БИЗНЕС

Редакция THG,  11 февраля 2009 Страница:   1 2 3 4 5 6 7

Антивирусная индустрия: основные технологии защиты 2008

На второй день для ИТ-журналистов был проведён круглый стол, где Николая Гребенников, директор по исследованиям и разработке "Лаборатории Касперского" прочитал весьма интересный доклад "Антивирусная индустрия: основные технологии защиты 2008".

Николай начал свой доклад с напоминания об экспоненциальном росте вредоносных программ в 2008 году, о чём мы уже говорили выше. А это привело к тому, что индустрии пришлось меняться, существующие технологии защиты оказались малоэффективными.

До 2008 года антивирус воспринимался как нечто обыденное, причём грань между качественными и некачественными решениями стиралась. В результате инвестиции в развитие, в НИОКР у многих компаний были меньше, чем должны были быть, если бы они серьёзно думали о тенденциях развития антивирусной индустрии. И маркетинг для многих компаний стоял на первом месте, опережая инвестиции в антивирусные лаборатории.

Ещё в 2006 году никто не предсказывал такого взрывного роста вредоносов, который оказался в 2008. А "большая тройка" (Symantec, McAfee, TrendMicro) уделяла основное внимание своим опасениям насчёт выхода на рынок Microsoft с решением OneCare. В итоге попытка Microsoft выйти на рынок решений для конечных домашних пользователей закончилась неудачно. При этом индустрия столкнулась с растущим числом атак - возросли как их количество, так и качество. В результате в 2008 году индустрия столкнулась с растущим числом высокопрофессиональных киберпреступников и массивных атак. По словам Николая, "это очень серьёзный оппонент". Многие вирусы и "трояны" были высокопрофессиональным продуктом и средством. Разработчики могли бы "гордиться" таким продуктом. Было реализовано множество технологий.

Что же происходило в умах "большой тройки"?

• Symantec: "если рост числа вредоносных программ продолжится, то он опередит рост числа легальных программ..."
• McAfee: "модель защиты по чёрным спискам (blacklisting model), в конце концов, может упереться в пределы своей архитектурной нерасширяемости"
• Trend Micro: "мы видим, что антивирусная индустрия... плохо себя чувствует"

Таким образом, к середине 2008 года гиганты индустрии были в панике.

Какие были выходы?

Скорость антивируса

Сначала был поднят вопрос скорости антивируса. Он определяется Symantec как наиболее критичный вопрос, то есть на первом месте стоит даже не уровень защиты (!).

• "В Symantec мы осознаём, что, для чего бы вы ни использовали компьютер, вы не хотите, чтобы он замедлялся тяжеловесным защитным ПО"
• "...не будем выпускать продукт, пока мы не сделаем самый быстрый продукт защиты в мире"

Борьба за скорость, по словам Николая, открыла новую эру антивирусной гонки вооружений. "Лаборатория Касперского" с 2006 года (KAV/KIS 6.0) уделяет пристальное внимание скорости работы продуктов, но считает, что производительность - не самое главное.

"Белые" списки

Вторая тенденция заключалась в использовании "белых" списков доверенных приложений (Whitelisting), поскольку "чёрный" список себя изживёт. Что же считают крупные производители?

• Symantec: "технологии, такие как whitelisting, ... будут становиться критичными"
• McAfee: "Whitelisting выглядит как очень сильная архитектурная перспектива..."
• Cisco: "Я не уверен, что мы сможем почувствовать себя уверенными в нашей инфраструктуре без реализации Whitelisting"

"Лаборатория Касперского" уже реализовала "белые" списки в KAV/KIS 2009. То есть уже началось накопление базы заведомо хороших файлов. Николай считает, что "белые" списки станут одной из обязательных технологий в решениях для конечных пользователей.

"Into the cloud"

Третья тенденция: "Into the cloud" или "Технологии в облаке". Под этой технологией подразумевается комбинация локальных и удалённых сервисов. Николай справедливо отметил, что они имеют как плюсы, так и минусы. Что думают по этому поводу крупные производители?

• Trend Micro: "Мы первые пришли с in-the-cloud архитектурой защиты" (Smart Protection Network)
• McAfee: проект Artemis
• Panda Security: "запускает в 2009 "in the Cloud" набор средств защиты"
• F-Secure: "даёт самую быструю защиту онлайн"

"Лаборатория Касперского" тоже активно использует технологии "Into the cloud", которые реализованы в рамках "Kaspersky Security Network" и "Urgent Detection System" в KIS/KAV 2009.

