На демонстрации инновационных разработок Symantec Innovation Showcase, проведенной в Лондоне 24-25 июня для прессы и аналитиков (см. также "Изолировать угрозы"), особое внимание было уделено технологии DeepClean, использующей белые списки и репутационный анализ для помощи в оценке степени опасности загружаемых программ.

Примерно до 2007 года рост числа вредоносных программ имел линейную динамику и умеренный темп. Фактически он прямо зависел от скорости, с которой злоумышленники создавали новые вирусы. Однако затем эта зависимость превратилась в экспоненту. За последний год появилось порядка миллиона образцов нового вредоносного кода, а сейчас каждый день регистрируется еще около 10-15 тыс. Столь сильное увеличение темпов роста объясняется тем, что создатели вредоносных программ стали массово использовать автоматическую модификацию кода, чтобы противодействовать антивирусам, основанным на сигнатурном анализе. Для этого в скомпилированную программу автоматически вставляются комбинации команд, которые не выполняют никаких полезных действий, например обрабатывают неиспользуемые данные или переходят по адресам только ради добавления команд перехода. Количество возможных сочетаний этих команд практически неограниченно, так что для каждого пользователя можно автоматически сгенерировать уникальный вирус, хотя и используемых сейчас малых серий для успешного противодействия традиционным антивирусам достаточно. Впрочем, в Symantec считают, что есть основания ожидать десятков миллионов образцов индивидуализированного вредоносного кода в год.

Для того чтобы корпоративные пользователи, загружающие программы из Internet, смогли точнее отличать потенциально опасный код от полезного, Symantec разработала основанную на репутационном анализе и белых списках технологию под названием DeepClean, которая сейчас находится в финальной стадии концептуального проекта. В основе DeepClean — сеть сенсоров, устанавливаемых на границе сетей организаций — пользователей системы, которые представляют собой программно-аппаратные устройства, отслеживающие загрузку файлов из Internet. Эти сенсоры предоставляют сетевым администраторам и другим пользователям хранящуюся в центральной базе данных оценку риска для каждого файла, которая складывается из репутации издателя файла, репутации сайта, где файл опубликован, частоты загрузок данного файла другими пользователями, отзывов от прежних пользователей, которые в состоянии адекватно оценивать степень опасности файла, информации из антивирусных баз и т. д. Кроме того, сенсоры обеспечивают пополнение и обновление центральной базы. Репутационный анализ заполняет пробел между категориями, попадающими в белый список (проверенные файлы от доверенных поставщиков) и в черный (файлы, признанные вредоносными).

С использованием DeepClean сопряжены по меньшей мере два риска, о которых следует помнить пользователям. Во-первых, проверенные файлы от доверенных поставщиков могут содержать скрытые уязвимости, о которых известно ограниченному кругу лиц и которые могут быть потенциально использованы для атаки. Такие файлы могут быть помечены как полностью надежные, что может ввести в заблуждение.

Во-вторых, сведения о загружаемых организацией файлах, которые передаются в центральную базу данных, могут привести к раскрытию информации о деятельности этой организации, например направлениях исследований и разработок.


Статистика загрузок позволяет оценить степень опасности программы

Поделитесь материалом с коллегами и друзьями