наверх

Главная, «Журнал сетевых решений/LAN», № 07-08, 2002 654 прочтения

Блокирование поведения защищает от вредоносного кода

Технология блокирования опасных действий помогает администраторам бороться с новыми вирусами.

Эндрю Конри-Мюррей

Технология блокирования опасных действий помогает администраторам бороться с новыми вирусами.

Aнтивирусные программы на базе сигнатур отстают в борьбе за выживание. Создатели компьютерных вирусов постоянно опережают попытки их идентификации и предотвращения все новых угроз. Причина не в недостатке усилий: поставщики сократили время реагирования с суток до часов. Это достойно восхищения, учитывая, что обновление должно гарантированно обнаруживать и лечить вирус, не нарушая при этом работу мириадов клиентских компьютеров.

Проблема в гандикапе. Создатели вредоносного кода всегда имеют фору — они атакуют цели прежде, чем специалисты по защите от вирусов успевают проанализировать и нейтрализовать код. Даже если поставщики традиционного антивирусного ПО смогут выпускать обновления настолько быстро, что обеспечат защиту хотя бы девяти десятых своих клиентов, все равно одна десятая будет страдать от атак. А какой сетевой администратор захочет стать жертвенным агнцем, отданным на съедение стае волков, чтобы спасти остальное стадо?

Между тем проблема становится все серьезней. По данным исследований ICSA Labs 2001 г., вероятность какой-либо компании «подхватить» вирус увеличилась на 15%. Средний простой сервера, ставшего жертвой атаки, составил 14 ч. Типичное время восстановления после поражения вирусом равно четырем человекодням (при одновременном заражении 25 и более компьютеров или серверов).

Очевидно, что традиционные антивирусные средства не могут угнаться за новыми угрозами. Многие организации ищут другие возможности для ликвидации разрыва по времени между вирусной атакой и обновлением подписей. Одна из них — технология блокирования поведения. Она существует уже несколько лет, но лишь сейчас приобрела известность, предлагая то, что не под силу антивирусным решениям на базе сигнатур: защиту от неизвестного вредоносного кода в режиме реального времени.

Блокираторы поведения следят за компонентами ActiveX, апплетами Java, различными языками сценариев и мобильным кодом, поступающим на узел с почтой, из Internet или других сетей. Некоторые из них изолируют такой код в «песочнице», ограничивая его доступ к различным ресурсам ОС и приложениям. Другие внедряются в ядро операционной системы для перехвата системных запросов.

В любом случае блокираторы поведения контролируют выполнение кода в режиме реального времени, и при попытке последнего совершить действие, выходящее за рамки предопределенной политики, он блокируется (см. Рисунок 1). Блокиратор можно также запрограммировать на изоляцию или удаление такого кода и рассылку различных предупреждений. Таким образом предотвратить атаки новых типов удается за счет сравнения поведения в реальном времени с предопределенным набором правил.

В данной статье описаны технология блокирования поведения, ее достоинства и недостатки, а также продукты нескольких компаний. Кроме того, в статье анализируются перспективы антивирусного ПО на базе сигнатур и технологии блокирования поведения.

Специалисты по поведению

По словам Дэйва Кролла, вице-президента по маркетингу и исследованию вопросов безопасности Finjan, разработчика программного обеспечения блокирования поведения, компании обращаются к данной технологии по двум причинам. Во-первых, для закрытия «окна уязвимости» — так называют период времени между появлением нового вируса или «червя» в Internet и получением антивирусной сигнатуры конечным пользователем.

«Установка экстренных антивирусных обновлений — большая головная боль», — утверждает Кролл. Их приходится устанавливать на всех компьютерах в организации, включая главный и удаленные офисы, филиалы, ноутбуки разъезжающих сотрудников и домашние ПК. Даже несколько незащищенных устройств могут поставить под угрозу всю корпоративную сеть.

Превентивные решения дают измотанным администраторам время на обновление сигнатур, установку «заплат», реконфигурацию политик брандмауэров и другие действия по закрытию корпоративной сети. «Блокирование поведения окупится, даже если оно позволит остановить один-два вируса в год», — заявляет Кролл.

