ограничения возможности распространения вредоносных программ в корпоративной сети в случае заражения одного из серверов / рабочих мест пользователей / виртуальных машин. Возможна реализация такой меры с помощью систем анализа политик межсетевого экранирования (NCM / NCCM, Network Configuration (Change) Management), обеспечивающих централизованный сбор политик межсетевого экранирования, настроек межсетевых экранов и дальнейшую их обработку с целью автоматизированной выдачи рекомендаций по их оптимизации, контроль изменений политик межсетевого экранирования.
Выявление аномалий на уровне сетевых взаимодействий с помощью специализированных решений класса NBA & NBAD (Network Behavior Analysis, Network Behavior Anomaly Detection), позволяющих осуществить сбор и анализ сведений о потоках данных, профилирование трафика для каждого сетевого хоста для выявления отклонений от «нормального» профиля. Данный класс решений позволит выявить:

Меры проактивной защиты на уровне хоста

Другие меры защиты от вирусов-вымогателей

Дополнительно к вышеперечисленным мерам предотвратить направленную атаку в корпоративной сети поможет следующее:

Обеспечение регулярного анализа защищенности ИТ-инфраструктуры — сканирование узлов сети для поиска известных уязвимостей в системном и прикладном ПО. Эта мера обеспечивает своевременное обнаружение уязвимостей, позволяет их устранить до момента их использования злоумышленниками. Также система анализа защищенности решает задачи по контролю сетевых устройств и устройств, подключенных к рабочим станциям пользователей (например, 4G-модем).
Сбор и корреляция событий позволяет комплексно подойти к обнаружению вымогателей в сети на основе SIEM-систем, поскольку такой метод обеспечивает целостную картину ИТ-инфраструктуры компании. Эффективность SIEM заключается в обработке событий, которые отправляются с различных компонентов инфраструктуры, в том числе ИБ, на основе правил корреляции, что позволяет оперативно выявить потенциальные инциденты, связанные с распространением вируса-вымогателя.

Приоритезация мер защиты от вирусов-вымогателей

Надежная комплексная защита от направленных атак обеспечивается комплексом организационно-технических мер, которые ранжируются в следующие группы:

Базовый набор мер, необходимый для применения всем организациям для защиты от направленных атак и вредоносов-вымогателей.
Расширенный набор мер, применимый для средних и крупных организаций с высокой стоимостью обработки информации.
Продвинутый набор мер, применимый для средних и крупных организаций с продвинутой ИТ- и ИБ-инфраструктурой и высокой стоимостью обрабатываемой информации.

Рисунок 2. Приоритизация мер защиты от трояна-вымогателя

Меры защиты от Ransomware для конечных пользователей

Угроза заражения вирусом-вымогателем актуальна и для конечных пользователей Интернет, для которых также применимы отдельные меры по предотвращению заражения:

своевременная установка обновлений системного ПО;
использование антивирусов;
своевременное обновление баз сигнатур антивирусов;
использование доступных в свободном доступе средств защиты от вредоносных программ, шифрующих данные на компьютере: RansomFree, CryptoDrop, AntiRansomware tool for business, Cryptostalker и др. Установка средств защиты данного класса применима, если на компьютере хранятся критичные незарезервированные данные и не установлены надежные средства антивирусной защиты.

Уязвимость мобильных устройств (Android, iOS)

«Умные» мобильные устройства (смартфоны, планшетные компьютеры) стали неотъемлемой частью жизни: с каждым годом увеличивается количество активированных мобильных устройств, мобильных приложений и объем мобильного трафика. Если раньше мобильные телефоны хранили только базу контактов, то сейчас они являются хранилищами критичных данных для пользователя: фото, видео, календари, документы и пр. Мобильные устройства все активнее используются и в корпоративном секторе (ежегодный прирост 20-30%). А потому растет интерес злоумышленников и к мобильным платформам, в частности, с точки зрения вымогания денег с помощью троянов. По данным Kaspersky Lab, в 1 квартале 2017 года вымогатели занимают 16% от общего числа вредоносов (в 4 квартале 2016 года это значение не превышало 5%). Наибольший процент троянов для мобильных платформ написан для самой популярной мобильной операционной системы — Android, но для iOS также существуют подобные.

