Репутационная защита: отраслевой стандарт или дань моде?

Репутационная защита: отраслевой стандарт или дань моде?

Технология репутационного анализа становится стандартом де-факто для современных антивирусных продуктов: в ближайшие годы ее возьмут на вооружение большинство вендоров, полагают эксперты. Скептики, тем временем, советуют не переоценивать эффективность защиты, основанной на "мудрости толпы".  

На этой неделе компания Symantec официально представила в России новую линейку своих продуктов Norton 2010 - Norton Internet Security 2010 и Norton Antivirus 2010. В них реализована новая модель безопасности Quorum, основанная на оценке репутации. Вендор работал над ней более трех лет.

Для Quorum одним из индикаторов вредоносности служит уникальность файла и его атрибутов. Данная технология работает на основе сканирования файлов и приложений, отслеживая при этом десятки атрибутов, таких как дата и время создания файла, источник его загрузки, цифровая подпись и распространенность. Эти атрибуты комбинируются с помощью комплексных алгоритмов, после чего производится оценка репутации. По мере того, как файл распространяется по интернету, его атрибуты меняются, и тогда Quorum обновляет репутацию файла. Система оценки репутации в первую очередь нацелена на выявление в новых файлах вредоносного кода, не обнаруживаемого традиционными методами сканирования.

Использование репутационных технологий сегодня называют одним из основным трендом развития индустрии. Они уже представлены, в частности, в продуктах Trend Micro, «Лаборатории Касперского», MacAfee, Panda, а теперь и Symantec. Впрочем, по словам Кирилла Керценбаума, руководителя группы технических консультантов по безопасности Symantec в России и СНГ, в продуктах Norton 2009 уже была первая реализация данной репутационной технологии: она позволяла снижать нагрузку на ПК путем исключения из сканирования по запросу тех файлов, которым Symantec или сообщество пользователей ее продуктов доверяет (то есть, в первую очередь, использует, и со стороны данных приложений антивирус не выявил никаких подозрительных действий). «В Norton 2010 концепция Quorum, фактически, уже реализована полностью, а также интегрирована практически со всеми модулями защиты, такими как поведенческий анализатор (SONAR), система IPS, антиспам», - отметил  Керценбаум.

В Symantec  репутационный подход называют очень перспективным и достаточно надежным. «И сигнатурный, и - отчасти - поведенческий анализ становятся менее эффективными, ведь хакерам не составляет никакого труда тестировать свои "творения" на десятках антивирусных продуктов и пытаться обойти защиту тех или иных механизмов, однако факт малой распространенности или новизны того или иного файла обойти практически невозможно, что позволяет эффективно предотвращать распространение новых вариантов вредоносного кода», - говорит Кирилл Керценбаум.

«Судя по описанию на сайте Symantec, технология Quorum на 30-50% соответствует технологии Trend Micro Smart Protection Network, которая была запущена в этом году, - комментирует Михаил Кондрашин, руководитель Центра компетенции Trend Micro. - На стороне Symantec - преимущество в большем числе пользователей по всему миру, а значит, в потенциально большей отдаче от системы обратной связи, которой, по сути является Quorum». С другой стороны, по его словам, Smart Protection Network содержит в себе не только базу опасных интернет-ресурсов, но и базу источников спама и «нехороших» файлов. «Это позволяет за счет корреляции и ретроспективного анализа выявлять совершенно неизвестные угрозы, - объясняет Кондрашин. - Ведь при использовании только обратной связи части пользователей все-таки придется пострадать, ради блага большинства, которое получат защиту вовремя. Не случайно позавчера на конференции RSA было анонсировано, что RSA (подразделение корпорации EMC) включает в свои продукты интеграцию с технологиями Trend Micro».

 

Кондрашин также отмечает, что «репутация» и «мудрость толпы» - на самом деле, совершенно разные вещи. «Репутация» - это способность производить ретроспективный анализ, то есть учитывать предысторию («репутацию»). «Мудрость толпы» - это одна из возможных систем обратной связи для пополнения репутационной базы данных. «У Symantec, как и у других ведущих производителей, «мудрости толпы» на самом деле нет, так как конечному пользователю здесь отводиться скромная роль владельца компьютера и не более того, - считает он. - Все решения принимаются на основе автоматизированного поведенческого анализа».

В компании Agnitum, в свою очередь, подтверждают, что технологии, основанные на результатах действий  и опыта сообщества пользователей, становятся тенденцией,  и в том или ином виде появятся в ближайшие 2-3 года в большинстве ИТ-продуктов. В частности, в продуктах Outpost уже несколько лет используется технология ImproveNet, которая позволяет на основе данных, которые автоматически приходят от пользователей и анализируются в системе, создавать новые правила в работе продукта.

Тем не менее, у репутационной технологии  есть и свои скептики. «Я не считаю Quorum абсолютно бесполезной вещью, но полагаю, что эффективность данной технологии серьёзно переоценена», - считает Илья Рабинович, исполнительный директор SoftSphere Technologies. По его словам, репутационные технологии зачастую не оправдывают ожиданий, возлагаемых производителями. «К примеру, существуют такие технологии для веб-ресурсов, но существенного влияния на количества заражённых компьютеров это не оказало, - напоминает Рабинович. - Также непонятно, как компания собирается бороться со зловредными накрутками пользовательских рейтингов и вбросами зловредных модулей через рейтинговые механизмы Quorum».  

По словам Кирилла Керценбаума, Quorum включает в себя специальные механизмы анализа и защиты, которые позволяют эффективно бороться с подобными атаками. «Также нужно отметить, что высокая репутация файла не является для продуктов Norton призывом к тому, чтобы этот файл был исключен из проверок реального времени по большому количеству характеристик: даже если мы "доверяем" файлу, мы все равно следим за его поведением, проверяем его по базе сигнатур, контролируем его сетевую активность и так далее», - говорит он.

Не стоит забывать, что репутационный анализ уже сыграл важную роль в деле борьбы со спамом, напоминает  Михаил Орешин, ранее директор московского филиала «Поликом Про». «Фильтрация на основании репутации в промышленном масштабе появилась в антиспам-решениях как логичное продолжение RBL-листов, - говорит он. - Поначалу воспринималась сия технология скептически, так как многие администраторы помнили, как они попадали в RBL-листы, и требовались усилия, чтобы потом из них быть вычеркнутыми, - вспоминает Орешин. - В какой-то момент репутация была конкурентным преимуществом («У нас есть, а у них нет - неудачники»). А сейчас подобная технология используется практически всеми продуктами. Стоит признать, что уже как несколько лет проблема спама решена, и репутационный анализ внес существенную роль».

Несмотря на то, что ситуация с выявлением вредоносных кодов несколько другая (все-таки в антиспаме речь идет об IP, пытающихся установить SMTP-сессию, о существовании которой обычный пользователь даже не подозревает),  Михаил Орешин считает, что для оперативного реагирования на malware, пожалуй, нет другого пути, чем репутация. «Угнаться только за кодом становится практически невозможно, - объясняет он. - Я убежден, что без репутации не сможет обойтись ни один продукт, играющий на рынке антивирусов».

Что же касается ключевого риска репутационного анализа - ложных срабатываний - то они были и будут всегда, полагает Орешин. Кроме того, этот риск относится, скорее, к средним и крупным компаниям. «Там ложное срабатывание может повлиять на текущую работу бизнеса, - говорит он. - Посему Symantec и предлагает пока это решение для домашних пользователей».

 

«Конечно, вероятность ложных срабатываний остаётся, тем не менее, эффективность технологии доказана, причём не компьютерными тестами и технологиями, а обществом в целом, - комментирует Дмитрий Святный, директор подразделения по информационной безопасности крупной инвестиционной компании. - Модели обеспечения общественной безопасности перекочевали в отрасль компьютерной безопасности, лозунги: «не проходите мимо», «будьте сознательными», «участвуй» и т п. делают своё дело. Граждане давно осознали, что они сами должны принимать активное участие в обеспечении собственной безопасности».

«Чем больше наберется статистики, тем более адекватный результат будет выдавать продукт, - перечисляет Михаил Орешин другие плюсы репутационной технологии. - Кроме того, репутация (а именно количество инцидентов) позволяет поднять приоритет для «традиционных» технологий - а именно, указывает, на какой код нужно обратить внимание и быстрее внести его в базу». К тому же, чтобы избежать риска ложных срабатываний, на первых порах внедрения технологии ее можно использовать в информационном порядке, но не принимать решение на основе репутации, добавляет он.

" />

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Основная масса россиян никогда не меняла пароли в соцсетях

Как показало исследование социальной сети «Одноклассники», 40% российских пользователей соцсетей никогда не меняли пароль после первичной настройки учетной записи.

Согласно результатам исследования, которые оказались в распоряжении «Лента Ру», основная масса пользователей (40%) никогда не меняет пароли.

Еще 30% делает это только тогда, когда получает уведомление о том, что учетные данные оказались среди тех, которые «утекли».

Более-менее регулярно меняют пароли только 30% пользователей. При этом 22% делают это через каждые 3-6 месяцев, а 8% — ежемесячно.

Двухфакторную аутентификацию применяет около трети пользователей. Наиболее распространены одноразовые СМС-коды (27 процентов) и звонки для сброса (5 процентов). 

При этом четверть опрошенных не пользуется двухфакторной аутентификацией, хотя знает о такой возможности. Причем почти половина (43%) осознает, что отказ от двухфакторной аутентификации резко снижает уровень безопасности.

При создании паролей пользователи учитывают такие критерии, как легкость запоминания (30%), сложность пароля, включая цифры и символы (23%), а также использование паролей для каждого профиля (17%).

При этом более 35% не знают о возможностях менеджеров паролей, а 26% не видят необходимости в них. Только 8% применяют данный инструмент.

Как показало исследование, 37% пользователей оценивают безопасность своих учетных данных как среднюю, 14% — как высокую.

Проблема с невысоким качеством паролей носит глобальный характер. Как показало исследование NordVPN, на протяжении последних лет доминируют простые и легко подбираемые пароли.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru