В последнее время появилось немало критиков традиционных технологий, пропагандирующих новаторские методы. Они, впрочем, не спешат объяснить, что понимают под определением традиционных технологий. Вот мы и решили объяснить это сами. А заодно рассказать, что зачастую те самые «новаторские методы» на самом деле — эволюционировавшие «традиционные».
Серьезные создатели защитного программного обеспечения уже достаточно давно де-факто используют несколько классических методов выявления зловредов. По сути, каждый из этих методов заслуживает отдельного рассказа, но сегодняшний блогпост мы бы хотели посвятить именно репутационным технологиям. Хотя бы потому, что они, с одной стороны, используются достаточно давно, а с другой — лежат в основе многих современных решений.
Причины возникновения
Как известно, ландшафт угроз постоянно меняется. Если раньше основную опасность представляли вирусы, троянцы, сетевые черви и им подобные программы, то в последние годы все чаще стали регистрироваться атаки, спонсируемые и направляемые государствами; реальностью стали узконаправленные (так называемые таргетированные) атаки; начала стираться грань между легитимным и вредоносным ПО — все чаще злоумышленники стали применять вполне законное программное обеспечение для проведения сложных атак. Но самое главное — со временем создание вредоносного ПО стало целой индустрией, поставляющей сотни тысяч разновидностей зловредов ежедневно. Причем большая часть этих зловредов использовала различные методы обфускации, что затрудняло их детектирование.
В результате в один прекрасный момент производители защитных решений столкнулись с двумя существенными проблемами. Проблема первая: стала страдать скорость реакции сигнатурных баз (одной из первых технологий защиты). Вредоносные программы стали появляться и распространяться так быстро и в таких количествах, что временной зазор между появлением нового вредоноса и выпуском сигнатуры для него стал слишком велик. В результате антивирусное ПО на рабочих станциях попросту не успевало получить необходимые обновления, и компьютер все равно был подвержен риску.
Проблема вторая: огромное количество вредоносного ПО привело к существенному разбуханию размеров сигнатурных баз. А рост объема базы неизбежно ведет к затруднению процедуры обновления, которая в итоге стала достаточно долгой, ресурсоемкой.
Для решения этих проблем потребовался новый метод — нечто быстрое, точное и эффективное.
Уход в облака
Но основное требование, которое предъявлялось к новой технологии, — это именно скорость. Новая технология должна была уметь предупреждать машины конечных пользователей о новых угрозах в течение считанных секунд. И решением проблемы стал облачный репутационный анализ. Иными словами, для того, чтобы решить возникшие проблемы, антивирусные компании стали создавать на базе инфраструктуры, связанной с детектированием вредоносного ПО и выпуском обновлений, облачные сервисы. Они позволяли обмениваться данными с решениями на компьютерах конечных пользователей и обрабатывать эти данные.
Первым ключевым отличием нового метода стал сам детектируемый объект. Технологии стали работать не с файлами или их фрагментами, а с метаданными, то есть данными о данных. К метаданным относятся и информация о загружаемых пользователем файлах (включая URL и IP-адреса, с которых файл был загружен, идентификаторы протоколов загрузки, номера портов соединения, атрибуты, размеры файлов и их хеш-суммы), и сведения о процессе, загрузившем файл, и многое другое. Изначально в качестве алгоритма хеширования использовался исключительно MD5, но впоследствии возникла необходимость в более серьезных алгоритмах — SHA1 и SHA2-256.
Второе отличие нового метода заключается в двустороннем общении пользователя и инфраструктуры ИБ-компании. Для обновления сигнатурных баз достаточно одностороннего контакта (базы передаются от компании к пользователю). Но при помощи облачных технологий компании обрели возможность получать обратную связь. Теперь защитные решения могут передавать своим создателям сведения о подозрительной активности на компьютере, об успешно отраженных попытках заражения, о схемах распространения вредоносного ПО. Обработка этих данных позволяет практически моментально определять новые векторы атак и «вооружать» других пользователей инструментами для выявления угроз.
Третье отличие отражено в самом названии метода. Репутационные технологии могут сделать вывод о вредоносности объекта на основании статистических данных. Допустим, объект был обнаружен у миллиона пользователей и при этом ни разу не был замечен ни в какой подозрительной активности. Значит, можно сделать вывод, что он чист. А если хотя бы у десятка пользователей объект был замечен в попытках получить доступ куда не следует или если сайт, с которого он был загружен, известен как место распространения вредоносов, то логично было бы предположить, что и он сам опасен.
Kaspersky Security Network
У нас, в «Лаборатории Касперского», такой сервис работает с 2009 года. Он называется Kaspersky Security Network. Одна из его ключевых функций — это именно двусторонний транспорт, который моментально поставляет решениям «оперативные сводки» и при этом собирает метаданные о различных объектах, на основании которых впоследствии совершенствуются защитные методы.
Тут сразу стоит объяснить, что, во-первых, эти данные не идентифицируют пользователя. Во-вторых, передача осуществляется только с согласия индивидуального пользователя или его компании. Если вас интересуют подробности, то вы всегда можете ознакомиться вот с этим документом, где перечислены все сведения, которые передаются в облако, а также описаны наши принципы обработки пользовательских данных.
Полученные данные обрабатываются распределенной экспертной системой, и информация о новейших угрозах и источниках их распространения становится доступной всем пользователям «Лаборатории Касперского» в течение 40 секунд. В результате пользователи, согласившиеся на применение KSN, оказываются надежно защищенными от самых последних угроз.
Дальнейшее развитие
Сама по себе технология облачного репутационного анализа активно используется множеством клиентов «Лаборатории Касперского». Но, к сожалению, не всеми. Некоторые организации (преимущественно государственные структуры) по регламенту не имеют права применять в своих вычислительных системах решения, которые передают вовне какие-либо данные. Специально для них мы создали новое решение — Kaspersky Private Security Network. Оно позволяет получить практически все преимущества KSN, но при этом ничего не передает в нашу облачную инфраструктуру. Однако это решение требует отдельного рассказа, так что мы планируем написать о нем в одном из следующих блогпостов.