Меры защиты для мобильных устройств:

Для корпоративного сектора:
o использование систем класса Mobile Device Management (MDM), обеспечивающих контроль установки обновлений системного ПО, установки приложений, контроль наличия прав суперпользователя;
o для защиты корпоративных данных на мобильных устройствах пользователя — системы класса Mobile Information Management (MIM), обеспечивающих хранение корпоративных данных в зашифрованном контейнере, изолированном от операционной системы мобильного устройства;
o использование систем класса Mobile Threat Prevention, обеспечивающих контроль разрешений, предоставленных приложениям, поведенческий анализ мобильных приложений.
Для конечных пользователей:
o использование официальных магазинов для установки приложений;
o своевременное обновление системного ПО;
o исключение перехода по недоверенным ресурсам, установки недоверенных приложений и сервисов.

Выводы

Простота реализации и низкая стоимость затрат организации кибератак (Ransomware, DDoS, атаки на веб-приложения и пр.) приводит к увеличению числа киберпреступников при одновременном снижении среднего уровня технической осведомленности атакующего. В связи с этим резко увеличивается вероятность реализации угроз безопасности информации в корпоративном секторе и потребность в обеспечении комплексной защиты.

Поэтому мы в компании «Информзащита» фокусируемся на современных вызовах информационной безопасности и обеспечиваем защиту инфраструктуры клиентов от новейших, в том числе неизвестных угроз. Создавая и реализуя комплексные адаптивные модели противодействия угрозам информационной безопасности, мы знаем, как прогнозировать, предотвращать, обнаруживать и реагировать на киберугрозы. Главное — делать это своевременно.

Рассказываем об особенностях защиты 1С-Битрикс, как ее применять в работе над онлайн-проектом.

Проактивная защита — это комплекс решений по обеспечению дополнительной безопасности онлайн-проекта. Разберем каждую возможность.

В административном разделе перейдите в Настройки (1) → Проактивная защита (2). Раскройте список.

Сканер безопасности проверяет онлайн-проект на возможные угрозы. Критические выделяются красным цветом — рекомендуется устранить их в первую очередь.

Сканер показывает, какие ошибки есть на сайте. Проверку стоит проводить не реже 1 раз в месяц.

Панель безопасности показывает результаты сканирования и уровень безопасности сайта. Здесь вы найдете рекомендации для повышения уровня.

Проактивный фильтр защищает от XSS-атак, SQL-инъекций, вторжений через PHP.

Все вторжения отмечаются в журнале событий.

Защитить административный раздел можно с помощью ограничения доступа по IP-адресу. Однако этот способ не подходит, если вы работаете с разных IP.

Защита редиректов от фишинга поможет избежать утечки конфиденциальных данных пользователей ресурса.

Стоп-лист поможет заблокировать доступ к сайту или его разделам выбранных IP-адресов на время или бессрочно.

Теперь вы знаете, сколько возможностей есть у проактивной защиты 1С-Битрикс. Подключите необходимые и обеспечьте безопасность своему проекту!

История компьютерных вирусов насчитывает уже более 25 лет. Неразрывно с вирусами развивались и средства противодействия вирусам - антивирусы. Исторически сложилось так, что лидерство на рынке антивирусных технологий заняли системы сигнатурного поиска, иначе называемые реактивными, имеющие целый ряд серьезных недостатков. На смену им приходят новые проактивные технологии такие как HIPS, Sandbox, VIPS и другие., к которых пойдет речь в этой статье.

Классические проактивные системы обнаружения вредоносных программ, несмотря на кажущуюся простоту реализации и надежность, имеют ряд существенных недостатков, а именно:

Слабая эффективность против угроз типа 0-day, так как эффективность напрямую связана с базой сигнатур вредоносного ПО, в которую внесены сигнатуры только известного, на данный момент, вредоносного ПО;
Необходимость постоянного обновления базы сигнатур вирусов для эффективной защиты от нового вредоносного ПО;
Для определения вредоносного ПО необходима процедура сканирования, которая отнимает достаточно много времени и системных ресурсов;

Данные причины и послужили толчком к развитию т.н. проактивных систем защиты, о которых и пойдет речь в данной статье.

Методы проактивной защиты

История развития проактивных методов защиты

Проактивные методы защиты появились почти одновременно с реактивными методами защиты, как и системы, применяющие данные методы. Но в силу недостаточной «дружественности» проактивных систем защиты по отношению к пользователю разработка подобных систем была прекращена, а методы преданы забвению. Относительно недавно проактивные методы защиты начали свое возрождение. На сегодняшний день методы проактивной защиты интегрируются в антивирусные программы, ранее использовавшие лишь реактивные системы защиты, а так же на основе проактивных методов создаются новые антивирусные системы, комбинирующие несколько методов проактивной защиты, и позволяющие эффективно противостоять новейшим угрозам.

