.

Новый продукт «Лаборатории Касперского», на мой взгляд, является уже не столько антивирусом, сколько именно решением по обеспечению безопасности конечных устройств (серверов и рабочих станций). Таким образом, в данном случае антивирусная защита обеспечивается наряду с другими функциями безопасности. Насколько это правильно? На мой взгляд, безусловно, так как, увы, многие руководители, особенно в сфере малого бизнеса, думают, что, купив антивирусное решение, они полностью обеспечивают свою безопасность.

В продукте появилось пять кардинальных улучшений. Перечислим их, а потом разберем подробнее.

1. Усиленная защита.

Усовершенствованная проактивная защита. Компонент System Watcher выполняет мониторинг активности запущенных программ. Теперь модуль проактивной защиты является обновляемым: он регулярно получает новые шаблоны для обнаружения активности вредоносных программ, а также включает механизм отката вредоносных действий.

Новая система шаблонов поведения вредоносных программ. Система pattern-based similarity (PBS) повышает уровень детектирования угроз и, что также немаловажно, позволяет заметно сократить размер обновлений.

2. Интеграция с «облаком» Kaspersky Security Network.

3. Контроль рабочих станций.

Веб-контроль. Обеспечивается мониторинг интернет-активности пользователя, посещаемые интернет-ресурсы фильтруются по категории, содержимому и типу данных.

Контроль устройств. Предотвраще­ние случайной или специально организованной утечки данных и защита от атак вредоносного программного обеспечения.

Контроль запуска приложений. Продукт позволяет разрешать или запрещать выполнение приложений согласно внутренним корпоративным стандартам, а также предоставляет возможность инвентаризации программного обеспечения.

4. Контроль приложений и белые списки.

5. Оптимизированная система управления.

Давайте остановимся немного подробнее на некоторых из этих улучшений.

Усиленная защита System Watcher

Данный компонент отслеживает активность запущенных приложений. Он доступен в составе как персональных продуктов (KAV, KIS, Crystal), так и корпоративных (начиная с KES для Windows) и позволяет в режиме реального времени анализировать действия всех установленных на компьютере программ. Например, изменился системный реест, загрузочный сектор или просто файл — все это записывается в специальную базу данных. В результате появляется возможность восстановить систему до исходного состояния. Процесс восстановления при этом называется «откатом». «Откатить» можно многое: создание, удаление, изменение файлов, загрузочного сектора, системного реестра и т. д.

Вместе с тем стоит учесть, что в состав System Watcher входит набор шаблонов Behavior Stream Signatures (BSS) — моделей поведения, по которым можно вычислить неизвестное вредоносное программное обеспечение. Кроме того, System Watcher обменивается информацией с другими компонентами антивирусного программного обеспечения и, запоминая цепочки событий, формирует целостную картину поведения и фиксирует следы каждой отдельной программы и групп программ. Это значительно повышает точность обнаружения вредоносных программ.

Следует также учесть, что System Watcher отслеживает действия программ не только в текущей сессии, но и на протяжении всего жизненного цикла программы. При этом нужно иметь в виду, что System Watcher интегрирован с «облаком» Kaspersky Security Network (подробнее о работе KSN будет рассказано ниже).

Kaspersky Security Network

KSN — «облачная» технология, реализованная в последних версиях продуктов «Лаборатории Касперского» для домашних и корпоративных пользователей. KSN обеспечивает быструю реакцию на появление вредоносных программ, позволяет обнаруживать и блокировать ранее неизвестные угрозы, выявлять и вносить в черный список их источники в Интернете.

Корпоративным пользователям Kaspersky Security Network предлагает дополнительные возможности, такие как расширенный контроль программ и белые списки приложений. Kaspersky Security Network совмещает постоянный мониторинг и централизованный анализ актуальных угроз и оперативную подготовку и применение мер защиты.

В состав KSN входит несколько подсистем:

  • постоянный географически распределенный глобальный мониторинг актуальных угроз на компьютерах пользователей;
  • мгновенная доставка собранной информации на серверы «Лаборатории Касперского»;
  • анализ полученной информации;
  • разработка и применение средств защиты от новых угроз.

Поступающая в KSN информация о попытках заражения автоматически передается экспертам «Лаборатории Касперского». Кроме того, собирается информация о подозрительных файлах, загруженных и исполняемых на компьютерах пользователей, независимо от источника таких файлов. Пользователи корпоративных решений в формировании базы данных KSN не участвуют.

Вердикт о безопасности программы выносится на основании цифровой подписи, удостоверяющей происхождение и гарантирующей ее целостность, а также ряда других признаков. Такая программа включается в список доверенных приложений.

Если по окончании проверки программа признается вредоносной, данные о ней поступают в Urgent Detection System (UDS). Эта информация становится доступной пользователям KSN еще до создания соответствующей сигнатуры. Таким образом, клиенты «Лаборатории Касперского» получают оперативную информацию о новых и неизвестных угрозах спустя считанные минуты после начала кибератаки, в то время как традиционные антивирусные базы, как правило, обновляются раз в несколько часов.

Перейдем к основным принципам взаимодействия KSN с компьютерами пользователей продуктов «Лаборатории Касперского», которое включает четыре этапа.

На первом этапе информация о запускаемых или загружаемых приложениях и посещаемых веб-страницах (URL) отправляется в KSN с компьютеров, на которых установлены последние версии продуктов «Лаборатории Касперского» для домашних и корпоративных пользователей. Это информация о заражениях либо об атаках на пользователя; кроме того, собирается информация о подозрительной активности исполняемых файлов на компьютере пользователя.

На втором этапе информация о файлах и URL проверяется и, если они признаются вредоносными, то добавляются в базу Urgent Detection System. Легитимные файлы вносятся в белые списки (Whitelisting). Следует учесть, что сами файлы не пересылаются!

На третьем этапе эксперты «Лаборатории Касперского» анализируют подозрительные файлы, определяют степень их опасности и добавляют описание в базу сигнатур.

И на последнем, четвертом этапе, информация о вновь обнаруженных вредоносных и легитимных файлах и URL становится доступна всем пользователям продуктов «Лаборатории Касперского» (а не только пользователям Kaspersky Security Network).

По завершении анализа новой вредоносной программы создается ее сигнатура, которая включается в антивирусные базы, регулярно обновляемые на компьютерах пользователей.

Белые списки — не единственная технология в рамках KSN, позволяющая пользователю принять решение о том, стоит ли запускать ту или иную программу. В KSN также применяется технология Wisdom of the Crowd (WoC), предоставляющая информацию о степени популярности программы и ее репутации среди пользователей KSN.

Помимо этого, последние версии продуктов «Лаборатории Касперского» позволяют получать данные глобальных рейтингов безопасности (GSR) непосредственно из «облака». Рейтинг (GSR) каждой программы рассчитывается с помощью специального алгоритма и широкого набора репутационных данных.

При использовании KSN мы можем получить следующую информацию:

  • заключение «облачной» системы о том, можно ли доверять приложению;
  • примерную оценку количества пользователей, которые запускали это приложение;
  • примерную дату появления информации о файле в Kaspersky Security Network;
  • статистику использования файла в различных странах;
  • основные данные о файле — название, имя разработчика, версия, размер файла.

Зачем нужна проверка репутации? Проверка репутации в Kaspersky Security Network дает следующий эффект: сотни тысяч пользователей по всему миру либо рекомендуют программу остальным, либо советуют держаться от нее подальше. Важно понимать, что эта рекомендация, как и советы друзей в реальной жизни, не является истиной в последней инстанции. Запрос репутации позволяет вам самостоятельно оценить ту или иную программу, которую вы только что скачали из сети. Следует учесть, что это не самый распространенный сценарий применительно к корпоративной среде, где за установку приложений отвечает администратор.

Расширенная «облачная» защита

Корпоративные компьютеры, работающие под управлением Windows, используют Kaspersky Security Network для оценки репутации файлов и URL и на основании полученной информации блокируют доступ к вредоносному контенту или ограничивают действия подозрительных программ.

Функциональность Kaspersky Security Network в корпоративных продуктах расширена. Во-первых, «облачные» технологии (данные из Kaspersky Security Network) используются для создания белых списков приложений. Известные легитимные приложения автоматически распределяются по категориям (игры, коммерческое программное обеспечение и т. д.). Используя эти категории, системный администратор может быстро настроить и применить правила для определенных типов программ в соответствии с корпоративной политикой безопасности. При формировании белых списков приложений наряду с информацией, получаемой от пользователей, применяются данные, предоставляемые более чем 200 ведущими производителями программ.

