Методы проактивной защиты от вирусов

Уже более 20 лет основной технологией борьбы с вредоносными кодами является сигнатурное сканирование. Его суть проста — вирусописатель выпускает свое очередное творение, антивирусная лаборатория ловит и анализирует вредителя, а потом создает вакцину и рассылает ее на компьютеры пользователей. Эта вакцина и есть та искомая сигнатура, которая позволяет антивирусному сканеру точно идентифицировать вирус в океане программ. Легко заметить главную слабость только что описанного метода: белыми в этой партии играет злоумышленник, в то время как экспертам и домашним пользователям остается лишь защищаться. С научной точки зрения, такой подход можно назвать реактивным, так как действия антивирусного сообщества лишь реакция на активность противника.

Введя новый термин (проактивные технологии), разработчики хотели подчеркнуть, что теперь ситуация изменилась и право первого хода перешло к антивирусным экспертам. Другими словами, проактивный подход противопоставляется классическому сигнатурному сканированию. При этом каждый поставщик имеет собственное понятие о проактивности и зачастую вкладывает в него совершенно оригинальный смысл. Рассмотрим подробнее антивирусные технологии, которые сегодня позиционируются как проактивные.

Эвристический анализатор (эвристик) — это антивирусный модуль, который анализирует код исполняемого файла и определяет, инфицирован ли проверяемый объект. Во время эвристического анализа не используются стандартные сигнатуры. Напротив, эвристик принимает решение на основе заранее в него заложенных, иногда не совсем четких правил.

Для большей наглядности такой подход можно сравнить с искусственным интеллектом, самостоятельно проводящим анализ и принимающим решения. Тем не менее такая аналогия отражает суть лишь отчасти, поскольку эвристик не умеет учиться и, к сожалению, обладает низкой эффективностью. По оценкам антивирусных экспертов, даже самые современные анализаторы не способны остановить более 30% вредоносных кодов. Еще одна проблема — ложные срабатывания, когда легитимная программа определяется как инфицированная.

Заметим, эвристические анализаторы, безусловно, являются проактивной технологией. Правда, они известны продолжительное время, а упор на проактивность разработчики стали делать совсем недавно.

Однако подход, предложенный Trend Micro, вряд ли можно назвать эффективным. Во-первых, далеко не факт, что для создания политики экспертам требуется намного меньше времени, чем для создания вакцины (сигнатурного обновления антивирусных баз). Ведь чтобы понять, какие бреши в операционной системе или способы заражения использует вирус, все равно необходимо анализировать его код. Во-вторых, в некоторых случаях может возникнуть проблема смены политик. Особенно когда новые политики поступают слишком часто. Пользователи начинают путаться в том, что можно делать, а что — нет.

Таким образом, подход на основе политик призван компенсировать относительно низкую скорость реакции антивирусной лаборатории TrendLab на появление новых угроз. Кроме того, данная технология не является проактивной, так как все равно существует промежуток времени, в течение которого пользователь остается без защиты, да и для создания самой политики точно так же, как и для выпуска сигнатуры, требуется проводить анализ вредоносного кода.

Еще один интересный метод защиты предлагают компании Cisco и Microsoft. Речь идет о карантинной зоне, в которую попадают компьютеры, не удовлетворяющие требованиям политики IT-безопасности, но все равно пытающиеся подключиться к корпоративной сети. Например, если удаленный пользователь стремится войти в сеть своего работодателя, то его компьютер проходит сканирование на предмет наличия актуальной базы антивирусных сигнатур, обновлений операционной системы и т. д. По результатам проверки служащему может быть предоставлен доступ только к карантинной зоне — серверу, с которого можно скачать необходимые обновления. После этого можно снова попытаться подключиться к корпоративной сети. Такой подход тоже не является проактивным, поскольку сводится к антивирусной проверке с использованием обновленной базы сигнатур. Тем не менее идея, лежащая в основе карантинной зоны, подкупает своей очевидностью и эффективностью: если в операционной системе есть незакрытые бреши или антивирус уже устарел, то о какой безопасности может идти речь?

