Технология «гибридной» защиты в продуктах Лаборатории Касперского

Технология «гибридной» защиты в продуктах Лаборатории Касперского

Технология «гибридной» защиты в продуктах Лаборатории Касперского

В новой версии Kaspersky Internet Security 2012 был реализован подход, который был назван «Лабораторией Касперского» – «гибридная» защита. Суть такой защиты заключается в одновременном использовании как традиционных антивирусных технологий, так и «облачных». В данной статье мы рассмотрим причины появления «гибридной» защиты, принципы ее работы и особенности использования в ней «облачных» технологий.

 

Введение

С каждым годом увеличивается количество вредоносных программ, сетевых атак, спама и прочих угроз безопасности технических систем. По данным «Лаборатории Касперского» каждый день в мире появляется около 70 тысяч новых вредоносных программ, около 200 миллионов сетевых атак блокируется ежемесячно, а 80% всей пересылаемой корреспонденции является спамом. Данная ситуация приводит к тому, что традиционные способы борьбы с угрозами становятся все менее эффективными в борьбе с новыми угрозами, и возникает необходимость в применении новых технологий обеспечения безопасности.

Одной из таких технологий являются облачные вычисления, которые могут применяться для организации защиты компьютера. «Облачные» вычисления представляют собой технологию распределенной обработки информации на серверах или в специальных центрах обработки данных, при которой компьютерные ресурсы предоставляются пользователю как интернет-сервис.

 

Kaspersky Security Network

В продуктах «Лаборатории Касперского» «облачные» технологии реализованы в виде Kaspersky Security Network (KSN) — инфраструктуры онлайн-служб и сервисов, позволяющей антивирусам получать доступ к базам знаний «Лаборатории Касперского» в режиме реального времени. В работе KSN используются базы, содержащие информацию о доверенных (Whitelisting) и подозрительных (UDS – Urgent Detection System) программах и веб-сайтах. Также используется технология Wisdom of the Crowd (WoC), предоставляющая информацию о степени популярности программы и ее репутации среди пользователей KSN.

Работа с «облаком» на антивирусах, пользователи которых дали свое согласие на участие в KSN, происходит следующим образом. При запуске или загрузки приложений и посещении веб-страниц антивирус передает информацию об этом в «облако». Полученная информация проверяется как автоматически - при помощи искусственного интеллекта, так и экспертами «Лаборатории Касперского». Для автоматического анализа используется экспертная система Astraea, которая анализирует статистическую информацию о программах и URL сайтов и выносит вердикт о степени их опасности. Если угроз нет, то программа или сайт добавляются в «белые» списки (Whitelisting). В случае признания программы или сайта вредоносными, запись о них попадает в базу Urgent Detection System.

 

Рисунок 1. Принцип работы Kaspersky Security Network

Технология «гибридной» защиты в продуктах Лаборатории Касперского

 

После формирования решений они через короткое время (несколько минут) становятся доступными для всех продуктов «Лаборатории Касперского», в которых используется Kaspersky Security Network. Полученные решения после их обработки экспертами компании добавляются в базы сигнатур.

Фактически данная инфраструктура представляет собой экспертную систему, направленную на анализ угроз безопасности компьютера. Через нее пользователи могут оперативно «делиться» между собой информацией об обнаруженных угрозах и источниках этих угроз. В результате повышается скорость реакции антивируса на новые виды угроз, увеличивается эффективность работы некоторых компонентов защиты, а также снижается вероятность ложных срабатываний. Помимо информации об угрозах в KSN также поступает информация о популярности и репутации программ и веб-сайтов среди других пользователей – участников KSN.

Большое значение в данном случае играет механизм «обратной связи», который позволяет существенно увеличить скорость реагирования на новые угрозы по сравнению с традиционными сигнатурными методами.

 

Рисунок 2. Различие взаимодействия антивируса с сервером при обновлении сигнатур и использовании «облака»

Технология «гибридной» защиты в продуктах Лаборатории Касперского

 

Работа с «облаком» происходит в автоматическом режиме. Различные модули антивируса собирают информацию и передают ее в «облако», которое в ответ высылает сформулированные рейтинги и репутации. При работе с антивирусом пользователь никак не может управлять использованием «облака» (кроме его включения), можно только посмотреть статистику работы «облачных» технологий и включить/выключить использования результатов их работы в различных антивирусных модулях.

