Облачные технологии становятся все более популярными, поэтому представленные 24 августа «Лабораторией Касперского» персональные продукты Kaspersky Anti-Virus и Kaspersky Internet Security с индексом 2012 используют для выявления вредоносной активности облачную инфраструктуру Kaspersky Security Network.
KSN собирает сведения о поведении ПО на компьютерах клиентов и на основании этой информации более точно детектирует вредоносные программы. Каждый исследуемый файл проходит четыре этапа проверки. На первом для файла генерируется хэш, наличие которого проверяется в белом списке легальных программ — с их производителями у «Лаборатории» заключен соответствующий договор. Второй этап — репутационный фильтр, который как раз и использует сведения из KSN. На репутацию файла могут повлиять самые разнообразные параметры: адрес, с которого он загружен, вредоносная активность файла на других машинах, имя, дата создания, место сохранения и др. Если облачная служба подтвердила хорошую репутацию файла, то в дело вступает сигнатурный фильтр, который проверяет программу по базе вредоносных программ. Последним этапом проверки является контроль поведения, который проводится уже при запуске приложений.
Важным компонентом всей защиты является поведенческий анализ программ, он влияет на репутацию файлов. Для подобного анализа записывается вся история поведения программы: источник, откуда она получена, расположение в системе, наиболее критичные системные вызовы при ее работе и масса других событий, связанных с программой. Все эти данные собираются в поведенческом анализаторе и проверяются по шаблонам опасных действий. На основе полученных данных вредоносная активность блокируется. Как только срабатывает данная система, сведения о программе пересылаются в KSN, а изменения, сделанные ею в операционной системе, аннулируются.
В комплекте поставки есть также модуль для браузера, анализирующий выдачу поисковых систем и показывающий репутацию найденных ресурсов. Пользователь еще до перехода по ссылке может увидеть мнение о ней облака KSN. На репутацию ссылок также влияют самые разнообразные факторы — от репутации всего домена до сведений об обнаруженных на сайтах домена вредоносных программах. При этом также используются сведения, полученные от участников KSN, но не только. «Лаборатория Касперского» построила собственную поисковую машину Интернета, но, в отличие от «Яндекса», ищет она вредоносные программы. Причем роботы данной поисковой системы изучают, наряду с известными веб-страницами, еще и новые — создаваемые.