Еще одна особенность новинок состоит в том, что в качестве основного
метода обнаружения вредоносных программ используется не сигнатурный или
эвристический анализ, а так называемый поведенческий анализ приложений.
Эта технология носит название HIPS (Host-based Intrusion Prevention
System). Разумеется, проверка с помощью синатур в программе
сохранилась, как и эвристический анализ, однако ключевым будет аспектом
защиты будет всесторонний контроль поведения программ. Все запускаемые
на компьютере приложения будут подвергаться многофакторному анализу, на
основании которого им будет присваиваться тот или иной иной рейтинг
потенциальной опасности. В соответствии с этим рейтингом подозрительные
программы просто не будут получать доступ к тем или иным системным
функциям, и, соответственно, не смогут сделать свое "черное дело".
Иными словами, если вирус и проберется в систему, напакостить он уже не
сможет. Разумеется, далеко не все приложения будут столь жестко
контролироваться. В программе имеются так называемые "белые списки", в
которые включены программы, которым можно стопроцентно доверять. В
принципе, данный подход можно назвать очень удобным, ведь теперь
пользователю не придется десятки раз нажимать на кнопку, разрешающую ту
или иную активность для известных и популярных программ - Firefox, ICQ
и т.д. Презентация продуктов проходила в весьма оригинальном формате
закрытой вечеринки, на которую то и дело стремились проникнуть
"подозрительные" субъекты, которых тем не менее, сразу же ловили и
выпроваживали "охранники". Все это представление должно было, по идее,
символизировать поведенческую защиту рабочей среды пользователя и
эффективность системы "белых списков".
О возможностях новинок рассказал журналистам заместитель директора
по продуктам "Лаборатории Касперского" Алексей Калгин. Мы задали ему
несколько уточняющих вопросов.
- За счет чего вам удалось добиться быстродействия новой версии?
- Большое значение имеет оптимизация кода, однако в основном это
удалось осуществить благодаря системе "белых списков". Благодаря им, а
также благодаря цифровой подписи мы можем значительно сократить число
проверок. Допустим, у меня и у вас на компьютере установлена Windows
Vista. Код на обоих компьютерах совпадает процентов на девяносто. Это
очень помогает сократить объем проверяемого кода. Можно привести
аналогию с системой выдачи банковских кредитов. Если человек в течение
долгого времени берет кредиты и вовремя их возвращает, у него
формируется положительная кредитная история, и банки готовы выдавать
ему больше денег. Точно так же и здесь. Если приложение в течение
долгого времени не меняется, и ничего плохого нам про него не известно,
мы все более прибавляем ему положительный рейтинг. И чем дальше, тем
быстрее работает антивирус. Потому что все большее количество программ
попадает в доверенную зону. Допустим, Microsoft Word не меняется от
одного до другого пакета обновлений, между выпусками которых проходит
примерно год. Соответственно, Word и не нуждается в частых проверках.
Если говорить о наших конкурентах, то их продукты, как правило,
проверяют только файл в момент его создания, тьа потом уже, в процессе
чтения, его больше не проверяют. Вот в этом кроется потенциальная
опасность. Мы же, все-таки потом обращаемся к этим файлам и в процессе
чтения.
- Какие именно новые функции новой версии помогут вашей компании получить конкурентное преимущество?
- В постоянно меняющейся системе координат очень сложно получить
постоянное конкурентное преимущество. Все может быть скопировано
конкурентами. Мир будет развиваться, и у конкурентов появятся
аналогичные подходы. Но мы сделали первые шаги, и теперь получаем
информацию от наших пользователей, что бы еще они хотели бы получить.
Приведу простой пример. В нашем антивирусе можно настроить доступ к
разным областям информации для разных приложений. Допустим, вы храните
в папке "Мои документы" ту или иную конфиденциальную информацию. Многие
пользователи уже давно просили, чтобы доступ к папке "Мои документы"
был открыт только для Microsoft Office, и, допустим, для файлового
менеджера. Уже сейчас наши программы это позволяют, а в дальнейшем
пользователю будет напрямую предлагаться осуществить эту операцию.
Система и так уже довольно дружественна, но нам есть куда разиваться.
- Насколько система черных и белых списков защищена от
фальсификаций? Может ли случиться такое, что одна и та же программа
окажется и в черном и в белом списке?
- В принципе, да. Если такое произойдет, это будет означать, что
требуется повторный анализ и коррекция одного из этих списков. Кроме
того, у нас есть распределенная система Kaspersky Security Network,
которая аккумулирует данные, получаемые от множества наших
пользователей по всему миру. Если что-то по ошибке попало в "белый"
список, мы можем очень быстро это исправить. Одна система дополняет
другую. Раньше у нас были только "черные" списки. Теперь появились еще
и "белые". Уровень безопасности увеличился, а не уменьшился.
Источник: http://www.computerra.ru |