Использование любого «облака» у части пользователей вызывает опасения, связанные с угрозой их частной жизни и компрометации личных данных. «Лаборатория Касперского» во всех документах указывает, что «сбор, обработка и хранение персональных данных пользователя не производятся». Участие в сети Kaspersky Security Network добровольное, решение об участии пользователь принимает на этапе установки антивируса и может в любой момент его изменить. С компьютера пользователя в KSN передается только техническая информация, необходимая для анализа безопасности - настройки операционной системы, состояние антивирусной защиты и найденные угрозы, загружаемые файлы и запускаемые приложения.

 

Плюсы и минусы «облачного» подхода

Использование «облачных» вычислений стало популярно в последнее время, и часто возникает вопрос — не является ли их использование сугубо «данью моде»? Какие преимущества несет данный подход и какие недостатки у него имеются?

Преимуществами использования «облака» являются:

  • увеличение скорости реагирования на новые угрозы и, соответственно, скорости применения новых средств защиты для всех пользователей антивируса. Время от получения информации о новой угрозе до того момента, как будет создана защита от нее, составляет минуты;
  • механизмы принятия решений скрыты от пользователей. Так как анализ данных происходит в «облаке», злоумышленники не могут проанализировать алгоритмы выявления вредоносных программ или опасных сайтов. Это позволяет долгое время поддерживать работу механизмов детектирования в актуальном состоянии;
  • возможность блокировать не только угрозы, но и источники их распространения. Это позволяет блокировать не только саму угрозу, но и посещение ресурсов, которые могут ее содержать.
  • получение решений о новых угрозах без скачивания обновлений. Базы данных сигнатур в любом случае нужно обновлять как можно чаще. Однако до того момента, пока специалисты антивирусной компании не выпустят новые сигнатуры, антивирус может получать данные из баз данных UDS без необходимости скачивать большие объемы данных.

Однако, помимо достоинств, у использования «облака» есть ряд недостатков, не позволяющих ему быть универсальной защитой. Во-первых, для работы «облака» необходимо постоянное подключение к сети Интернет. Если доступа к Интернету нет или он был отключен, то «облачная» защита перестает работать. Во-вторых, существует теоретический риск компрометации результатов анализа, получаемых из облака. В-третьих, облачные технологии не предполагают глубокого анализа системных событий на локальной машине, например, с целью анализа и контроля приложений, поиска руткитов или системных аномалий.

 

«Гибридная» защита

Помимо «облака», большую роль в «гибридной» защите играют традиционные антивирусные технологии. В данном случае наибольшее значение имеют такие компоненты защиты как «Контроль программ», «Мониторинг активности» и «Проактивная защита», в которых реализована функциональность HIPS (Host-based Intrusion Prevention System, система предотвращения вторжений). Однако в данной статье мы не будем останавливаться на особенностях реализации антивирусных технологий, так они были подробно описаны в обзоре, посвящённом Kaspersky Internet Security 2012.

Одновременное использование двух указанных технологий – традиционной антивирусной защиты и защиты из «облака», позволяет нивелировать «слабые» стороны каждой из них и сделать предлагаемую защиту комплексной. В этом случае установленная на компьютере защита выполняет контроль активности в системе (применяет эвристические алгоритмы и методы эмуляции кода веб-страниц), анализирует действия программ, изолирует их в случае каких-то подозрений, блокирует сетевые атаки, предоставляет среду для безопасного запуска приложений, а также собирает данные об обнаруженных угрозах для отправки в «облако». А «облако» обеспечивает различные инструменты антивируса новыми сигнатурами, рейтингами и репутациями. В результате обеспечивается защита от известных угроз в независимости от подключения к Интернету и быстрая реакция на неизвестные угрозы безопасности.

Рассмотрим, как реализуется «гибридная» защита в новом персональном продукте «Лаборатории Касперского» Kaspersky Internet Security 2012.

 

Антивирусные компоненты и «облако»

Для включения/отключения работы «облачных» технологий нужно зайти в настройки Kaspersky Internet Security 2012, перейти в раздел «Дополнительные параметры», выбрать подраздел «Обратная связь» и снять/установить флажок «Я согласен участвовать в Kaspersky Security Network».

 

Рисунок 3. Включение работы Kaspersky Security Network

Технология «гибридной» защиты в продуктах Лаборатории Касперского

 

Посмотреть результат работы облачных технологий можно в программном окне «Технологии облачной защиты», для перехода в которое нужно нажать на кнопку «Защита из облака» в главном окне антивируса. В данном окне можно получить информацию о работе «облачных» технологий: количество проверенных по всему миру объектов (опасных, безопасных, обрабатываемых), количество нейтрализованных по всему миру угроз и время последней синхронизации антивируса с «облаком». Синхронизация производится достаточно часто – 5-15 раз в час.

 

Рисунок 4. Программное окно со статистикой работы «облачных» технологий

Технология «гибридной» защиты в продуктах Лаборатории Касперского

 

Нажав на кнопку «Узнать больше» мы можем получить дополнительную информацию о Kaspersky Security Network и перейти на сайт с описанием ее работы.

 

Рисунок 5. Программное окно «О защите из облака»

Технология «гибридной» защиты в продуктах Лаборатории Касперского

 

Результаты работа «облачных» технологий используются в ряде различных компонентов защиты Kaspersky Internet Security 2012.

 

1. Проактивная защита.

Проактивная защита позволяет обнаруживать вредоносные программы с помощью анализа их поведения, что дает возможность защитить компьютер от угроз, информация о которых отсутствует в сигнатурах. Проактивная защита обнаруживает угрозы по последовательностям действий, которые производят программы. Это может быть активность, характерная для троянских программ, перехват данных с клавиатуры, внедрение программы в другие процессы, отправка DNS-запросов и т.д. При обнаружении подозрительных действий работа программы блокируется.

В работе проактивной защиты KSN применяется для получения списка доверенных программ, поведение которых можно не анализировать. Это позволит не делать лишних проверок и минимизировать количество ложных срабатываний.

 

Рисунок 6. Окно с настройками проактивной защиты

Технология «гибридной» защиты в продуктах Лаборатории Касперского

 

2. Мониторинг активности

Мониторинг активности (System Watcher) собирает данные об активности программ в системе и предоставляет их другим компонентам антивируса для увеличения эффективности их работы. Полученные данные об активности программ сравниваются с шаблонами опасного поведения (BBS, Behavior Stream Signatures) и если они совпадают, то происходит детектирование. В процессе работы мониторинг активности может обмениваться данными о подозрительных действиях с «облаком» для уточнения выносимого решения. База используемых шаблонов также постоянно пополняется данными из KSN.

Особенностью данного компонента является то, что данные о активности программ собираются в течение всего их жизненного цикла, что позволяет «откатить» все подозрительные или приведшие к ущербу действия программ.

 

Рисунок 7. Мониторинг активности программ

Технология «гибридной» защиты в продуктах Лаборатории Касперского

 

3. Контроль программ.

Kaspersky Internet Security 2012 контролирует действия программ, запускаемых на компьютере, и ограничивает их доступ к системным ресурсам и данным пользователя (в зависимости от рейтинга опасности). В процессе проверки программам присваивается рейтинг опасности, который основывается на данных репутационных сервисов, расположенных в «облаке». В зависимости от присвоенного рейтинга опасности, каждое приложение относится к одной из четырех групп: доверенные, слабо ограниченные, сильно ограниченные и недоверенные. На все приложения в каждой группе накладывается свой набор ограничений. Например, программы, отнесенные к наиболее жесткой категории – недоверенные, не имеют доступа к системным ресурсам и личным данным пользователя.

Для разрешения использования результатов работы «облачных» технологий для контроля программ нужно в настройках в разделе «Центр защиты» в подразделе «Контроль программ» выбрать флажки, позволяющие загружать правила проверки из KSN и обновлять правила для заранее не известных программ из KSN.

