Технология Symantec Quorum в продуктах Norton 2010
Корпорация Symantec объявила о внедрении в продукты семейства Norton 2010 – Norton Internet Security 2010 и Norton AntiVirus 2010 — технологии Quorum, обеспечивающей защиту данных на основе оценки репутации. Эффективность этой технологии, способной автоматически распознавать абсолютно новые вредоносные программы, вирусы и сетевые черви, достигается благодаря работе с огромным сообществом пользователей продуктов Symantec.
Существенные изменения в принципах и структуре угроз за последние несколько лет полностью преобразили и типичные стратегии распространения новых вредоносных программ. Сегодня вместо одного штамма вирусов (или другого вредоносного ПО), заражающего миллионы компьютеров, чаще можно видеть миллионы штаммов, каждый из которых старается поразить небольшое число машин. В 2008 г. компания Symantec обнаружила более 120 млн различных вариаций программ, угрожающих безопасности компьютерных систем. В такой ситуации необходимо выйти за рамки привычных подходов к решению проблем безопасности.
В основе традиционных антивирусных программ лежат сигнатуры вирусов и практика внесения в «черный список» тех элементов вредоносного ПО, которые должны быть заблокированы на компьютере пользователя. Десять лет назад компания Symantec ежедневно публиковала около пяти новых сигнатур. Сегодня же поставщики средств обеспечения безопасности публикуют тысячи новых сигнатур в день, и это при том, что выявление одной сигнатуры позволяет определить множество различных штаммов.
Новый подход, реализованный в технологии Quorum, дополняет традиционные методы защиты от вредоносного ПО. При классификации файлов как «опасные» или «безопасные» он обращается к опыту многочисленных пользователей. Около трех лет назад исследовательская лаборатория Symantec Research Labs, приступая к созданию этой технологии, внимательно изучила, как небольшие (с точки зрения частоты применения файлов в системе пользователя) объемы данных, полученные от очень крупного, рассредоточенного по всему миру сообщества, могут помочь определить вероятность вредоносности того или иного файла. После успешного тестирования прототипа проект был передан в подразделение технологий безопасности и защиты (Security Technology and Response — STAR) для разработки полной коммерческой версии и вывода новой технологии на рынок.
В модуле Quorum, обеспечивающем безопасность на основе репутации, используются данные из множества различных источников, включая анонимную информацию, предоставленную десятками миллионов членов сообщества Norton Community Watch, данные издателей ПО, анонимные данные от клиентов крупных предприятий, поступающие с помощью специальной программы сбора данных. Информация постоянно импортируется и передается в специальный модуль, определяющий репутационный рейтинг каждого файла, причем сам файл при этом никогда не сканируется. Для точной оценки репутации файла Quorum использует такие сведения о нем, как распространенность, время существования и другие атрибуты. Затем эти рейтинги с помощью масштабной «облачной» инфраструктуры серверов Symantec предоставляются всем пользователям продуктов компании.
Преимущества технологии Quorum таковы.
Предоставление данных обо всех исполняемых файлах. Quorum хранит репутационные рейтинги для каждого исполняемого файла, который когда-либо встречали пользователи продуктов Symantec в любой точке мира.
Интеграция с модулем Download Insight. При работе в Norton Internet Security 2010 и Norton AntiVirus 2010 модуль Download Insight, определяя безопасность любого скачиваемого файла, опирается на информацию о его репутации, которую предоставляет система Quorum. Таким образом, пользователя уведомляют о рейтинге этого файла, а файлы, имеющие плохую репутацию, автоматически блокируются. Кроме того, пользователь может щелкнуть правой кнопкой мыши на любой исполняемый файл, чтобы узнать, откуда он появился, сколько других пользователей продуктов Symantec с ним работают, когда компания Symantec впервые обнаружила его и каков его репутационный рейтинг.
Снижение уровня зависимости от традиционных сигнатур. Технология Quorum лишает хакеров возможности видоизменять вредоносное ПО таким образом, чтобы обычные средства сканирования на основе сигнатур не могли его обнаружить. Более того, чем интенсивнее нарушитель защиты модифицирует вредоносный файл, тем более очевидной становится его небезопасность.
Повышение эффективности существующих технологий защиты от вредоносного ПО. Помимо создания дополнительного уровня защиты, Quorum позволяет более агрессивно применять другие технологии обеспечения безопасности Symantec, включая эвристику и сканирование поведения приложений. Это повышает общую защищенность пользователей.