На сегодняшний день наиболее известны и часто применимы следующие методы проактивной защиты:

Методы поведенческого анализа;
Методы ограничения выполнение операций;
Методы контроля целостности ПО и ОС.

Методы предотвращения вторжений (IPS-методы):

HIPS

HIPS - метод контроля активности, основанный на перехвате обращений к ядру ОС и блокировке выполнения потенциально опасных действий ПО, работающего в user-mode, выполняемых без ведома пользователя;

Принцип работы

HIPS-система с помощью собственного драйвера перехватывает все обращения ПО к ядру ОС. В случае попытки выполнения потенциально опасного действия со стороны ПО, HIPS-система блокирует выполнение данного действия и выдает запрос пользователю, который решает разрешить или запретить выполнение данного действия.

Преимущества систем, построенных на методе HIPS:

Низкое потребление системных ресурсов;
Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
Высокая эффективность противостояния угрозам 0-day;
Высокая эффективность противодействия руткитам, работающим в user-mode;

Недостатки систем, построенных на методе HIPS:

Низкая эффективность противодействия руткитам, работающим в kernel-mode;
Большое количество обращений к пользователю ПК;
Пользователь должен обладать знаниями о принципах функционирования ОС;
Невозможность противодействия активному заражению ПК;

VIPS

VIPS - метод контроля активности, основанный на мониторинге выполняемых операций ПО, установленном на ПК, и блокировке выполнения потенциально опасных действий ПО, выполняемых без ведома пользователя.

Принцип работы

VIPS-система при помощи технологий аппаратной виртуализации (Intel VT-x, AMD-V) запускает ОС в «виртуальной машине» и осуществляет контроль всех выполняемых операций. В случае попытки выполнения потенциально опасного действия со стороны ПО, VIPS-система блокирует выполнение данного действия и выдает запрос пользователю, который решает разрешить или запретить выполнение данного действия.

Преимущества систем, построенных на методе VIPS:

Низкое потребление системных ресурсов;
Высокая эффективность противостояния угрозам 0-day;
Высокая эффективность противодействия руткитам, работающим и в user-mode, и в kernel-mode;

Недостатки систем, построенных на методе VIPS:

Требовательны к аппаратному обеспечению ПК (для работы VIPS-системы необходима аппаратная поддержка процессором технологий аппаратной виртуализации (Intel VT-x или AMD-V);
Большое количество обращений к пользователю ПК;
Пользователь должен обладать знаниями о принципах функционирования ОС;
Невозможность противодействия активному заражению ПК;

Песочница (sandbox)

Песочница (sandbox) - метод, основанный на выполнении потенциально опасного ПО в ограниченной среде выполнения (т.н. «песочнице»), которая допускает контакт потенциально опасного ПО с ОС.

Принцип работы

Песочница разделяет установленное ПО на две категории: «Доверенные» и «Не доверенные». ПО, входящее в группу «Доверенные» выполняется без каких либо ограничений. ПО входящее в группу «Не доверенные» выполняется в специальной ограниченной среде выполнения (т.н. песочнице), данному ПО запрещено выполнение любых операций, которые могут привести к краху ОС.

Преимущества систем, построенных на методе песочница (sandbox):

Низкое потребление системных ресурсов;
Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
Малое количество обращений к пользователю ПК;

Недостатки систем, построенных на методе песочница (sandbox):

Пользователь должен обладать знаниями о принципах функционирования ОС;
Невозможность противодействия активному заражению ПК;

Методы поведенческого анализа

Поведенческий блокиратор (метод активного поведенческого анализа)

Поведенческий блокиратор (метод активного поведенческого анализа) - метод, основанный на методах IPS, анализа в реальном времени цепочек действий ПО и блокирования выполнение потенциально опасных алгоритмов в реальном времени.

Принцип работы

Различные проактивные системы защиты используют различные концепции реализации метода активного поведенческого анализа (т.к. метод активного поведенческого анализа может быть построен на базе любого IPS-метода). В общем и целом метод активного поведенческого анализа представляет собой IPS-метод с интеллектуальной системой принятия решений, анализирующей, не отдельные действия, а цепочки действий.