Некоторое время назад антивирусная индустрия снова вернулась к технологии анализа поведения программ. Немного повысить качество результатов удалось за счет проверки на допустимость не каждой операции в отдельности, а последовательности действий программы. При этом эксперты избавили пользователя от участия в самом процессе и смирились с невысокой в целом эффективностью поведенческих блокираторов. Точно так же, как и эвристический анализ, данный подход способен дать более-менее приемлемый результат только в комбинации с другими технологиями.

Еще одним проактивным поставщиком сегодня является компания McAfee. Семейство продуктов McAfee Entercept включает в себя систему предотвращения вторжений (IPS) и защиту от переполнения буфера. Компания также предлагает своим клиентам эвристическую, а значит проактивную, технологию WormStopper. С ее помощью можно выявлять некоторые новые почтовые черви, а также блокировать подозрительную активность (например, массовую и неавторизованную рассылку писем по контактным данным из адресной книги).

Продукты компании Panda тоже имеют проактивные модули. К примеру, Panda TruPrevent состоит из эвристического анализатора, поведенческого блокиратора и системы обнаружения вторжений (IDS). Эвристик служит для выявления новых вредителей, блокиратор — для анализа запущенных процессов, а IDS — для борьбы с червями. Продукт не требует сложной настройки и подходит для домашних пользователей.

Гигант антивирусной индустрии, компания Symantec, предлагает своим клиентам эвристический анализатор, систему предотвращения вторжений (IPS) и услугу оповещения о новых угрозах. Первые два вида технологий рассмотрены выше, поэтому упомянем лишь программу Outbreak Alert, входящую в состав Norton Internet Security 2005 и сообщающую пользователю о новых угрозах. Кроме того, компания предлагает услугу Early Warning Services (EWS), которая позволяет получать ранние оповещения об обнаруженных уязвимостях.


В состав Norton Internet Security входит программа Outbreak Alert, сообщающая пользователю о новых угрозах


Пользователи OfficeScan Corporate Edition 6.5 получают доступ к услуге Outbreak Prevention Service, в рамках которой разработчик поставляет ограничивающие политики

McAfee Panda Symantec Trend Micro Лаборатория Касперского
Эвристический анализатор Да Да Да Да Да
Система предотвращения вторжений (IPS) Да Да Да Нет Да
Защита от переполнения буфера Да Нет Нет Нет Нет
Безопасность на основе политик Нет Нет Нет Да Нет
Оповещение о новых угрозах Нет Нет Да Да Да
Поведенческий блокиратор Нет Да Нет Нет Да

Таблица. Проактивные технологии в антивирусных продуктах

В заключение напомним, что заказчикам не следует поддаваться ажиотажу, царящему вокруг проактивных технологий. Безусловно, все эти подходы повышают общую степень защиты, но в одиночку, без использования классического сигнатурного сканирования, они не способны обеспечить даже минимально необходимого уровня безопасности.

Курс дистанционного обучения:
"Экономическая информатика"
Модуль 1 (1,5 кредит): Введение в экономическую информатику

1.4. Сервисное программное обеспечение ПК и основы алгоритмизации

Компьютерный вирус – это небольшая вредоносная программа, которая самостоятельно может создавать свои копии и внедрять их в программы (исполняемые файлы), документы, загрузочные сектора носителей данных.

Известно много различных способов классификации компьютерных вирусов.

Одним из способов классификации компьютерных вирусов – это разделение их по следующим основным признакам:

  • среда обитания;
  • особенности алгоритма;
  • способы заражения;
  • степень воздействия (безвредные, опасные, очень опасные).

В зависимости от среды обитания основными типами компьютерных вирусов являются:

  1. Программные (поражают файлы с расширением. СОМ и .ЕХЕ) вирусы.
  2. Загрузочные вирусы.
  3. Макровирусы.
  4. Сетевые вирусы.

Программные вирусы – это вредоносный программный код, который внедрен внутрь исполняемых файлов (программ). Вирусный код может воспроизводить себя в теле других программ – этот процесс называется размножением.

По прошествии определенного времени, создав достаточное количество копий, программный вирус может перейти к разрушительным действиям – нарушению работы программ и операционной системы, удаляя информации, хранящиеся на жестком диске. Этот процесс называется вирусной атакой.

Загрузочные вирусы – поражают не программные файлы, а загрузочный сектор магнитных носителей (гибких и жестких дисков).

Макровирусы – поражают документы, которые созданы в прикладных программах, имеющих средства для исполнения макрокоманд. К таким документам относятся документы текстового процессора WORD, табличного процессора Excel. Заражение происходит при открытии файла документа в окне программы, если в ней не отключена возможность исполнения макрокоманд.

Сетевые вирусы пересылаются с компьютера на компьютер, используя для своего распространения компьютерные сети, электронную почту и другие каналы.

По алгоритмам работы различают компьютерные вирусы:

  • черви (пересылаются с компьютера на компьютер через компьютерные сети, электронную почту и другие каналы);
  • вирусы-невидимки (Стелс-вирусы);
  • троянские программы;
  • программы – мутанты;
  • логические бомбы;
  • и другие вирусы.

В настоящее время к наиболее распространенным видам вредоносных программ, относятся: черви, вирусы, троянские программы.

Желательно не допускать появление вирусов в ПК, но при заражении компьютера вирусом очень важно его обнаружить.

Основные признаки появления вируса в ПК:

  • медленная работа компьютера;
  • зависания и сбои в работе компьютера;
  • изменение размеров файлов;
  • уменьшение размера свободной оперативной памяти;
  • значительное увеличение количества файлов на диске;
  • исчезновение файлов и каталогов или искажение их содержимого;
  • изменение даты и времени модификации файлов.
  • И другие признаки.

Одним из основных способов борьбы с вирусами является своевременная профилактика.

Чтобы предотвратить заражение вирусами и атаки троянских коней, необходимо выполнять некоторые рекомендации:

  1. Не запускайте программы, полученные из Интернета или в виде вложения в сообщение электронной почты без проверки на наличие в них вируса.
  2. Необходимо проверять все внешние диски на наличие вирусов, прежде чем копировать или открывать содержащиеся на них файлы или выполнять загрузку компьютера с таких дисков.
  3. Необходимо установить антивирусную программу и регулярно пользоваться ею для проверки компьютеров. Оперативно пополняйте базу данных антивирусной программы набором файлов сигнатур вирусов, как только появляются новые сигнатуры.
  4. Необходимо регулярно сканировать жесткие диски в поисках вирусов. Сканирование обычно выполняется автоматически при каждом включении ПК и при размещении внешнего диска в считывающем устройстве. При сканировании антивирусная программа ищет вирус путем сравнения кода программ с кодами известных ей вирусов, хранящихся в базе данных.
  5. создавать надежные пароли, чтобы вирусы не могли легко подобрать пароль и получить разрешения администратора. Регулярное архивирование файлов позволит минимизировать ущерб от вирусной атаки
  6. Основным средством защиты информации – это резервное копирование ценных данных, которые хранятся на жестких дисках

Существует достаточно много программных средств антивирусной защиты. Современные антивирусные программы состоят из модулей:

  1. Эвристический модуль – для выявления неизвестных вирусов.
  2. Монитор – программа, которая постоянно находится в оперативной памяти ПК
  3. Устройство управления, которое осуществляет запуск антивирусных программ и обновление вирусной базы данных и компонентов
  4. Почтовая программа (проверяет электронную почту)
  5. Программа сканер – проверяет, обнаруживает и удаляет фиксированный набор известных вирусов в памяти, файлах и системных областях дисков
  6. Сетевой экран – защита от хакерских атак

К наиболее эффективным и популярным антивирусным программам относятся: Антивирус Касперского 7.0, AVAST, Norton AntiVirus и многие другие.

Программа состоит из следующих компонентов:

  1. Файловый Антивирус - компонент, контролирующий файловую систему компьютера. Он проверяет все открываемые, запускаемые и сохраняемые файлы на компьютере.
  2. Почтовый Антивирус- компонент проверки всех входящих и исходящих почтовых сообщений компьютера.
  3. Веб-Антивирус компонент, который перехватывает и блокирует выполнение скрипта, расположенного на веб-сайте, если он представляет угрозу.
  4. Проактивная защита - компонент, который позволяет обнаружить новую вредоносную программу еще до того, как она успеет нанести вред. Таким образом, компьютер защищен не только от уже известных вирусов, но и от новых, еще не исследованных.

