Появление все более изощренных методов проникновения в информационную систему и сложных стратегий размножения и распространения вирусных инфекций существенно повысило требования к программным средствам защиты и потребовало пересмотра подходов к концепции информационной безопасности предприятий. Ни сетевые экраны, ни традиционные антивирусные решения, построенные по принципу сравнения вредоносного кода, не способны в одиночку противостоять разнообразию существующих угроз. Система обнаружения, основанная на опыте предыдущих атак, становится и вовсе бесполезной при столкновении с неизвестным вирусом или шпионской программой, оснащенной нетривиальным инструментарием для обхода политики безопасности на хост-компьютере.
Сегодня наибольшую актуальность приобретают защитные средства, функционирующие на уровне ядра системы, так как применяемые механизмы шифрования информации делают ее недоступной для анализа на предмет потенциальной угрозы межсетевым экранам и другим системам периметрического контроля. Подобные программы классифицируются как системы предотвращения проникновения (Intrusion prevention systems).
В декабре прошлого года компания StarForce (http://www.star-force.ru) представила свою новую разработку для защиты ПК от неизвестных вирусов, хакерских атак и комбинированных вредоносных приложений — поведенческий анализатор Safe’n’Sec. Программа не просто констатирует факт атаки или уведомляет пользователя об изменениях в системе (уже после того, как они произошли), а предотвращает несанкционированное проникновение в реальном времени, блокируя подозрительную деятельность прежде, чем она успеет нанести какой-либо вред.
По сути Safe’n’Sec — это превентивная система защиты, способная успешно действовать за рамками последнего обновления базы сигнатур. Основу продукта составляет модуль Intelligent activity control, который обнаруживает комбинированные атаки, предотвращает попытки внести изменения в системный реестр и состояние сервисов ОС или открыть доступ к регистрационным данным пользователя. Интеллектуальный механизм принятия решения Safe’n’Sec действует на основе правил, учитывающих все возможные последовательности действий, классифицируемых как вредоносные.
При разработке Safe’n’Sec применялась прогрессивная технология минимизации количественного уровня ложных срабатываний iTrust. Анализаторы предыдущего поколения оставляли без внимания сложные и неизвестные им атаки, допуская большое количество ложных срабатываний (подавая сигналы тревоги тогда, когда хост ведет себя правильно). Эти ложные срабатывания загружали консоли администратора, понижали эффективность работы и продукта, и обслуживающего его персонала, принуждая реагировать на сигналы, достоверность которых не была гарантирована. Благодаря технологии iTrust удается однозначно идентифицировать приложения по уникальным признакам и, следовательно, отличать «полезные» приложения (Microsoft Office, ICQ, Microsoft updater и т. д.) от потенциально опасного контента. Ординарные приложения пользователя будут распознаваться даже после выхода следующей версии или их обновления.
В Safe’n’Sec реализован гибкий подход к регулированию применения правил — с помощью политик контроля активности. Программа запускается при запуске операционной системы, поскольку многие вредоносные приложения внедряются в сервисы автозагрузки. При этом разработчикам Safe’n’Sec удалось существенно снизить нагрузку на процессор и уменьшить используемый объем оперативной памяти. Поведенческий анализатор Safe’n’Sec работает в среде ОС Microsoft Windows 2000/XP.
На сегодняшний день StarForce представила два решения из собственной линейки превентивных средств защиты — Safe’n’Sec ver. 1.0 и Safe’n’Sec ver. 1.0 + antivirus (продукт оснащен антивирусными базами для удаления известных вирусов). Сейчас готовится к коммерческому релизу корпоративная версия продукта, в которой будет предусмотрена возможность настройки существующих политик и создания новых, приводимых в соответствие как с уникальными приложениями, так и с уникальными реализациями. Дополнительный модуль будет поддерживать автоматизированное создание политик, что значительно снизит издержки на администрирование, поскольку не придется создавать политики вручную. Вся статистика о событиях, генерируемых в хостах, будет поступать в централизованное хранилище данных, где будет формироваться отчетность об активности в локальной сети. Система оповещения о деятельности вредоносного приложения будет поддерживать стандартные интерфейсы передачи сигналов тревоги, равно как и допускать настраиваемые интерфейсы для удобства интеграции в существующие корпоративные системы.
Safe’n’Sec для корпоративных пользователей будет оснащен механизмом аудита системы на предмет наличия уязвимостей и ликвидации последствий деятельности вредоносных приложений. Планируется разработать систему создания особых защищенных зон для каждого хоста, в которых будет храниться конфиденциальная информация наивысшего уровня.
В корпоративной версии Safe’n’Sec предусматривается возможность централизованного создания и автоматического распространения политики по агентам через конфигурируемые интервалы времени. Возможность экспорта политик сделает доступным их распространение и архивирование. Для удобства управления операционной средой внутри компании разработчики Safe’n’Sec планируют реализовать в корпоративной версии продукта функцию удаленной инсталляции и сетевого управления с любого хоста стандартными средствами Microsoft Management Console. В настоящее время группа разработчиков отлаживает механизм создания профилей пользователя и политики безопасности для пользователя/групп пользователей/группы компьютеров.
Система гибкой превентивной защиты Safe’n’Sec не требует больших затрат при развертывании, а внедрение ее в общую систему информационной безопасности предприятия обеспечит дополнительный барьер, в несколько раз снижающий вероятность успешного завершения атаки любого типа.