В сфере обеспечения ИБ проактивными называют механизмы, способные обнаруживать и нейтрализовать вредоносный код прежде, чем он нанесет ущерб информационной системе. Проанализировав нестандартное «поведение» трафика, проактивные инструменты могут определить его как угрожающее и, блокировав действие соответствующих программ, сообщить пользователю об инциденте
Именно этим подобные разработки отличаются от классических, реактивных средств защиты (антивирусов на базе сигнатур и межсетевых экранов), которые борются с вредоносным кодом (malware) уже после заражения компьютеров.
Проактивные инструменты претендуют на универсальность в области защиты от вредоносного кода. Они преграждают путь к «сердцу» компьютера не только вирусам, но и другим нежелательным компонентам (червям, троянским программам, рекламному и шпионскому ПО, разного рода атакам).
Рассмотрим возможности программных средств, при помощи которых пользователи могут обезопасить себя от malware. И с помощью этого небольшого анализа рынка постараемся определить роль превентивных механизмов в противостоянии вредоносным элементам, гуляющим по Сети.
Высший уровень защиты
Специалисты воюют с вирусами уже более 20 лет. За это время изменились не только вредоносный код, но и способы борьбы с ним. В начале пути программные средства защиты базировались на методах детектирования вирусов по характерным фрагментам исполняемого кода (сигнатурам). По мере увеличения сложности и числа разновидностей вредоносного кода расширялись и базы шаблонов производителей антивирусного ПО. Вскоре на первый план для пользователей средств защиты вышли частота обновления антивирусных баз и скорость реакции на новые угрозы.
Однако количество модификаций malware все росло, как и скорость его проникновения в систему, поэтому возникла необходимость в разработке новых технологий противодействия (см. рисунок). В качестве таких инструментов стали использовать средства, способные бороться не только с определяемой на основе шаблонов «заразой», но и с еще не известными угрозами.
Сразу оговоримся, что следует различать превентивные технологии, появившиеся в середине 90-х годов, и современные разработки. Начало развитию решений данного класса было положено примерно 13 лет назад — именно тогда увидели свет поведенческие блокираторы первого поколения. Специалисты рассчитывали, что с их помощью удастся предотвратить массовое распространение DOS-атак. Принцип действия таких блокираторов прост: при обнаружении потенциально опасной активности приложения они спрашивают пользователя, разрешить или запретить проникновение контента в систему. Несмотря на отдельные успехи поведенческих блокираторов первого поколения, в целом они не пользовались большим спросом. Во-первых, они требовали повышенного внимания системных администраторов и хорошего уровня подготовки пользователей, во-вторых, часто ошибались, объявляя «подозрительными» легитимные программы.
Современные «боекомплекты»
Поведенческие блокираторы нового поколения, напротив, вызывают все больший интерес. Основное их отличие от предшественников состоит в том, что они не просто выявляют подозрительную активность, а фиксируют последовательность действий (таких как попытки удаления системных файлов, изменения реестров, открытия сетевого соединения для доступа к системному реестру и т.д.), которая дает основания поместить любой, в том числе неизвестный, код в разряд malware. Поведенческий блокиратор стал одним из самых эффективных проактивных механизмов. С его помощью можно отсеивать около 60-70% вредоносного трафика.
В последние годы появились и другие технологии превентивной защиты. Одним из самых распространенных инструментов является эвристический анализатор. В статье, размещенной на сайте «Лаборатории Касперского», глава отдела стратегического развития и маркетинговых исследований этой компании Андрей Никишин поясняет смысл данного термина. По его словам, эвристическим анализатором называют набор подпрограмм, проверяющих код исполняемых файлов, макросов, скриптов, памяти или загрузочных секторов с целью обнаружения в нем разных типов вредоносных компьютерных программ, которые не детектируются обычными (сигнатурными) методами. Эта технология служит для поиска неизвестного вредоносного ПО, которое еще не приступило к деструктивной деятельности в системе, однако содержит подозрительные опции.
