Андрей Никишин
Источник: www.viruslist.com
Быстрый рост количества вирусных эпидемий, громкие атаки хакеров, сетевое мошенничество, угроза spyware, — все это подняло спрос на системы антивирусной защиты. Предложений на рынке антивирусной защиты существует множество. Как выбрать лучший продукт? Какой из антивирусов может гарантировать 100% детектирование вирусов при минимальном уровне ложных срабатываний? Какой из антивирусов предлагает наиболее полный набор технологий для обеспечения адекватной защиты компьютера и сети от всех видов вредоносных программ?
Одной из основных частей любого антивируса является так называемый антивирусный «движок» — модуль, отвечающий за проверку объектов и обнаружение вредоносных программ. Именно от антивирусного «движка» зависит качество детектирования вредоносных программ и, как следствие, уровень защиты, предоставляемый антивирусом. Но в последнее время, в связи с взрывным ростом количества вредоносного ПО, все большую важность приобретают превентивные — или проактивные — методы обнаружения вредоносного ПО. Данные методы позволяют обнаруживать вредоносное ПО до обновления антивирусных баз, иначе говоря — обнаруживать угрозу до ее появления. При этом количество ложных срабатываний также должно быть минимальным (в идеале ложных срабатываний не должно быть вовсе).
Данный документ описывает основные подходы к превентивной защите, реализованные различными производителями. Дается оценка этих технологий. Документ главным образом предназначен для экспертов и подготовленных специалистов по компьютерной безопасности, знакомых с основными принципами работы антивирусных программ.
В последние несколько лет на рынке антивирусной безопасности активно обсуждается тема «смерти» классических антивирусов, использующих для детектирования вредоносного ПО те или иные виды сигнатур. Основной причиной этого называется скорость распространения вредоносного ПО, которая выше скорости распространения обновлений антивирусной базы и, в дополнение, на анализ нового вируса всегда требуется некоторое время. Таким образом, на время от обнаружения новой вредоносной программы до появления обновления антивирусного обновления пользователи остаются беззащитными. Выходом из данной ситуации разные компании видят несколько подходов.
Когда количество вирусов превысило несколько сотен, антивирусные эксперты задумались над идеей детектирования вредоносных программ, о существовании которых антивирусная программа еще не знает - нет соответствующих сигнатур. В результате были созданы так называемые эвристические анализаторы.
Эвристическим анализатором называется набор подпрограмм, которые анализируют код исполняемых файлов, макросов, скриптов, памяти или загрузочных секторов для обнаружения в нем разных типов вредоносных компьютерных программ, не определяемых обычными (сигнатурными) методами. Другими словами — эвристические анализаторы предназначены для поиска неизвестного вредоносного ПО.
Уровень детектирования у эвристических анализаторов не очень высок, так как существуют десятки различных методов их «обмана», которыми пользуются авторы вирусов. Кроме этого, для эвристических анализаторов с высоким уровнем обнаружения характерен высокий уровень ложных срабатываний, что делает их использование неприемлемым. Даже у самых лучших антивирусов уровень обнаружения новых вредоносных программ не превышает 25-30%. Несмотря на невысокий уровень обнаружения, эвристические методы остаются востребованными в современных антивирусах. Причина проста — комбинация различных методов превентивного обнаружения приводит к повышению качества обнаружения.
Политика безопасности является необходимым атрибутом любой продуманной стратегии защиты от ИТ-угроз. Продуманная политика позволяет в несколько раз уменьшить риск заражения вредоносной программой, атаки хакеров или утечки конфиденциальной информации. Простой пример — запрет на открытие вложенных файлов из электронных писем снижает риск заражения почтовым червем практически до 0. Запрет на использование сменных носителей также снижает риск проникновения вредоносного кода. К разработке политики всегда нужно подходить очень взвешенно и учитывать потребности и бизнес-процессы всех подразделений и работников компании.
Кроме вышеописанного подхода к политике безопасности, в материалах различных производителей встречаются упоминания безопасности на основе политик (policy-based security). На сегодняшний день существует несколько подходов к такому способу обеспечения безопасности.
Подход Trend Micro — Trend Micro Outbreak Prevention Services. Данный сервис подразумевает распространение неких политик, позволяющих предотвратить эпидемию. Т.е. политика распространяется до появления обновления антивирусных баз или патчей. С первого взгляда кажется, что данное решение выглядит разумным, но дело в том, что скорость добавления процедур обнаружения нового malware в Trend Micro низка и данное решение сделано для того, чтобы «заткнуть дыру» медленной работы антивирусной лаборатории TrendLab. Кроме этого, на формирование политики также требуется время (не всегда меньшее, чем на анализ вируса для добавления процедур детектирования в АВ базу) и все равно есть промежуток времени, в который пользователь остается беззащитным перед новой угрозой. Другим недостатком данного подхода является частота смены политик безопасности. Все плюсы от безопасности на основе политик заключаются в малой частоте смены самой политики. Это позволяет персоналу привыкнуть к тому, что и как делать можно, а что запрещено. Если же политики будут меняться по нескольку раз в день, это просто внесет сумятицу и приведет к тому, что никакой политики безопасности не будет. Корректнее всего назвать метод Trend Micro не policy-based security, а ускоренным выпуском неких сигнатур. Следовательно, такой подход не является в большинстве случаев проактивным. Исключение составляют политики, которые делают невозможной эксплуатацию тех или иных уязвимостей в программном обеспечении.
Подход Cisco-Microsoft. Ограничение доступа в корпоративную сеть для компьютеров, которые не соответствуют политике безопасности компании (например, отсутствуют необходимые обновления операционной системы, нет последних обновлений антивирусных баз и т.д.). Для приведения компьютера в соответствие политике, выделяется доступ только на специальный сервер обновлений. После установки всех необходимых обновлений и выполнения других действий, требуемых политикой безопасности, компьютер получает доступ в корпоративную сеть.
Системы предотвращения вторжений (IPS) предусматривают возможность закрытия наиболее часто используемых вредоносными программами уязвимостей компьютера перед новой угрозой еще до выхода обновления антивирусных баз: блокировка портов, т.е. возможности попадания инфекции на компьютер и ее дальнейшего размножения; создание политик для ограничения доступа к директориям или отдельным файлам; обнаружение источника инфекции в сети и блокировка дальнейших коммуникаций с ним. Данная технология отлично работает против атак хакеров и бесфайловых червей и вирусов, но против почтовых червей, классических вирусов и троянских программ IPS не эффективна.
Идея технологии — не допустить переполнения буфера для наиболее распространенных программ, сервисов Windows, включая Word, Excel, Internet Explorer, Outlook и SQL Server. При большинстве современных атак задействуются различные уязвимости, использующие переполнение буфера. Предотвращение переполнения буфера также можно отнести к проактивной защите, т.к. эта технология просто исключает использование такой уязвимости любым вредоносным кодом или атакой.
Поведенческие блокираторы. История поведенческих блокираторов насчитывает уже более 13 лет. Данный вид антивирусного ПО не был популярным 8-10 лет назад, но с появлением новых видов ИТ-угроз о поведенческих блокираторах вновь вспомнили. Основная идея блокиратора — анализ поведения программ и блокировка выполнения любых опасных действий. Теоретически блокиратор может предотвратить распространение любого, как известного, так и неизвестного (написанного после блокиратора) вируса. Именно в этом направлении и движется большинство разработчиков антивирусного ПО. Примеров реализации данной технологии довольно много. В последнее время большинство систем предотвращения распространения почтовых червей по механизму являются поведенческими блокираторами.
Первое поколение поведенческих блокираторов появилось еще в середине 90-х годов (в самый разгар эпохи DOS-вирусов). Принцип их действия был прост — при обнаружении потенциально опасного действия задавался вопрос пользователю — разрешить или запретить действие. Во многих случаях такой подход работал, но «подозрительные» действия производили и легитимные программы (вплоть до операционной системы) и если пользователь не обладал должной квалификацией, вопросы антивируса вызывали непонимание. С проникновением персональных компьютеров все глубже в повседневную жизнь снижался средний уровень квалификации пользователей и первые поведенческие блокираторы перестали быть востребованными рынком.
Как уже упоминалось выше, основным недостатком первых поведенческих блокираторов было количество запросов к пользователю. Причина этих запросов — неспособность поведенческого блокиратора самостоятельно судить о вредоносности того или иного действия. Однако, если рассматривать программы, написанные на VBA, то можно с очень большой долей вероятности отличить вредоносные действия от полезных. Именно благодаря этому KAV Office Guard не столь «навязчив», как его файловые братья. Но, задавая меньше вопросов пользователю, этот блокиратор не стал менее надежным — используя его, пользователь практически на 100% защищен от макро-вирусов, как известных, так и еще не написанных. Другими словами, используя преимущества операционной среды, удалось добиться разумного баланса между надежностью и количеством вопросов. Но, тем не менее, KAV Office Guard по принципу своей работы был по-прежнему «доисторическим» поведенческим блокиратором.
Второе поколение поведенческих блокираторов отличает то, что они анализируют не отдельные действия, а последовательность действий, и уже на основании этого делается заключение о вредоносности того или иного ПО. Это значительно сокращает количество запросов к пользователю и повышает надежность детектирования. В качестве примера поведенческого блокиратора второго поколения можно привести систему Proactive Defense Module, реализованную в продуктах «Лаборатории Касперского».
Первый продукт из нового поколения коммерческих систем проактивной защиты на основе поведенческого блокиратора — StormFront — выпустила компания Okena, которая специализировалась на разработке систем обнаружения и предотвращения вторжений. В январе 2003 года компания Okena была поглощена компанией Cisco Systems, и StormFront вышел под названием Cisco Security Agent. Данный продукт является классическим поведенческим блокиратором и рассчитан на использование в компаниях. Продукт требует предварительной настройки квалифицированным администратором.
Компания McAfee активно развивает проактивные технологии защиты в своих продуктах семейства McAfee Entercept. Они предусматривают возможность закрытия уязвимости компьютера перед новой угрозой еще до выхода обновления антивирусных баз (IPS/IDS): блокировка портов, т.е. возможностей попадания инфекции на компьютер и ее дальнейшего размножения; создание политик для ограничения доступа к директориям или отдельным файлам; обнаружение источника инфекции в сети и блокировка дальнейших коммуникаций с ним. Кроме этого, продукты не допускают переполнения буфера для примерно 20 наиболее распространенных программ и сервисов Windows, включая Word, Excel, Internet Explorer, Outlook и SQL Server, что также можно отнести к проактивной защите. В персональных продуктах применяется только усовершенствованная эвристическая технология WormStopper для детектирования интернет-червей, распространяемых по электронной почте, блокирующая подозрительную активность на компьютере, такую, например, как отправка большого числа неавторизованных электронных сообщений лицам из адресной книги.
Panda TruPrevent включает в себя три компонента: поведенческий анализатор процессов для исследования поведения запущенных в системе процессов и обнаружения подозрительных действий, эвристический анализатор и набор IDS-функций для обнаружения вредоносных сетевых пакетов и защиты от переполнения буфера. Продукт позиционируется компанией Panda Software как вторая линия обороны от любого неизвестного вредоносного ПО (в качестве первой линии должен выступать классический антивирус) и предназначен для обнаружения неизвестного malware, запускаемого на компьютере. Продукт ориентирован на конечного пользователя (не администратора).
В продуктах Symantec в качестве проактивной защиты используется встроенный эвристический анализатор, способный обнаруживать еще неизвестные модификации вирусов на основании их специфических действий в системе, а также компоненты IPS/IDS (Intrusion Prevention/Detection System) Norton Internet Worm Protection, которая позволяет закрыть наиболее распространенные пути инфекции в систему (Prevention) и детектировать подозрительные действия (Detection). Дополнительно компания предлагает Outbreak Alert — средство оповещения о появлении особенно опасных интернет-угроз (входит в состав Norton Internet Security 2005). Кроме этого, на уровне сервисов Symantec предлагает услугу Early Warning Services (EWS) которая позволяет получать ранние оповещения об обнаруженных уязвимостях. В настоящее время услуга интегрируется в новую систему Global Intelligence Services.
Microsoft также работает в направлении разработки проактивных методов защиты от вредоносного ПО. Детали и сроки не известны.
Trend Micro в качестве проактивной защиты PC-cillin Internet Security 2005 использует эвристический анализатор и Outbreak Alert System — проактивное оповещение о новых наступающих угрозах. В корпоративном продукте Trend Micro OfficeScan Corporate Edition 6.5 используются сигнатуры с Outbreak Prevention Service, которые позволяют автоматически устанавливать защитные правила для предотвращения заражений еще до выхода обновления антивирусных баз. Такая возможность отсутствует в персональном продукте.
В продуктах BitDefender под проактивной защитой имеется в виду поведенческий анализатор, который блокирует вредоносные программы на основании анализа их специфических действий в системе (контролируются системные файлы, реестр и интернет-активность).
В новых продуктах от «Лаборатории Касперского» наряду с зарекомендовавшим себя эвристическим анализатором объединен ряд новейших технологий проактивной защиты. В продуктах используется и система обнаружения и предотвращения вторжений (IPS/IDS), направленная на борьбу с хакерскими атаками и бесфайловыми вирусами. Система нотификации позволяет предупреждать пользователей об эпидемиях и других событиях, касающихся безопасности. Но наиболее важным нововведением, с точки зрения борьбы с новыми угрозами, является поведенческий блокиратор второго поколения. Данный блокиратор отличает важная особенность — «откат» действий, совершенных вредоносным кодом. Это позволяет значительно сократить количество вопросов пользователю и уменьшить риск повреждения системы до детектирования нового вредоносного ПО.
Для защиты почтового трафика могут использоваться особые методы, основанные на анализе писем, проходящих через почтовый сервер. С помощью такого анализа можно остановить эпидемию в самом ее начале. Статистика, дающая основания подозревать начало эпидемии, может быть следующей:
массовая рассылка или прием одинаковых вложений;
массовая рассылка или прием одинаковых писем с различными вложениями;
наличие двойного расширения у вложений;
и т.д.
Кроме этого, возможен лингвистический анализ тел писем.
Суммируя все вышесказанное, можно говорить о том, что под проактивными методами защиты, предлагаемыми на рынке, понимается:
Поведенческий анализатор процессов для анализа поведения запущенных в системе процессов и обнаружения подозрительных действий, т. е. неизвестных вредоносных программ.
Устранение возможностей попадания инфекции на компьютер, блокировка портов, которые используются уже известными вирусами, и могут использоваться их новыми модификациями (IPS/IDS-компонент).
Недопущение переполнения буфера для наиболее распространенных программ и сервисов Windows, чаще всего используемых злоумышленниками для осуществления атаки (IPS/IDS-компонент).
Минимизация ущерба, причиненного инфекцией, предотвращение дальнейшего ее размножения, ограничение доступа к файлам и директориям; обнаружение и блокировка источника инфекции в сети (IPS/IDS-компонент).
Таким образом, можно сказать, что технологии проактивной защиты превращаются из игрушки для профессионалов или компьютерных гуру в инструмент, предназначенный для домашнего и корпоративного пользователя, и являются приоритетным направлением работы для компаний-разработчиков антивирусного ПО.
Поведенческие блокираторы применимы только в случаях, когда возможно исполнение подозрительной программы — на рабочих станциях. На почтовых, файловых серверах и шлюзах запуск подозрительных программ не должен осуществляться в принципе, и, как следствие, поведенческий блокиратор не будет востребован.
Из всех вышеописанных методов проактивного детектирования вредоносного ПО наиболее перспективными являются поведенческие блокираторы, с учетом нивелирования недостатков, описанных выше, системы детектирования и предотвращения вторжений и эвристические анализаторы. Но ни одна из перечисленных выше технологий в одиночку не может справиться с задачей максимального обнаружения вредоносных программ с минимальным уровнем ложных срабатываний. Только комплексный подход и объединение различных технологий позволит добиться поставленной цели.