Проактивные технологии для борьбы с вирусами


Чтобы посмотреть презентацию с оформлением и слайдами, скачайте ее файл и откройте в PowerPoint на своем компьютере.
Текстовое содержимое слайдов:

Проактивные технологии для борьбы с вирусамиПреподаватель ГАПОУ РО «РКТМ» Колыхалина К.А. Содержание.Введение.Эвристический анализатор: классика жанра.Политика, как основа безопасности.ISP- теперь в антивирусах.Защита от переполнения буфера.Поведенческие блокираторы.Проактивные подходы различных поставщиков.Заключение. Итоги.Список использованной литературы. Введение.Уже более 20 лет основной технологией борьбы с вредоносными кодами является сигнатурное сканирование. Его суть проста — вирусописатель выпускает свое очередное творение, антивирусная лаборатория ловит и анализирует вредителя, а потом создает вакцину и рассылает ее на компьютеры пользователей. Введя новый термин (проактивные технологии), разработчики хотели подчеркнуть, что теперь ситуация изменилась и право первого хода перешло к антивирусным экспертам. Другими словами, проактивный подход противопоставляется классическому сигнатурному сканированию. При этом каждый поставщик имеет собственное понятие о проактивности и зачастую вкладывает в него совершенно оригинальный смысл. Эвристический анализатор: классика жанра.На самом деле сигнатурному подходу никогда не принадлежала монополия на борьбу с вирусами. Наиболее достойным конкурентом этой технологии традиционно считался эвристик.Эвристический анализатор (эвристик) — это антивирусный модуль, который анализирует код исполняемого файла и определяет, инфицирован ли проверяемый объект. Во время эвристического анализа не используются стандартные сигнатуры. Напротив, эвристик принимает решение на основе заранее в него заложенных, иногда не совсем четких правил.Эвристик обладает низкой эффективностью. По оценкам антивирусных экспертов, даже самые современные анализаторы не способны остановить более 30% вредоносных кодов. Еще одна проблема — ложные срабатывания, когда легитимная программа определяется как инфицированная. Однако, несмотря на все недостатки, эвристические методы по-прежнему используются в антивирусных продуктах. Дело в том, что комбинация различных подходов позволяет повысить итоговую эффективность сканера. Сегодня эвристиками снабжены продукты всех основных игроков на рынке: Symantec, «Лаборатории Касперского», Panda, Trend Micro и McAfee. Политика, как основа безопасности.Очевидно, построение эффективной системы защиты подразумевает создание политики IT-безопасности. Этот документ определяет четкие рамки: кому и что запрещено делать, а также кому и что следует делать.Некоторые антивирусные разработчики отошли от классического понимания «политики» и предлагают своим клиентам «безопасность на основе политик» (policy-based security). Так, компания Trend Micro продвигает Outbreak Prevention Services. В рамках этого подхода пользователь получает набор политик (ограничений), которые позволяют защититься от нового вируса до появления обновлений к антивирусной базе или заплатки для открытой уязвимости.Однако подход, предложенный Trend Micro, вряд ли можно назвать эффективным. Во-первых, далеко не факт, что для создания политики экспертам требуется намного меньше времени, чем для создания вакцины (сигнатурного обновления антивирусных баз) Во-вторых, в некоторых случаях может возникнуть проблема смены политик. Особенно когда новые политики поступают слишком часто. Пользователи начинают путаться в том, что можно делать, а что — нет.Таким образом, подход на основе политик призван компенсировать относительно низкую скорость реакции антивирусной лаборатории TrendLab на появление новых угроз. Кроме того, данная технология не является проактивной. Еще один интересный метод защиты предлагают компании Cisco и Microsoft. Речь идет о карантинной зоне, в которую попадают компьютеры, не удовлетворяющие требованиям политики IT-безопасности, но все равно пытающиеся подключиться к корпоративной сети. Например, если удаленный пользователь стремится войти в сеть своего работодателя, то его компьютер проходит сканирование на предмет наличия актуальной базы антивирусных сигнатур, обновлений операционной системы и т. д. По результатам проверки служащему может быть предоставлен доступ только к карантинной зоне — серверу, с которого можно скачать необходимые обновления. После этого можно снова попытаться подключиться к корпоративной сети. Такой подход тоже не является проактивным, поскольку сводится к антивирусной проверке с использованием обновленной базы сигнатур. IPS — теперь в антивирусах.