Но хотя в отдельных случаях эвристические анализаторы демонстрирует хорошие показатели эффективности, в целом уровень обнаружения ими malware невысок. По оценкам специалистов, он составляет лишь 20-30%. Во-первых, профессиональные вирусописатели зачастую «обманывают» эвристический анализатор, во-вторых, он нередко «выдает» ложные срабатывания. Этот механизм успешно работает лишь в сочетании с другими технологиями проактивной защиты или сигнатурными методами, поэтому нередко используется производителями антивирусных продуктов как дополнительный бастион защиты.
Еще одним компонентом, предназначенным для нейтрализации неизвестных угроз, является обеспечение безопасности на основе политик. Среди предлагаемых разными производителями подходов стоит отметить сервис компании Trend Micro Outbreak Prevention Services. Как рассказал Михаил Кондрашин, руководитель Центра компетенции Trend Micro в России и СНГ, этот сервис служит для распространения преднастроенных политик, позволяющих предотвратить эпидемию еще до обновления антивирусных баз или появления соответствующих патчей. Отметим, что такой метод нельзя назвать в полной мере проактивным, поскольку для подготовки защиты требуется определенное время, в течение которого компьютеры остаются один на один с новой угрозой.
Другое дело — системы со встроенными компонентами принудительного использования политик, проверяющие каждое клиентское устройство перед доступом в корпоративную сеть. Подобные разработки, реализованные в виде аппаратно-программных комплексов, имеются у нескольких вендоров, но поскольку мы решили сфокусироваться на чисто программных решениях, в этой категории отметим разработки Cisco Systems и Microsoft.
К числу механизмов проактивной защиты можно также отнести технологии, препятствующие переполнению буфера и поддерживающие наиболее распространенные приложения под ОС Windows, в том числе Word, Excel, Internet Explorer, Outlook и SQL Server. Специалисты утверждают, что злоумышленники особенно часто пользуются именно этой уязвимостью, а значит, перекрыв им доступ к буферу, можно надежно «залатать брешь». Да и вообще уязвимости системного ПО стали основным каналом проникновения вирусов и червей в компьютерные сети и их дальнейшего распространения (ежедневно обнаруживаются свыше 10 «дыр» в системном ПО). Защита от переполнения буфера встречается как дополнительная опция в решениях многих производителей, но наиболее надежно она реализована в продуктах McAfee.
Проактивную защиту обеспечивают и системы предотвращения вторжений (IPS), функционал которых реализуется в рамках комплексных систем программными методами. Основная задача таких решений — «закрывать» самые опасные уязвимости компьютера при возникновении новой угрозы еще до выхода обновлений антивирусных баз. Для этого применяются стандартная блокировка портов, политики ограничения доступа к директориям или отдельным файлам, обнаружение источника «инфекции» в сети и запрет на дальнейшие коммуникации с ним. Кроме того, IPS фильтруют входящий трафик и, в случае обнаружения подозрительной активности внешних пользователей, перекрывают каналы связи с ними.
По мнению экспертов в области ИБ, такие решения эффективны в борьбе с хакерскими атаками, шпионскими программами и попытками несанкционированного доступа в систему. Однако они могут пропускать вирусы, червей и троянцев, поскольку зачастую нельзя определить их наличие еще до начала активной фазы заражения. Тем не менее решения IPS выгодно отличаются от IDS-комплексов, служащих лишь для пассивного обнаружения вторжений и вредоносных элементов, но не имеющих встроенных механизмов предотвращения инцидентов.
Проактивность нам поможет?
Несомненно, спрос на технологии проактивной защиты, при помощи которых можно обезопасить корпоративную систему от разных, в том числе неизвестных, угроз, будет расти. Фантазия злоумышленников безгранична, а современные ИТ позволяют вирусописателям и хакерам претворять в жизнь самые смелые идеи. Известно, что с момента появления нового вируса до массового заражения машин пользователей иногда проходит не более 20 мин. При этом продолжительность Zero Day Exploit (существования бреши в периметре защиты от обнаружения уязвимости до выхода обновления) составляет несколько часов, а то и дней.
С каждым месяцем увеличивается число модификаций Internet-угроз. Наряду с вирусами и червями злоумышленники терроризируют современные компьютерные системы с помощью троянцев, шпионского и рекламного ПО, DOS-атак, спама, «фишинга», «фарминга» (подмены главных страниц сайта), «руткит» (утилит, используемых хакерами для маскировки их активности). Согласно свежему исследованию компании Sophos, в 2005 году количество известных Internet-угроз увеличилось на 48%.
