Читаем Журнал "Компьютерра" №705 полностью

Счет в этой войне идет буквально на дни, если не на часы. Антивирус начал детектировать зловредный модуль на сайте, распространяющем заразу? Производитель зловреда в течение нескольких часов модифицирует его так, чтобы он больше не обнаруживался, и выкладывает обратно на сайт! Теперь вы понимаете, надеюсь, что стандартное тестирование антивирусных движков на качество обнаружения уже известных образцов зловредного ПО со стандартным 90-99% результатом с реальной ситуацией, с которой сталкивается пользователь при заражении, имеет мало общего? Ахиллесова пята современных антивирусных технологий - их реактивность. То есть, сначала зараза, а лишь потом - средства ее обнаружения и зачистки. Все то время, пока образец не попал в антивирусную лабораторию, идет инфицирование. Единственная надежда - на эвристик, но уровень его детектирования не дотягивает даже до 70%. Кроме того, ложные срабатывания становятся головной болью для производителей легитимного ПО (знаю по собственному опыту!) и обычных пользователей.

Так какие же технологии будут занимать умы пользователей в ближайшем будущем? Безусловно, это технологии, основанные на анализе поведения (так называемые HIPS) и белых списках. Рассмотрим каждую из них.

Исторически первая технология анализа поведения была основана на модели детекторов аномалий (на ней же базируются файрволлы) и имеет общее название classic HIPS. То есть, если приложение совершает потенциально опасное действие (запись в автозагрузку, например), защита выдает предупреждение об оном и просит пользователя принять решение (например, разрешить, запретить или внести в локальную базу правил как разрешенное). Для уменьшения количества подобных окон с вопросами обычно используется режим обучения (как и у файрволлов) либо онлайновая база знаний (community HIPS). Все подобные схемы имеют одну неразрешимую проблему: они перекладывают принятие решения на самого пользователя со всеми вытекающими. Такие защиты сложны в каждодневном использовании простым юзером и не получили сколь-нибудь массового распространения. Их ниша - суперпрофессиональные пользователи, считающие контроль синонимом слова "защита" (и наоборот). Примеры - почивший в бозе ProcessGuard, ProSecurity, SSM.

Следующее поколение защит основывается на модели "поведенческих сигнатур", имеет общее название blacklisting HIPS или expert HIPS и является невольным продолжением традиций антивирусных решений. То есть защита анализирует последовательность поведенческих шагов программ с шаблонами (сигнатурами) поведения известных зловредов и выносит вердикт. Защита практически не мешает обычной повседневной работе, но имеет типичные недостатки всех антивирусных решений - ложные срабатывания на легитимном ПО и несрабатывания на зловредном. Кроме того, подобные системы все же перекладывают принятие окончательного решения на самого пользователя (не все из них, но ложные срабатывания тогда хуже контролируются) и предъявляют некоторые требования к его технической подготовленности. Типичные примеры - Kaspersky PDM, Norton Antibot, PC Tools Threatfire.

ЗАВТРА

Модель "белых списков" в мире безопасности не нова, например, компания Microsoft внедряет цифровые подписи в

мир программного обеспечения довольно давно. Кроме того, есть несколько реализаций данной модели для систем HIPS, имеющих общее название whitelisting HIPS и основанных на контроле запускаемых приложений. То есть при запуске нового приложения, которого нет в белом списке разрешенных, выдается окно с предупреждением (обычно доступно несколько действий - "разрешить", "запретить", "добавить в список разрешенных"), как с возможностью уменьшения выдачи оных за счет проверки их цифровых подписей (например, Comodo Anti-virus, Comodo Firewall v3), так и без (например, Anti-Executable). Несколько компаний собирают цифровые отпечатки заведомо легитимных файлов в единую базу данных (например, Bit9). Недостатки подобных систем в том, что не все файлы можно подписать (скажем, cmd-скрипты, doc-файлы), а попытка создать базу всех легитимных исполняемых файлов в мире заведомо обречена на провал из-за гигантских размеров базы и необходимости обрабатывать громадный, постоянно растущий объем данных ежедневно (и, как следствие, обречена на провал попытка защитить пользователя от запуска вредоносных программ на сто процентов). Кроме того, скорость реакции whitelisting HIPS… такая же, как у антивирусов (но с другим знаком, конечно, - система не успевает за выходом "хорошего" ПО). Единственно правильное решение для применения идеологии "белого списка", которое я видел, - добавление данного элемента к уже существующим решениям в области защиты (например, упрощение анализа логов зараженных компьютеров с помощью программы AVZ и базы заведомо чистых элементов автозагрузки и системных библиотек).