Byte/RE ИТ-издание

Принципы антивирусной защиты

При современных темпах технологического развития у руководства компаний, да и у простых пользователей компьютеров не вызывает сомнений необходимость установки антивирусного ПО. Все более стремительное расширение информационного взаимодействия — как между информационными системами различных организаций, так и между отдельными пользователями — создает благодатную почву для распространения вредоносных программ. В крупных организациях широко применяются системы эшелонированной защиты от вирусов, небольшие компании ограничиваются более простыми решениями.

Производители антивирусного ПО регулярно сообщают о появлении новых продуктов, новых способов защиты и подходов к обеспечению безопасности. Как следствие, перед организациями и пользователями встает вопрос выбора не просто антивирусного ПО, но и технологий защиты. Если 10 лет назад антивирусы обнаруживали не более 80% вирусов и совсем не защищали от новых вирусов, то сегодняшняя реальность порождает эффективные и разнообразные технологии противодействия угрозам, и все эти технологии с разным успехом присутствуют на рынке, как на международном, так и на российском.

Основным до недавнего времени считался сигнатурный метод (или принцип реактивной защиты), выработанный в самом начале «истории вирусов»: для выявления и обезвреживания конкретного вируса антивирусная программа использует так называемую сигнатуру, своего рода отпечаток его особенностей. Для разработчиков обновление сигнатурных баз стало основным механизмом внесения дополнений, связанных с выявлением новых угроз. Естественно, антивирусные компании стремились предельно сократить сроки выявления новых вирусов и формирования таких обновлений. Сегодня этот процесс хорошо отлажен, в значительной степени автоматизирован, и период выхода обновлений сократился до нескольких часов.

Но сигнатурный метод в принципе бессилен против новых вирусов — всегда остается временное окно, достаточное для нанесения серьезного ущерба. Помимо этого у сигнатурного метода есть еще один недостаток: наряду с универсальными вирусами, поражающими все машины без разбора, существуют замаскированные под вирусы вредоносные программы, написанные «под конкретную организацию». Они способны нанести предприятию очень серьезный ущерб и при этом наверняка не попадут в сигнатурные базы. Именно поэтому любая крупная антивирусная компания обязательно предлагает те или иные технологии, связанные с противодействием вредоносному ПО еще до его внесения в сигнатурные базы.

К основным способам обеспечения безопасности ПК относятся также подходы, основанные на политиках безопасности и на проактивных (эвристических) методах. Цель первого подхода — как можно быстрее, еще до того, как для нового вируса выработана сигнатура, помешать ему проникнуть ему в компьютер и распространиться, используя технологии информационной безопасности. К сожалению, такой подход даже не ставит целью выявление и обезвреживание неизвестных вирусов. По-настоящему способны защитить от неизвестных угроз только технологии проактивной защиты.

Эвристический метод анализирует код и решает, несет ли вред данное ПО. Это позволяет обнаружить новую угрозу, еще не отраженную в сигнатурной базе. Очевидно, что если угроза детектируется эвристическим методом, ее не нужно включать в сигнатурную базу. Соответственно ускоряется работа антивируса, снижаются его требования к ресурсам.

Еще один проактивный метод — поведенческий блокиратор. Суть этой технологии в том, чтобы анализировать поведение программ во время исполнения и блокировать опасные действия. Но сразу возникает вопрос: «Какие действия следует считать вредоносными?» Разработчики первых блокираторов поступили очень просто: если программа пытается сделать что-то подозрительное, следует запросить совета у пользователя; таким образом, ответственность за принимаемые решения несет уже не программа-блокиратор. В результате, если в системе поведенческих блокираторов нет интеллектуальных подходов, пользователю иной раз приходится постоянно выбирать, разрешать ли какие-то действия программ на своем ПК или нет. Со времени появления первых поведенческих анализаторов ситуация не сильно изменилась, и метод так и остался весьма ограниченно применимым на практике, так как большинство действий, характерных для вирусов, могут выполнять и обычные приложения. По большому счету поведенческий блокиратор также можно отнести к методам, основанным на политиках безопасности.

В настоящее время оптимальным средством защиты можно считать сочетание мощного проактивного и стандартного реактивного механизмов. К примеру, в продукте NOD32 компании ESET (http://www.eset.com), где проактивные методы служат для выявления большинства вирусов, одновременно используются эмуляция, алгоритмический анализ, пассивные эвристики и сигнатурные методы.

Объективно и количественно оценить эффективность проактивной защиты до некоторой степени позволяет ретроспективное тестирование. При этом тестировании оценивается доля текущей коллекции вирусов, которую обнаруживает версия антивирусного ПО и сигнатурных баз, взятая на момент, когда включенные в коллекцию вирусы заведомо не были известны. Такая методика ставит в относительно невыгодное положение именно антивирусную программу, устаревшим версиям которой противостоят новые (хотя и не последние) достижения «вирусостроения». Проведенные тесты показывают, что сегодня различные продукты способны проактивно выявить от 15 до 90% неизвестных вирусов, причем для антивируса NOD32 этот показатель доходит до 90%.

Отметим, что такими результатами продукт NOD32 во многом обязан специальной технологии ThreatSense. Она представляет собой эвристический механизм, который расшифровывает и анализирует выполняемый код. ThreatSense идентифицирует все более усложняющееся и эволюционирующее поведение вредоносных программ и таким образом позволяет проактивно бороться с возникающими угрозами еще до появления вирусных сигнатур.

Вам также могут понравиться