Антивирус Касперского 7.0 – это классическая защита компьютера от вирусов, троянских и шпионских программ, а также от любого другого вредоносного ПО.

  1. Три степени защиты от известных и новых интернет-угроз: 1) проверка по базам сигнатур, 2) эвристический анализатор, 3) поведенческий блокиратор
  2. Защита от вирусов, троянских программ и червей.
  3. Защита от шпионского (spyware) и рекламного (adware) ПО.
  4. Проверка файлов, почты и интернет-трафика в режиме реального времени.
  5. Защита от вирусов при работе с ICQ и другими IM-клиентами.
  6. Защита от всех типов клавиатурных шпионов.
  7. Обнаружение всех видов руткитов.
  8. Автоматическое обновление баз.

Антивирусная программа avast! v. home edition 4.7 (бесплатная версия) русифицирована и имеет удобный интерфейс, содержит резидентный монитор, сканер, средства автоматического обновление баз и т.д.

Защита Avast основана на резидентных провайдерах, которые являются специальными модулями для защиты таких подсистем, как файловая система, электронная почта и т.д. К резидентным провайдерам Avast! относятся: Outlook/Exchange, Web-экран, мгновенные сообщения, стандартный экран, сетевой экран, экран P2P, электронная почта.

Состоит из одного модуля, который постоянно находится в памяти компьютера и осуществляет такие задачи как мониторинг памяти и сканирование файлов на диске. Доступ к элементам управления и настройкам программы выполняется с помощью соответствующих закладок и кнопок.

Автозащита должна быть всегда включенной, чтобы обеспечить защиту ПК от вирусов. Автозащита работает в фоновом режиме, не прерывая работу ПК.



История компьютерных вирусов насчитывает уже более 25 лет. Неразрывно с вирусами развивались и средства противодействия вирусам - антивирусы. Исторически сложилось так, что лидерство на рынке антивирусных технологий заняли системы сигнатурного поиска, иначе называемые реактивными, имеющие целый ряд серьезных недостатков. На смену им приходят новые проактивные технологии такие как HIPS, Sandbox, VIPS и другие., к которых пойдет речь в этой статье.

Классические проактивные системы обнаружения вредоносных программ, несмотря на кажущуюся простоту реализации и надежность, имеют ряд существенных недостатков, а именно:

  • Слабая эффективность против угроз типа 0-day, так как эффективность напрямую связана с базой сигнатур вредоносного ПО, в которую внесены сигнатуры только известного, на данный момент, вредоносного ПО;
  • Необходимость постоянного обновления базы сигнатур вирусов для эффективной защиты от нового вредоносного ПО;
  • Для определения вредоносного ПО необходима процедура сканирования, которая отнимает достаточно много времени и системных ресурсов;

Данные причины и послужили толчком к развитию т.н. проактивных систем защиты, о которых и пойдет речь в данной статье.

Методы проактивной защиты

На сегодняшний день наиболее известны и часто применимы следующие методы проактивной защиты:

  • Методы поведенческого анализа;
  • Методы ограничения выполнение операций;
  • Методы контроля целостности ПО и ОС.

Методы предотвращения вторжений (IPS-методы):

HIPS - метод контроля активности, основанный на перехвате обращений к ядру ОС и блокировке выполнения потенциально опасных действий ПО, работающего в user-mode, выполняемых без ведома пользователя;

Принцип работы

HIPS-система с помощью собственного драйвера перехватывает все обращения ПО к ядру ОС. В случае попытки выполнения потенциально опасного действия со стороны ПО, HIPS-система блокирует выполнение данного действия и выдает запрос пользователю, который решает разрешить или запретить выполнение данного действия.