В силу этого будущее ИБ-индустрии невозможно представить без проактивных технологий. Дмитрий Попович, менеджер по маркетингу российского офиса Eset Software, считает, что разработки данного класса способны обеспечить новый уровень защищенности. Он привел несколько дополнительных аргументов в пользу превентивных технологий: высокая производительность решений, минимальная потребность в системных ресурсах и загрузка канала для скачивания сигнатур только при необходимости. А вот традиционные антивирусные решения «грешат» перегрузками из-за необходимости частых обновлений.
Однако у этих перспективных решений есть и ряд недостатков. Некоторые системы по-прежнему характеризуются высоким процентом ложных срабатываний и часто обращаются за «советами» к системному администратору. Поведенческий блокиратор и эвристический анализатор активизируются лишь после того, как вредоносный код уже проник в систему и пытается произвести злокозненные действия. Кроме того, данные компоненты не могут «вылечить» информационную систему от вирусов и другого вредоносного ПО, поскольку «не знают», где те находятся и что нужно сделать для их удаления из системы. В этом проактивные механизмы проигрывают традиционным сигнатурным технологиям, которые после распознавания «заразы» способны очистить от нее компьютер.
Перечисленными недостатками объясняется тот факт, что производители антивирусных программ стремятся сочетать в своих продуктах традиционные методы с превентивными компонентами. При этом обеспечение проактивной защиты каждый разработчик понимает по-своему, создавая уникальные «боекомплекты».
«Умные» защитники
Начнем с тех продуктов, в которых превентивные технологии встречаются фрагментарно, а затем перейдем к комплексным решениям с широким функционалом.
Прежде всего, упомянем разработки лидера российского рынка антивирусов в сегменте SMB «Лаборатории Касперского». Еще год назад выпуск комплексных продуктов класса проактивной защиты значился лишь в планах этого разработчика. Тогда Андрей Никишин утверждал, что такие решения должны появиться в портфеле «Лаборатории» в конце 2005 года. Хотя приложение Office Guard со встроенным поведенческим блокиратором уже не один год используется во многих разработках компании, оно служит лишь дополнительным барьером для malware, основная масса разновидностей которого детектируется с помощью сигнатурных методов. По признанию Никишина, данный элемент относится к первому поколению поведенческих блокираторов, и его эффективность невелика. Более высокую оценку специалисты «Лаборатории» дают ее эвристическому анализатору и поведенческому блокиратору второго поколения Proactive Defense Module. Российский производитель связывает с последней системой большие надежды и рассчитывает в ближайшее время начать ее массовое внедрение в коммерческие продукты.
По сути, на сегодняшний день эта компания предлагает только одну самостоятельную «коробочную» систему, свойства которой позволяют причислить ее к разряду проактивных. Речь идет о решении Kaspersky Anti-Hacker, в состав которого входит детектор атак, обеспечивающий в автоматическом режиме защиту компьютеров от действий хакеров или созданных ими программ. Функционал данной разработки позволяет отслеживать активность приложений, имеющих доступ к Internet, и при необходимости ограничивать ее. Наконец, система имеет очень полезное свойство: благодаря уникальной встроенной технологии SmartStealth она способна сделать компьютер практически невидимым для других пользователей Internet.
«Лаборатория Касперского» обещает предложить пользователям комплексные продукты нового класса уже в ближайшее время. Готовится к выпуску решение Kaspersky Internet Security 2006, анонсируемое как инструмент «комплексной защиты от всех современных угроз ИТ-безопасности». Руководство вендора отмечает, что это уже — не столько антивирусное средство, сколько решение anti-malware, так как оно обнаруживает все разновидности вредоносных программ и потенциально опасные программы, часто называемые Spyware. В систему будет встроен поведенческий блокиратор второго поколения и функционал обнаружения и предотвращения вторжений (IPS/IDS), ориентированный на борьбу с хакерскими атаками и безфайловыми вирусами.
Около года назад массовый продукт, основанный на превентивных технологиях, предложила пользователям российская компания Star Force. Основной составляющей ее системы Safe?n?Sec является инструмент Intelligent Activity Control (поведенческий модуль), который позволяет анализировать, контролировать и блокировать сомнительный сетевой контент, не уничтожая его. По словам разработчиков, этот инструментарий обеспечивает дополнительный уровень защиты компьютеров от неизвестных вирусов и хакерского ПО.
Особо отмечается, что данное решение способно к самообучению. К примеру, опция Intelligent Decision Maker позволяет определять последовательность действий, их количество, периодичность, повторяемость и на основе анализа полученных данных принимать адекватное решение в отношении подозрительного трафика. Благодаря умению системы самостоятельно анализировать происходящие в системе события, составлять архивы и отчеты ее владельцам практически не нужно вмешиваться в процесс обеспечения ИБ, а уровень ложных срабатываний очень невысок. Такие свойства Safe?n?Sec делают его «ближе к народу», поэтому продукт охотно приобретают не только организации, но и владельцы домашних ПК.
Что касается эвристического анализатора, в «чистом» виде этот инструмент на рынке не встречается. Он хорош как дополнение к сигнатурному методу, и сейчас предлагается пользователям в расширенном и «интеллектуализированном» виде. Например, известная разработка компании Sophos под названием Genotype может разыскивать модифицированные программы по фрагментам кода («генам»).
Как рассказал Сергей Антимонов, генеральный директор фирмы «ДиалогНаука», представляющей интересы Sophos в России, это средство борьбы с вирусами и спамом встраивается в ядра антивирусных и антиспамовых продуктов. Оно позволяет находить «наследственную» информацию в неизвестной модификации вредоносного контента и проверять, не является ли исследуемый блок «близким родственником» уже известного malware. Разработчики данной технологии основываются на том, что создатели вирусов регулярно повторяют большую часть исходных кодов malware в своих очередных «творениях» (к примеру, обнаружено свыше 800 модификаций вируса Rbot). Подобный алгоритм работы Sophos использует и для противодействия спаму, который также можно идентифицировать по характерным шаблонам.
Основной способ детектирования, на котором базируется антивирусный продукт Eset NOD32 компании Eset Software, называется «расширенной эвристикой» (Advanced Heuristics). Eset NOD32 представляет собой единый механизм, использующий сочетание методов эмуляции, пассивной эвристики, алгоритмического анализа и сигнатурной технологии. По словам Поповича, «боекомплект» ThreatSense отличается от других антивирусных механизмов необычным разделением ролей между проактивными и реактивными методами. Большинство подобных продуктов в качестве базового используют сигнатурный подход, дополняя его эвристикой или сервисами. В Eset NOD32 основная часть угроз (до 90 %) блокируется проактивно, а оставшийся вредоносный контент фильтруется по шаблонам.
Вообще говоря, большинство разработчиков стараются сочетать в своих продуктах несколько компонентов для обеспечения защиты от Internet-угроз. Компания McAfee, ориентирующаяся на нужды крупных организаций, использует комплексный подход при создании проактивных систем семейства McAfee Entercept. Данные продукты имеют набор специальных характеристик, среди которых особенно актуально наличие встроенных IDS/IPS-компонентов. В ряде других самостоятельных продуктов McAfee применяется усовершенствованная эвристическая технология WormStopper — для детектирования червей, распространяемых по электронной почте, и блокирования подозрительной активности на компьютере.
В продуктах компании Symantec, занимающей ведущие позиции на российском рынке средств ИБ, для проактивной защиты используются встроенный эвристический анализатор, который способен обнаруживать неизвестные модификации вирусов на основании их специфических действий в системе, а также компоненты IPS/IDS Norton Internet Worm Protection. Кроме того, фирма предлагает отдельную систему обнаружения вторжений Network IDS (позволяющую терминировать подозрительный поток) и инструменты для нахождения и устранения уязвимостей в установленном ПО Enterprise Security Manager и NetRecon.
Компания Trend Micro для усиления своих решений, основанных на сигнатурных технологиях, тоже использует эвристический анализатор (продукты PC-cillin Internet Security 2005, OfficeScan, программно-аппаратный комплекс Network VirusWall). Помимо этого вендор предлагает уже упоминавшиеся сервис распространения политик безопасности и сканер уязвимости систем.
Широкий функционал защиты пользователей от malware обеспечивают разработки Panda Software. В портфеле вендора имеются два комплексных решения данного класса, Panda BusinesSecure Antivirus и Panda EnterpriSecure Antivirus, рассчитанных на небольшие, средние и крупные предприятия. Эти системы снабжены всем необходимыми компонентами для комплексной «терапии» — сигнатурными опциями, системой управления и превентивными инструментами. Проактивная защита реализуется на базе трех основных механизмов — поведенческого анализатора процессов, эвристики и набора IPS-функций обнаружения вредоносных сетевых пакетов и защиты от переполнения буфера.
В ассортименте производителя значится и система Panda TruPrevent, позиционируемая как вторая линия защиты от любого неизвестного вредоносного ПО. Этот комплект предлагается в качестве дополнения к классическим антивирусам сторонних разработчиков. Важно, что данный продукт ориентирован на конечного потребителя, а не на администратора сети, что делает его доступным для массового использования.
Интересное решение предлагает корпоративным заказчикам, провайдерам и операторам связи израильская компания Aladdin. Система комплексного обеспечения проактивной безопасности информации на уровне Internet-шлюзов и почтовых серверов eSafe содержит несколько компонентов, предназначенных для антивирусной защиты, Web-фильтрации и блокировки спама. Кроме того, она позволяет предотвращать утечку конфиденциальных сведений и регулировать время пребывания пользователей в Сети. Разработчики продукта заявляют, что с его помощью можно организовать четырехуровневую защиту от программ-шпионов и перекрыть доступ в систему вредоносному коду разных типов, в том числе вирусам и троянцам, использующим для атаки уязвимости Internet-enabled-приложений и служб мгновенной передачи сообщений (ICQ, AOL, MSN и др.). Основу проактивного метода Aladdin составляют эвристический анализатор, поведенческий блокиратор и межсетевое экранирование.
Проактивную сетевую защиту обеспечивает корпоративным пользователям и компания Cisco Systems. Купив в 2003 году фирму Okena, Cisco внедрила компонент на основе ее поведенческого блокиратора StormFront в собственную систему Security Agent. Теперь это решение, предназначенное для защиты рабочих станций, серверов и ноутбуков, объединяет в рамках единой платформы функции предотвращения атак, персонального МСЭ, защиты от вредоносного кода, контроля целостности, блокирования утечек информации через USB-порты и другие внешние устройства, ограничения возможностей Internet-пейджеров, обнаружения перехватчиков с клавиатуры и т.п. При помощи Cisco Security Agent можно отражать всевозможные агрессивные действия, от сканирования портов до внедрения троянцев и DoS-атак.
Операторам связи и владельцам ЦОД адресуются еще два решения данного класса — Cisco Anomaly Guard и Cisco Traffic Anomaly Detector. Эти системы обеспечивают безопасность сети без применения сигнатур, блокируя разные виды malware и распределенные атаки.
Ловушка для вирусов
Подводя итог нашего краткого исследования рынка проактивных систем ИБ, можно еще раз констатировать, что универсального средства, способного обезопасить его владельца от любых сетевых угроз, пока не найдено. Никто не возьмется предсказать, каким путем пойдет дальнейшее развитие антивирусной индустрии и кто одержит верх в извечном противостоянии — производители средств защиты или злоумышленники, давно научившиеся наживаться на своих темных делах. Возможно, защита информационных систем так и останется, по сути, реактивным явлением: в ответ на усложнение угроз и рост количества разновидностей malware разработчики будут выпускать все новые «боекомплекты». Но не исключено, что создатели систем защиты найдут, в конце концов, некую панацею от Internet-заразы всех мастей. Подобные случаи известны в истории медицины: рано или поздно находится действенное лекарство против болезни, раньше косившей тысячи людей.
В подтверждение вероятности реализации этого «оптимистичного» сценария можно привести свежий пример. На днях стало известно, что израильские ученые предложили новый способ борьбы с вирусными эпидемиями — при помощи сетевых «ловушек». Исходя из того, что атаки вирусов априори опережают ответные действия серверов, контролирующих сеть, исследователи предложили создать в Internet распределенную систему компьютеров-«ловушек» (honeypots). Они будут «заманивать» в себя вирусы, автоматически анализировать их код и принимать контрмеры.