 

Рисунок 8. Настройка использования Kaspersky Security Network для контроля программ

Технология «гибридной» защиты в продуктах Лаборатории Касперского

 

4. Веб-антивирус.

В веб-фильтре результаты работы «облака» используются для работы модуля проверки ссылок, который предназначен для предупреждения пользователей о ссылках, ведущих на мошеннические, спамерские сайты, а также сайты, распространяющие вредоносные программы. Модуль представляет собой панель инструментов для веб-браузеров Internet Explorer, Mozilla Firefox и Google Chrome.

 

Рисунок 9. Программное окно «Проверка ссылок» в браузере

Технология «гибридной» защиты в продуктах Лаборатории Касперского

 

Информация об интернет-ресурсах проверяется в первую очередь по локальной базе фишинговых и вредоносных веб-сайтов. Если там она не обнаружена, то отправляется запрос в «облако», где производится проверка по онлайн-базам. Если ресурс неизвестен и там, применяется эвристический анализ на присутствие признаков, характерных для опасных ссылок.

После проверки ссылки, ведущие на опасные ресурсы помечаются специальным цветовым индикатором, информирующим о возможной опасности того или иного сайта еще до перехода по ссылке. Все сайты в этой классификации делятся на три типа – опасные (красный), неопасные (зеленый) и неизвестные (серый). При наведении курсора на иконку-индикатор типа сайта можно получить дополнительную информацию о том, к какой категории он относится (например, фишинг). Это может быть полезным, так как веб-фильтр только ограничивает, но не запрещает переходы на опасные сайты и пользователь сам должен принять решение – переходить на опасный сайт или нет.

 

Рисунок 10. Примеры описаний различных типов ссылок

Технология «гибридной» защиты в продуктах Лаборатории Касперского

 

5. Анти-спам.

Для защиты от спама в Kaspersky Internet Security 2012 наряду с традиционными методами (анализ текста, изображений и др.) используются облачные технологии и эвристический анализ, что существенно повышает эффективность распознавания спам-сообщений. Базы знаний Kaspersky Security Network содержат шаблоны рассылок и постоянно обновляемые адреса вредоносных, спамерских и фишинговых ресурсов, которые загружаются на компьютер и используются в работе модуля анти-спам. Это позволяет быстрее приспосабливаться к изменениям тактики рассылки спама и налаживать адекватную защиту.

Также использование «облачных» технологий позволяет использовать анти-спам без предварительного обучения, так как необходимая информация берется из «облака», в котором находится актуальная база образцов спам-сообщений.

 

6. Проверка репутации программ.

Пользователь в любой момент может проверить репутацию подозрительных приложений. Для этого достаточно вызвать контекстное меню для проверяемого файла и выбрать команду «Посмотреть репутацию в KSN». Проверка показывает рейтинг приложения, а также дополнительную информацию – цифровую подпись, географию распространения, степень доверия к нему других пользователей. Информация о каждом приложении мгновенно попадает в облачную сеть, как только программа первый раз была обнаружена на любом из компьютеров с включенным KSN.

 

Рисунок 11. Репутация программы Dev-Cpp

Технология «гибридной» защиты в продуктах Лаборатории Касперского

 

Подводя итоги, следует сказать о том, что использование «гибридной» защиты позволяет реализовать в рамках одного антивирусного продукта комплексный подход к обеспечению безопасности компьютера от современных угроз. Большую роль в этом играет инфраструктура Kaspersky Security Network, которая обеспечивает быструю проверку сайтов и файлов, а также формирование правил, рейтингов и репутаций для таких модулей защиты Kaspersky Internet Security 2012, как проактивная защита, мониторинг активности, веб-антивирус, контроль программ и анти-спам.

Использованием «облака» в Kaspersky Internet Security 2012 позволяет обеспечивать высокую скорость обнаружения новых угроз и формирования защиты от них, возможность предотвращения вирусных эпидемий, а также скрытие от пользователей механизма принятия решений о вредоносности проверяемых объектов. А применение традиционных антивирусных технологий нивелирует известные недостатки «облака», позволяя обеспечивать защиту компьютера даже при отключении Интернета и лечение вредоносных программ.

   

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.

RSS: Новые статьи на Anti-Malware.ru