Преимущества систем, построенных на методе активного поведенческого анализа:

Меньшее количество обращений к пользователю, по сравнению с системами, построенными на IPS-методах;
Низкое потребление системных ресурсов;
Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);

Недостатки систем, построенных на методе активного поведенческого анализа:

Интеллектуальная система вынесения вердиктов может вызывать «ложные срабатывания» (блокирование работы не вредоносного ПО, из-за совершения операций, схожих с деятельностью вредоносного ПО);
Невозможность противодействия активному заражению ПК;

Метод эмуляции системных событий (метод пассивного поведенческого анализа)

Методы эмуляции системных событий (метод пассивного поведенческого анализа) - метод определения вредоносного ПО путем анализа действий и/или цепочки действий с помощью выполнения ПО в специальной ограниченной среде (т.н. эмуляторе кода), имитирующей реальное аппаратное обеспечение.

Принцип работы

ПО запускается в специальной ограниченной среде (т.н. эмуляторе кода), имитирующей реальное аппаратное обеспечение, где производится проверка на выполнение определенных действий и/или цепочки действий. Если обнаружена возможность выполнения потенциально опасного действия и/или цепочки действий, ПО помечается как вредоносное.

Преимущества систем, построенных на методе активного поведенческого анализа:

Не требуют специальных знаний или навыков со стороны пользователя;
Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
Отсутствие обращений к пользователю, за исключением случаев обнаружения вредоносного ПО;

Недостатки систем, построенных на методе активного поведенческого анализа:

В некоторых случаях анализ кода может занимать достаточно продолжительное время;
Широкое применение методик противодействия эмуляции кода вредоносного ПО, поэтому системы, использующие метод пассивного поведенческого анализа, могут противостоять не всем видам вредоносного ПО;
Невозможность противодействия активному заражению ПК.

Сканер целостности

Сканер целостности осуществляет постоянный мониторинг ядра ОС, на предмет выявления изменений, которые могло произвести вредоносное ПО. В случае обнаружения изменений внесенных вредоносным ПО об этом оповещается пользователь и по возможности производится откат действий, произведенных вредоносными ПО.

Принцип работы

Сканер целостности осуществляет мониторинг всех обращений к ядру ОС. В случае обнаружения попытки изменения критически важных параметров, операция блокируется.

Преимущества систем, построенных на методе «сканер целостности»:

Не требуют специальных знаний или навыков со стороны пользователя;
Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
Малое количество обращений к пользователю;

Недостатки систем, построенных на методе «сканер целостности»:

Для осуществление контроля целостности необходимо контролировать большое количество различных параметров, что может негативно сказаться на производительности ПК;
Слабая эффективность противодействия user-mode и kernel-mode руткитам;
Невозможность противодействия активному заражению ПК;

Метод предотвращения атак на переполнение буфера («эмулятор NX-бита»)

«Эмулятор NX-бита» осуществляет мониторинг содержимого оперативной памяти. В случае обнаружения попытки внесения критических изменений в содержимое оперативной памяти, действие блокируется.

Принцип работы

Как известно, суть атак на переполнение буфера заключается в преднамеренном переполнении оперативной памяти и как следствие вывода из строя ПК, на определенное время. «Эмулятор NX-бита» создает специальную зарезервированную область оперативной памяти, куда запись данных невозможна. В случае обнаружения попытки записи данных в зарезервированную область памяти, «эмулятор NX-бита» блокирует действие, таким образом, предотвращая вывод ПК из строя.

Преимущества систем, построенных на методе «эмулятора NX-бита»:

Не требуют специальных знаний или навыков со стороны пользователя;
Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
Полное отсутствие каких бы то ни было обращений к пользователю;

Недостатки систем, построенных на методе «эмулятора NX-бита»:

Системы, построенные на методе «эмулятора NX-бита», могут противостоять только против хакерских атак на переполнение буфера, любым другим видам угроз данные системы противостоять не могут;
Невозможность противодействия активному заражению ПК.

В данной статье рассматривались проактивные системы защиты. Была приведена краткая историческая справка по истории развития проактивных систем защиты, также были рассмотрены основные виды методов проактивной защиты:

Методы ограничения выполнения операций;
Методы поведенческого анализа;
Методы контроля целостности.

Подробно были рассмотрены принципы работы методов проактивных защиты, также были рассмотрены преимущества и недостатки проактивных методов защиты.

Подводя итог можно сделать вывод о том, что проактивные методы защиты являются высокоэффективным средством противодействия вредоносному ПО и могут составить весомую конкуренцию классическим, реактивным методам защиты, а в сочетании с ними могут многократно повысить эффективность антивирусных систем.

Читайте также: