Материал из Википедии - свободной энциклопедии
Проактивные технологии - совокупность технологий и методов, используемых в антивирусном программном обеспечении , основной целью которых, в отличие от реактивных (сигнатурных) технологий , является предотвращение заражения системы пользователя, а не поиск уже известного вредоносного программного обеспечения в системе. При этом проактивная защита старается блокировать потенциально опасную активность программы только в том случае, если эта активность представляет реальную угрозу. Серьезный недостаток проактивной защиты - блокирование легитимных программ (ложные срабатывания).
История развития проактивных технологий антивирусной защиты
Проактивные технологии начали развиваться практически одновременно с классическими (сигнатурными) технологиями. Однако, первые реализации проактивных технологий антивирусной защиты требовали высокого уровня квалификации пользователя, то есть не были рассчитаны на массовое использование простыми пользователями персональных компьютеров. Спустя десятилетие антивирусной индустрии стало очевидно, что сигнатурные методы обнаружения уже не могут обеспечить эффективную защиту пользователей. Этот факт и подтолкнул к возрождению проактивных технологий.
Технологии проактивной защиты
Технология эвристического анализа позволяет на основе анализа кода выполняемого приложения, скрипта или макроса обнаружить участки кода, отвечающие за вредоносную активность.
Эффективность данной технологии не является высокой, что обусловлено большим количеством ложных срабатываний при повышении чувствительности анализатора, а также большим набором техник, используемых авторами вредоносного ПО для обхода эвристического компонента антивирусного ПО .
Технология эмуляции позволяет запускать приложение в среде эмуляции, эмулируя поведение ОС или центрального процессора. При выполнении приложения в режиме эмуляции приложение не сможет нанести вреда системе пользователя, а вредоносное действие будет детектировано эмулятором.
Несмотря на кажущуюся эффективность данного подхода, он также не лишен недостатков - эмуляция занимает слишком много времени и ресурсов компьютера пользователя, что негативно сказывается на быстродействии при выполнении повседневных операций, также, современные вредоносные программы способны обнаруживать выполнение в эмулированной среде и прекращать своё выполнение в ней.
- Анализ поведения
Технология анализа поведения основывается на перехвате всех важных системных функций или установке т. н. мини-фильтров, что позволяет отслеживать всю активность в системе пользователя. Технология поведенческого анализа позволяет оценивать не только единичное действие, но и цепочку действий, что многократно повышает эффективность противодействия вирусным угрозам. Также, поведенческий анализ является технологической основой для целого класса программ - поведенческих блокираторов (HIPS - Host-based Intrusion Systems).
Технология Песочницы работает по принципу ограничения активности потенциально вредоносных приложений таким образом, чтобы они не могли нанести вреда системе пользователя.
Ограничение активности достигается за счет выполнения неизвестных приложений в ограниченной среде - собственно песочнице, откуда приложение не имеет прав доступа к критическим системным файлам, веткам реестра и другой важной информации. Технология ограничения привилегий выполнения является эффективной технологией противодействия современным угрозам, но, следует понимать, что пользователь должен обладать знаниями, необходимыми для правильной оценки неизвестного приложения.
- Виртуализация рабочего окружения
Технология виртуализации рабочего окружения работает с помощью системного драйвера, который перехватывает все запросы на запись на жесткий диск и вместо выполнения записи на реальный жесткий диск выполняет запись в специальную дисковую область - буфер. Таким образом, даже в том случае, если пользователь запустит вредоносное программное обеспечение, оно проживет не далее чем до очистки буфера, которая по умолчанию выполняется при выключении компьютера.
Однако, следует понимать, что технология виртуализации рабочего окружения не сможет защитить от вредоносных программ, основной целью которых является кража конфиденциальной информации, так как доступ на чтение к жесткому диску не запрещен.
Применение проактивных технологий в настоящее время
В настоящее время проактивные технологии являются важным и неотъемлемым компонентом антивирусного программного обеспечения. Более того, как правило, в антивирусных продуктах используется сочетание сразу нескольких технологий проактивной защиты, например эвристический анализ и эмуляция кода успешно сочетаются с поведенческим анализом, что позволяет многократно повысить эффективность современных антивирусных продуктов против новых, все более и более изощренных вредоносных программ.
Напишите отзыв о статье "Проактивная защита"
Ссылки
- Anderson, K. «».
- , Tyson Macaulay 2008
- , Tyson Macaulay 2008
Отрывок, характеризующий Проактивная защита
Пьер поспешно оделся и выбежал на крыльцо. На дворе было ясно, свежо, росисто и весело. Солнце, только что вырвавшись из за тучи, заслонявшей его, брызнуло до половины переломленными тучей лучами через крыши противоположной улицы, на покрытую росой пыль дороги, на стены домов, на окна забора и на лошадей Пьера, стоявших у избы. Гул пушек яснее слышался на дворе. По улице прорысил адъютант с казаком.– Пора, граф, пора! – прокричал адъютант.
Приказав вести за собой лошадь, Пьер пошел по улице к кургану, с которого он вчера смотрел на поле сражения. На кургане этом была толпа военных, и слышался французский говор штабных, и виднелась седая голова Кутузова с его белой с красным околышем фуражкой и седым затылком, утонувшим в плечи. Кутузов смотрел в трубу вперед по большой дороге.
Войдя по ступенькам входа на курган, Пьер взглянул впереди себя и замер от восхищенья перед красотою зрелища. Это была та же панорама, которою он любовался вчера с этого кургана; но теперь вся эта местность была покрыта войсками и дымами выстрелов, и косые лучи яркого солнца, поднимавшегося сзади, левее Пьера, кидали на нее в чистом утреннем воздухе пронизывающий с золотым и розовым оттенком свет и темные, длинные тени. Дальние леса, заканчивающие панораму, точно высеченные из какого то драгоценного желто зеленого камня, виднелись своей изогнутой чертой вершин на горизонте, и между ними за Валуевым прорезывалась большая Смоленская дорога, вся покрытая войсками. Ближе блестели золотые поля и перелески. Везде – спереди, справа и слева – виднелись войска. Все это было оживленно, величественно и неожиданно; но то, что более всего поразило Пьера, – это был вид самого поля сражения, Бородина и лощины над Колочею по обеим сторонам ее.
