О многоуровневом подходе к защите в наших продуктах

Мы стараемся закладывать принцип многослойности в каждый аспект каждого продукта.

Мы постоянно говорим о принципе многослойности как о неотъемлемой части нашей концепции «Истинной Кибербезопасности», позволяющей эффективно бороться с NextGen-угрозами. Что он представляет собой на практике и как реализуется в продуктах «Лаборатории Касперского»?

Принцип этот мы стараемся воплотить в каждом аспекте каждого нашего решения. Возьмем, к примеру, Kaspersky Endpoint Security для бизнеса, призванный защищать рабочие станции. С одной стороны, в нем задействованы различные технологии, которые сводят к минимуму вероятность того, что угроза проникнет в систему. Среди них фильтрация пакетов, механизмы укрепления доверенной среды, проверка через репутационные сервисы и так далее. Они выступают в качестве слоев защиты компьютера, и именно благодаря им большинство опасностей нейтрализуются прежде, чем очередь дойдет до сканирования файловым антивирусом. Тем самым достигается оптимальный баланс между нагрузкой на ПК и его «обороноспособностью».

С другой стороны, если подозрительный файл прошел этапы первичной фильтрации и очутился на рабочей станции, в дело вступает файловый антивирус — тоже многоуровневый.

На рисунке видно, как пресекается вредоносная активность при попытке пройти через различные уровни защиты файлового антивируса.

Первый слой представлен надежной и чрезвычайно быстрой технологией — обнаружением зловредов по маскам и хэшам.

На втором слое осуществляется эмуляция, то есть запуск подозрительного кода в изолированной среде. Причем эмулируются как бинарные файлы, так и скрипты, что критически важно для защиты от веб-угроз.

Третий слой под названием Classic detection routine — инструмент, позволяющий экспертам «Лаборатории Касперского» писать программный код и напрямую доставлять его в решение на машинах пользователей. Эта технология поистине незаменима: так, с ее помощью можно оперативно усиливать решение новыми дешифраторами для борьбы с «криптовымогателями» (ransomware).

Четвертый слой предполагает использование моделей машинного обучения на стороне клиента. Благодаря их высокой обобщающей способности удается выявлять неизвестные угрозы с достаточной точностью, даже когда продукт не обновлялся два месяца и дольше.

Пятый слой — обнаружение с помощью облачных технологий — в полной мере задействует big data: он объединяет знания обо всех угрозах, что были засечены на компьютерах участников Kaspersky Security Network, и таким образом обеспечивает беспрецедентно быструю реакцию на новоявленные угрозы при минимальном числе ложных срабатываний.

Шестой слой — защита на этапе исполнения кода. Нет более надежного способа доказать вину преступника, чем поймать его с поличным. Оперативное резервное копирование той информации, к которой получил доступ подозрительный процесс, а также автоматический откат изменений позволяют свести на нет усилия зловреда сразу после того, как он «застигнут» за своим черным делом.

На седьмом слое данные о реальном поведении объектов в системе используются для построения математической модели глубокого обучения. Она позволяет сделать достоверный вывод о зловредности запущенного файла, притом что для анализа требуется минимум исполненных инструкций. Тем самым срок жизни угрозы в системе заметно сокращается, а методы машинного обучения гарантируют высокую вероятность ее обнаружения, даже когда модель долго не обновлялась.

Заметим, применение машинного обучения на разных этапах работы файлового антивируса тоже базируется на принципе многослойности. Это его воплощение мы называем ML2, развернуто — Multi-Layered Machine Learning.

Те же принципы мы используем сегодня и при построении других защитных решений.

Советы