Инструмент для централизованного управления Kaspersky Security Center дает возможность тонкой настройки взаимодействия с Kaspersky Security Network для защиты узлов корпоративной сети. Администратор может активировать или отключить «облачную» защиту в различных модулях Kaspersky Endpoint Security 8 для Windows. Также есть возможность отключить передачу данных в Kaspersky Security Network, если того требует корпоративная политика безопасности. В целях снижения нагрузки на каналы передачи данных в корпоративной сети может быть установлен внутренний прокси-сервер Kaspersky Security Network (см. рисунок 1).

 

Применение KSN в организации
Рисунок 1. Применение KSN в организации

База белых списков

Перед применением политик безопасности проводится учет программного обеспечения, в ходе которого автоматически собирается полная информация о программах, используемых в корпоративной сети. «Облачная» репутационная база «Лаборатории Касперского» содержит информацию о более чем 3 млрд. файлов и постоянно пополняется. Динамическая база белых списков содержит более 300 миллионов уникальных чистых файлов. Ежедневно в нее добавляется 1 млн новых файлов. Осуществляется постоянный мониторинг статуса программ, уже входящих в белые списки, что позволяет обеспечить более высокую скорость реакции на изменение их статуса по сравнению с решениями других поставщиков. Это возможно благодаря тому, что вся технологическая инфраструктура и экспертные ресурсы, необходимые для анализа программ, сосредоточены в одной компании.

Информация о продуктах, готовящихся к выходу, поступает от 200 производителей программ, таких как HP, Mozilla, Cisco, Adobe, Intel и ASUS, что позволяет свести к минимуму количество ложных срабатываний.

Веб-контроль на клиентах

Веб-контроль служит для мониторинга интернет-активности пользователей, при этом обеспечивается фильтрация посещаемых интернет-ресурсов по категории, содержимому и типу данных (экран 1). Эта функция обеспечивает возможность применения гибких правил и расписания доступа к ресурсам.

 

Правила доступа к веб-ресурсам по типам ресурсов
Экран 1. Правила доступа к веб-ресурсам по типам ресурсов

Кроме того, вы можете указать временные ограничения для своих пользователей.

Контроль устройств

Эта возможность позволяет контролировать устройства по типу, шине (экран 2); создавать белый список категорий (в том числе по серийным номерам); обеспечивать возможность доступа по чтению (записи); проводить инвентаризацию оборудования; обеспечивать совместимость с Active Directory.

 

Контроль устройств
Экран 2. Контроль устройств

Контроль запуска приложений

Контроль запуска приложений позволяет разрешать или запрещать выполнение приложений согласно внутренним корпоративным стандартам, а также предусматривает возможность инвентаризации программного обеспечения. В частности, можно разрешать (запрещать) запуск приложений по KL-категориям (экран 3).

 

Условие для запрета запуска по KL-категориям
Экран 3. Условие для запрета запуска по KL-категориям

Следует учесть, что запуск правил возможен не только в режиме «Вкл/Выкл», то есть разрешение/запрет, но и в режиме «Тест». Запуск приложений не будет запрещен, однако об этом будет сделана запись в отчете.

Контроль приложений и белые списки

Локально администрируемые и основанные на «облачной» защите whitelisting правила запуска приложений вместе с контролем привилегий приложения основываются на мониторинге уязвимых мест и репутации приложений и образуют эффективную защиту от атак типа APT (рисунок 2).

 

Контроль приложений
Рисунок 2. Контроль приложений

Компонент «Контроль активности программ» предотвращает выполнение программами опасных для системы действий, а также обеспечивает контроль доступа к ресурсам операционной системы и персональным данным.

Данный компонент контролирует работу программ, в том числе доступ к защищаемым ресурсам с помощью правил контроля программ (набора ограничений для различных действий программ в операционной системе и прав доступа к ресурсам компьютера).

Во время первого запуска программы на компьютере компонент контроля активности программ проверяет безопасность программы и помещает ее в одну из групп доверия. Группа доверия определяет правила контроля программ, которые Kaspersky Endpoint Security применяет для контроля работы программ.

Во время повторного запуска исследуется целостность программы. Если она не нарушена, применяется соответствующее правило, а если изменилась, программа исследуется как в первый раз.

Как мы видим, Kaspersky Endpoint Security скорее является центром управления безопасностью компьютера, а не только антивирусной программой. С одной стороны, продукт, естественно, стал сложнее, с другой — уже позволяет решать комплексные задачи в области обеспечения безопасности.

Владимир Безмалый (vladb@windowslive.com) — специалист по обеспечению безопасности, имеет звания MVP Consumer Security, Microsoft Security Trusted Advisоr