Над Колочею, в Бородине и по обеим сторонам его, особенно влево, там, где в болотистых берегах Во йна впадает в Колочу, стоял тот туман, который тает, расплывается и просвечивает при выходе яркого солнца и волшебно окрашивает и очерчивает все виднеющееся сквозь него. К этому туману присоединялся дым выстрелов, и по этому туману и дыму везде блестели молнии утреннего света – то по воде, то по росе, то по штыкам войск, толпившихся по берегам и в Бородине. Сквозь туман этот виднелась белая церковь, кое где крыши изб Бородина, кое где сплошные массы солдат, кое где зеленые ящики, пушки. И все это двигалось или казалось движущимся, потому что туман и дым тянулись по всему этому пространству. Как в этой местности низов около Бородина, покрытых туманом, так и вне его, выше и особенно левее по всей линии, по лесам, по полям, в низах, на вершинах возвышений, зарождались беспрестанно сами собой, из ничего, пушечные, то одинокие, то гуртовые, то редкие, то частые клубы дымов, которые, распухая, разрастаясь, клубясь, сливаясь, виднелись по всему этому пространству.
Эти дымы выстрелов и, странно сказать, звуки их производили главную красоту зрелища.
Пуфф! – вдруг виднелся круглый, плотный, играющий лиловым, серым и молочно белым цветами дым, и бумм! – раздавался через секунду звук этого дыма.
«Пуф пуф» – поднимались два дыма, толкаясь и сливаясь; и «бум бум» – подтверждали звуки то, что видел глаз.
Пьер оглядывался на первый дым, который он оставил округлым плотным мячиком, и уже на месте его были шары дыма, тянущегося в сторону, и пуф… (с остановкой) пуф пуф – зарождались еще три, еще четыре, и на каждый, с теми же расстановками, бум… бум бум бум – отвечали красивые, твердые, верные звуки. Казалось то, что дымы эти бежали, то, что они стояли, и мимо них бежали леса, поля и блестящие штыки. С левой стороны, по полям и кустам, беспрестанно зарождались эти большие дымы с своими торжественными отголосками, и ближе еще, по низам и лесам, вспыхивали маленькие, не успевавшие округляться дымки ружей и точно так же давали свои маленькие отголоски. Трах та та тах – трещали ружья хотя и часто, но неправильно и бедно в сравнении с орудийными выстрелами.
Пьеру захотелось быть там, где были эти дымы, эти блестящие штыки и пушки, это движение, эти звуки. Он оглянулся на Кутузова и на его свиту, чтобы сверить свое впечатление с другими. Все точно так же, как и он, и, как ему казалось, с тем же чувством смотрели вперед, на поле сражения. На всех лицах светилась теперь та скрытая теплота (chaleur latente) чувства, которое Пьер замечал вчера и которое он понял совершенно после своего разговора с князем Андреем.
– Поезжай, голубчик, поезжай, Христос с тобой, – говорил Кутузов, не спуская глаз с поля сражения, генералу, стоявшему подле него.
Выслушав приказание, генерал этот прошел мимо Пьера, к сходу с кургана.
– К переправе! – холодно и строго сказал генерал в ответ на вопрос одного из штабных, куда он едет. «И я, и я», – подумал Пьер и пошел по направлению за генералом.
Генерал садился на лошадь, которую подал ему казак. Пьер подошел к своему берейтору, державшему лошадей. Спросив, которая посмирнее, Пьер взлез на лошадь, схватился за гриву, прижал каблуки вывернутых ног к животу лошади и, чувствуя, что очки его спадают и что он не в силах отвести рук от гривы и поводьев, поскакал за генералом, возбуждая улыбки штабных, с кургана смотревших на него.
Генерал, за которым скакал Пьер, спустившись под гору, круто повернул влево, и Пьер, потеряв его из вида, вскакал в ряды пехотных солдат, шедших впереди его. Он пытался выехать из них то вправо, то влево; но везде были солдаты, с одинаково озабоченными лицами, занятыми каким то невидным, но, очевидно, важным делом. Все с одинаково недовольно вопросительным взглядом смотрели на этого толстого человека в белой шляпе, неизвестно для чего топчущего их своею лошадью.
– Чего ездит посерёд батальона! – крикнул на него один. Другой толконул прикладом его лошадь, и Пьер, прижавшись к луке и едва удерживая шарахнувшуюся лошадь, выскакал вперед солдат, где было просторнее.
Статья написана для ресурса . Планируется по мере поступления предложений и замечаний, а также своих мыслей дорабатывать статью. Изменения будут вноситься на этой странице.
Возможности современных антивирусов
Современный антивирус должен защищать от:
Вирусов, то есть любых вредоносных программ;
Различных обманов на деньги: поддельные антивирусы, отправка СМС для "скачивания" несуществующих файлов и т.д.;
Это базовые функции, которые должны быть в любом продукте класса Antivirus. Более функциональные антивирусные решения класса Internet Security, помимо названного, могут включать в себя:
- фаервол;
- веб-защита: защита от опасных веб-сайтов, антифишинг;
- антиспам;
- проактивная защита.
Во многих решениях присутствует такой неантивирусный функционал, как родительский контроль, шифрование, шреддинг (безвозвратное удаление информации), менеджер паролей, оптимизация компьютера.
Стоит отметить, что функционал полностью зависит от разработчика. Так, у одних разработчиков антиспам входит в решение класса Antivirus, у других - Internet Security.
Основные типы защиты от угроз
Защита от вирусов и ПНП может быть четырех типов:
1. Локально-сигнатурная. Именно такими были самые первые антивирусы на стыке веков. Сигнатура - это занесенный в базы антивируса образец кода конкретного вируса, который он ищет во всех файлах, которые проверяет (на западный манер - сканирует). Локально - значит сигнатурная база хранится на непосредственно компьютере, где установлен антивирус.
2. Локально-эвристическая. Такие технологии появились немногим позже первых. В данном случае антивирус ищет не участки кода конкретного вируса, а некий похожий на вирус код по заданным образцам. Сюда же можно отнести технологию эмуляции процессора, которая уже частично устарела.