Преимущества систем, построенных на методе HIPS:

  • Низкое потребление системных ресурсов;
  • Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
  • Высокая эффективность противостояния угрозам 0-day;
  • Высокая эффективность противодействия руткитам, работающим в user-mode;

Недостатки систем, построенных на методе HIPS:

  • Низкая эффективность противодействия руткитам, работающим в kernel-mode;
  • Большое количество обращений к пользователю ПК;
  • Пользователь должен обладать знаниями о принципах функционирования ОС;
  • Невозможность противодействия активному заражению ПК;

VIPS - метод контроля активности, основанный на мониторинге выполняемых операций ПО, установленном на ПК, и блокировке выполнения потенциально опасных действий ПО, выполняемых без ведома пользователя.

Принцип работы


Преимущества систем, построенных на методе VIPS:

  • Низкое потребление системных ресурсов;
  • Высокая эффективность противостояния угрозам 0-day;
  • Высокая эффективность противодействия руткитам, работающим и в user-mode, и в kernel-mode;

Недостатки систем, построенных на методе VIPS:

  • Требовательны к аппаратному обеспечению ПК (для работы VIPS-системы необходима аппаратная поддержка процессором технологий аппаратной виртуализации (Intel VT-x или AMD-V);
  • Большое количество обращений к пользователю ПК;
  • Пользователь должен обладать знаниями о принципах функционирования ОС;
  • Невозможность противодействия активному заражению ПК;

Принцип работы


Преимущества систем, построенных на методе песочница (sandbox):

  • Низкое потребление системных ресурсов;
  • Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
  • Малое количество обращений к пользователю ПК;

Недостатки систем, построенных на методе песочница (sandbox):

  • Пользователь должен обладать знаниями о принципах функционирования ОС;
  • Невозможность противодействия активному заражению ПК;

Методы поведенческого анализа

Поведенческий блокиратор (метод активного поведенческого анализа) - метод, основанный на методах IPS, анализа в реальном времени цепочек действий ПО и блокирования выполнение потенциально опасных алгоритмов в реальном времени.

Принцип работы

Различные проактивные системы защиты используют различные концепции реализации метода активного поведенческого анализа (т.к. метод активного поведенческого анализа может быть построен на базе любого IPS-метода). В общем и целом метод активного поведенческого анализа представляет собой IPS-метод с интеллектуальной системой принятия решений, анализирующей, не отдельные действия, а цепочки действий.

Преимущества систем, построенных на методе активного поведенческого анализа:

  • Меньшее количество обращений к пользователю, по сравнению с системами, построенными на IPS-методах;
  • Низкое потребление системных ресурсов;
  • Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);

Недостатки систем, построенных на методе активного поведенческого анализа:

Методы эмуляции системных событий (метод пассивного поведенческого анализа) - метод определения вредоносного ПО путем анализа действий и/или цепочки действий с помощью выполнения ПО в специальной ограниченной среде (т.н. эмуляторе кода), имитирующей реальное аппаратное обеспечение.

Принцип работы

ПО запускается в специальной ограниченной среде (т.н. эмуляторе кода), имитирующей реальное аппаратное обеспечение, где производится проверка на выполнение определенных действий и/или цепочки действий. Если обнаружена возможность выполнения потенциально опасного действия и/или цепочки действий, ПО помечается как вредоносное.

Преимущества систем, построенных на методе активного поведенческого анализа:

  • Не требуют специальных знаний или навыков со стороны пользователя;
  • Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
  • Отсутствие обращений к пользователю, за исключением случаев обнаружения вредоносного ПО;

Недостатки систем, построенных на методе активного поведенческого анализа:

  • В некоторых случаях анализ кода может занимать достаточно продолжительное время;
  • Широкое применение методик противодействия эмуляции кода вредоносного ПО, поэтому системы, использующие метод пассивного поведенческого анализа, могут противостоять не всем видам вредоносного ПО;
  • Невозможность противодействия активному заражению ПК.

Сканер целостности осуществляет постоянный мониторинг ядра ОС, на предмет выявления изменений, которые могло произвести вредоносное ПО. В случае обнаружения изменений внесенных вредоносным ПО об этом оповещается пользователь и по возможности производится откат действий, произведенных вредоносными ПО.

Принцип работы

Сканер целостности осуществляет мониторинг всех обращений к ядру ОС. В случае обнаружения попытки изменения критически важных параметров, операция блокируется.


