Приложения под подозрением

В семействе программных продуктов Norton компании Symantec появился новый компонент, препятствующий злоумышленникам использовать только что замеченные (а потому еще не исправленные разработчиками) уязвимости в кодах программ (так называемые «атаки zero-day»).

Новый продукт, названный Symantec Online Network for Advanced Response (SONAR), будет следить за поведением запускаемых программ и определять, могут ли они причинить ущерб. Подобная технология — шаг в сторону от традиционного для решений Symantec сопоставления кода подозрительного приложения с базой данных вредоносных программ.

По словам Эда Кима, директора Symantec по управлению продуктами, SONAR будет выпущен в качестве бесплатного дополнения к Norton AntiVirus 2007 и Norton Internet Security 2007.

«Мы рады представить нашим пользователям SONAR, — сказал Ким, — этот программный продукт не будет опираться на базы данных и позволит бороться с атаками zero-day».

Атаки zero-day основываются на уязвимостях программных продуктов, либо вовсе неизвестных их разработчикам, либо еще не исправленных ими. Антивирусы, основанные на сопоставлении подозрительного кода с базой данных, бессильны против этой угрозы. SONAR использует определенные алгоритмы для расчета сотен характеристик выполняемых на компьютере программ, что позволяет обнаружить подозрительные признаки вне зависимости от того, знают о соответствующей уязвимости специалисты по безопасности или нет.

К примеру, SONAR определяет степень опасности программы по тому, помещает ли она при установке пиктограмму на рабочий стол и добавляется ли она в меню установки и удаления программ в панели управления — эти действия показывают, что, возможно, программа не является вредоносной.

Symantec уже представила аналогичный инструментарий корпоративного уровня Critical System Protection, основанный на анализе поведения программ. По мнению ведущего аналитика Yankee Group Эндрю Жакуита, с выпуском SONAR компания Symantec окончательно подтверждает, что эта технология готова для ее продвижения на массовый рынок.

Жакуит также отметил, что технологии анализа программ не придут на смену технологиям контроля по базе данных в одночасье: «Старые технологии для борьбы с вирусами и программами-шпионами по-прежнему работают, но их возможности в решении проблемы обеспечения безопасности недостаточны, и они нуждаются в помощи со стороны новых технологий, технологий анализа поведения».

Symantec также готовит свои программные продукты к работе в среде Windows Vista. В ближайшем будущем компания представит новые версии Norton Internet Security и Norton Antivirus, приспособленные к работе под новой операционной системой. Новые версии остальных продуктов Symantec будут представлены в течение ближайших нескольких месяцев.