3. Локально-проактивная. Защита на основе анализа поведения программ для выявления и пресечения их вредоносной активности. Раньше данная технология работала достаточно просто: был заданный набор описаний опасных действий, характерный для вирусов. Они просто блокировались (поведенческий блокиратор). Программы, совершающие большое количество потенциально-опасных действий, могли блокироваться полностью. Однако, в настоящий момент проактивные технологии ушли значительно вперед, о них мы еще поговорим отдельно.
4. Облачная . Наиболее современный тренд. Первые облака появились в 2005-2006 годах. С тех пор они получили огромное развитие. Суть таких технологий в том, что множество компьютеров конечных защищаемых пользователей подключены к единому командному центру и передают ему различную информацию, на основе которой автоматизированная система вычисляет вредоносные объекты. про механизм работы на блоге "Лаборатории Касперского".
Первые 2 типа защиты есть в абсолютно всех антивирусах (разве что в "Антивирусе Бабушкина" - Fraud.BabushkinAV - их нет). Их осуществляет такой важный компонент антивируса, как файловый монитор . Он в режиме реального времени проверяет все файлы, к которым система пытается получить доступ. Сначала выполняется проверка, а только потом эти файлы можно открыть. Таким образом, вирус будет обезврежен до своего запуска. Антивирусным сканированием в большинстве продуктов называется проверка по требованию пользователя, которую человек запускает вручную. Многие антивирусы умеют делать ее по расписанию.
Анекдот в тему.
Разговаривают Билл Гейтс и Стив Джобс.
Гейтс:
- Мы провели исследование и выяснили, что русские читают быстрее всех в мире.
Джобс:
- Ты скорость чтения лицензионных соглашений измерял?
При использовании "облака" стоит ознакомиться с лицензионным соглашением и условиями использования облака. Обычно из них и логики работы облачной АВ защиты следует, что:
1. На сервера может передаваться почти любая информация, которую антивирус посчитает нужной. Если есть веб-защита, то это однозначно список посещенных сайтов, ваш IP адрес и множество менее существенной информации.
2. Она передается неперсонализированно. Что под этим имеется в виду, одни разработчики знают, ведь информацию о посещенных сайтах можно отвязать от имени пользователя и считать это неперсонализированным хранением данных, но отвязывается ли она от IP адреса? Даже если да, то наверняка система запоминает ваш регион для дальнейшего определения географии распространения угроз.
3. Любым органам государственной власти имеющаяся у антивирусной компании информация может быть предоставлена. Разработчик даже может оставлять за собой право делиться данными и с любыми другими третьими лицами, обещая при этом сохранять конфиденциальность.
Отсюда следует, что спецслужбы, например, на основе данных о посещенных веб-сайтах, пусть и не персонализированных, но зато геопривязанных, могут определять общественное мнение с точностью до региона. Эта информация очень пригодится для ведения сетевой, или сетецентрической войны, направленной на невоенный захват (перевод под свое влияние) государств. Однако, возможность участия в этом антивируса теоретическая.
Дополнительные компоненты защиты
Давайте рассмотрим дополнительные компоненты защиты, обычно присутствующие в решениях класса Internet Security.
Фаервол
Фаервол - это программный продукт для контроля использования интернета. Иногда в него входит и проактивная защита, которую мы уже частично рассмотрели и сделаем это далее.
Слово фаервол образовано от английского firewall - огненная стена, поэтому иногда также встречаются написания файервол, фаерволл, файерволл. Другое слово, обозначающее то же самое - брандмауер.
Работу фаервола можно условно разделить на 2 направления: контроль выхода в интернет всех программ на компьютере и защита от интернет-атак, например, DDoS - множественных запросов на компьютер, направленных на его отключение из сети в связи с невозможностью обработки такого потока запросов. Однако, такой тип атак на домашний компьютер очень маловероятен. Фаервол также защищает и от других приемов хакеров. Защита от вторжений (IPS - intrusion prevention system, иногда IDS - intrusion detection system), то есть от проникновения вредоносного ПО в систему с использованием уязвимостей браузера или другой легитимной программы, обычно тоже ложится на плечи фаервола, но может относиться и к другому компоненту комплексного продукта класса Internet Security.
Контроль выхода различных программ в Сеть может осуществляться тремя способами:
1. Автоматически: все решения относительно того, легитимная ли программа просится в интернет, фаервол принимает самостоятельно. Обычно ему в этом помогает белый список - база известных "хороших" программ. Она может находиться как локально, так и в облаке. В последнем случае не стоит проблема ее ресурсоемкости (сколько места на жестком диске и в памяти она занимает). В зависимости от настройки, неизвестным, то есть не внесенным в белый список, приложениям может либо закрываться доступ в сеть, либо наоборот разрешатся (в последнем случае проще отключить работу фаервола на этом направлении).
2. Полуавтоматически: принятие решений на основе правил. Правило - это установка фаерволу, как нужно поступать, когда указанная программа пытается выйти в сеть; обычно можно не просто разрешать/запрещать ее действия, но и конкретизировать правила, указывая используемые порты, целевые адреса, приложения, которые запускают эту программу и т.д.
3. Вручную: каждый раз, при попытке любого ПО выйти в сеть, выдается запрос.
Обычно используется первый и второй варианты.
Веб-защита
Веб-защита тоже работает по нескольким направлениям:
1. Проверка всего интернет трафика. Грубо говоря, тот же файловый монитор, но только для всего того, что передается и получается через интернет.
2. Защита от посещения вредоносных сайтов. Раньше ссылки на известные источники вирусов заносились в локальные базы, теперь же в большинстве случаев эта защита облачная. Работает она так: сервер облака может сам заходить на различные сайты, выполнять их доскональную проверку, запоминая, какие ресурсы оказались вредоносными. Если первый тип интернет защиты обнаруживает угрозу, то ее адрес отправляется в облако для предотвращения посещения этого ресурса другими пользователями. Смысл в том, что, если сайт взломан и на него установлены вирусы, то злоумышленники их (вирусы) могут менять без ведома антивирусной компании, в результате чего первый тип веб-защиты может пропустить новейшие, еще неизвестные вредоносные программы. Здесь стоит отметить, что в современных антивирусах защита строится на всесторонней обороне по принципу "заражение легче предотвратить, чем его потом лечить".
3. Защита от фишинга. Фишинг - это поддельные сайты, по внешнему виду почти неотличимые от оригинала, которые просят ввести пароли или данные кредитной карты. Примеры можно посмотреть на PhishTank. Осторожно, такие сайты могут быть дополнительно заражены вирусами.
Подробнее о принципе работы веб-защиты на примере Lavasoft читайте .
Антиспам
Антиспам и почтовый монитор проверяют на предмет наличия спама или вирусов электронную почту, получаемую локально - обычно через установленные почтовые клиенты (The Bat, Thunderbird, Windows Mail и др.). Почта, которую вы читаете через браузер, не проверяется, однако на всех современных почтовых службах используются и так хорошие антивирусные и антиспам технологии.
Мы уже выше рассмотрели стандартные технологии проактивной защиты, к которым относится и IPS, которую мы посчитали частью фаервола. Что же еще предлагают многие разработчики?
Безопасный банкинг
Это изолированная среда, изолированный от внешнего компьютерного мира браузер, предназначенный для безопасного совершения банковских операций. Безопасность заключается в том, что браузер изолируется от всех остальных программ, в результате чего вводимая в нем информация не может быть перехвачена. Технология не гарантирует 100% защиты, каждый разработчик использует разные подходы к обеспечиванию безопасности онлайн банкинга.
Песочница, sandbox
Изолированная от остального компьютера среда, позволяющая безопасно запускать любые программы. Все изменения, ими сделанные, по окончанию работы откатываются, а чреватые повреждениями системы вредоносные действия запрещены. Бывают автоматически песочницы: малоизвестные программы автоматически запускаются в изоляции. Некоторые вирусы умеют определять, что они работают в песочнице, в случае обнаружения которой прекращают свою работу. Это нужно еще и для того, чтобы автоматические системы анализа на серверах антивирусных разработчиков не могли выявить этих вредоносов.
Откат вредоносных действия, rollback
Некоторые продукты, например Twister и Webroot, не используют автопесочниц, как Comodo, но следят за всеми изменениями в системе, совершаемыми запущенными приложениями. Если антивирус после долгого наблюдения за активностью программы вдруг решит, что она вредоносная, он удалит, откатив сделанные ее изменения в системе. Разница между Webroot и Twister в том, что первый предпочитает пару десятков минут понаблюдать за программой, прежде чем окрестить ее вредоносной, при этом имея неплохой облачный детект (обнаруживает вирусы до их запуска, часто на основании данных от других пользователей, что эта программа проявляла вредоносную активность), а вот второй в силу маленького количества пользователей и недоработанности облачных технологий такой развитой крадудсорсинговой базы не имеет, но вредоносное ПО предпочитает прибивать в самом начале его работы, даже, бывает, не успев его проверить в облаке. Оба продукта в момент озарения откатывают зафиксированные ими со стороны вируса изменения в системе.
HIPS, host-based intrusion prevention system, система предотвращения вторжений на узел
Система, следящая за всеми изменениями в системе и способная предотвращать вредоносные. Как и фаервол, имеет настраиваемые правила, режимы работы от автомата до ручного, белые списки известных безопасных программ.
Производительность и быстродействие
При выборе антивируса также обратите внимание на его ресурсоемкость - количество потребляемых им ресурсов. Не секрет, что на слабых системах (2 ГБ ОЗУ, процессор 1.6 ГГц, приблизительно, и ниже) антивирус является главным потребителем ресурсов и, как следствие, сильно замедляет работу системы.
Чем бОльшая часть антивируса перенесена в облако, тем меньше ресурсов ему требуется, тем быстрее он работает, но тем и более хороший интернет нужен для его нормальной работы. В части антивирусов, например, Антивирусе Касперского, облако используется лишь как вспомогательный инструмент в дополнение к локальной сигнатурной, эвристической и проактивной защите. Но в других продуктах, например, Baidu, Qihoo 360 (в этих двух случаях речь идет об их собственных технологиях, а не об используемых сторонних движках) вся антивирусная защита перенесена в облако. Соответственно, при отсутствии интернета компьютер останется незащищенным.
Чтобы узнать параметры своего компьютера, зайдите в Пуск - Панель управления - Система, или в Пуск - правой кнопкой на "Компьютер" - Свойства. Минимальные системное требования указываются в описании каждого продукта.
Пробуем сами - виртуальные системы
Чтобы протестировать продукт (без учета соответствия количества системных ресурсов), можно установить его на виртуальную систему, например, поставить лицензионную демо версию Windows на виртуальную машину VirtualBox , что будет бесплатно.
Последний критерий - цена. Обратите внимание на бесплатные антивирусы или . Комплексные решения класса Internet Security обычно платные, но можно использовать связку бесплатный антивирус + бесплатный фаервол + бесплатная проактивная защита в случае ее отсутствия в антивирусе. Каждую связку лучше предварительно проверить на совместимость на виртуальной машине.
Таким образом, при выборе антивируса нужно начинать с подбора необходимого функционала. При этом, если вы неопытный пользователь, не забывайте, что для вас чем проще антивирус, тем лучше. Идеальный вариант - это бесплатные или облачные решения. Что касается проактивных технологий, то в одних продуктах они работают на автомате, не требуя вмешательства пользователя, когда как другие продукты требуют от пользователя определенных знаний.
Ни одна антивирусная технология не обеспечивает 100% защиты. В чем-то силен один продукт, в чем-то другой. Обратите внимание на результаты многочисленных тестов . Однако помните, что это субъективная оценка.
Если вам нужна помощь в подборе антивируса, то пишите в комментарии, указывая параметры процессора и ОЗУ, скорость интернет соединения, постоянно ли оно, свои навыки пользователя, степень готовности к участию в облаке, необходимые компоненты защиты, обязательна ли бесплатность защиты..
Также готовы выслушать любые замечания и предложения по статье. Она будет дорабатываться.
Нашли опечатку? Выделите и нажмите Ctrl + Enter
История компьютерных вирусов насчитывает уже более 25 лет. Неразрывно с вирусами развивались и средства противодействия вирусам - антивирусы. Исторически сложилось так, что лидерство на рынке антивирусных технологий заняли системы сигнатурного поиска, иначе называемые реактивными, имеющие целый ряд серьезных недостатков. На смену им приходят новые проактивные технологии такие как HIPS, Sandbox, VIPS и другие., к которых пойдет речь в этой статье.
Классические проактивные системы обнаружения вредоносных программ, несмотря на кажущуюся простоту реализации и надежность, имеют ряд существенных недостатков, а именно:
* Слабая эффективность против угроз типа 0-day, так как эффективность напрямую связана с базой сигнатур вредоносного ПО, в которую внесены сигнатуры только известного, на данный момент, вредоносного ПО;
* Необходимость постоянного обновления базы сигнатур вирусов для эффективной защиты от нового вредоносного ПО;
* Для определения вредоносного ПО необходима процедура сканирования, которая отнимает достаточно много времени и системных ресурсов;
Методы проактивной защиты
История развития проактивных методов защиты
Проактивные методы защиты появились почти одновременно с реактивными методами защиты, как и системы, применяющие данные методы. Но в силу недостаточной «дружественности» проактивных систем защиты по отношению к пользователю разработка подобных систем была прекращена, а методы преданы забвению. Относительно недавно проактивные методы защиты начали свое возрождение. На сегодняшний день методы проактивной защиты интегрируются в антивирусные программы, ранее использовавшие лишь реактивные системы защиты, а так же на основе проактивных методов создаются новые антивирусные системы, комбинирующие несколько методов проактивной защиты, и позволяющие эффективно противостоять новейшим угрозам.
На сегодняшний день наиболее известны и часто применимы следующие методы проактивной защиты:
* Методы поведенческого анализа;
* Методы ограничения выполнение операций;
* Методы контроля целостности ПО и ОС.
Методы предотвращения вторжений (IPS-методы):
HIPS
- метод контроля активности, основанный на перехвате обращений к ядру ОС и блокировке выполнения потенциально опасных действий ПО, работающего в user-mode, выполняемых без ведома пользователя; Принцип работы HIPS-система с помощью собственного драйвера перехватывает все обращения ПО к ядру ОС. В случае попытки выполнения потенциально опасного действия со стороны ПО, HIPS-система блокирует выполнение данного действия и выдает запрос пользователю, который решает разрешить или запретить выполнение данного действия.
Преимущества систем, построенных на методе HIPS:
* Высокая эффективность противодействия руткитам, работающим в user-mode;
Недостатки систем, построенных на методе HIPS:
* Низкая эффективность противодействия руткитам, работающим в kernel-mode;
VIPS - метод контроля активности, основанный на мониторинге выполняемых операций ПО, установленном на ПК, и блокировке выполнения потенциально опасных действий ПО, выполняемых без ведома пользователя.
Принцип работы VIPS-система при помощи технологий аппаратной виртуализации (Intel VT-x, AMD-V) запускает ОС в «виртуальной машине» и осуществляет контроль всех выполняемых операций. В случае попытки выполнения потенциально опасного действия со стороны ПО, VIPS-система блокирует выполнение данного действия и выдает запрос пользователю, который решает разрешить или запретить выполнение данного действия.
Преимущества систем, построенных на методе VIPS:
* Низкое потребление системных ресурсов;
* Высокая эффективность противостояния угрозам 0-day;
* Высокая эффективность противодействия руткитам, работающим и в user-mode, и в kernel-mode;
Недостатки систем, построенных на методе VIPS:
* Требовательны к аппаратному обеспечению ПК (для работы VIPS-системы необходима аппаратная поддержка процессором технологий аппаратной виртуализации (Intel VT-x или AMD-V);
* Большое количество обращений к пользователю ПК;
* Пользователь должен обладать знаниями о принципах функционирования ОС;
* Невозможность противодействия активному заражению ПК;
Песочница (sandbox)
- метод, основанный на выполнении потенциально опасного ПО в ограниченной среде выполнения (т.н. «песочнице»), которая допускает контакт потенциально опасного ПО с ОС.
Принцип работы
Песочница разделяет установленное ПО на две категории: «Доверенные» и «Не доверенные». ПО, входящее в группу «Доверенные» выполняется без каких либо ограничений. ПО входящее в группу «Не доверенные» выполняется в специальной ограниченной среде выполнения (т.н. песочнице), данному ПО запрещено выполнение любых операций, которые могут привести к краху ОС.
Преимущества систем, построенных на методе песочница (sandbox):
* Низкое потребление системных ресурсов;
* Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
* Малое количество обращений к пользователю ПК;
Недостатки систем, построенных на методе песочница (sandbox):
* Пользователь должен обладать знаниями о принципах функционирования ОС;
* Невозможность противодействия активному заражению ПК;
Поведенческий блокиратор (метод активного поведенческого анализа) - метод, основанный на методах IPS, анализа в реальном времени цепочек действий ПО и блокирования выполнение потенциально опасных алгоритмов в реальном времени.
Принцип работы Различные проактивные системы защиты используют различные концепции реализации метода активного поведенческого анализа (т.к. метод активного поведенческого анализа может быть построен на базе любого IPS-метода). В общем и целом метод активного поведенческого анализа представляет собой IPS-метод с интеллектуальной системой принятия решений, анализирующей, не отдельные действия, а цепочки действий.
* Меньшее количество обращений к пользователю, по сравнению с системами, построенными на IPS-методах;
* Низкое потребление системных ресурсов;
* Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
* Интеллектуальная система вынесения вердиктов может вызывать «ложные срабатывания» (блокирование работы не вредоносного ПО, из-за совершения операций, схожих с деятельностью вредоносного ПО);
* Невозможность противодействия активному заражению ПК;
Методы эмуляции системных событий (метод пассивного поведенческого анализа)
- метод определения вредоносного ПО путем анализа действий и/или цепочки действий с помощью выполнения ПО в специальной ограниченной среде (т.н. эмуляторе кода), имитирующей реальное аппаратное обеспечение.
Принцип работы
ПО запускается в специальной ограниченной среде (т.н. эмуляторе кода), имитирующей реальное аппаратное обеспечение, где производится проверка на выполнение определенных действий и/или цепочки действий. Если обнаружена возможность выполнения потенциально опасного действия и/или цепочки действий, ПО помечается как вредоносное.
