2. Kaspersky Security Network
3. Плюси і мінуси «хмарного» підходу
4. «Гібридна» захист
5. Антивірусні компоненти і «хмара»
6. 1. Проактивний захист.
7. 2. Моніторинг активності
8. 3. Контроль програм.
9. 4. Веб-антивірус.
10. 5. Анти-спам.
11. 6. Перевірка репутації програм.

У новій версії Kaspersky Internet Security 2012 був реалізований підхід, який був названий «Лабораторією Касперського» - «гібридна» захист. Суть такого захисту полягає в одночасному використанні як традиційних антивірусних технологій, так і «хмарних». У даній статті ми розглянемо причини появи «гібридної» захисту, принципи її роботи і особливості використання в ній «хмарних» технологій.

Вступ

З кожним роком збільшується кількість шкідливих програм, мережевих атак, спаму та інших загроз безпеці технічних систем. За даними «Лабораторії Касперського» щодня в світі з'являється близько 70 тисяч нових шкідливих програм, близько 200 мільйонів мережевих атак блокується щомісяця, а 80% всієї інформації, що пересилається кореспонденції є спамом. Дана ситуація призводить до того, що традиційні способи боротьби з погрозами стають все менш ефективними в боротьбі з новими загрозами, і виникає необхідність у застосуванні нових технологій забезпечення безпеки.

Однією з таких технологій є хмарні обчислення, які можуть застосовуватися для організації захисту комп'ютера. «Хмарні» обчислення представляють собою технологію розподіленої обробки інформації на серверах або в спеціальних центрах обробки даних, при якій комп'ютерні ресурси надаються користувачеві як інтернет-сервіс.

Kaspersky Security Network

У продуктах «Лабораторії Касперського» «хмарні» технології реалізовані у вигляді Kaspersky Security Network (KSN) - інфраструктури онлайн-служб і сервісів, що дозволяє антивірусів отримувати доступ до баз знань «Лабораторії Касперського» в режимі реального часу. В роботі KSN використовуються бази, що містять інформацію про довірених (Whitelisting) і підозрілих (UDS - Urgent Detection System) програмах і веб-сайтах. Також використовується технологія Wisdom of the Crowd (WoC), що надає інформацію про ступінь популярності програми і її репутації серед користувачів KSN.

Робота з «хмарою» на віруси, користувачі яких дали свою згоду на участь в KSN, відбувається наступним чином. При запуску або завантаження додатків і відвідуванні веб-сторінок антивірус передає інформацію про це в «хмару». Отримана інформація перевіряється як автоматично - за допомогою штучного інтелекту, так і експертами «Лабораторії Касперського». Для автоматичного аналізу використовується експертна система Astraea, яка аналізує статистичну інформацію про програми та URL сайтів і виносить вердикт про ступінь їх небезпеки. Якщо загроз немає, то програма або сайт додаються в «білі» списки (Whitelisting). У разі визнання програми або сайту шкідливими, запис про них потрапляє в базу Urgent Detection System.

Малюнок 1. Принцип роботи Kaspersky Security Network

Після формування рішень вони через короткий час (кілька хвилин) стають доступними для всіх продуктів «Лабораторії Касперського», в яких використовується Kaspersky Security Network. Отримані рішення після їх обробки експертами компанії додаються в бази сигнатур.

Фактично дана інфраструктура являє собою експертну систему, спрямовану на аналіз загроз безпеки комп'ютера. Через неї користувачі можуть оперативно «ділитися» між собою інформацією про виявлені загрози і джерелах цих загроз. В результаті підвищується швидкість реакції антивіруса на нові види загроз, збільшується ефективність роботи деяких компонентів захисту, а також знижується ймовірність помилкових спрацьовувань. Крім інформації про погрози на KSN також надходить інформація про популярність і репутації програм і веб-сайтів серед інших користувачів - учасників KSN.

Велике значення в даному випадку грає механізм «зворотного зв'язку», який дозволяє істотно збільшити швидкість реагування на нові загрози в порівнянні з традиційними сигнатурними методами.

Малюнок 2. Різниця взаємодії антивіруса з сервером при оновленні сигнатур і використанні «хмари»

Робота з «хмарою» відбувається в автоматичному режимі. Різні модулі антивіруса збирають інформацію і передають її в «хмару», яке у відповідь висилає сформульовані рейтинги і репутацію. При роботі з антивірусом користувач ніяк не може керувати використанням «хмари» (крім його включення), можна тільки подивитися статистику роботи «хмарних» технологій і включити / вимкнути використання результатів їх роботи в різних антивірусних модулях.

Використання будь-якого «хмари» у частині користувачів викликає побоювання, пов'язані з загрозою їх приватного життя і компрометації особистих даних. «Лабораторія Касперського» в усіх документах вказує, що «збір, обробка та зберігання персональних даних користувача не виробляються». Участь в мережі Kaspersky Security Network добровільне, рішення про участь користувач приймає на етапі установки антивіруса і може в будь-який момент його змінити. З комп'ютера користувача в KSN передається тільки технічна інформація, необхідна для аналізу безпеки - налаштування операційної системи, стан антивірусного захисту і знайдені загрози, що завантажуються файли і додатки, що запускаються.

Плюси і мінуси «хмарного» підходу

Використання «хмарних» обчислень стало популярно останнім часом, і часто виникає питання - чи не є їх використання суто «даниною моді»? Які переваги несе даний підхід і які недоліки у нього є?

Перевагами використання «хмари» є:

• збільшення швидкості реагування на нові загрози і, відповідно, швидкості застосування нових засобів захисту для всіх користувачів антивіруса. Час від отримання інформації про нову загрозу до того моменту, як буде створена захист від неї, становить хвилини;
• механізми прийняття рішень приховані від користувачів. Так як аналіз даних відбувається в «хмарі», зловмисники не можуть проаналізувати алгоритми виявлення шкідливих програм або небезпечних сайтів. Це дозволяє довгий час підтримувати роботу механізмів детектування в актуальному стані;
• можливість блокувати не тільки загрози, але і джерела їх поширення. Це дозволяє блокувати не тільки саму загрозу, а й відвідування ресурсів, які можуть її утримувати.
• отримання рішень про нові загрози без скачування оновлень. Бази даних сигнатур в будь-якому випадку потрібно оновлювати якомога частіше. Однак до того моменту, поки фахівці антивірусної компанії не випустять нові сигнатури, антивірус може отримувати дані з баз даних UDS без необхідності завантажувати великі обсяги даних.

Однак, крім переваг, у використання «хмари» є ряд недоліків, що не дозволяють йому бути універсальною захистом. По-перше, для роботи «хмари» необхідно постійне підключення до мережі Інтернет. Якщо доступу до Інтернету немає або він був відключений, то «хмарна» захист перестає працювати. По-друге, існує теоретичний ризик компрометації результатів аналізу, одержуваних з хмари. По-третє, хмарні технології не передбачають глибокого аналізу системних подій на локальній машині, наприклад, з метою аналізу і контролю додатків, пошуку руткітів або системних аномалій.

«Гібридна» захист

Крім «хмари», велику роль в «гібридної» захисті грають традиційні антивірусні технології. В даному випадку найбільше значення мають такі компоненти захисту як «Контроль програм», «Моніторинг активності» і «Проактивний захист», в яких реалізована функціональність HIPS (Host-based Intrusion Prevention System, система запобігання вторгнень). Однак у цій статті ми не будемо зупинятися на особливостях реалізації антивірусних технологій, так вони були детально описані в огляді, присвяченому Kaspersky Internet Security 2012 .

Одночасне використання двох зазначених технологій - традиційної антивірусного захисту і захисту з «хмари», дозволяє нівелювати «слабкі» сторони кожної з них і зробити пропоновану захист комплексної. У цьому випадку встановлена ​​на комп'ютері захист виконує контроль активності в системі (застосовує евристичні алгоритми і методи емуляції коду веб-сторінок), аналізує дії програм, ізолює їх в разі якихось підозр, блокує мережеві атаки, надає середовище для безпечного запуску додатків, а також збирає дані про виявлені загрози для відправки в «хмару». А «хмара» забезпечує різні інструменти антивіруса новими сигнатурами, рейтингами і репутаціями. В результаті забезпечується захист від відомих загроз в незалежності від підключення до Інтернету і швидка реакція на невідомі загрози безпеки.

Розглянемо, як реалізується «гібридна» захист в новому персональному продукті «Лабораторії Касперського» Kaspersky Internet Security 2012.

Антивірусні компоненти і «хмара»

Для включення / відключення роботи «хмарних» технологій потрібно зайти в налаштування Kaspersky Internet Security 2012, перейти в розділ «Додаткові параметри», вибрати підрозділ «Зворотній зв'язок» і зняти / встановити прапорець «Я згоден брати участь в Kaspersky Security Network».

Малюнок 3. Включення роботи Kaspersky Security Network

Подивитися результат роботи хмарних технологій можна в програмному вікні «Технології хмарної захисту», для переходу в яке потрібно натиснути на кнопку «Захист із хмари» в головному вікні антивіруса. В даному вікні можна отримати інформацію про роботу «хмарних» технологій: кількість перевірених по всьому світу об'єктів (небезпечних, безпечних, оброблюваних), кількість нейтралізованих по всьому світу загроз і час останньої синхронізації антивіруса з «хмарою». Синхронізація проводиться досить часто - 5-15 разів на годину.

Малюнок 4. Програмне вікно зі статистикою роботи «хмарних» технологій

Натиснувши на кнопку «Дізнатися більше» ми можемо отримати додаткову інформацію про Kaspersky Security Network і перейти на сайт з описом її роботи.

Малюнок 5. Програмне вікно «Про захист з хмари»

Результати робота «хмарних» технологій використовуються в ряді різних компонентів захисту Kaspersky Internet Security 2012.

1. Проактивний захист.

Проактивний захист дозволяє виявляти шкідливі програми за допомогою аналізу їх поведінки, що дає можливість захистити комп'ютер від загроз, інформація про яких відсутня в сигнатури. Проактивний захист виявляє загрози за послідовностей дій, які виробляють програми. Це може бути активність, характерна для троянських програм, перехоплення даних з клавіатури, впровадження програми в інші процеси, відправка DNS-запитів і т.д. При виявленні підозрілих дій робота програми блокується.

В роботі проактивного захисту KSN застосовується для отримання списку довірених програм, поведінку яких можна не аналізувати. Це дозволить не робити зайвих перевірок і мінімізувати кількість помилкових спрацьовувань.

Малюнок 6. Вікно з налаштуваннями проактивного захисту

2. Моніторинг активності

Моніторинг активності (System Watcher) збирає дані про активність програм в системі і надає їх іншим компонентам антивіруса для збільшення ефективності їх роботи. Отримані дані про активність програм порівнюються з шаблонами небезпечної поведінки (BBS, Behavior Stream Signatures) і якщо вони збігаються, то відбувається детектування. В процесі роботи моніторинг активності може обмінюватися даними про підозрілі дії з «хмарою» для уточнення винесеного рішення. База використовуваних шаблонів також постійно поповнюється даними з KSN.

Особливістю даного компонента є те, що дані про активності програм збираються протягом всього їх життєвого циклу, що дозволяє «відкотити» все підозрілі або призвели до збитку дії програм.

Малюнок 7. Моніторинг активності програм

3. Контроль програм.

Kaspersky Internet Security 2012 контролює дії програм, що запускаються на комп'ютері, і обмежує їх доступ до системних ресурсів і даних користувача (в залежності від рейтингу небезпеки). У процесі перевірки програмами присвоюється рейтинг небезпеки, який грунтується на даних репутаційних сервісів, розташованих в «хмарі». Залежно від присвоєного рейтингу небезпеки, кожен додаток відноситься до однієї з чотирьох груп: довірені, слабо обмежені, сильно обмежені і недовірених. На кожну з програм у кожній групі накладається свій набір обмежень. Наприклад, програми, віднесені до найбільш жорсткої категорії - недовірених, не мають доступу до системних ресурсів і особистих даних користувача.

Для вирішення використання результатів роботи «хмарних» технологій для контролю програм потрібно в настройках в розділі «Центр захисту» в підрозділі «Контроль програм» вибрати прапорці, що дозволяють завантажувати правила перевірки з KSN і оновлювати правила для заздалегідь не відомих програм з KSN.

Малюнок 8. Налаштування використання Kaspersky Security Network для контролю програм

4. Веб-антивірус.

У веб-фільтрі результати роботи «хмари» використовуються для роботи модуля перевірки посилань, який призначений для попередження користувачів про посилання, що ведуть на шахрайські, спамерські сайти, а також сайти, що поширюють шкідливі програми. Модуль представляє собою панель інструментів для веб-браузеровInternet Explorer, Mozilla Firefox і Google Chrome.

Малюнок 9. Програмне вікно «Перевірка посилань» в браузері

Інформація про інтернет-ресурсах перевіряється в першу чергу по локальній базі фішингових і шкідливих веб-сайтів. Якщо там вона не виявлена, то відправляється запит в «хмару», де проводиться перевірка по онлайн-базах. Якщо ресурс невідомий і там, застосовується евристичний аналіз на присутність ознак, характерних для небезпечних посилань.

Після перевірки посилання, що ведуть на небезпечні ресурси позначаються спеціальним колірним індикатором, що інформує про можливу небезпеку того чи іншого сайту ще до переходу за посиланням. Всі сайти в цій класифікації діляться на три типи - небезпечні (червоний), безпечні (зелений) і невідомі (сірий). При наведенні курсора на іконку-індикатор типу сайту можна отримати додаткову інформацію про те, до якої категорії він відноситься (наприклад, фішинг). Це може бути корисним, так як веб-фільтр тільки обмежує, але не забороняє переходи на небезпечні сайти і користувач сам повинен прийняти рішення - переходити на небезпечний сайт чи ні.

Малюнок 10. Приклади описів різних типів посилань

5. Анти-спам.

Для захисту від спаму в Kaspersky Internet Security 2012 поряд з традиційними методами (аналіз тексту, зображень та ін.) Використовуються хмарні технології і евристичний аналіз, що істотно підвищує ефективність розпізнавання спам-повідомлень. Бази знань Kaspersky Security Network містять шаблони розсилок і постійно оновлювані адреси шкідливих, спамерських та фішингових ресурсів, які завантажуються на комп'ютер і використовуються в роботі модуля анти-спам. Це дозволяє швидше пристосовуватися до змін тактики розсилки спаму і налагоджувати адекватний захист.

Також використання «хмарних» технологій дозволяє використовувати анти-спам без попереднього навчання, так як необхідна інформація береться з «хмари», в якому знаходиться актуальна база зразків спам-повідомлень.

6. Перевірка репутації програм.

Користувач в будь-який момент може перевірити репутацію підозрілих додатків. Для цього досить викликати контекстне меню для перевіряється файлу і вибрати команду «Подивитися репутацію в KSN». Перевірка показує рейтинг додатки, а також додаткову інформацію - цифровий підпис, географію поширення, ступінь довіри до нього інших користувачів. Інформація про кожного додатку миттєво потрапляє в хмарну мережу, як тільки програма вперше була виявлена ​​на будь-якому з комп'ютерів з включеним KSN.

Малюнок 11. Репутація програми Dev-Cpp

Підводячи підсумки, слід сказати про те, що використання «гібридної» захисту дозволяє реалізувати в рамках одного антивірусного продукту комплексний підхід до забезпечення безпеки комп'ютера від сучасних загроз. Велику роль в цьому відіграє інфраструктура Kaspersky Security Network, яка забезпечує швидку перевірку сайтів і файлів, а також формування правил, рейтингів і репутацій для таких модулів захисту Kaspersky Internet Security 2012, як проактивний захист, моніторинг активності, веб-антивірус, контроль програм і анти -спам.

Використанням «хмари» в Kaspersky Internet Security 2012 дозволяє забезпечувати високу швидкість виявлення нових загроз і формування захисту від них, можливість запобігання вірусних епідемій, а також приховування від користувачів механізму прийняття рішень про шкідливість об'єктів, що перевіряються. А застосування традиційних антивірусних технологій нівелює відомі недоліки «хмари», дозволяючи забезпечувати захист комп'ютера навіть при відключенні Інтернету і лікування шкідливих програм.