«Ловушки» должны быть связаны между собой отдельными защищенными каналами, и при обнаружении атаки на одно из звеньев этой глобальной цепи остальные будут моментально оповещены и начнут функционировать как центры распространения обезвреживающего кода. Моделирование показало, что чем больше сеть, тем эффективнее работает схема. И хотя такая система пока существует лишь в теории, перспективы ее создания весьма заманчивы. Кто знает, что произойдет с теневой индустрией «вирусописателей», если сети «ловушек» действительно будут расставлены по всей глобальной Сети?
Слово аналитикам
Независимые аналитики предсказывают неизбежное увеличение доли продуктов корпоративного класса, содержащих в себе проактивные опции обнаружения угроз. Опрос, проведенный агентством IDC среди 435 компаний в Северной Америке, показал, что респонденты расценивают на ближайшее будущее в качестве главного вызова своей информационной безопасности усиливающуюся изощренность нападений. «В силу этого мы полагаем, что проактивные антивирусные технологии будут ускоренно внедряться организациями, сталкивающимися с комплексными и быстро распространяющимися угрозами», — сообщил руководитель программ исследований в области вертикальных рынков IDC Russia Тимур Фарукшин.
Тем не менее традиционные технологии детектирования вирусов, основанные на сигнатурных методах, рано списывать со счетов. Эксперты из IDC убеждены, что они будут оставаться ключевым механизмом противодействия известному вредоносному ПО. «Интеграция проактивных и традиционных антивирусных технологий позволит заказчикам достичь наилучших результатов в выявлении как известных, так и не встречавшихся ранее угроз», — подчеркнул Фарукшин.
Самыми динамично развивающимися продуктовыми сегментами на российском рынке средств ИБ (в относительном выражении) в период с 2004 по 2009 год должны стать системы распознавания и нейтрализации уязвимостей (рост с 4 до 17 млн долл.) и системы обеспечения конфиденциальности информации (с 21 до 66 млн долл.). В категории антивирусных решений и систем предотвращения вторжений рост продаж будет менее активным — с 16 до 36 млн долл.
Предупрежден, значит — вооружен?
Отдельно стоит упомянуть о системах новостного оповещения пользователей о распространении Internet-угроз. Сегодня такие сервисы предлагают многие вендоры, и почти все они позиционируют эти услуги как проактивные инструменты.
В частности, компания Trend Micro имеет в своем распоряжении солидный штат специалистов, задачей которых является непрерывный контроль над событиями в Internet. Помимо сервиса Outbreak Prevention Service вендор предлагает услуги Outbreak Alert System — проактивного оповещения о новых угрозах.
Компании Panda, «Лаборатория Касперского» и Sophos также заботятся об информированности клиентов, направляя им своевременные предупреждения. На сайтах всех известных разработчиков антивирусов присутствуют полные перечни информации о вирусных эпидемиях и их масштабах, активности разных malware и появлении неизвестного вредоносного контента.
Eset предлагает подписчикам бесплатный сервис Virus-radar.com — автоматизированную систему контроля над угрозами, распространяющимися по электронной почте. Специалисты Eset получают полную информацию на основании ежедневных исследований примерно 3 тыс. образцов вредоносных программ, а также данных о географии и других параметрах распространения вредоносного кода.
Компания Symantec готова предоставить в распоряжение пользователей несколько систем оповещения. Службы DeepSight Alert рассылают оповещения о найденных уязвимостях и новом вредоносном коде, а сервисы DeepSight Threat Management System информируют о сетевых атаках в режиме on-line, а также рассылают обобщенные аналитические сводки. В составе Norton Internet Security 2005 предлагается Outbreak Alert — средство оповещения о появлении особенно опасных Internet-угроз. Кроме того, на уровне сервисов Symantec предлагает услугу Early Warning Services (EWS), которая позволяет получать ранние оповещения об обнаруженных уязвимостях. Сейчас эта опция интегрируется в новую систему Global Intelligence Services.