Вторая причина применения компаниями подобного программного обеспечения связана с тем, что оно основано на политике. В зависимости от продукта администраторы могут определять очень специфические правила для конкретных учреждений, приложений и даже конечных пользователей. Такая детализация позволяет отличить исполняемый код, отвечающий за важные деловые функции, от вредоносного или несущественного кода.

По иронии, правила часто называют недостатком блокирования поведения. Так как технология в значительной степени зависит от них, на администратора взваливается бремя создания четкого набора инструкций для ряда приложений, функций ОС и групп пользователей. Неудачная политика будет либо останавливать нужные процессы, либо позволит атакам достичь цели.

Это приводит к появлению второго недостатка: ложных тревог. Как и системы обнаружения вторжений (Intrusion Detection System, IDS), блокираторы поведения склонны реагировать на безвредные события. Эффект при этом получается тот же, что и в истории про мальчика, кричавшего: «Волки!» «Если вы будете получать очень много тревожных сообщений, то вскоре перестанете доверять системе», — говорит Винс Уифер, главный директор Symantec Security Response. По его словам, большое количество ложных тревог приведет к тому, что администраторы станут игнорировать их или выключать систему.

Тем не менее технология блокирования поведения приобрела широкую популярность на рынке средств безопасности. В следующем разделе рассматриваются несколько компаний и выпускаемые ими средства.

Предлагаемые продукты

Finjan. По данным аналитиков из IDC, Finjan лидирует на рынке технологии блокирования поведения. Компания предлагает три решения: SurfinGate и SurfinGate for E-mail для охраны шлюзов, а также SurfinShield для установки на ПК.

Устанавливаемый на шлюз SurfinGate проверяет трафик HTTP и ftp на наличие ActiveX, Java, Visual Basic Script (VBS) и JavaScript. Он сканирует такой код на предмет потенциально вредоносного поведения, например операций с файловой системой и обращений к сети. В случае обнаружения возможной угрозы SurfinGate проверяет заданную администратором политику. При ее нарушении SurfinGate не дает коду пройти в сеть, записывает отчет о его действии в журнал и посылает предупреждение администратору. Политики могут назначаться для групп, отделов и конкретных лиц.

Продукт SurfinGate for E-mail сканирует входящий и исходящий трафик SMTP, отыскивая вредоносные коды, включая «троянских коней» и сценарии во вложениях в письмах, файлах ZIP или в текстах писем HTML. Нарушающий политику код блокируется на шлюзе или изолируется для последующего анализа. Текущая версия SurfinGate for E-mail позволяет определять только общие правила.

Данный продукт можно установить на ретранслятор почты SMTP или в качестве дополнения к Microsoft Exchange 2000.

ПО, устанавливаемое на шлюзах, выполняется под управлением Windows NT/2000 и Solaris 6, 7 или 8. Решения SurfinGate и SurfinGate for E-mail работают с IBM eServer Series 330 под управлением Windows 2000. Кроме того, SurfinGate предназначается также для серверов Sun Nextra X1 с ОС Solaris.

Продукт SurfinShield Corporate устанавливается на отдельных ПК. Программа размещается рядом с ядром ОС и следит за исполняемыми файлами, элементами ActiveX, апплетами Java и узлами сценариев Windows, поступающими из Internet, по почте и через системы немедленного обмена сообщениями. Если код пытается создать сетевое соединение, удалить или записать файлы, получить доступ к системному реестру или осуществить запрос к системе, он изолируется в «песочнице». Код, нарушающий установленную администратором политику, либо блокируется, либо удаляется. По словам представителей Finjan, такое клиентское ПО способно с хирургической точностью выявить и удалить вредоносный код, не нарушая функционирование запущенных приложений или браузеров.

Решение SurfinShield Corporate состоит из консоли, серверной и клиентской частей. Консоль функционирует как общекорпоративное средство управления, определяющее правила. Сервер хранит эти политики и ведет журналы событий. Клиентская часть приводит политики в исполнение и помещает исполняемый код в «песочницу». Клиент может выполняться независимо от сервера, что удобно в случае ноутбуков, поскольку они нередко находятся длительное время вне корпоративной сети. Все три компонента работают под ОС семейства Windows.

Aladdin. Решение eSafe Gateway компании Aladdin — это программный продукт для сканирования трафика HTTP, ftp и SMTP с целью выявления исполняемого кода, включая Java, ActiveX и сценарии, написанные на VBScript и JavaScript. При прохождении трафика через eSafe Gateway он отсылается как получателю, так и подсистеме проверки.

Однако последний передаваемый пакет будет задержан на шлюзе до тех пор, пока подсистема не проверит исполняемый код. Если он окажется чист, передача данных конечному пользователю завершится. В противном случае администратору посылается предупреждение. О блокировании передачи сообщается и конечному пользователю.

Решение eSafe Gateway поддерживает протокол векторизации контента (Content Vectoring Protocol, CVP), благодаря ему шлюз способен взаимодействовать с любым OPSEC-совместимым брандмауэром, а точность проверки повышается. Иными словами, брандмауэр станет передавать шлюзу на проверку только потенциально зараженные файлы. Чистые же объекты, например простой текст или изображения, будут сразу доставляться к получателю. Шлюз может взаимодействовать также с OPSEC-совместимыми брандмауэрами на предмет получения изменений в правилах: например, разрешения получать исполняемый код из проверенных источников.

Кроме того, шлюз включает в себя антивирусную подсистему на базе сигнатур для блокирования известных вирусов. eSafe Gateway работает под управлением серверов Windows NT/2000. Специализированная версия может интегрироваться с сервером Microsoft Internet Security and Acceleration (ISA). Кроме того, продукт доступен в виде приложений Linux для небольших и средних организаций.

Решение eSafe Enterprise устанавливается на отдельные компьютеры и для борьбы с вредоносным кодом использует «песочницу» и персональный брандмауэр. Клиентская часть следит за каждым активным процессом и приложениями на рабочем столе через системный драйвер. «Песочница» сравнивает поведение исполняемого кода с определенной администратором политикой и препятствует любым нарушающим ее действиям.

Разделение доходов на рынке защиты данных на 2000 г. по сегментам
Рисунок 2. По данным IDC, поставщики традиционных антивирусных решений, в том числе McAfee и Symantec, владеют львиной долей рынка управления контентом. Компании, предлагающие блокираторы поведения, претендуют всего на 1,5% рынка. Остальная часть принадлежит поставщикам ПО контроля доступа в Internet (IAC) и сканирования электронной почты.

Это хороший вопрос, ответ на него можно разделить на две части. Первая — экономическая. С точки зрения долей рынка ПО блокирования поведения — всего лишь рябь, но никак не волна. По данным исследования IDC (см. Рисунок 2), компании, выпускающие подобные продукты, занимают всего 1,5% рынка. Для сравнения — компании, разрабатывающие антивирусные программы, имеют почти 83% (остальная часть относится к программам сканирования почты и контроля доступа в Internet).

Согласно прогнозу IDC, рынок продуктов блокирования поведения будет расти более быстрыми темпами, чем рынок антивирусных программ (29% годового прироста против 14%), но, даже несмотря на это, в 2005 г. поставщики антивирусов получат 2,7 млрд долларов, а их конкуренты даже не перейдут границу в 900 млн долларов. Поэтому крах антивирусных компаний в ближайшее время маловероятен.

Вторая — практическая. Неоспоримое достоинство традиционной антивирусной технологии заключается в ее определенности. Цифровые «отпечатки» четко идентифицируют вирусы и позволяют без проблем удалить их. В результате администраторам не приходится тратить время на создание детальных правил безопасности, исследование подозрительного кода на вредоносность или объяснения руководству причин зависания приложений Web. Кроме того, антивирусная технология позволяет очищать зараженные системы, чем блокираторы поведения похвастаться не могут.

В итоге можно сказать, что антивирусное ПО никуда не денется. Но все же, со стороны поставщиков таких решений было бы неразумно игнорировать технологию блокирования поведения (помните историю о Давиде и Голиафе?), так как их продукты не могут защитить от нового типа угроз.

Скорее всего, лидеры рынка используют свое доминирующее положение, чтобы поглотить компании, разрабатывающие блокираторы поведения, путем партнерства, приобретения или разработки собственных технологий.

Например, компания McAfee уже пошла по этому пути. В ноябре 2001 г. она заключила договор с Finjan об интеграции подсистемы сканирования McAfee в линейку решений последней. В апреле 2002 г. Aladdin подписала соглащение с «Лабораторией Касперского» о предложении антивирусного модуля компании покупателям eSafe.

Компания Symantec также обратила внимание на блокираторы поведения. В марте 2002 г. Кэри Нахенберг, главный архитектор команды быстрого реагирования Symantec, опубликовала документ под названием «Блокирование поведения: следующий шаг в защите от вирусов» на Web-сайте SecurityFocus.com (см. врезку «Ресурсы Internet»). И хотя в нем напрямую не сказано о разработке подобного продукта, ясно, что Symantec крепко задумалась о будущем антивирусной технологии.

Компания Trend Micro запустила услугу под названием Outbreak Commander, где блокирование поведения используется для сокращения времени между появлением вируса и созданием и распространением подписей. При получении образца вируса или «червя» компания создает специальную политику для идентификации и остановки любого вредоносного поведения.

Так, во время одной из волн атак, у инженеров Trend Micro уже готовая политика появилась всего через 20 мин. Для сравнения, на создание полноценной сигнатуры ушел почти час. Такое оригинальное использование блокирования поведения с помощью правил значительно уменьшает «окно уязвимости». Но все же это неполноценный механизм упреждающей защиты, так как клиентам приходится ждать, пока Outbreak Commander «отловит» образец вируса или «червя» и создаст обновление.

Администраторам было бы неразумно отказываться от антивирусных сигнатур, равно как и забывать о блокировании поведения. Все новые вирусы продолжают преодолевать преграды, и данная технология обеспечивает оперативную защиту. Время, потраченное на создание правил и отсев ложных тревог, окупится с лихвой, когда вредоносный код будет отброшен от вашей сети за целые часы до выхода первой антивирусной сигнатуры. Борьба за выживание опять становится честной.

Эндрю Конри-Мюррей — редактор раздела бизнеса Network Magazine. С ним можно связаться по адресу: amurray@cmp.com.


? CMP Media LLC

Рассматриваемые продукты

Aladdin http://www.esafe.com

  • eSafe Gateway, eSafe Enterprise

Finjan Software http://www.finjan.com

  • SurfinGate, SurfinGate for E-mail, SurfinShield Corporate

Okena http://www.okena.com

  • StormWatch

Pelican Security http://www.pelicansecurity.com

  • SafeTNet

Tiny Software http://www.tinysoftware.com

  • Personal Firewall 3.0 Network Edition

Trend Micro http://www.trendmicro.com

  • InterScan AppletTrap

Ресурсы Internet

Дополнительную информацию о продуктах блокирования поведения на базе серверов можно почерпнуть в статье Э. Конри-Мюррея «Сервер Web на замке» в мартовском номере «Журнала сетевых решений/LAN» за 2001 г., а также по адресу: http://www.osp.ru/ lan/2002/03/098.htm.

Статья Кэри Нахенберг «Блокирование поведения: следующий шаг в защите от вирусов» опубликована по адресу: http://online.securityfocus.com/infocus/1557/.

назад


Решения VERITAS для восстановления информации после катастроф

По данным Департамента Труда США 43% компаний пострадавших от катастроф не смогли продолжить свою деятельность. 29% фирм возобновивших работу после непредиденных ситуаций прекратили деятельность в течение двух лет.

Данные, хранимые в сети любого предприятия, являются наиболее ценным его активом. Несомненно, что для нормального функционирования необходима постоянная доступность данных. Но что произойдет в случае какого-либо события, потенциально способного повлечь потерю данных или сделать их недоступными в течение продолжительного времени? Ваши данные и бизнес «катастрофоустойчивы» ? И в какой степени? К серьезным последствиям могут привести множество событий различного характера: ошибки и поломки оборудования и программного обеспечения, сбои электропитания, ошибки персонала, интервенции злоумышленников, компьютерные вирусы, стихийные бедствия, пожары, аварии коммунальных сетей. Потеря важных данных или их временная недоступность может привести к серьезным снижениям эффективности бизнесс-процессов вплоть до прекращения деятельности фирмы.

