Продолжение статьи 5 уровней защиты решений от Symantec.
Используя данные около 130 миллионов пользователей система Norton Reputation Service узнает, какие приложения являются надежными, а какие подозрительными или даже опасными. Все данные собираются полностью анонимно и используются для автоматической классификации практически любого программного продукта. Эта информация используется всеми продуктами компании Symantec для блокировки вредоносных программ и для идентификации новых надежных приложений.
Проблема: постоянное развитие и изменение угроз
В предыдущие годы сравнительно небольшое число угроз распространялось на миллионы машин. Каждую вредоносную программу можно было ликвидировать антивирусом с соответствующей сигнатурой в базе. Понимая эту ситуацию, киберпреступники изменили технику, и в настоящее время использует различные методы обфускации кода для быстрого изменения вида создаваемых вредоносных программ. Сейчас стало обычным явлением, когда злоумышленники в режиме реального времени разрабатывают отдельный вариант угрозы для каждой жертвы или для группы жертв, что приводит к сотням миллионов новых видов вредоносного ПО каждый год.
Затем эти угрозы распространяются с помощью веб-атак и социальных сетей на целевые компьютеры. Данные Symantec показывают, что большинство современных угроз достигает менее 20 целевых машин. Таким образом, разработчики антивирусных решений не могут традиционным способом узнать о большинстве этих угроз, проанализировать образцы и создать сигнатуру. Когда каждый день появляется более 600000 новых видов угроз (Symantec в прошлом году получила 240 миллионов уникальных образцов вредоносного ПО от защищенных машин пользователей), невозможно создать, протестировать и распространять такой объем традиционных сигнатур для решения проблем.
Решение: защита на основе репутации
Традиционный метод создания сигнатуры подразумевает анализ каждого образца вредоносной программы для разработки защиты. Система репутации Symantec имеет совершенно другой подход. Она не фокусируется только на опасных файлах, а старается классифицировать абсолютно все программные решения: как хорошие, так и плохие. Методика основана на постоянной анонимной телеметрии, данные которой поступают в Symantec каждую секунду со всего мира. Отсылаемые данные помогают Symantec судить о:
- приложениях, установленных на пользовательским машинах (каждое приложение имеет свой уникальный идентификационный номер SHA2);
- какие приложения загружаются с Интернета и из каких источников;
- имеют ли программы цифровые подписи;
- какой возраст у приложений;
- набор других атрибутов;
К этим данным добавляется информация из сети Global Intelligence Network, собственной организации по компьютерной безопасности (Security Response organization), а также информация от вендоров и поставщиков ПО.
Эти данные организованы в крупномасштабную модель, структура которых состоят из ссылок между приложениями и анонимными пользователями. Таким образом, устанавливаются взаимосвязи между всеми приложениями и миллионной аудиторией анонимных пользователей. Затем эта связь «приложение-пользователь» анализируется для присвоения рейтинга безопасности для каждого отдельно взятого приложения. В настоящее время эта система отслеживает более 1,8 миллиарда хороших и плохих файлов, а каждую неделю появляется более 20 миллионов новых файлов.
Особенности
Клиентские и серверные продукты компании Symantec используют данные Norton Reputation Service для повышения эффективности защиты посредством 4-х аспектов:
Превосходная защита
Система репутации вычисляет высокоточные рейтинги для каждого отдельно взятого файла: опасного или надежного. Технология эффективна не только против распространенных вредоносных программ, она также может детектировать самые сложные угрозы – даже тех, которые нацелены на небольшую группу пользователей Интернета. Благодаря этому факту, увеличивается общий уровень обнаружения вредоносного ПО.
Наиболее заметный аспект улучшения защиты за счет внедрения системы репутации можно проследить с помощью функции Download Insight (DI) или компонента Download Advisor (DA), который присутствует в комплексных решениях вендора. DI/DA перехватывает каждый новый исполняемый файл во время скачивания из Интернета. Затем эти модули запрашивают рейтинг в системе Norton Reputation Service. Основываясь на полученной информации DI/DA выполняют одну из трех доступных опций:
- если файл имеет плохую репутацию, он сразу блокируется;
- если файл имеет хорошую репутацию, он может быть запущен;
- если файл еще не получил рейтинг и степень его опасности неизвестна, пользователю выводится оповещение, что безопасность файла не доказана.
