В отличие от традиционных подходов к определению опасности того или
иного объекта, предполагающих использование сигнатур вирусов, лежащие в
основе Quorum алгоритмы для идентификации зловредов руководствуются
данными репутационного анализа файлов, полученными от членов сообщества
Norton Community Watch, издателей программного обеспечения, от клиентов
крупных предприятий, а также из многих других источников. При этом для
точной оценки репутации файлов Quorum использует такую информацию об
объектах, как распространенность, время существования и другие
атрибуты, которые агрегируются и многократно проверяются с помощью
масштабной "облачной" инфраструктуры серверов Symantec и только лишь
затем передаются пользователям продуктов компании.
По словам специалистов корпорации, технология Quorum дополняет
используемые в продуктах линейки Norton 2010 средства защиты, позволяет
поддерживать на должном уровне точность выявления угроз и снижает
степень зависимости от традиционных сигнатур. "С новой технологией
изменяются правила борьбы с вредоносным ПО, - считает Стивен Триллинг
(Stephen Trilling), старший вице-президент Symantec по технологиям
безопасности и защиты. - Благодаря знаниям и опыту десятков миллионов
пользователей мы можем выявлять угрозы, которые традиционные средства
обеспечения безопасности не видят".
Чтобы увидеть механизм Quorum в действии при работе в Norton
Internet Security 2010 или Norton AntiVirus 2010, достаточно открыть
окно модуля Insight Network либо щелкнуть правой кнопкой мыши по любому
файлу на диске и выбрать в контекстном меню пункт File Insight. В
первом случае взору пользователя предстанут статистические сведения об
обрабатываемых в системе Quorum и сети Norton Community Watch данных, а
во втором откроется окно с информацией о том, откуда появился выбранный
файл, сколько других пользователей продуктов Symantec с ним работают,
когда алгоритмы системы впервые обнаружили его и каков его
репутационный рейтинг. Если обнаружится, что объект имеет плохую
репутацию, он будет автоматически заблокирован антивирусной программой.
"Технология, представленная Symantec как революционная и
осуществляющая блокирование объектов на основе репутации файлов, была
реализована с момента анонсирования в наших продуктах Антивирус
Касперского 2009 и Kaspersky Internet Security 2009 технологии Urgent
Detection System (UDS), - так прокомментировал нововведения в системе
защиты Norton 2010 Устюжанин Дмитрий, руководитель управления
продуктового маркетинга "Лаборатории Касперского". - UDS представляет
собой не что иное, как репутационный сервис, элемент системы KL
Software Reference Library (KLSRL), представленной в свою очередь в
Kaspersky Security Network (KSN). Согласно данным из прессы,
принцип, на котором основана новая технология Symantec, можно отчасти
назвать схожим с принципом, применяемым нашей компанией. Однако в
отличие от ситуации, когда учитываются только мнения пользователей о
репутации объектов (а эти данные могут быть относительно легко
сфабрикованы), помимо данных от наших пользователей, в составе
многочисленных потоков статистики мы принимаем во внимание и ряд
альтернативных критериев. На основании глубокого анализа данных
факторов рядом экспертных систем (JFYI-KLSRL\WL ver. 2.0 и Astraea),
взаимоконтролирующих друг с другом, осуществляется классификация ПО и
расчёт репутации объектов. Наличие постоянной обратной связи с
экспертными системами и вирусными аналитиками самой "Лаборатории",
гарантирует правильную идентификацию и оперативное разрешение возможных
логических ошибок".
По мнению Григория Васильева, технического директора ESET,
Quorum представляет собой попытку использовать статистическую
информацию, получаемую от системы обратной связи с клиентом, для
повышения эффективности защиты. "Назвать это полноценной технологией
детектирования нельзя, - подчеркнул Григорий, - поскольку, в отличие от
традиционных белых и черных списков, этот подход не дает однозначного
ответа, является ли файл вредоносным - он только предоставляет рейтинг.
Статистика Quorum может быть полезна в сочетании с другими методами, в
частности, с эвристическим анализом, как еще один параметр для принятия
решения о вредоносности файла. Серьезная проблема Quorum заключается в
том, что рейтинг вновь появившегося файла будет низким до тех пор, пока
им не воспользуется достаточно большое число пользователей продукта. То
есть, пока не наберется необходимый (извините за каламбур) кворум
клиентов, каждый новый пользователь будет информирован о ненадежности
файла, и человеку придется самому решать, рисковать ему или обойтись
без данного приложения".
Таковы комментарии коллег по бизнесу. Как можно заметить, в них
нет восторженных комплиментов в адрес Quorum, а сами специалисты
довольно осторожно относятся разработкам конкурентов, продвигаемым под
лейблами "инновационный", "революционный" и т.д. В стремлении укрепить
позиции на рынке антивирусных решений, софтверные компании могут
прибегать к различным методам и средствам. Главное, чтобы они были
прозрачны и понятны для покупателя, стоящего перед выбором того или
иного продукта.