Технология репутационного анализа становится стандартом де-факто для современных антивирусных продуктов: в ближайшие годы ее возьмут на вооружение большинство вендоров, полагают эксперты. Скептики, тем временем, советуют не переоценивать эффективность защиты, основанной на "мудрости толпы".
На этой неделе компания Symantec официально представила в России новую линейку своих продуктов Norton 2010 - Norton Internet Security 2010 и Norton Antivirus 2010. В них реализована новая модель безопасности Quorum, основанная на оценке репутации. Вендор работал над ней более трех лет.
Для Quorum одним из индикаторов вредоносности служит уникальность файла и его атрибутов. Данная технология работает на основе сканирования файлов и приложений, отслеживая при этом десятки атрибутов, таких как дата и время создания файла, источник его загрузки, цифровая подпись и распространенность. Эти атрибуты комбинируются с помощью комплексных алгоритмов, после чего производится оценка репутации. По мере того, как файл распространяется по интернету, его атрибуты меняются, и тогда Quorum обновляет репутацию файла. Система оценки репутации в первую очередь нацелена на выявление в новых файлах вредоносного кода, не обнаруживаемого традиционными методами сканирования.
Использование репутационных технологий сегодня называют одним из основным трендом развития индустрии. Они уже представлены, в частности, в продуктах Trend Micro, «Лаборатории Касперского», MacAfee, Panda, а теперь и Symantec. Впрочем, по словам Кирилла Керценбаума, руководителя группы технических консультантов по безопасности Symantec в России и СНГ, в продуктах Norton 2009 уже была первая реализация данной репутационной технологии: она позволяла снижать нагрузку на ПК путем исключения из сканирования по запросу тех файлов, которым Symantec или сообщество пользователей ее продуктов доверяет (то есть, в первую очередь, использует, и со стороны данных приложений антивирус не выявил никаких подозрительных действий). «В Norton 2010 концепция Quorum, фактически, уже реализована полностью, а также интегрирована практически со всеми модулями защиты, такими как поведенческий анализатор (SONAR), система IPS, антиспам», - отметил Керценбаум.
В Symantec репутационный подход называют очень перспективным и достаточно надежным. «И сигнатурный, и - отчасти - поведенческий анализ становятся менее эффективными, ведь хакерам не составляет никакого труда тестировать свои "творения" на десятках антивирусных продуктов и пытаться обойти защиту тех или иных механизмов, однако факт малой распространенности или новизны того или иного файла обойти практически невозможно, что позволяет эффективно предотвращать распространение новых вариантов вредоносного кода», - говорит Кирилл Керценбаум.
«Судя по описанию на сайте Symantec, технология Quorum на 30-50% соответствует технологии Trend Micro Smart Protection Network, которая была запущена в этом году, - комментирует Михаил Кондрашин, руководитель Центра компетенции Trend Micro. - На стороне Symantec - преимущество в большем числе пользователей по всему миру, а значит, в потенциально большей отдаче от системы обратной связи, которой, по сути является Quorum». С другой стороны, по его словам, Smart Protection Network содержит в себе не только базу опасных интернет-ресурсов, но и базу источников спама и «нехороших» файлов. «Это позволяет за счет корреляции и ретроспективного анализа выявлять совершенно неизвестные угрозы, - объясняет Кондрашин. - Ведь при использовании только обратной связи части пользователей все-таки придется пострадать, ради блага большинства, которое получат защиту вовремя. Не случайно позавчера на конференции RSA было анонсировано, что RSA (подразделение корпорации EMC) включает в свои продукты интеграцию с технологиями Trend Micro».
Кондрашин также отмечает, что «репутация» и «мудрость толпы» - на самом деле, совершенно разные вещи. «Репутация» - это способность производить ретроспективный анализ, то есть учитывать предысторию («репутацию»). «Мудрость толпы» - это одна из возможных систем обратной связи для пополнения репутационной базы данных. «У Symantec, как и у других ведущих производителей, «мудрости толпы» на самом деле нет, так как конечному пользователю здесь отводиться скромная роль владельца компьютера и не более того, - считает он. - Все решения принимаются на основе автоматизированного поведенческого анализа».
В компании Agnitum, в свою очередь, подтверждают, что технологии, основанные на результатах действий и опыта сообщества пользователей, становятся тенденцией, и в том или ином виде появятся в ближайшие 2-3 года в большинстве ИТ-продуктов. В частности, в продуктах Outpost уже несколько лет используется технология ImproveNet, которая позволяет на основе данных, которые автоматически приходят от пользователей и анализируются в системе, создавать новые правила в работе продукта.
Тем не менее, у репутационной технологии есть и свои скептики. «Я не считаю Quorum абсолютно бесполезной вещью, но полагаю, что эффективность данной технологии серьёзно переоценена», - считает Илья Рабинович, исполнительный директор SoftSphere Technologies. По его словам, репутационные технологии зачастую не оправдывают ожиданий, возлагаемых производителями. «К примеру, существуют такие технологии для веб-ресурсов, но существенного влияния на количества заражённых компьютеров это не оказало, - напоминает Рабинович. - Также непонятно, как компания собирается бороться со зловредными накрутками пользовательских рейтингов и вбросами зловредных модулей через рейтинговые механизмы Quorum».
По словам Кирилла Керценбаума, Quorum включает в себя специальные механизмы анализа и защиты, которые позволяют эффективно бороться с подобными атаками. «Также нужно отметить, что высокая репутация файла не является для продуктов Norton призывом к тому, чтобы этот файл был исключен из проверок реального времени по большому количеству характеристик: даже если мы "доверяем" файлу, мы все равно следим за его поведением, проверяем его по базе сигнатур, контролируем его сетевую активность и так далее», - говорит он.
Не стоит забывать, что репутационный анализ уже сыграл важную роль в деле борьбы со спамом, напоминает Михаил Орешин, ранее директор московского филиала «Поликом Про». «Фильтрация на основании репутации в промышленном масштабе появилась в антиспам-решениях как логичное продолжение RBL-листов, - говорит он. - Поначалу воспринималась сия технология скептически, так как многие администраторы помнили, как они попадали в RBL-листы, и требовались усилия, чтобы потом из них быть вычеркнутыми, - вспоминает Орешин. - В какой-то момент репутация была конкурентным преимуществом («У нас есть, а у них нет - неудачники»). А сейчас подобная технология используется практически всеми продуктами. Стоит признать, что уже как несколько лет проблема спама решена, и репутационный анализ внес существенную роль».
Несмотря на то, что ситуация с выявлением вредоносных кодов несколько другая (все-таки в антиспаме речь идет об IP, пытающихся установить SMTP-сессию, о существовании которой обычный пользователь даже не подозревает), Михаил Орешин считает, что для оперативного реагирования на malware, пожалуй, нет другого пути, чем репутация. «Угнаться только за кодом становится практически невозможно, - объясняет он. - Я убежден, что без репутации не сможет обойтись ни один продукт, играющий на рынке антивирусов».
Что же касается ключевого риска репутационного анализа - ложных срабатываний - то они были и будут всегда, полагает Орешин. Кроме того, этот риск относится, скорее, к средним и крупным компаниям. «Там ложное срабатывание может повлиять на текущую работу бизнеса, - говорит он. - Посему Symantec и предлагает пока это решение для домашних пользователей».
«Конечно, вероятность ложных срабатываний остаётся, тем не менее, эффективность технологии доказана, причём не компьютерными тестами и технологиями, а обществом в целом, - комментирует Дмитрий Святный, директор подразделения по информационной безопасности крупной инвестиционной компании. - Модели обеспечения общественной безопасности перекочевали в отрасль компьютерной безопасности, лозунги: «не проходите мимо», «будьте сознательными», «участвуй» и т п. делают своё дело. Граждане давно осознали, что они сами должны принимать активное участие в обеспечении собственной безопасности».
«Чем больше наберется статистики, тем более адекватный результат будет выдавать продукт, - перечисляет Михаил Орешин другие плюсы репутационной технологии. - Кроме того, репутация (а именно количество инцидентов) позволяет поднять приоритет для «традиционных» технологий - а именно, указывает, на какой код нужно обратить внимание и быстрее внести его в базу». К тому же, чтобы избежать риска ложных срабатываний, на первых порах внедрения технологии ее можно использовать в информационном порядке, но не принимать решение на основе репутации, добавляет он.
