Обновлено: про текущие принципы обработки пользовательских данных можно прочитать здесь.
По данным «Лаборатории Касперского», ежедневно в мире генерируется до 200 000 новых вредоносных программ. Это два-три новых зловреда ежесекундно. Даже армия вирусологов не справится с такой лавиной, если обрабатывать ее традиционными способами. Поэтому «Лаборатория Касперского» пошла дальше и вместо того, чтобы набивать темные и сырые подвалы дежурными аналитиками, создала облачный центр обработки, распределенную антивирусную сеть Kaspersky Security Network. Это мощнейшая технология, основная задача которой — оперативное обнаружение возникшей опасности и защита от нее всех подключенных компьютеров. Такой подход пресекает эпидемию в зародыше.
Kaspersky Security Network включает в себя несколько подсистем: постоянный глобальный мониторинг подозрительной активности на компьютерах пользователей, мгновенная доставка собранных данных (ничего конфиденциального!) на серверы «Лаборатории Касперского», анализ полученной информации, принятие решения о блокировке опасных файлов или сайтов или, напротив, добавление их в список разрешенных, а также рассылка информации пользователям. Для того чтобы пользователь мог работать с этим облаком, на его компьютере должно быть установлено свежее антивирусное ПО «Лаборатории Касперского», например Kaspersky Internet Security, и он должен дать согласие на использование этого облака. Награда за участие не замедлит себя ждать — подключенные к KSN компьютеры получают данные о новых угрозах менее чем через минуту после их обнаружения.
Как работает Kaspersky Security Network
- Информация о подозрительной активности автоматически поступает в облако KSN. Отправляются не ваши файлы, а только информация о них: какой файл попытался совершить подозрительное действие, с какого сайта или иного источника этот файл был загружен, какое приложение к нему обратилось и т.п.
- На одном компьютере эта информация не позволяет однозначно решить, является ли файл вредоносным. Совсем другое дело, когда система обобщает данные с тысяч компьютеров. Сравнивая поведение файла на различных компьютерах, проверяя его в базе данных сотен тысяч легитимных приложений и используя эвристические алгоритмы, KSN выносит предварительный вердикт о том, является ли файл вредоносным.
- В случае если первые данные указывают на вредоносный характер файла, то его описание добавляется в базу Urgent Detection System (UDS, система оперативного обнаружения) и мгновенно становится доступно всем пользователям. А если все в порядке — то в список разрешенных.
- Если опасный файл будет запущен другим пользователем, антивирус на его компьютере сверится с облачной базой UDS и мгновенно заблокирует опасную деятельность.
- Занесенные в список вредоносных файлы анализируются живыми экспертами на степень опасности, после чего описания этих файлов добавляются в классическую антивирусную базу данных. Этот процесс может занять больше времени, иногда несколько часов, но подключенные к KSN пользователи все это время уже находятся под защитой, поскольку файл помещен в базу UDS.
- Информация о вредоносных и запрещенных файлах обновляется в базе, и вскоре об этом информируются пользователи. Причем не только подключенные к KSN, а все пользователи продуктов «Лаборатории Касперского».
Принципиальным отличием облачного антивируса является двусторонняя связь клиента с антивирусной лабораторией. В случае традиционной схемы с обновлениями реакция на появление нового зловреда занимает как минимум несколько часов. Ведь для начала необходимо как-то зафиксировать подозрительные файл или сайт, потом еще его проанализировать. По современным меркам это недопустимо долго. А в случае подключения к KSN первая же система, которую попытались заразить, сама запрашивает «Центр», если видит что-то сомнительное. Кстати, эта технология не только распознает угрозу, но и умеет устанавливать ее источник. То есть стоит попасть вредоносному файлу всего лишь на один компьютер, подключенный к облаку, как им займутся специалисты и очень быстро заблокируют сам сайт, распространяющий заразу.
Есть у KSN и вторая полезная функция — возможность воспользоваться «народной мудростью». Благодаря собранной информации у каждого файла появляется собственная репутация, и ее можно проверить через продукты «Лаборатории Касперского». Посмотрев, насколько популярен тот или иной файл, доверяют ему или нет другие пользователи, можно решить, хотите ли вы запускать его сами. Например, очевидно, что Opera или Flash Player очень популярны. Поэтому, если файл «Обновления Flash» был скачан всего 1000 раз, а не десятки миллионов, можно довольно уверенно сказать, что это подделка, и даже вирусолог для этого не нужен.