13 июля 2020 года 
 
Новости
производителей
Статьи
и обзоры
Вирусная
активность
Тесты
лабораторий
мнения
и комментарии
 
MSInfo.Ru - информационная безопасность как цель
Информационно-новостной дайджест из мира программного обеспечения, безопасности
 
Календарь событий
Июль   2020
Пн 6
13
20 27
Вт 7 14 21 28
Ср 1 8 15 22 29
Чт 2 9 16 23 30
Пт 3 10 17 24 31
Сб 4 11 18 25
Вс 5 12 19 26

Средства безопасности – ваш выбор. Часть 3: Средства проактивной защиты

21 марта 2008 года

Источник: Agnitum Ltd.

Вступление

Мы уже рассмотрели две вершины золотого треугольника безопасности – брандмауэр и антивирус, и в данной статье обратимся к третьему – проактивной защите. Под проактивной защитой мы понимаем программное обеспечение, способное блокировать нелегальную или нежелательную активность приложений без необходимости их сравнения с набором известных контрольных сумм для существующих угроз.

Краткий обзор

Не существует универсального определения проактивной безопасности, однако все сходятся к мнению, что она представляет собой любое средство безопасности, блокирующее или предотвращающее нелегальную или подозрительную активность приложений на локальном уровне. Этим решениям не требуются сигнатуры для определения потенциальной атаки – все, что они делают, это наблюдают за поведением приложения с целью обнаружения потенциально вредоносных процессов и остановки атаки до того, как произойдет заражение или будет нанесен иной вред системе.

Давайте взглянем на категории решений проактивной защиты, существующие сегодня.

HIPS

HIPS – это система предотвращения вторжений уровня локального компьютера (Host-based Intrusion Prevention System). Само название не очень-то очевидно, однако система HIPS действует следующим образом: представьте решение, отслеживающее каждое действие приложения и его взаимодействие с операционной системой и предупреждающее вас о каждом новом или неизвестной событии. При наступлении такого события программа запрашивает ваше решение о разрешении или блокировке данной активности, создавая соответствующее правило и добавляя его в базу уже накопленных решений.

Хотя такой подход может показаться излишне навязчивым и отвлекающим, он способен обеспечить наилучшую защиту от неизвестных атак, так как сложно совершить какое-либо вредоносное действие, если любая активность под контролем или, более того, зависит от вашего решения. HIPS играет роль осведомителя, информируя вас о нежелательной активности и позволяя принимать решение о ее разрешении.

Вот список действий, обычно отслеживаемых и контролируемых решениями HIPS:

  • Целостность памяти приложений и совместное использование компонентов (DLL)
  • Загрузка системных драйверов
  • Создание и регистрация новых служб
  • Изменение системного реестра Windows
  • Взаимодействие между клавиатурой и экраном, включая команды копирования/вставки
  • Контроль использования типичных приложений и служб Windows с необычными параметрами
  • Контроль взаимодействия между приложениями; контроль интерфейсных окон
  • Изменение настроек Windows и приложений (домашней страницы браузера, файла HOSTS, и т.д.)
  • Низкоуровневый доступ к диску
  • Другие специфические функции и операции

Хотя данная активность может показаться довольно неопределенной для большинства пользователей, отслеживание подобных действий действительно помогает защитить компьютер от большинства методов проникновения, используемых реальными вредоносными программами.

Чтобы иметь возможность контролировать все эти действия, программы с HIPS используют специальные функции перехвата и слежения, позволяющие приостановить активность целевого процесса и затем либо продолжить, либо остановить ее, в зависимости от решения пользователя.

Примерами классических решений с HIPS являются брандмауэры Outpost Firewall Pro и ZoneAlarm.

Обратной стороной такого глубокого слежения за системными операциями является большое количество запросов, требующих решения пользователя. Для борьбы с этим разработчики решений HIPS создают и обновляют конфигурации, которые могут автоматически применяться и избавляют пользователя от необходимости отвечать на запросы программы. Список таких предустановок, разумеется, постоянно расширяется и регулярно распространяется среди пользователей через Интернет.