  • Не требуют специальных знаний или навыков со стороны пользователя;
  • Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
  • Малое количество обращений к пользователю;

  • Для осуществление контроля целостности необходимо контролировать большое количество различных параметров, что может негативно сказаться на производительности ПК;
  • Слабая эффективность противодействия user-mode и kernel-mode руткитам;
  • Невозможность противодействия активному заражению ПК;

Принцип работы

  • Не требуют специальных знаний или навыков со стороны пользователя;
  • Не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
  • Полное отсутствие каких бы то ни было обращений к пользователю;

В данной статье рассматривались проактивные системы защиты. Была приведена краткая историческая справка по истории развития проактивных систем защиты, также были рассмотрены основные виды методов проактивной защиты:

  • Методы ограничения выполнения операций;
  • Методы поведенческого анализа;
  • Методы контроля целостности.

Подробно были рассмотрены принципы работы методов проактивных защиты, также были рассмотрены преимущества и недостатки проактивных методов защиты.

Подводя итог можно сделать вывод о том, что проактивные методы защиты являются высокоэффективным средством противодействия вредоносному ПО и могут составить весомую конкуренцию классическим, реактивным методам защиты, а в сочетании с ними могут многократно повысить эффективность антивирусных систем.

Быстрый рост количества вирусных эпидемий, громкие атаки хакеров, сетевое мошенничество, угроза spyware, — все это подняло спрос на системы антивирусной защиты. Предложений на рынке антивирусной защиты существует множество. Как выбрать лучший продукт? Какой из антивирусов может гарантировать 100% детектирование вирусов при минимальном уровне ложных срабатываний? Какой из антивирусов предлагает наиболее полный набор технологий для обеспечения адекватной защиты компьютера и сети от всех видов вредоносных программ?

Данный документ описывает основные подходы к превентивной защите, реализованные различными производителями. Дается оценка этих технологий. Документ главным образом предназначен для экспертов и подготовленных специалистов по компьютерной безопасности, знакомых с основными принципами работы антивирусных программ.

Проактивная защита

Когда количество вирусов превысило несколько сотен, антивирусные эксперты задумались над идеей детектирования вредоносных программ, о существовании которых антивирусная программа еще не знает — нет соответствующих сигнатур. В результате были созданы так называемые эвристические анализаторы.

Эвристическим анализатором называется набор подпрограмм, которые анализируют код исполняемых файлов, макросов, скриптов, памяти или загрузочных секторов для обнаружения в нем разных типов вредоносных компьютерных программ, не определяемых обычными (сигнатурными) методами. Другими словами — эвристические анализаторы предназначены для поиска неизвестного вредоносного ПО.

Политика безопасности является необходимым атрибутом любой продуманной стратегии защиты от ИТ-угроз. Продуманная политика позволяет в несколько раз уменьшить риск заражения вредоносной программой, атаки хакеров или утечки конфиденциальной информации. Простой пример — запрет на открытие вложенных файлов из электронных писем снижает риск заражения почтовым червем практически до 0. Запрет на использование сменных носителей также снижает риск проникновения вредоносного кода. К разработке политики всегда нужно подходить очень взвешенно и учитывать потребности и бизнес-процессы всех подразделений и работников компании.

Кроме вышеописанного подхода к политике безопасности, в материалах различных производителей встречаются упоминания безопасности на основе политик (policy-based security). На сегодняшний день существует несколько подходов к такому способу обеспечения безопасности.

Политика безопасности является необходимым атрибутом любой продуманной стратегии защиты от ИТ-угроз.

Подход Cisco-Microsoft. Ограничение доступа в корпоративную сеть для компьютеров, которые не соответствуют политике безопасности компании (например, отсутствуют необходимые обновления операционной системы, нет последних обновлений антивирусных баз и т.д.). Для приведения компьютера в соответствие политике, выделяется доступ только на специальный сервер обновлений. После установки всех необходимых обновлений и выполнения других действий, требуемых политикой безопасности, компьютер получает доступ в корпоративную сеть.