Аббревиатура IPS (Intrusion Prevention System — система предотвращения вторжений) традиционно используется в контексте защиты сетевого периметра от внешних злоумышленников (хакеров).Технология IPS действительно является «более или менее» проактивной — ведь она позволяет предотвратить попадание на компьютер вирусов и червей, а также защититься от хакерских атак. Достигается это посредством своевременной блокировки отдельных портов (например, тех, через которые на компьютер попадает опасный на данный момент червь), запрета доступа к определенным файлам и папкам и т. д. Защита от переполнения буфера.Суть технологии в том, чтобы не допустить переполнения буфера в наиболее популярных сервисах и программах, например системных службах Windows, приложениях Microsoft Office, браузере Internet Explorer и СУБД SQL Server. В результате вредоносный код при всем желании не сможет воспользоваться уязвимостью определенного программного обеспечения (то есть будет не в состоянии вызывать переполнение буфера). Таким образом, данную технологию можно с полным правом назвать проактивной, а с учетом того, что переполнение буфера является популярным среди вирусописателей приемом, этот метод защиты еще и эффективен. Сегодня своим клиентам данную технологию предлагает только McAfee. Поведенческие блокираторы.Еще один проактивный подход, известный так же, как и эвристические анализаторы, это поведенческие блокираторы. Суть технологии в том, чтобы анализировать поведения программы во время исполнения и блокировать те действия, которые являются опасными.В истории антивирусной индустрии есть, по крайней мере, один пример эффективного поведенческого блокиратора. Речь идет о Kaspersky Office Guard. Обойтись без участия пользователей разработчикам удалось только потому, что они сузили область проверяемых объектов — блокиратор защищал только от макровирусов, «живущих» в офисных документах. Более того, «Лаборатория Касперского» довела эффективность анализа VBA-программ (кода, работающего в среде Microsoft Office) до такой степени, что гарантировала практически 100%-ную защиту от макровирусов. Отметим, что поведенческие блокираторы являются в полной мере проактивными, так как позволяют бороться с неизвестными вредителями, сигнатуры которых не внесены в антивирусную базу. Сегодня этот подход нашел свое место в продуктах «Лаборатории Касперского», Panda и Cisco. Проактивные подходы различных поставщиков.Одной из первых компаний, создавших действительно проактивную систему защиты на основе поведенческого блокиратора, была Okena. В 2003 году ее поглотила корпорация Cisco, в результате чего продукт Okena StormFont превратился в Cisco Security Agent. По мнению антивирусных экспертов, это классический поведенческий блокиратор для использования в корпоративной среде. В отличие от многих других продуктов, он требует предварительной настройки квалифицированным администратором.Еще одним проактивным поставщиком сегодня является компания McAfee. Компания также предлагает своим клиентам эвристическую, а значит проактивную, технологию WormStopper. С ее помощью можно выявлять некоторые новые почтовые черви, а также блокировать подозрительную активность (например, массовую и неавторизованную рассылку писем по контактным данным из адресной книги). Продукты компании Panda тоже имеют проактивные модули. К примеру, Panda TruPrevent состоит из эвристического анализатора, поведенческого блокиратора и системы обнаружения вторжений (IDS).Гигант антивирусной индустрии, компания Symantec, предлагает своим клиентам эвристический анализатор, систему предотвращения вторжений (IPS) и услугу оповещения о новых угрозах.Российская компания «Лаборатория Касперского» также является проактивной. Антивирус Касперского вооружен эвристическим анализатором, системой обнаружения и предотвращения вторжений (IPS/IDS), средством оповещения о новых угрозах и поведенческим блокиратором. Система IPS/ IDS позволяет защититься от хакерских атак и бестелесных вредителей, а поведенческий блокиратор второго поколения обладает такой возможностью, как откат действий, совершенных вредоносным кодом. Заключение. Итоги.Таким образом, проактивными технологиями сегодня являются эвристические анализаторы, поведенческие блокираторы, системы предотвращения вторжений и средства защиты буфера от переполнения. Все они в той или иной степени позволяют защититься от новых, еще незанесенных в сигнатурную базу вредителей. Отметим, что безопасность на основе политик и программы новостного оповещения, хотя и позволяют несколько снизить риски успешной реализации угроз, все же не являются проактивными в полной мере.

Приложенные файлы