Пользователь затем самостоятельно принимает решение, стоит ли использовать данный файл. При корпоративном использовании продуктов Symantec администратор дополнительно может применять различные разрешения для минимизации риска запуска вредоносного ПО.
Предотвращение ложных срабатываний
Два раздельных аспекта технологии способствуют дальнейшему снижению процента ложных срабатываний защиты продуктов Symantec на надежные программные решения.
Во-первых, система Norton Reputation Service формирует рейтинг исходя не из содержимого файла (как традиционная антивирусная технология), а на основе социального элемента «приложение-пользователь». Таким образом, система обеспечивает дополнительное решение, которое сопоставляется с эвристической защитой или поведенческим анализом. Если и эвристика, и система репутации сходятся во мнении, что файл является вредоносным, вероятность ложного срабатывания близка к нулю.
Во-вторых, т.к. система поддерживает накопление информации обо всех исполняемых файлах, эти данные могут быть использованы для формирования решения блокировки. Допустим, есть файл неоднозначного содержания, который присутствует только на двух компьютерах в глобальной сети. Этот файл принесет гораздо меньше вреда, чем другой файл, встречающийся на миллионах машин по всему миру. Применение этих данных при выработке решения приводит к правильным действиям и лучшей защите пользователей.
Улучшенная производительность
Типичная пользовательская машина имеет тысячи файлов, которые практически никогда не меняются и большинство из них, за редким исключением, абсолютно безопасны. Как бы то ни было, т.к. традиционные антивирусы используют сигнатурное обнаружение, они сканирует каждый файл на компьютере для сравнения с вирусными образцами в базе данных. Когда обнаружены новые вредоносные образцы, каждый файл на системе должен быть повторно проверен с обновленными базами сигнатур для исключения вероятности заражения новыми видами вредоносного ПО.
Все это становится очень неэффективным процессом. Защита на основе репутации имеет соответствующий рейтинг абсолютно для всех файлов – плохих и хороших. Значит, продукт с такой технологией может при сканировании находить надежные файлы и «отложить их в сторону», чтобы при повторной проверке они не анализировались, если их содержание не изменялось. Это концепция приводит к значительному сокращению влияния на производительность – до 90 процентов экономии системных ресурсов по сравнению с традиционным сканированием и защитой реального времени.
Применение персонализированных политик
Традиционные антивирусы блокируют известные вредоносные программы двумя путями. Все файлы, которые были признаны опасными удаляются с компьютера, а остальные файлы остаются без изменений. Многие уязвимости, благодаря которым вредоносная программа может остаться в системе остаются без внимания. Рассмотрим новейший образец вредоносного ПО, который был только что создан киберпреступником. Очень вероятно, что антивирусные сигнатуры не смогут обнаружить угрозу, т.к. у вендора еще не было шанса проанализировать содержимое. Вредоносная программа может обойти и другие техники защиты при использовании эксплойтов и определенных поведенческих факторов. Система репутации позволит пользователям и системным администраторам разрешить ситуацию и сделать более обоснованное решение о потенциально опасном содержимом.
Кроме сбора информации о потенциальной опасности файла Norton Reputation Service от Symantec накапливает дополнительные параметры, такие как распространенность и возраст. Эти атрибуты могут быть использованы для реализации соответствующих политик для контроля устанавливаемых программ системным администратором. Например, если в случае с новой угрозой файл не был помечен как вредоносный, но в то же время он был создан недавно, то его установка может быть заблокирована. Приведем еще один пример. Системный администратор может разрешить на компьютерах сотрудников финансового отдела выполнение программ с не менее, чем с 1000 сертифицированными пользователями и возрастом более 2-ух недель. Эти политики позволяют администраторам адаптировать свою защиту под нужды отдельных департаментов для минимизации рисков. Исследование Symantec показывают, что это очень эффективная мера снижения риска заражения вредоносным ПО на предприятии.
По материалам Symantec
Последние обзоры и тесты
• Лучший антивирус 2024: Тестирование антивирусов для Windows 11 на максимальных настройках защиты
• AV-Test 2024: Лучшие антивирусы для защиты от шифровальщиков и инфостилеров
• AV-Comparatives 2024: Лучшие антивирусы для защиты от целевых атак
• Антивирусы с минимальным влиянием на производительность Windows ПК – AV-Comparatives 2024
• AV-Test 2024: Тестирование 31 антивируса для Windows. Как антивирусы справляются с реальными атаками
• AV-Test 2024: Лучшие антивирусы для Windows 11 и Windows 10