Блокирование поведения защищает от вредоносного кода
Технология блокирования опасных действий помогает администраторам бороться с новыми вирусами.
Aнтивирусные программы на базе сигнатур отстают в борьбе за выживание. Создатели компьютерных вирусов постоянно опережают попытки их идентификации и предотвращения все новых угроз. Причина не в недостатке усилий: поставщики сократили время реагирования с суток до часов. Это достойно восхищения, учитывая, что обновление должно гарантированно обнаруживать и лечить вирус, не нарушая при этом работу мириадов клиентских компьютеров.
Проблема в гандикапе. Создатели вредоносного кода всегда имеют фору — они атакуют цели прежде, чем специалисты по защите от вирусов успевают проанализировать и нейтрализовать код. Даже если поставщики традиционного антивирусного ПО смогут выпускать обновления настолько быстро, что обеспечат защиту хотя бы девяти десятых своих клиентов, все равно одна десятая будет страдать от атак. А какой сетевой администратор захочет стать жертвенным агнцем, отданным на съедение стае волков, чтобы спасти остальное стадо?
Между тем проблема становится все серьезней. По данным исследований ICSA Labs 2001 г., вероятность какой-либо компании «подхватить» вирус увеличилась на 15%. Средний простой сервера, ставшего жертвой атаки, составил 14 ч. Типичное время восстановления после поражения вирусом равно четырем человекодням (при одновременном заражении 25 и более компьютеров или серверов).
Очевидно, что традиционные антивирусные средства не могут угнаться за новыми угрозами. Многие организации ищут другие возможности для ликвидации разрыва по времени между вирусной атакой и обновлением подписей. Одна из них — технология блокирования поведения. Она существует уже несколько лет, но лишь сейчас приобрела известность, предлагая то, что не под силу антивирусным решениям на базе сигнатур: защиту от неизвестного вредоносного кода в режиме реального времени.
Блокираторы поведения следят за компонентами ActiveX, апплетами Java, различными языками сценариев и мобильным кодом, поступающим на узел с почтой, из Internet или других сетей. Некоторые из них изолируют такой код в «песочнице», ограничивая его доступ к различным ресурсам ОС и приложениям. Другие внедряются в ядро операционной системы для перехвата системных запросов.
В любом случае блокираторы поведения контролируют выполнение кода в режиме реального времени, и при попытке последнего совершить действие, выходящее за рамки предопределенной политики, он блокируется. Блокиратор можно также запрограммировать на изоляцию или удаление такого кода и рассылку различных предупреждений. Таким образом предотвратить атаки новых типов удается за счет сравнения поведения в реальном времени с предопределенным набором правил....
Aladdin. Решение eSafe Gateway компании Aladdin — это программный продукт для сканирования трафика HTTP, ftp и SMTP с целью выявления исполняемого кода, включая Java, ActiveX и сценарии, написанные на VBScript и JavaScript. При прохождении трафика через eSafe Gateway он отсылается как получателю, так и подсистеме проверки.
Однако последний передаваемый пакет будет задержан на шлюзе до тех пор, пока подсистема не проверит исполняемый код. Если он окажется чист, передача данных конечному пользователю завершится. В противном случае администратору посылается предупреждение. О блокировании передачи сообщается и конечному пользователю.
Решение eSafe Gateway поддерживает протокол векторизации контента (Content Vectoring Protocol, CVP), благодаря ему шлюз способен взаимодействовать с любым OPSEC-совместимым брандмауэром, а точность проверки повышается. Иными словами, брандмауэр станет передавать шлюзу на проверку только потенциально зараженные файлы. Чистые же объекты, например простой текст или изображения, будут сразу доставляться к получателю. Шлюз может взаимодействовать также с OPSEC-совместимыми брандмауэрами на предмет получения изменений в правилах: например, разрешения получать исполняемый код из проверенных источников.
Кроме того, шлюз включает в себя антивирусную подсистему на базе сигнатур для блокирования известных вирусов. eSafe Gateway работает под управлением серверов Windows NT/2000. Специализированная версия может интегрироваться с сервером Microsoft Internet Security and Acceleration (ISA). Кроме того, продукт доступен в виде приложений Linux для небольших и средних организаций.
Решение eSafe Enterprise устанавливается на отдельные компьютеры и для борьбы с вредоносным кодом использует «песочницу» и персональный брандмауэр. Клиентская часть следит за каждым активным процессом и приложениями на рабочем столе через системный драйвер. «Песочница» сравнивает поведение исполняемого кода с определенной администратором политикой и препятствует любым нарушающим ее действиям.
Клиентская часть работает и в качестве персонального брандмауэра. Администраторы могут выборочно блокировать порты IP, предотвращая их открытие на компьютере. Клиент также не даст непреднамеренно установленным «троянским коням» открыть порты для связи с пославшим их злоумышленником.
Клиент eSafe предоставляет администратору достаточно полный контроль над компьютером пользователя. Он может запретить доступ к конкретным сайтам Web (или ограничить их число списком проверенных), блокировать использование определенных слов в электронной почте, чатах и системах немедленного обмена сообщениями, а также запретить пользователю перенастраивать компьютер или устанавливать ПО. Клиентская часть содержит, кроме того, антивирусную подсистему на базе сигнатур для лечения известных вирусов, попадающих на компьютер.
Контроль осуществляется с помощью консоли eConsole, позволяющей настраивать, развертывать и управлять клиентскими агентами. Администраторы могут следить за событиями безопасности, изменять настройки, распространять сетевые, групповые или пользовательские правила.
eSafe Enterprise работает под управлением ОС Windows. Консоль запускается под Windows NT/2000 или Novell NetWare. ...
Тони Нельсон работает директором по ИТ в компании StarPoint Solutions, разрабатывающей деловые приложения. Защиту четырех шлюзов Internet и примерно 400 ПК он обеспечивает с помощью Aladdin eSafe Enterprise и eSafe Gateway.
Воспользоваться решениями упреждающей защиты его заставила атака вируса Melissa, из-за которого нью-йоркский офис выбыл из рабочего процесса на целый день. И хотя в системе было установлено антивирусное ПО, не все пользователи имели последние обновления.
У Нельсона положительные впечатления от работы eSafe. «Шлюз перехватывает 99% поступающих вирусов, — говорит он. — Они могут оказаться на компьютере, только если кто-то подключает к сети ноутбук с непроверенным ПО». Он доволен, что пользователи не могут отключить клиент eSafe или изменить его настройки. Но, несмотря на отличную работу данного продукта, расставаться с антивирусным ПО на базе сигнатур Нельсон не собирается. «Меня устраивает наличие двух разных решений. В наши дни перестраховка не помешает», — утверждает он.(...)