Преимущества систем, построенных на методе активного поведенческого анализа:
* Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
* Отсутствие обращений к пользователю, за исключением случаев обнаружения вредоносного ПО;
Недостатки систем, построенных на методе активного поведенческого анализа:
* В некоторых случаях анализ кода может занимать достаточно продолжительное время;
* Широкое применение методик противодействия эмуляции кода вредоносного ПО, поэтому системы, использующие метод пассивного поведенческого анализа, могут противостоять не всем видам вредоносного ПО;
Сканер целостности осуществляет постоянный мониторинг ядра ОС, на предмет выявления изменений, которые могло произвести вредоносное ПО. В случае обнаружения изменений внесенных вредоносным ПО об этом оповещается пользователь и по возможности производится откат действий, произведенных вредоносными ПО.
Принцип работы
Сканер целостности осуществляет мониторинг всех обращений к ядру ОС. В случае обнаружения попытки изменения критически важных параметров, операция блокируется.
Преимущества систем, построенных на методе «сканер целостности»:=
* Не требуют специальных знаний или навыков со стороны пользователя;
* Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
* Малое количество обращений к пользователю;
Недостатки систем, построенных на методе «сканер целостности»:
* Для осуществление контроля целостности необходимо контролировать большое количество различных параметров, что может негативно сказаться на производительности ПК;
* Слабая эффективность противодействия user-mode и kernel-mode руткитам;
* Невозможность противодействия активному заражению ПК;
Метод предотвращения атак на переполнение буфера («эмулятор NX-бита») осуществляет мониторинг содержимого оперативной памяти. В случае обнаружения попытки внесения критических изменений в содержимое оперативной памяти, действие блокируется.
Принцип работы
Как известно, суть атак на переполнение буфера заключается в преднамеренном переполнении оперативной памяти и как следствие вывода из строя ПК, на определенное время. «Эмулятор NX-бита» создает специальную зарезервированную область оперативной памяти, куда запись данных невозможна. В случае обнаружения попытки записи данных в зарезервированную область памяти, «эмулятор NX-бита» блокирует действие, таким образом, предотвращая вывод ПК из строя.
Преимущества систем, построенных на методе «эмулятора NX-бита»:
* Не требуют специальных знаний или навыков со стороны пользователя;
* Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
* Полное отсутствие каких бы то ни было обращений к пользователю;
Недостатки систем, построенных на методе «эмулятора NX-бита»:
* Системы, построенные на методе «эмулятора NX-бита», могут противостоять только против хакерских атак на переполнение буфера, любым другим видам угроз данные системы противостоять не могут;
* Невозможность противодействия активному заражению ПК.
Проактивная защита
[править]
Материал из Википедии - свободной энциклопедии
Проактивные технологии – совокупность технологий и методов, используемых в антивирусном программном обеспечении, основной целью которых, в отличие от реактивных (сигнатурных) технологий, является предотвращение заражения системы пользователя, а не поиск уже известного вредоносного программного обеспечения в системе.
[править]История развития проактивных технологий антивирусной защиты
Проактивные технологии начали развиваться практически одновременно с классическими (сигнатурными) технологиями. Однако, первые реализации проактивных технологий антивирусной защиты требовали высокий уровень квалификации пользователя, т.е. не были рассчитаны на массовое использование простыми пользователями персональных компьютеров. Спустя десятилетие антивирусной индустрии стало очевидно, что сигнатурные методы обнаружения уже не могут обеспечить эффективную защиту пользователей. Этот факт и подтолкнул к возрождению проактивных технологий.
[править]Технологии проактивной защиты
§ Эвристический анализ
Технология эвристического анализа позволяет на основе анализа кода выполняемого приложения, скрипта или макроса обнаружить участки кода, отвечающие за вредоносную активность.
Эффективность данной технологии не является высокой, что обусловлено большим количеством ложных срабатываний при повышении чувствительности анализатора, а также большим набором техник, используемых авторами вредоносного ПО для обхода эвристического компонента антивирусного ПО.
§ Эмуляция кода
Технология эмуляции позволяет запускать приложение в среде эмуляции, эмулируя поведение ОС или центрального процессора. При выполнении приложения в режиме эмуляции приложение не сможет нанести вреда системе пользователя, а вредоносное действие будет детектировано эмулятором.
Несмотря на кажущуюся эффективность данного подхода, он также не лишен недостатков – эмуляция занимает слишком много времени и ресурсов компьютера пользователя, что негативно сказывается на быстродействии при выполнении повседневных операций, также, современные вредоносные программы способны обнаруживать выполнение в эмулированной среде и прекращать свое выполнение в ней.
§ Анализ поведения
Технология анализа поведения основывается на перехвате всех важных системных функций или установке т.н. мини-фильтров, что позволяет отслеживать всю активность в системе пользователя. Технология поведенческого анализа позволяет оценивать не только единичное действие, но и цепочку действий, что многократно повышает эффективность противодействия вирусным угрозам. Также, поведенческий анализ является технологической основой для целого класса программ – поведенческих блокираторов (HIPS – Host-based Intrusion Systems).
§ Sandboxing (Песочница) – ограничение привилегий выполнения
Технология Песочницы работает по принципу ограничения активности потенциально вредоносных приложений таким образом, чтобы они не могли нанести вреда системе пользователя.
Ограничение активности достигается за счет выполнения неизвестных приложений в ограниченной среде – собственно песочнице, откуда приложение не имеет прав доступа к критическим системным файлам, веткам реестра и другой важной информации. Технология ограничения привилегий выполнения является эффективной технологией противодействия современным угрозам, но, следует понимать, что пользователь должен обладать знаниями, необходимыми для правильной оценки неизвестного приложения.
§ Виртуализация рабочего окружения
Технология виртуализации рабочего окружения работает с помощью системного драйвера, который перехватывает все запросы на запись на жесткий диск и вместо выполнения записи на реальный жесткий диск выполняет запись в специальную дисковую область – буфер. Таким образом, даже в том случае, если пользователь запустит вредоносное программное обеспечение, оно проживет не далее чем до очистки буфера, которая по умолчанию выполняется при выключении компьютера.
Однако, следует понимать, что технология виртуализации рабочего окружения не сможет защитить от вредоносных программ, основной целью которых является кража конфиденциальной информации, т.к. доступ на чтение к жесткому диску не запрещен.
[править]Применение проактивных технологий в настоящее время
В настоящее время проактивные технологии являются важным и неотъемлемым компонентом антивирусного программного обеспечения. Более того, как правило, в антивирусных продуктах используется сочетание сразу нескольких технологий проактивной защиты, например эвристический анализ и эмуляция кода успешно сочетаются с поведенческим анализом, что позволяет многократно повысить эффективность современных антивирусных продуктов против новых, все более и более изощренных вредоносных программ.
13. Особенности файловой системы FAT32.
©2015-2019 сайт
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2016-04-02
Конкурируя с традиционным ПО по информационной безопасности, на первый план выходят новые проактивные технологии, одно из направлений в которых составляют решения для предотвращения вторжений в систему - Host Intrusion Prevention System. В данной статье подобные технологии рассматриваются на примере российской разработки Safe’n’Sec от StarForce Technologies.
Проблема качественной и надежной защиты корпоративных сетей от взлома и кражи хранящейся в них информации на сегодня составляет головную боль руководителей предприятий и системных администраторов. Крупные и мелкие игроки на рынке информационной безопасности предлагают передовые разработки и свежие решения. Старые версии обновляются, дополняются, улучшаются.
В настоящее время, успешно конкурируя с традиционным ПО по информационной безопасности, на первый план выходят новые проактивные технологии, одно из направлений в которых составляют решения для предотвращения вторжений в систему (Host Intrusion Prevention System - HIPS).
Программы класса Host Intrusion Prevention System обладают рядом существенных преимуществ, по сути это поведенческие анализаторы, которые по определенным признакам, характерным для вредоносных объектов, предотвращают атаку и нежелательные действия в системе. Об этом классе программ стоит поговорить подробнее.
Современный рынок средств защиты персональных компьютеров и корпоративных сетей от различных видов внешних угроз представлен 4-мя основными направлениями:
- антивирусные программы, работающие как по сигнатурному принципу (выявление вредоносного кода), так и на основе эвристического анализатора (анализ кода по нескольким заданным показателям и заключение об опасности/безвредности приложения);
- корпоративные межсетевые экраны (firewall), которые часто используются совместно с Network Intrusion Detection, контролирующей потоки информации в компьютерной сети;
- персональные firewall, анализирующие трафик на конкретном компьютере;
- программы Host Intrusion Prevention, основанные на системе проактивной защиты ПК от любых видов угроз, базирующейся на анализе поведения компонентов информационной системы.
Все эти направления эффективно борются с определенными видами угроз и вместе представляют единый комплекс надежной защиты от различных типов вторжения. Однако ни одна технология не даст Вам 100% гарантию безопасности. Проактивные технологии Host Intrusion Prevention удачно дополняет вышеперечисленные средства защиты, делая защиту компьютера более универсальной и комплексной.
Например, Safe’n’Sec, разработка российской компании StarForce Technologies имеет целый ряд преимуществ, восполняющих пробелы традиционных систем защиты ПК. Программный продукт Safe’n’Sec предлагает проактивную защиту компьютерных сетей в том числе и от ранее неизвестных вирусов, отслеживающую и блокирующую любые несанкционированные действия, прежде чем они нанесут какой-либо вред.
Сетевые файерволы контролируют трафик по периметру корпоративной сети, не анализируя информационные потоки на входе в каждый конкретный компьютер. Персональные файерволы не контролируют активность внутри самого компьютера. Проактивная система защиты Safe’n’Sec эффективно контролирует весь спектр активности как по периметру, так и внутри корпоративных сетей и персональных компьютеров.
Сейчас продуктовая линейка Safe’n’Sec представлена версиями Personal, Business для защиты корпоративных информационных сетей малого и среднего бизнеса. Персональная версия Personal Safe’n’Sec - это надежная защита ПК от неизвестных вирусов, программ-шпионов, троянских программ, хакерских атак, взлома, кражи информации, ошибочных действий пользователя. Как заявляет производитель, программа бережно относится к ресурсам компьютера, комфортная работа гарантирована даже на процессорах Intel 300 МГц. Кроме того, Safe’n’Sec на 100% совместим с большинством традиционного программ по безопасности (Agnitum Outpost Firewall, Антивирус Касперского, антивирус DrWeb и др.) Эффективность проактивной защиты Safe’n’Sec постоянна и не снижается при появлении новых видов угроз, поскольку не опирается на анализ кода вредоносных приложений и, следовательно, практически не зависит от обновлений.
StarForce Safe’n’Sec 1.1 - процесс сканирования жесткого диска
StarForce Safe’n’Sec 1.1 - настройки программы
Business Safe’n’Sec - программный продукт, основанный на системе проактивной защиты и предназначенный для информационных сетей малых и средних предприятий с количеством рабочих станций не более 1000. Business Safe’n’Sec способен эффективно противостоять вирусным эпидемиям, хакерским атакам, шпионским программам и попыткам несанкционированного доступа в систему на всех входящих в сеть ПК.
Консоль централизованного управления системой Safe’n’Sec Admin Explorer не требует инсталляции и имеет знакомый всем пользователям Windows XP привычный интерфейс управления. В программе предусмотрена возможность централизованной и удаленной установки, изменения свойств клиентских станций, централизованного и удаленного выполнения сервисных задач. Это позволяет в несколько раз снизить временные затраты на развертывание безопасности предприятия. Business Safe"n"Sec позволяет существенно экономить бюджет компании-заказчика и людские ресурсы без ущерба общему уровню информационной безопасности предприятия. В бизнес-версии введена новая система лицензирования программы, в отличие от версии для индивидуальных пользователей, в которой используется технология ProActive, в многопользовательском продукте реализован метод введения серийных ключей.
По оценке самой StarForce ее продукт Business Safe’n’Sec позволяет в 8-10 раз сократить время обработки сигнала тревоги и устранения угрозы, на 15-45% эко6номить материальные и человеческие ресурсы на развертывание и поддержание системы безопасности и сэкономить от $500 до $5000 в год на одну рабочую станцию в зависимости от направления бизнеса!