Системы предотвращения вторжений (IPS) предусматривают возможность закрытия наиболее часто используемых вредоносными программами уязвимостей компьютера перед новой угрозой еще до выхода обновления антивирусных баз: блокировка портов, т.е. возможности попадания инфекции на компьютер и ее дальнейшего размножения; создание политик для ограничения доступа к директориям или отдельным файлам; обнаружение источника инфекции в сети и блокировка дальнейших коммуникаций с ним. Данная технология отлично работает против атак хакеров и бесфайловых червей и вирусов, но против почтовых червей, классических вирусов и троянских программ IPS не эффективна.

Поведенческие блокираторы. История поведенческих блокираторов насчитывает уже более 13 лет. Данный вид антивирусного ПО не был популярным 8-10 лет назад, но с появлением новых видов ИТ-угроз о поведенческих блокираторах вновь вспомнили. Основная идея блокиратора — анализ поведения программ и блокировка выполнения любых опасных действий. Теоретически блокиратор может предотвратить распространение любого, как известного, так и неизвестного (написанного после блокиратора) вируса. Именно в этом направлении и движется большинство разработчиков антивирусного ПО. Примеров реализации данной технологии довольно много. В последнее время большинство систем предотвращения распространения почтовых червей по механизму являются поведенческими блокираторами.

Первый продукт из нового поколения коммерческих систем проактивной защиты на основе поведенческого блокиратора — StormFront — выпустила компания Okena, которая специализировалась на разработке систем обнаружения и предотвращения вторжений. В январе 2003 года компания Okena была поглощена компанией Cisco Systems, и StormFront вышел под названием Cisco Security Agent. Данный продукт является классическим поведенческим блокиратором и рассчитан на использование в компаниях. Продукт требует предварительной настройки квалифицированным администратором.

Panda TruPrevent включает в себя три компонента: поведенческий анализатор процессов для исследования поведения запущенных в системе процессов и обнаружения подозрительных действий, эвристический анализатор и набор IDS-функций для обнаружения вредоносных сетевых пакетов и защиты от переполнения буфера. Продукт позиционируется компанией Panda Software как вторая линия обороны от любого неизвестного вредоносного ПО (в качестве первой линии должен выступать классический антивирус) и предназначен для обнаружения неизвестного malware, запускаемого на компьютере. Продукт ориентирован на конечного пользователя (не администратора).

В продуктах Symantec в качестве проактивной защиты используется встроенный эвристический анализатор, способный обнаруживать еще неизвестные модификации вирусов на основании их специфических действий в системе, а также компоненты IPS/IDS (Intrusion Prevention/Detection System) Norton Internet Worm Protection, которая позволяет закрыть наиболее распространенные пути инфекции в систему (Prevention) и детектировать подозрительные действия (Detection). Дополнительно компания предлагает Outbreak Alert — средство оповещения о появлении особенно опасных интернет-угроз (входит в состав Norton Internet Security 2005). Кроме этого, на уровне сервисов Symantec предлагает услугу Early Warning Services (EWS) которая позволяет получать ранние оповещения об обнаруженных уязвимостях. В настоящее время услуга интегрируется в новую систему Global Intelligence Services.

Microsoft также работает в направлении разработки проактивных методов защиты от вредоносного ПО. Детали и сроки не известны.

Trend Micro в качестве проактивной защиты PC-cillin Internet Security 2005 использует эвристический анализатор и Outbreak Alert System — проактивное оповещение о новых наступающих угрозах. В корпоративном продукте Trend Micro OfficeScan Corporate Edition 6.5 используются сигнатуры с Outbreak Prevention Service, которые позволяют автоматически устанавливать защитные правила для предотвращения заражений еще до выхода обновления антивирусных баз. Такая возможность отсутствует в персональном продукте.

В продуктах BitDefender под проактивной защитой имеется в виду поведенческий анализатор, который блокирует вредоносные программы на основании анализа их специфических действий в системе (контролируются системные файлы, реестр и интернет-активность).

Для защиты почтового трафика могут использоваться особые методы, основанные на анализе писем, проходящих через почтовый сервер. С помощью такого анализа можно остановить эпидемию в самом ее начале. Статистика, дающая основания подозревать начало эпидемии, может быть следующей:

  • массовая рассылка или прием одинаковых вложений;
  • массовая рассылка или прием одинаковых писем с различными вложениями;
  • наличие двойного расширения у вложений;
  • и т.д.

Кроме этого, возможен лингвистический анализ тел писем.

Суммируя все вышесказанное, можно говорить о том, что под проактивными методами защиты, предлагаемыми на рынке, понимается:

  1. Поведенческий анализатор процессов для анализа поведения запущенных в системе процессов и обнаружения подозрительных действий, т. е. неизвестных вредоносных программ.
  2. Устранение возможностей попадания инфекции на компьютер, блокировка портов, которые используются уже известными вирусами, и могут использоваться их новыми модификациями (IPS/IDS-компонент).
  3. Недопущение переполнения буфера для наиболее распространенных программ и сервисов Windows, чаще всего используемых злоумышленниками для осуществления атаки (IPS/IDS-компонент).
  4. Минимизация ущерба, причиненного инфекцией, предотвращение дальнейшего ее размножения, ограничение доступа к файлам и директориям; обнаружение и блокировка источника инфекции в сети (IPS/IDS-компонент).

Таким образом, можно сказать, что технологии проактивной защиты превращаются из игрушки для профессионалов или компьютерных гуру в инструмент, предназначенный для домашнего и корпоративного пользователя, и являются приоритетным направлением работы для компаний-разработчиков антивирусного ПО.

ПлюсыМинусы
  • Известная и хорошо зарекомендовавшая себя технология.
  • Не требует частого обновления.
  • Требует больших затрат процессорного времени.
  • Невысокий уровень обнаружения (25-30%).
  • Высокий уровень ложных (при повышении уровня детектирования).

Данная технология может быть использована во всех антивирусных продуктах, как на рабочих станциях, так и на файловых, почтовых серверах и интернет-шлюзах. На сегодняшний день эвристический анализатор — единственная проактивная технология, которая может эффективно использоваться во всех антивирусных продуктах.

ПлюсыМинусы
  • Необходимая часть любого комплексного подхода к обеспечению безопасности.
  • Не зависит от типа ПО.
  • Нет смысла говорить об уровне обнаружения, т.к. невозможно его подсчитать.
  • Подход Trend Micro, по своей сути, не является проактивным методом как таковым — это вариация на тему сигнатур, только в данном случае в роли сигнатур выступают описания политик. Следовательно, такой подход не является в большинстве случаев проактивным.

Безопасность на основе политик может быть использована в том или ином виде в любой компании вне зависимости от размера, ИТ-инфраструктуры или рода деятельности. Более того, грамотная политика позволяет практически без финансовых затрат в разы снизить риски от ИТ-угроз.

ПлюсыМинусы
  • Хорошая технология для защиты от атак хакеров и бесфайловых червей и вирусов.
  • Неприменима для обнаружения других типов вредоносного ПО.
  • Требует обновления сигнатур атак.

Эта технология отлично себя зарекомендовала в продуктах для защиты рабочих станций и интернет-шлюзов. Для защиты почтового трафика IDS неприменима.

С учетом того, что все современные процессоры поддерживают на аппаратном уровне защиту от переполнения буфера, перспективность программной реализации сомнительна. Но тем не менее, защита от переполнения буфера востребована для защиты рабочих станций, интернет-шлюзов и других серверов, которые имеют прямой выход в интернет.

Поведенческие блокираторы применимы только в случаях, когда возможно исполнение подозрительной программы — на рабочих станциях. На почтовых, файловых серверах и шлюзах запуск подозрительных программ не должен осуществляться в принципе, и, как следствие, поведенческий блокиратор не будет востребован.

Выводы

Из всех вышеописанных методов проактивного детектирования вредоносного ПО наиболее перспективными являются поведенческие блокираторы, с учетом нивелирования недостатков, описанных выше, системы детектирования и предотвращения вторжений и эвристические анализаторы. Но ни одна из перечисленных выше технологий в одиночку не может справиться с задачей максимального обнаружения вредоносных программ с минимальным уровнем ложных срабатываний. Только комплексный подход и объединение различных технологий позволит добиться поставленной цели.

Читайте также:

Пожалуйста, не занимайтесь самолечением!
При симпотмах заболевания - обратитесь к врачу.

Copyright © Иммунитет и инфекции