Попытка номер один: учащенный апдейт

Сначала попытались интенсивнее обновлять антивирусные базы. В 2004 году «Лаборатория Касперского» стала первым вендором, перешедшим на ежечасный режим. Но вскоре выяснилось, что эффективность этой меры не очень высока. Дело в том, что процесс выпуска антивирусных баз не так прост, как кажется. Сначала аналитики должны получить сэмпл вредоносной программы, проанализировать его и добавить в базы. Затем базы проходят внутреннее тестирование на предмет корректности срабатывания. Чем больше баз использует продукт и чем больше продуктов выпускает компания (ясно, что все они используют одни и те же базы), тем больше времени занимает тестирование. В 2004 году, когда вредоносных программ было относительно мало, а продуктовые линейки вендоров были не столь развиты, удавалось без особого труда выпускать ежечасные апдейты по старой технологии. Однако сегодня эта схема не работает. И хотя сигнатурные кумулятивные апдейты выходят раз в несколько часов, они являются лишь дополнительной страховочной мерой. Реальная же защита обеспечивается другими методами.

Попытка номер два: проактивная защита

Начиная с 2005 года, антивирусные компании стали активно внедрять проактивные технологии защиты. «Лаборатория Касперского» и здесь оставалась лидером, внедрив в свои продукты механизмы распознавания вредоносного поведения. Вкратце действие проактивных технологий можно описать так: имеется некий набор факторов, на основе анализа которых программа может считаться вредоносной. Во-первых, это отсутствие цифровой подписи (сертификата) у приложения. Во-вторых – подозрительные действия вроде изменения записей системного реестра, операций с системными папками, мно­гократное самокопирование и пр. В-третьих, принимается во вни­мание использование ­серьезных упаковщиков кода – особенно таких, которые предпочитают злоумышленники. Список можно продолжить, но важен вывод: с помощью проактивных методов детектирования можно отловить вредоносное ПО, сигнатуры на которое пока нет, и ограничить его активность в системе.

Попытка номер три: облачные технологии

Увы, в условиях неуклонно растущего потока вредоносного ПО проактивная защита тоже оказалась недостаточно эффективной. И уже в следующем, 2006 году вендоры начали предлагать облачные сервисы, благодаря которым реагировать на новые угрозы можно было куда быстрее. Схема такова: база данных по угрозам помещается в облако; если с пользовательского компьютера поступает запрос на проверку конкретного файла, он быстро тестируется по базе и выносится вердикт. Теперь при обнаружении неизвестной угрозы удается значительно быстрее, чем в случае с сигнатурами, добавлять ее в облачную базу и рассылать информацию о том, что выявлена новая вредоносная программа (естественно, сообщается не только факт обнаружения, но также готовая процедура детектирования и лечения). Ниже мы детально рассмотрим особенности работы облачных антивирусов, включая новейшие тренды.