Когда мы говорим о HIPS, в голову приходит мысль о ликтестах. Ликтесты тесно связаны с HIPS, так как проверяют ее надежность и оценивают насколько хороши эти средства в противостоянии реальным атакам с использованием изощренных методов проникновения. Хотя ликтесты в каком-то смысле и необъективны при измерении устойчивости к утечкам данных, они являются полезным инструментом для определения типов взаимодействий, которым способна противостоять конкретная система безопасности. Подробнее о ликтестах и их использовании вы можете прочитать здесь (“Ликтесты как мера защиты от утечки данных”, http://www.agnitum.ru/download/docs/Agnitum_leaktests_2008_RU.pdf).

Блокировщики поведения

Программы-блокировщики поведения являются естественным развитием систем HIPS, так как оценивают легитимность операций аналитическим методом. Вместо того, чтобы предупреждать о каждом отдельном событии, блокировщики поведения оценивают последовательность событий и определяют вероятность того, что данная активность является вредоносной, основываясь на анализе рассматриваемого поведения.

Например, вместо запроса на разрешение автоматического запуска новой программы при загрузке системы блокировщики поведения исследуют, пытается ли новая программа проникнуть в критические области системы, зарегистрировать новые системные службы, взаимодействовать с другими программами Windows или как-то иначе проявлять типичные вредоносные намерения. После регистрации достаточного количества подозрительных действий для того, чтобы понять, что “дело не чисто” и достигнут критический порог, программа классифицируется как вредоносная и средство безопасности либо автоматически выключает ее, либо запрашивает пользователя о дальнейших действиях.

Примерами подобных программ являются PrevX и CyberHawk Pro. Хотя они и существенно снижают количество запросов пользователю в сравнении с классическими решениями HIPS, они более уязвимы для хакеров, так как анализ может не дать настолько точных результатов, насколько предполагается. Однако, для некоторых они могут являться стоящим компромиссом (в безопасности все является компромиссом между эффективностью и простотой использования).

Песочницы и белые списки

Песочница (sandbox) – это способ определить список разрешенных действий или доверенных программ, после чего любая другая активность автоматически блокируется. Этот принцип используют такие продукты, как DefenseWall, в котором вы можете указать какие приложения на компьютере вы считаете безопасными, разрешая им выполнение критических операций, в то время как все остальные приложения будут иметь существенные ограничения активности.

Предотвращение несанкционированных выключений

Один из ключевых элементов проактивной защиты – это обеспечение защиты в случае попыток вредоносной программы выключить ее. В прошлом было сравнительно легко выключить или деактивировать многие средства безопасности, делая их уязвимыми. Осознав необходимость сделать свои продукты более устойчивыми к подобным атакам, многие разработчики средств безопасности добавили в свои продукты функциональность внутренней защиты для предотвращения подобных несанкционированных остановок.

Заключение

Проактивная безопасность ценна тем, что противостоит угрозам с помощью анализа поведения, а не полагаясь полностью на обнаружение с помощью сравнения их с известными примерами. Такой подход может остановить новые или малоизвестные угрозы, которые не в состоянии определить антивирус или другой сигнатурно-зависимый продукт. Проактивная защита идеально дополняет брандмауэр и антивирус, добавляя еще один уровень защиты от угроз, которые всегда подстерегают нас в сети.



Распечатать
© 2007. Все права защищены.
Компания «1С-Мссофт.ру»,
Интернет-магазин Mssoft.Ru
Письмо администратору проекта


Rambler's Top100
новости производителей | статьи и обзоры | вирусная активность | тесты лабораторий

В магазине мссофт.ру вы можете купить лицензионный софт ведущих производителей: Microsoft, Adobe, microsoft office 2010.