В планах StarForce уже в 2006 году выпустить новый программный продукт Enterprise Safe’n’Sec, предназначенный для защиты корпоративных сетей крупных предприятий, общее количество машин в которых превышает одну тысячу. Пользователям версии Enterprise станет доступен широкий спектр услуг сервисных центров: управление правами пользователя, настройка групповых политик, управление задачами по расписанию, централизованная система обновлений, рассылка e-mail-уведомлений о критических событиях в сети, отложенное выполнение задач на off-line станциях.
Проактивная система защиты Host Intrusion Prevention System, такая как Safe’n’Sec является весомым и эффективным дополнением ко всем стандартным видам защиты ПК, образуя комплексный заслон на пути различных типов угроз. Сочетание поведенческих и сигнатурных технологий позволяет контролировать широкий спектр событий, связанных с предотвращением вторжений.
Подводя итоги, можно рекомендовать продукты такого класса в качестве дополнения к существующей системе безопасности, как персонального компьютера, так и корпоративной сети предприятия. Стоит, однако, признать, что подобные технологии в той или иной степени, не так давно стали интегрироваться в персональные антивирусные продукты и продукты для рабочих станций ведущих мировых производителей, таких как:
- Symantec (Norton AntiVirus, Norton Internet Security 2005 и выше (только worm protection), Symantec Client Security 2.0);
- McAfee (McAfee VirusScan 9.0 и выше, McAfee Internet Security Suite 7.0 и выше, VirusScan Enterprise 8.0i);
- Trend Micro (Trend Micro PC-cillin Internet Security 2005);
- Panda Software (все продукты с технологией TruPrevent);
- Лаборатория Касперского (Антивирус Personal и Personal Pro 5.0 c MP2 и выше).
Конечно, функционально встроенные в антивирусные продукты HID пока не могут сравниться с отдельными решениями, но все же частично решают задачу, но это уже другая тема. Если же Вы используете какой-то другой «чистый» антивирус, не вошедший в список выше, то такое решение как Safe’n’Sec Вам просто необходимо. В любом случае, продукты Host Intrusion Prevention System надо использовать, ведь 100% гарантии Вам не даст ни одни отдельный продукт и дополнительная проактивная защита в свете все увеличивающегося потока заразы никогда не будет лишней.
Скачать бесплатную пробную 30-ти дневную версию Safe"n"Sec 1.1 вы можете , Safe"n"Sec 1.1 + Антивирус (движок и базы BitDefender)– .
Основатель проекта сайт
Благодарю компанию StarForce Technologies за предоставленную информацию о продуктах Safe’n’Sec.
Проактивная защита
Проактивные технологии – совокупность технологий и методов, используемых в антивирусном программном обеспечении , основной целью которых, в отличие от реактивных (сигнатурных) технологий , является предотвращение заражения системы пользователя, а не поиск уже известного вредоносного программного обеспечения в системе.
История развития проактивных технологий антивирусной защиты
Проактивные технологии начали развиваться практически одновременно с классическими (сигнатурными) технологиями. Однако, первые реализации проактивных технологий антивирусной защиты требовали высокий уровень квалификации пользователя, т.е. не были рассчитаны на массовое использование простыми пользователями персональных компьютеров. Спустя десятилетие антивирусной индустрии стало очевидно, что сигнатурные методы обнаружения уже не могут обеспечить эффективную защиту пользователей. Этот факт и подтолкнул к возрождению проактивных технологий.
Технологии проактивной защиты
Технология эвристического анализа позволяет на основе анализа кода выполняемого приложения, скрипта или макроса обнаружить участки кода, отвечающие за вредоносную активность.
Эффективность данной технологии не является высокой, что обусловлено большим количеством ложных срабатываний при повышении чувствительности анализатора, а также большим набором техник, используемых авторами вредоносного ПО для обхода эвристического компонента антивирусного ПО .
Технология эмуляции позволяет запускать приложение в среде эмуляции, эмулируя поведение ОС или центрального процессора. При выполнении приложения в режиме эмуляции приложение не сможет нанести вреда системе пользователя, а вредоносное действие будет детектировано эмулятором.
Несмотря на кажущуюся эффективность данного подхода, он также не лишен недостатков – эмуляция занимает слишком много времени и ресурсов компьютера пользователя, что негативно сказывается на быстродействии при выполнении повседневных операций, также, современные вредоносные программы способны обнаруживать выполнение в эмулированной среде и прекращать свое выполнение в ней.
- Анализ поведения
Технология анализа поведения основывается на перехвате всех важных системных функций или установке т.н. мини-фильтров, что позволяет отслеживать всю активность в системе пользователя. Технология поведенческого анализа позволяет оценивать не только единичное действие, но и цепочку действий, что многократно повышает эффективность противодействия вирусным угрозам. Также, поведенческий анализ является технологической основой для целого класса программ – поведенческих блокираторов (HIPS – Host-based Intrusion Systems).
Технология Песочницы работает по принципу ограничения активности потенциально вредоносных приложений таким образом, чтобы они не могли нанести вреда системе пользователя.
Ограничение активности достигается за счет выполнения неизвестных приложений в ограниченной среде – собственно песочнице, откуда приложение не имеет прав доступа к критическим системным файлам, веткам реестра и другой важной информации. Технология ограничения привилегий выполнения является эффективной технологией противодействия современным угрозам, но, следует понимать, что пользователь должен обладать знаниями, необходимыми для правильной оценки неизвестного приложения.
- Виртуализация рабочего окружения
Технология виртуализации рабочего окружения работает с помощью системного драйвера, который перехватывает все запросы на запись на жесткий диск и вместо выполнения записи на реальный жесткий диск выполняет запись в специальную дисковую область – буфер. Таким образом, даже в том случае, если пользователь запустит вредоносное программное обеспечение, оно проживет не далее чем до очистки буфера, которая по умолчанию выполняется при выключении компьютера.
Однако, следует понимать, что технология виртуализации рабочего окружения не сможет защитить от вредоносных программ, основной целью которых является кража конфиденциальной информации, т.к. доступ на чтение к жесткому диску не запрещен.
Применение проактивных технологий в настоящее время
В настоящее время проактивные технологии являются важным и неотъемлемым компонентом антивирусного программного обеспечения. Более того, как правило, в антивирусных продуктах используется сочетание сразу нескольких технологий проактивной защиты, например