Большие плюсы…

В ComputerBild  № 13/2011 мы уже затрагивали тему безопасности облачных хранилищ и говорили о двух основных задачах, которые разработчики любят поручать облаку: это хранение данных и осуществление вычислительных операций. Начнем с первой.
Черные списки
Разумеется, в первую очередь важна информация об угрозах. Производители защитных решений стали помещать в облако данные об опасных файлах. Новые вредоносные приложения, которые обрабатываются аналитиками компании или информация о которых приходит с компьютеров пользователей (об этом чуть позже), заносятся в черный список исполняемых файлов. Таким образом можно защитить тех, кто еще не сталкивался с этим вредоносным ПО. Даже если спустя несколько минут пользователь попытается скачать либо запустить недавно добавленный в облачную базу зловред, продукт сначала запросит информацию в облаке, которое подтвердит, что файл вредоносен. Антивирус выведет предупреждение о том, что файл содержал угрозу определенного типа и потому удален, либо предложит пользователю удалить его самостоятельно. Как правило, после завершения анализа новой вредоносной программы производится и соответ­ствующая сигнатура, которая добавляется в антивирусные базы, регулярно обновляемые на компьютерах пользователей. Делается это для ускорения работы продукта: ведь первым всегда срабатывает сигнатурный детект, а потом уже вступают более сложные проактивные технологии. Очевидно, что обращение к облачной базе происходит и на этапе сканирования (как первоначального, так и по запросу), а не только при попытке активного заражения.
Белые списки
Пионеры облачных технологий довольно быстро осознали, что во время сканирования всякий раз «заодно» проверяются десятки тысяч заведомо чистых файлов – которых, понятное дело, намного больше, чем вредоносных. Так появился Whitelisting, то есть база «белых», безвредных приложений. В мире есть несколько крупных поставщиков подобной информации – их услугами пользуются многие антивирусные вендоры (впрочем, есть и такие, кто создает собственные базы). Чтобы файл был занесен в базу, он должен прийти из легитимного источника, быть подписанным (то есть иметь сертификат) и отвечать ряду других требований. Так или иначе, все файлы проверяются экспертными системами и аналитиками антивирусных компаний и лишь после этого добавляются в базу легитимных приложений. Благодаря подобному подходу скорость сканирования заметно возросла. Получили выгоду и производители софта: антивирусные компании стали раздавать значки-сертификаты, подтверждающие безопасность того или иного файла. Пользователь, скачивая новый софт с сайта, который сотрудничает с каким-либо производителем защитных решений, знает, что файл проверен и опасаться нечего. Доверие к производителю растет, а вследствие этого, как вы понимаете, растет и прибыль. Программа «уайтлистинга» от Symantec предлагает заинтересованным компаниям самим посылать на проверку файлы, которые они хотят аттестовать как легитимные.
Списки сайтов и скриптов
Если можно собирать информацию о приложениях, почему бы не собрать сведения об URL, то есть интернет-адресах! На сегодня антивирусные компании используют базы вредоносных ссылок – к ним относятся фишинговые сайты, заведомо вредоносные (распространяющие трояны и вирусы) и прочие неблагонадежные ресурсы. Система используется как вспомогательная: ведь за всеми не уследишь – создать новый сайт и новый адрес совсем нетрудно. Однако она полезна как база, дополняющая работу скриптового эмулятора, который используется в продуктах «Лаборатории Касперского».
Взаимообмен с пользователями
В продуктах «Лаборатории Касперского» и Symantec, помимо информации об угрозах, в облако стекается информация о популярности и репутации конкретных программ и веб-сайтов. Это выглядит так: пользователь скачивает новый файл (о котором облако пока не знает) и, получив предупреждение от продукта, делает осознанный выбор – использовать его или нет. На первом этапе облако просто накапливает информацию (ведь ошибиться может не только один человек, но и несколько), на всякий случай присваивая программе определенный рейтинг опасности. Однако если несколько тысяч пользователей признают файл легитимным и другая собранная статистика также говорит в его пользу, файл переходит в группу доверенных приложений. Примерно так работает система рейтинга безопасности приложения в продуктах «Лаборатории Касперского». Однако рейтинг безопасно­сти – лишь малая часть системы HIPS (Host Intrusion Prevention System, система предотвращения вторжений на компьютер), которая тесно взаимодействует с облачными сервисами. В новой версии Kaspersky Internet Security 2012 работа облака наконец-то визуализирована.
Если впоследствии выяснится, что найденное новое приложение или сайт представляет угрозу, можно, как мы уже знаем, почти мгновенно разослать из облака обновление, с помощью которого активность приложения будет блокирована. Собирая и обрабатывая данные от каждого участника Сети, облачная защита представляет собой мощную экспертную систему, позволяющую анализировать и ограничивать деятельность киберпреступников.
Облачный антиспам
Облачные ресурсы могут помочь и в борьбе с нежелательной корреспонденцией. Почему бы не хранить в облаке огромную базу спам-писем, чтобы быстренько с ней сверяться. В продуктах Kaspersky Internet Security и «Антивируса Касперского 2012» уже не требуется перед началом работы обучать модуль антиспама: информация для него берется из облака, где имеется актуальная база образцов спам-сообщений. При этом никакой нагрузки на компьютер пользователя нет (представьте-ка размер загружаемой базы спама!), а использование облачных технологий выглядит более чем логично – ведь, получая электронную почту, вы в любом случае соединяетесь с Интернетом.
Старые версии защитных продуктов приходилось обучать, прежде чем они начинали эффективно бороться со спамом. Теперь, благодаря облачным технологиям, это уже не требуется.
Краткое резюме
Подводя итог, выделим основные достоинства облачной защиты. Во-первых, реакция на угрозы следует незамедлительно: защита может быть предоставлена в течение десятков секунд. Во-вторых, облако обладает практически неограниченными вычислительными ресурсами, что позволяет производить параллельную обработку данных, то есть быстро выполнять исследование сложных угроз. В част­ности, та же «Лаборатория Касперского» еще два года назад начала применять облачный сервис сравнения файлов по фактору похожести, задействовав для этого платформу Tesla от NVIDIA. Для тех, кто не знает: это серверное решение на основе графических ядер, которое, как и обычные видеокарты NVIDIA, позволяет использовать программно-аппаратную архитектуру CUDA для ускорения параллельных вычислений. По сообщениям экспертов «Лаборатории Касперского», они достигли 360-кратного увеличения скорости обработки файлов! Во время презентации в МГУ в конце 2009 года представители «Лаборатории Касперского» наглядно показали, как технология от NVIDIA помогает улучшить защиту пользователей. Ну, и, в-третьих, очевидно, что при работе с облаком загрузка пользовательского компьютера минимальна, поскольку обмен информации с ним осуществляется, как правило, в фоновом режиме.

 …и не менее большие минусы

Казалось бы, все отлично: антивирус, использующий только облако, представляет собой идеальный способ защиты – это практически мгновенная реакция на новые угрозы без какой-либо нагрузки на локальные ресурсы компьютера. Увы, адепты подобных решений забывают про многие важные факторы, которые зачастую сводят облачную защиту на нет.

Во-первых, бесперебойный Интернет есть далеко не везде – огромное количество пользователей по всему миру, в том числе в России, до сих пор используют повременное подключение. Даже если выходить в Интернет каждые полчаса, скорость реакции (а следовательно, уровень защиты) сильно снижается. При этом сохраняется высокий риск заражения компьютера посредством локальной сети, переносных USB-накопителей и т.п.
Но и при наличии постоянного интернет-соединения, по данным «Лаборатории Касперского», облачными технологиями отсекается максимум 30% угроз. Остальные же анализируют­ся и обрабатываются непо­с­ред­ственно локальными тех­нологиями на компьютере пользователя.

Во-вторых, нет смысла говорить об эффективной защите, если в облаке не будет актуальной, постоянно обновляемой информации об угрозах. Поэтому компания, предоставляющая облачную защиту, должна иметь надежные источники сведений о чистых и вредоносных файлах. Для последних крупные вендоры используют, как правило, специальные ловушки (так называемые Honeypots, «горшки с медом» – незащищенные компьютеры, которые, как магнит, притягивают злоумышленников). Притом практикуется обмен информацией между антивирусными компаниями; учитывается и информация, по­ступающая с компьютеров пользователей в рамках соответствующих соглашений. Разумеется, для получения такой информации необходимо, чтобы у пользователя было средство для ее сбора и анализа – то есть соответству­ющий антивирусный продукт.

В-третьих, если заражение все же произошло, вылечить зараженный компьютер через Интернет часто невозможно хотя бы потому, что вредоносное ПО, получив контроль над операционной системой жертвы, может блокировать всю входящую информацию и все запросы, кроме своих. Как не раз показывали хакерские соревнования, ни один защитный продукт сам не защищен от взлома. Можно провести целенаправленную атаку, результатом которой будет установка нового руткита на систему пользователей этого продукта. Нет пока ни одного способа, позволяющего вылечить руткит технологиями из облака, не говоря уже о том, что даже самое современное защитное решения на компьютере пользователя вовсе не обязательно справится с новой версией продвинутого руткита (например, TDSS).

Оптимальный вариант

Итак, мы убедились: облачные технологии – необходимое, но недостаточное условие качественной защиты компьютера. Правильное решение, способное помочь в любой ситуации, должно быть гибридным, то есть включать сильную облачную базу и мощное приложение на стороне пользователя. Как уже говорилось, облако получает и хранит всю актуальную информацию об угрозах и безопасных объектах, то есть дове­ренных файлах и сайтах. Стоит угрозе проявиться хотя бы на одном компьюте­ре – приложение анализирует ее и в режиме реального времени передает данные на облачные серверы. Выработанные на основе полученной информации средства защиты (сигнатуры, эвристики и пр.) поступают через каналы взаимодействия с пользователями на миллионы локальных машин, избавляя их от необходимости производить ресурсоемкий анализ и защищая от «свежих» угроз еще до выхода соответствующих обновлений баз. Вместе с тем компьютер остается в безопасности даже при отсутствии интернет-доступа (то есть связи с облаком). Ведь он обладает полнофункциональным защитным пакетом, включающим такие проактивные технологии, как контроль нежелательной активности программ, эвристический анализатор, эмуляторы, рейтинг опасности и другие, в которых тоже используется информация, накопленная в облачных базах данных.

Статья опубликована в журнале ComputerBild №15/2011 (стр. 32)