Термин «проактивность» ворвался в лексикон антивирусных компаний как ураган. Меньше чем за год поставщики стали «проактивными», а продаваемые ими продукты неожиданно научились «защищать от еще не существующих угроз». Между тем практика показывает, что каждый разработчик вкладывает свой собственный смысл в понятие «проактивность», а декларируемые возможности проактивных продуктов несколько ниже, чем может показаться на первый взгляд.

Уже более 20 лет основной технологией борьбы с вредоносными кодами является сигнатурное сканирование. Его суть проста — вирусописатель выпускает свое очередное творение, антивирусная лаборатория ловит и анализирует вредителя, а потом создает вакцину и рассылает ее на компьютеры пользователей. Эта вакцина и есть та искомая сигнатура, которая позволяет антивирусному сканеру точно идентифицировать вирус в океане программ. Легко заметить главную слабость только что описанного метода: белыми в этой партии играет злоумышленник, в то время как экспертам и домашним пользователям остается лишь защищаться. С научной точки зрения, такой подход можно назвать реактивным, так как действия антивирусного сообщества лишь реакция на активность противника.

Введя новый термин (проактивные технологии), разработчики хотели подчеркнуть, что теперь ситуация изменилась и право первого хода перешло к антивирусным экспертам. Другими словами, проактивный подход противопоставляется классическому сигнатурному сканированию. При этом каждый поставщик имеет собственное понятие о проактивности и зачастую вкладывает в него совершенно оригинальный смысл. Рассмотрим подробнее антивирусные технологии, которые сегодня позиционируются как проактивные.

На самом деле сигнатурному подходу никогда не принадлежала монополия на борьбу с вирусами. Наиболее достойным конкурентом этой технологии традиционно считался эвристик.

Эвристический анализатор (эвристик) — это антивирусный модуль, который анализирует код исполняемого файла и определяет, инфицирован ли проверяемый объект. Во время эвристического анализа не используются стандартные сигнатуры. Напротив, эвристик принимает решение на основе заранее в него заложенных, иногда не совсем четких правил.

Для большей наглядности такой подход можно сравнить с искусственным интеллектом, самостоятельно проводящим анализ и принимающим решения. Тем не менее такая аналогия отражает суть лишь отчасти, поскольку эвристик не умеет учиться и, к сожалению, обладает низкой эффективностью. По оценкам антивирусных экспертов, даже самые современные анализаторы не способны остановить более 30% вредоносных кодов. Еще одна проблема — ложные срабатывания, когда легитимная программа определяется как инфицированная.

Однако, несмотря на все недостатки, эвристические методы по-прежнему используются в антивирусных продуктах. Дело в том, что комбинация различных подходов позволяет повысить итоговую эффективность сканера. Сегодня эвристиками снабжены продукты всех основных игроков на рынке: Symantec, «Лаборатории Касперского», Panda, Trend Micro и McAfee.

Заметим, эвристические анализаторы, безусловно, являются проактивной технологией. Правда, они известны продолжительное время, а упор на проактивность разработчики стали делать совсем недавно.

Очевидно, построение эффективной системы защиты подразумевает создание политики IT-безопасности. Этот документ определяет четкие рамки: кому и что запрещено делать, а также кому и что следует делать. Чаще всего в политику попадают административные ограничения, например на использование мобильных устройств и внешних накопителей в корпоративной сети.

Некоторые антивирусные разработчики отошли от классического понимания «политики» и предлагают своим клиентам «безопасность на основе политик» (policy-based security). Так, компания Trend Micro продвигает Outbreak Prevention Services. В рамках этого подхода пользователь получает набор политик (ограничений), которые позволяют защититься от нового вируса до появления обновлений к антивирусной базе или заплатки для открытой уязвимости. Таким путем разработчик пытается сократить отрезок времени, в течение которого клиенты являются полностью беззащитными перед новой угрозой. Стоит также отметить, что политика (в данном контексте) — это лишь временная защита, призванная сдержать эпидемию до подхода «тяжелой артиллерии».

Однако подход, предложенный Trend Micro, вряд ли можно назвать эффективным. Во-первых, далеко не факт, что для создания политики экспертам требуется намного меньше времени, чем для создания вакцины (сигнатурного обновления антивирусных баз). Ведь чтобы понять, какие бреши в операционной системе или способы заражения использует вирус, все равно необходимо анализировать его код. Во-вторых, в некоторых случаях может возникнуть проблема смены политик. Особенно когда новые политики поступают слишком часто. Пользователи начинают путаться в том, что можно делать, а что — нет.

Таким образом, подход на основе политик призван компенсировать относительно низкую скорость реакции антивирусной лаборатории TrendLab на появление новых угроз. Кроме того, данная технология не является проактивной, так как все равно существует промежуток времени, в течение которого пользователь остается без защиты, да и для создания самой политики точно так же, как и для выпуска сигнатуры, требуется проводить анализ вредоносного кода.

Еще один интересный метод защиты предлагают компании Cisco и Microsoft. Речь идет о карантинной зоне, в которую попадают компьютеры, не удовлетворяющие требованиям политики IT-безопасности, но все равно пытающиеся подключиться к корпоративной сети. Например, если удаленный пользователь стремится войти в сеть своего работодателя, то его компьютер проходит сканирование на предмет наличия актуальной базы антивирусных сигнатур, обновлений операционной системы и т. д. По результатам проверки служащему может быть предоставлен доступ только к карантинной зоне — серверу, с которого можно скачать необходимые обновления. После этого можно снова попытаться подключиться к корпоративной сети. Такой подход тоже не является проактивным, поскольку сводится к антивирусной проверке с использованием обновленной базы сигнатур. Тем не менее идея, лежащая в основе карантинной зоны, подкупает своей очевидностью и эффективностью: если в операционной системе есть незакрытые бреши или антивирус уже устарел, то о какой безопасности может идти речь?

Аббревиатура IPS (Intrusion Prevention System — система предотвращения вторжений) традиционно используется в контексте защиты сетевого периметра от внешних злоумышленников (хакеров). Однако благодаря усилиям антивирусных компаний сегодня можно говорить и о предотвращении вторжений вредоносных программ.

Технология IPS действительно является «более или менее» проактивной — ведь она позволяет предотвратить попадание на компьютер вирусов и червей, а также защититься от хакерских атак. Достигается это посредством своевременной блокировки отдельных портов (например, тех, через которые на компьютер попадает опасный на данный момент червь), запрета доступа к определенным файлам и папкам и т. д. В определенном смысле такие административные ограничения напоминают «безопасность на основе политик», рассмотренную выше, хотя антивирусные поставщики, использующие IPS, позиционируют себя отдельно. Следует отметить, что технология IPS бессильна сделать что-либо против почтовых червей, файловых вирусов и вирусов-троянцев. Однако эту технологию активно используют «Лаборатория Касперского», Symantec, Panda и Trend Micro.

Суть технологии в том, чтобы не допустить переполнения буфера в наиболее популярных сервисах и программах, например системных службах Windows, приложениях Microsoft Office, браузере Internet Explorer и СУБД SQL Server. В результате вредоносный код при всем желании не сможет воспользоваться уязвимостью определенного программного обеспечения (то есть будет не в состоянии вызывать переполнение буфера). Таким образом, данную технологию можно с полным правом назвать проактивной, а с учетом того, что переполнение буфера является популярным среди вирусописателей приемом, этот метод защиты еще и эффективен. Сегодня своим клиентам данную технологию предлагает только McAfee. Еще один проактивный подход, известный так же, как и эвристические анализаторы, это поведенческие блокираторы. Суть технологии в том, чтобы анализировать поведения программы во время исполнения и блокировать те действия, которые являются опасными. Тут же возникает вопрос: «Какие действия следует считать вредоносными?» Разработчики первых блокираторов поступили очень просто: если программа пытается сделать что-то подозрительное, надо обратиться за советом к пользователю. В результате львиная доля ответственности за принимаемые решения перекладывалась на человека, которому действительно приходилось изучать информационные окошки антивируса и выбирать между кнопками: «разрешить» или «запретить». Естественно, огромное количество ложных (или спорных) срабатываний привело к тому, что данная технология была просто отодвинута на задний план «до лучших времен».

Но в истории антивирусной индустрии есть, по крайней мере, один пример эффективного поведенческого блокиратора. Речь идет о Kaspersky Office Guard. Обойтись без участия пользователей разработчикам удалось только потому, что они сузили область проверяемых объектов — блокиратор защищал только от макровирусов, «живущих» в офисных документах. Более того, «Лаборатория Касперского» довела эффективность анализа VBA-программ (кода, работающего в среде Microsoft Office) до такой степени, что гарантировала практически 100%-ную защиту от макровирусов. Сомневаться в этом не приходится, так как анализировать поведение макросов несравнимо легче, чем обычных EXE-программ. Однако никто из конкурентов такой подход не реализовал. Конечно, эпоха макровирусов уже прошла, ее пик пришелся на вторую половину 1990-х, и сегодня макровредитель является большой редкостью, к тому же детектируется обычным сигнатурным сканером.

Некоторое время назад антивирусная индустрия снова вернулась к технологии анализа поведения программ. Немного повысить качество результатов удалось за счет проверки на допустимость не каждой операции в отдельности, а последовательности действий программы. При этом эксперты избавили пользователя от участия в самом процессе и смирились с невысокой в целом эффективностью поведенческих блокираторов. Точно так же, как и эвристический анализ, данный подход способен дать более-менее приемлемый результат только в комбинации с другими технологиями.

Отметим, что поведенческие блокираторы являются в полной мере проактивными, так как позволяют бороться с неизвестными вредителями, сигнатуры которых не внесены в антивирусную базу. Сегодня этот подход нашел свое место в продуктах «Лаборатории Касперского», Panda и Cisco.

Одной из первых компаний, создавших действительно проактивную систему защиты на основе поведенческого блокиратора, была Okena. В 2003 году ее поглотила корпорация Cisco, в результате чего продукт Okena StormFont превратился в Cisco Security Agent. По мнению антивирусных экспертов, это классический поведенческий блокиратор для использования в корпоративной среде. В отличие от многих других продуктов, он требует предварительной настройки квалифицированным администратором.

Еще одним проактивным поставщиком сегодня является компания McAfee. Семейство продуктов McAfee Entercept включает в себя систему предотвращения вторжений (IPS) и защиту от переполнения буфера. Компания также предлагает своим клиентам эвристическую, а значит проактивную, технологию WormStopper. С ее помощью можно выявлять некоторые новые почтовые черви, а также блокировать подозрительную активность (например, массовую и неавторизованную рассылку писем по контактным данным из адресной книги).

Продукты компании Panda тоже имеют проактивные модули. К примеру, Panda TruPrevent состоит из эвристического анализатора, поведенческого блокиратора и системы обнаружения вторжений (IDS). Эвристик служит для выявления новых вредителей, блокиратор — для анализа запущенных процессов, а IDS — для борьбы с червями. Продукт не требует сложной настройки и подходит для домашних пользователей.

Гигант антивирусной индустрии, компания Symantec, предлагает своим клиентам эвристический анализатор, систему предотвращения вторжений (IPS) и услугу оповещения о новых угрозах. Первые два вида технологий рассмотрены выше, поэтому упомянем лишь программу Outbreak Alert, входящую в состав Norton Internet Security 2005 и сообщающую пользователю о новых угрозах. Кроме того, компания предлагает услугу Early Warning Services (EWS), которая позволяет получать ранние оповещения об обнаруженных уязвимостях.

Компания Trend Micro тоже включила проактивные модули в состав PC-cillin Internet Security 2005. Это эвристический анализатор и Outbreak Alert System (оповещение о новых угрозах). Для корпоративных клиентов есть еще и «безопасность на основе политик». Так, пользователи OfficeScan Corporate Edition 6.5 получают доступ к услуге Outbreak Prevention Service, в рамках которой разработчик поставляет ограничивающие политики.

Российская компания «Лаборатория Касперского» также является проактивной. Антивирус Касперского вооружен эвристическим анализатором, системой обнаружения и предотвращения вторжений (IPS/IDS), средством оповещения о новых угрозах и поведенческим блокиратором. Система IPS/ IDS позволяет защититься от хакерских атак и бестелесных вредителей, а поведенческий блокиратор второго поколения обладает такой возможностью, как откат действий, совершенных вредоносным кодом.

Итоги

Таким образом, проактивными технологиями сегодня являются эвристические анализаторы, поведенческие блокираторы, системы предотвращения вторжений и средства защиты буфера от переполнения. Все они в той или иной степени позволяют защититься от новых, еще незанесенных в сигнатурную базу вредителей. Отметим, что безопасность на основе политик и программы новостного оповещения, хотя и позволяют несколько снизить риски успешной реализации угроз, все же не являются проактивными в полной мере.

В заключение напомним, что заказчикам не следует поддаваться ажиотажу, царящему вокруг проактивных технологий. Безусловно, все эти подходы повышают общую степень защиты, но в одиночку, без использования классического сигнатурного сканирования, они не способны обеспечить даже минимально необходимого уровня безопасности.