Николай более подробно описал защиту через технологию "Into the cloud". Сразу же отметим, что для работы технологии защиты пользователь при установке KIS/KAV 2009 должен согласиться с отправкой некоторой информации в "Лабораторию Касперского". (Это можно сделать позднее в "Настройках" в пункте "Обратная связь").

Когда пользователь скачивает приложение из Интернета, продукт отсылает сигнатуры приложения в реальную базу.

Неизвестные файлы поступают к вирусным аналитикам для анализа.

Затем аналитик принимает решение. Если подозрительный файл опасен, то он добавляется в базу данных "Системы мгновенной реакции".

Другие пользователи тоже могут попытаться скачать и запустить подозрительный файл. KAV посылает запрос на сервера KL UDS и KL Whitelisting для получения данных о файле.

Система мгновенной реакции посылает предупреждение, что подозрительный файл потенциально опасен. Система контроля приложений KAV/KIS 2009 предупреждает пользователя и блокирует исполнение данного файла.

Таким образом, пользователи уже оказываются защищены через "Систему мгновенной реакции", даже если файл отсутствует в базе данных антивируса. Тем временем аналитик заканчивает анализ и детектирует файл как вредоносный. Создаётся сигнатура, она добавляется в стандартные базы "Лаборатории Касперского".

Затем новая сигнатура раздаётся всем пользователям разных продуктов "Лаборатории Касперского" как часть ежечасных обновлений. Теперь все пользователи защищены от опасности, которую несёт подозрительный файл.

Контроль приложений

Следующая тенденция - контроль приложений со стороны антивирусов. У многих антивирусов этот вопрос проработан в зачаточном состоянии, но "Лаборатория Касперского" в качестве одной из основ продуктов 2009 года и последующих линеек заложила систему контроля приложений нового поколения. Этот подход позволяет перенести защиту настольных ПК и серверов на новый уровень - глубокой интеграции в операционную систему.

Вывод по контролю приложений Николай сделал следующий: "наиболее важный вопрос - не то, сколько вредоносных программ знает ваш антивирус, а то, какие приложения исполняются на вашем компьютере!"

Затем Николай перешёл к рассмотрению эволюции подходов к контролю приложений. Он отметил, что от бинарного деления хороший/плохой индустрия переходит к множественному делению на основе рейтинга опасности. От подхода "Разрешить всё/Блокировать всё" будет переход к подходу правил ограничения изменений (ресурсов, среды исполнения).

Будет развиваться и защита "хороших" приложений. То есть антивирус будет отслеживать их поведение, проверять актуальность версий через базы уязвимостей, предотвращать утечки информации наружу от лица "плохих" приложений через "хорошие", анализировать настройки.

Важным фактором контроля приложений является доступ к базам данных о приложениях в реальном времени на серверах "Лаборатории Касперского" в Интернете. Причём эти базы пополняются "живыми" данными с компьютеров пользователей.

Поговорил Николай и о контроле приложений в корпоративной среде. Здесь основной особенностью является централизованное управление, которое позволяет разделить приложения на "хорошие", "плохие", "потенциально опасные" и "уязвимые". Причём администратор может дополнять локальную базу "хорошего" ПО. Здесь, конечно, добавляется новое измерение - пользователь, то есть контроль приложений может осуществляться в зависимости от пользователя, вошедшего в систему. Опытному пользователю можно разрешить больше, неопытному - меньше.

В заключении Николай назвал 2008 "годом революции в защите", выделив следующие ключевые факторы развития.

• Больше внимания технологиям и влиянию на работу пользователя.
• Базы "белого" ПО дополняют базы "чёрного".
• Контроль приложений и HIPS.
• Доступ к базам "in-the-cloud" в реальном времени.
• Пополнение баз на основе данных от пользователей

Нам остаётся только поблагодарить Николая Гребенникова за интереснейшее выступление. Будем надеяться, что "Лаборатория Касперского" всегда будет радовать нас новыми интересными разработками в области защиты пользователей от вредоносного ПО.

feed_id: 6177 pattern_id: 2818

Отзывы об экскурсии в Лабораторию Касперского в Клубе экспертов THG

Другие статьи

СОДЕРЖАНИЕ |Одной страницей|Версия для печати

Введение "Лаборатория Касперского": виртуальная экскурсия Киберугрозы и антивирусная индустрия. Взгляд в будущее "Лаборатория Касперского" в России и в мире Демонстрация работы антивирусной лаборатории Как работает СпамЛаб? Просвещение: новый подход к безопасности Антивирусная индустрия: основные технологии защиты 2008  Отзывы об экскурсии в Лабораторию Касперского в Клубе экспертов THG [ 29 отзывов]