В связи с этим, при составлении стратегии ликвидации критических ситуаций необходимо обращать особое внимание на меры, позволяющие помимо гарантированного выполнения основной задачи приводить информационное хранилище предприятия в рабочее состояние в максимально короткие сроки.

Компания VERITAS предоставляет комплекс программных средств, способных работать как вместе, так и независмо друг от друга, с высокой эффективностью сводить на нет последствия катастроф. Это так называемые DR( Disaster Recovery)-решения. Тому, кто собирается составить DR план, VERITAS предлагает решения любого уровня, гибкие для обеспечения дальнейшего роста компании и не зависящих от используемых платформ и приложений.

Базовый уровень. Этот уровень DR-решений дает уникальную возможность гибкого управления и мониторинга данных. Фактически, это первая линия защиты ваших данных. Средства подобные VERITAS Volume Manager( предоставляют легкие средства для менеджемента устройствами хранения данных, выполняя постоянный мониторинг ресурсов. Это средство позволяет привести хранилище данных в рабочее состояние в кратчайщие сроки после имевщей место аварии. А при использовании мощного средства управления файловой системой VERITAS File System( можно избежать многих ситуаций, приводящих к сбоям. Стабильность работы средств базового уровня позволяет осуществлять переконфигурирование систем хранения данных без прекращения работы пользователей и полной остановки системы, обеспечивая непрерывный доступ к данным.

Резервное копирование и восстановление данных. Наличие надежной резервной копии — основа любого DR плана. VERITAS предлагает широкий спектр продуктов управления резервным копированием и ресурсами off-line хранения для сети любого масштаба. Резервная копия важный элемент в защите данных. Но управление процессами копирования, и в особенности лентами, часто вызывает серьезные трудности у компаний. Средства VERITAS такие как Backup Exec и NetBackup делаю эту задачу простой. ПО VERITAS позволяют ускорить процесс восстановления информационных ресурсов после катастроф минимизируя число требуемых шагов благодаря использованию специальной опции Intelligent Disaster Recovery и технологии ODBR (One-Button Disaster Recovery) использующих технологии восстановления серверов без предварительной полной установки операционной системы. Единое решение для всех операционных систем и основных бизнес-приложений позволяет сократить потребности в обслуживаемом персонале, тем самым уменьшив вероятность ошибок при администрировании системы резервного копирования, и снизить затраты на его обучение.

Репликация и кластеризация. Этот уровень обеспечивает для важных бизнес-приложений наилучшую степень защиты в случае возникновения события различной степени тяжести. Репликация данных на другую территориально-расположенную систему хранения обеспечивает надежный полноценный доступ к данным в случае выхода из строя основного хранилища. Кластеризация в пределах одного или нескольких хранилищь данных также позволяет строить системы с высочайщим уровнем непрерывного доступа к данным. VERITAS Volume Replicator( органичное средство для репликации файловых систем или баз данных, используя LAN или WAN. VERITAS Cluster Server( обеспечивает непрерывность функционирования важнейших приложений, а в комбинации с Volume Replicator( образуют полнофункциональное средство для бесперебойной работы предприятия.

В настоящее время уменьшается процент использования традиционной архитектуры хранения данных DAS (Direct Attached Storage), в тоже самое время новые топологии NAS и SAN занимают доминирующее положение. При использовании SAN, дисковые устройства управляются посредством специализированного ПО для виртуализации ресурсов хранения, которое предоставляет в распоряжение серверов подключенных к SAN логические тома. Это отвечает потребностям пользователей, желающих динамически менять размеры логических томов, повысить доступность данных в сети и производительность системы резервного копирования. В тоже самое время это увеличивает число используемых платформ и клиентов, пользующихся данными, что ведет к некоторому усложнению процессов восстановления данных. VERITAS предлагает свои продукты виртуализации, которые позволяеют устранить эту проблему.

Илья Воробьев, Invorob@stinscoman.com

Страница 1 2 3

Комментарии


20/05/2016 №05

Купить выпуск

Анонс содержания
«Журнал сетевых решений/LAN»

Подписка:

«Журнал сетевых решений/LAN»

на месяцев

c

Средство массовой информации - www.osp.ru. Свидетельство о регистрации СМИ сетевого издания Эл.№ ФС77-62008 от 05 июня 2015 г. Выдано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзором)