Технология

  • Информационная среда

    Конечно, все вредоносное ПО должно вноситься в черные списки (Blacklist). Но с каждым днем оно становится все более сложным, его количество растет так быстро, что технологии черных списков (Blacklisting) становятся все менее эффективными.

    Одно из самых важных изменений, отличающих сегодняшний день от вчерашнего – рождение цифровой реальности. Все, что мы видим вокруг себя, теперь имеет электронный эквивалент. Если в 2009 году общий объем цифровой информации в мире по данным IDС составлял 0,8 ЗБ (1 ЗБ, зеттабайт = 1 трлн ГБ), а в 2010 – уже 1,2 ЗБ, то к 2020 году он увеличится до 35 ЗБ.

    Большая часть этих данных будет доступна практически из любой точки земли и с любого мобильного или стационарного устройства. Достаточно большую их часть составляет программное обеспечение, которое можно разделить на известное чистое (легитимное), известное вредоносное (вирусы, троянские программы и др.) и неизвестное («серое») ПО. Конечно, все вредоносное ПО должно вноситься в черные списки (Blacklist). Но с каждым днем оно становится все более сложным, его количество растет так быстро, что технологии черных списков (Blacklisting) становятся все менее эффективными.

    График 1
    Неизвестные угрозы и Blacklist

    График 2
    Рост количества вредоносных файлов

    В то же время наибольшую опасность представляет огромная «серая» масса неизвестного ПО, ведь именно она является источником новых угроз, защиты против которых на момент их появления может не существовать.

  • Подход к защите на основе Whitelist

    В то же время наибольшую опасность представляет огромная «серая» масса неизвестного ПО, ведь именно она является источником новых угроз, защиты против которых на момент их появления может не существовать.

    Именно за счет сочетания Blacklist, Whitelist и других технологий реализуется многоуровневая защита, где каждый уровень дополняет и поддерживает другой, обеспечивая максимальную безопасность пользователя.

    Модель, разработанная «Лабораторией Касперского», называется Whitelist Security Approach и основана на систематизации знаний о чистом ПО. Вот как это работает: защита компьютера традиционными сигнатурными методами позволяет запретить выполнение зловредного кода, а технология белых списков (Whitelist) разрешает выполнение чистого ПО. Откуда известно, какое именно ПО является чистым? В рамках Whitelist Security Approach предусмотрено создание специальной базы чистого ПО, куда заносятся заранее проверенные легитимные программы.

    Именно за счет сочетания Blacklist, Whitelist и других технологий реализуется многоуровневая защита, где каждый уровень дополняет и поддерживает другой, обеспечивая максимальную безопасность пользователя. Комбинация этих технологий делает практически невозможным выполнение неизвестных и потенциально опасных программ.

    В продуктах «Лаборатории Касперского» для корпоративных пользователей новый подход реализован в рамках модуля Контроль программ (Application Control), использующего в своей работе как локальную базу белых списков, так и базу Whitelist, размещенную в «облаке».

    График 3
    Подход к защите на основе Whitelist

    Whitelist доступен как для домашних пользователей «Лаборатории Касперского» (в продуктах Антивирус Касперского/Kaspersky Internet Security/Kaspersky CRYSTAL), так и для корпоративных клиентов (в рамках Kaspersky Endpoint Security 8). Ниже перечислены ключевые функции модуля Application Control, реализующие Whitelist Security Approach в рамках корпоративных продуктов «Лаборатории Касперского»:

    График 4
    Категоризация ПО, установленного в корпоративной сети

    • Инвентаризация: позволяет произвести учет ПО, установленного в корпоративной сети, и представить результаты в удобной для анализа форме;

    • Категоризация: позволяет разбить все установленное ПО на функциональные категории (OС, браузеры, мультимедиа, игры и т.д.). Используя эти категории, уже не составляет труда выявить приложения, связанные/не связанные с выполнением производственных задач. Далее администратор может ограничить или заблокировать запуск не связанных с работой программ;

    • Trusted Updaters: эта функция обеспечивает регулярное обновление легитимного ПО с целью закрытия обнаруженных в нем уязвимостей;

    • Внедрение функции Гибкие правила позволяет администратору выбирать из множества правил, предлагаемых «Лабораторией Касперского», или создавать собственные. Основаниями для создания правил могут служить имя файла, MD5, вендор, источник и другие параметры.

    • Глобальная база данных Whitelist «Лаборатории Касперского» всегда доступна в облачной сети. Помимо этого, администратор может создать собственную базу данных, доступную только внутри корпоративной сети.

    • Категория Golden Image, содержащая файлы, входящие в дистрибутив ОС, может быть использована при выполнении сценария «Отказ по умолчанию» (Default Deny), который позволяет запретить запуск на узлах корпоративной сети любого ПО, не содержащегося в белых списках.

    Учитывая большое количество и разнообразие ПО в корпоративной сети, зачастую бывает проще отобрать только полезные и необходимые для работы программы, чем непрерывно бороться с новыми угрозами.

  • Мнения аналитических агентств

    Аналитические прогнозы

    Прогнозируя развитие технологий в сфере защиты корпоративных пользователей от информационных угроз, крупные аналитические агентства уделяют большое внимание концепции Endpoint Protection Platforms (EPP), а также технологиям белых списков (Whitelist) и контроля программ (Application Control). Вот что, к примеру, утверждает Gartner*:

    При широком распространении репутационных баз, пополняемых данными с пользовательских устройств, стоимость защиты может быть существенно снижена.
    • На смену традиционным точечным решениям по защите отдельных узлов сети, таким как антивирусная защита, шифрование, контроль устройств и контроль доступа к корпоративной сети, приходят интегрированные платформы (Endpoint Protection Platforms, EPPs).

    • Если облачная технология репутационных баз и режим «Отказ по умолчанию» (Default Deny) оправдают возлагаемые на них надежды, они смогут положить конец нынешней рыночной тенденции, связанной с бесконечным ростом объемов баз данных, а также усложнением клиентских программ и расширением функционала комплексных защитных решений.

    • «Легкие» клиентские приложения, проверяющие программы с помощью технологии облачных репутационных баз, лучше приспособлены для использования на смартфонах и других устройствах, не защищенных централизованными системами обеспечения безопасности.

    • При широком распространении репутационных баз, пополняемых данными с пользовательских устройств, стоимость защиты может быть существенно снижена.

    • Вендоры должны сочетать в своих решениях проверенные инструменты антивирусной защиты с функциями защиты данных и новыми технологиями, такими как проверка по репутационным базам и белым спискам в режиме реального времени для обеспечения эффективной и легко управляемой защиты узлов сети, работающих на базе различных платформ — как традиционных, так и новых.

    • Системы, основанные на технологиях контроля программ с режимом «Отказ по умолчанию» и белых списках, имеют неоспоримые преимущества по сравнению с системами, использующими только черные списки. Решения, использующие режим «Отказ по умолчанию» в сочетании с белыми списками, обеспечивают более эффективную защиту, предотвращая установку и запуск любых программ, не разрешенных политикой безопасности.

    • Gartner считает прекрасной защитной стратегией переход к использованию стандартного рабочего места пользователя и развертывание системы контроля программ на базе политики «Отказ по умолчанию» и белых списков.

    Системы, основанные на технологиях контроля программ с режимом «Отказ по умолчанию» и белых списках, имеют неоспоримые преимущества по сравнению с системами, использующими только черные списки.

    *Источник: Gartner, [Endpoint Protection Platforms Blending Security, System Management, and Data Protection], [Application Control and Whitelisting for Endpoints], [10 марта 2011].

  • Динамический Whitelisting

    Динамическая база Whitelist

    Несмотря на кажущуюся простоту концепции Whitelist Security Approach, ее реализация является непростой задачей. Мир программного обеспечения динамически развивается — ежедневно выходит огромное количество новых программ и обновлений. Кроме того, все чаще имеют место хакерские атаки и размещение вредоносного ПО на легитимных сайтах — например, на файловых порталах в интернете.

    Таким образом, перед разработчиками технологии белых списков стоят три ключевые задачи:

    • обеспечение полноты базы данных, в идеале — наличие в ней всего чистого ПО. Это означает, что количество файлов в базе должно непрерывно расти;

    • оперативное пополнение базы данных. ПО должно попадать в базу незамедлительно после его выпуска, а еще лучше до этого;

    • обеспечение высокого качества проверки приложений по белым спискам, т.е. отсутствие ошибок в идентификации ПО (ложных срабатываний).

    Все это требует больших финансовых, технологических, а также экспертных затрат со стороны компании-разработчика. «Лаборатория Касперского» решает перечисленные выше задачи посредством создания динамической базы белых списков (Dynamic Whitelist).

    Применение динамических белых списков обеспечивает мгновенную реакцию на любые обновления ПО, поддерживая актуальную, полную и точную базу данных. Это достигается следующим образом:

    График 5
    Динамические белые списки «Лаборатории Касперского»

    Инфраструктура

    В глобальной многоуровневой инфраструктуре сети информация в реальном времени собирается и отслеживается, а впоследствии становится доступна через обновления и в облачной сети.

    Для поддержания актуальности данных в базе содержимое белых списков регулярно перепроверяется.

    Региональные центры сбора данных передают информацию в процессинговые центры для дальнейшей обработки – анализа, классификации, функциональной категоризации и т.д. После тщательной проверки информация о чистом ПО заносится в базу доверенных файлов.

    При этом факт попадания файла в белые списки не означает, что он останется там навсегда, поскольку его репутация может измениться – например, в результате дискредитации сертификата. Для поддержания актуальности данных в базе содержимое белых списков регулярно перепроверяется.

    Лидирующие позиции в индустрии позволяют «Лаборатории Касперского» обеспечить высочайшее качество обработки данных.

    Экспертиза

    После обработки данных о приложениях в процессинговых центрах чистое ПО автоматически попадает в базу белых списков. Однако спорные случаи — например, подозрительные программы — требуют детального экспертного анализа, которым занимается Антивирусная лаборатория. Лидирующие позиции в индустрии позволяют «Лаборатории Касперского» обеспечить высочайшее качество обработки данных.

    Широкие возможности

    В глобальной сети информационной безопасности Kaspersky Security Network участвуют несколько десятков миллионов пользователей со всего мира. Это дает возможность в реальном времени отслеживать новое ПО, ежедневно выпускаемое в разных странах.

    ...в реальном времени отслеживать новое ПО...

    Значительная часть ПО создается и используется «за закрытыми дверями», и информация о нем отсутствует в открытом доступе. Эту проблему решает Партнерская программа Whitelist, которая позволяет получать данные о ПО от ведущих мировых производителей и дистрибуторов сразу после или даже до выпуска продукта.

    Инновации

    Контроль работы белых списков осуществляет специальное подразделение Whitelist Lab, которое также занимается обучением интеллектуальных систем, принимающих участие в сборе и обработке информации, и категоризацией ПО. Специалисты Whitelist Lab отслеживают случаи дискредитации сертификатов, публикации вредоносного контента на легитимных сайтах и прочие инциденты, требующие оперативной реакции и изменения данных в базе Whitelist.

  • Практическое применение Whitelist

    Whitelist Security Approach обеспечивает эффективную защиту различных категорий пользователей, а также позволяет решить ряд актуальных задач.

    Повышение производительности вашего антивируса и компьютера

    Приложение, находящееся в базе Whitelist (глобальном белом списке), не нуждается в регулярной проверке со стороны антивирусной программы. Это позволяет экономить ресурсы системы, увеличивая быстродействие самого приложения. При этом также минимизируется количество назойливых обращений программы безопасности с запросами к пользователю.

    База Whitelist огромна и ежедневно пополняется информацией о миллионах новых файлов. Это значит, что практически любое ПО проверяется на предмет «чистоты» содержимого. Технология Whitelist успешно применяется в продуктах «Лаборатории Касперского» для домашних пользователей – Pure, Kaspersky Internet Security, Kaspersky Internet Security — с 2008 года. Посредством Kaspersky Network Security (KSN) вся информация становится доступной ее пользователям незамедлительно после ее обработки.

    Минимизация трудозатрат на обеспечение безопасности сети

    Простая реализация, достаточное количество правил и гибкость системы позволяют администратору значительно минимизировать трудозатраты на управление сетью.

    В обязанности администратора сети на предприятиях среднего и крупного бизнеса, как правило, входит широкий спектр задач по обеспечению безопасности. Зачастую один и тот же человек обслуживает одновременно несколько филиалов компании, что не может не сказываться на качестве работы. Это, в свою очередь, приводит к снижению качества защиты сетевой инфраструктуры и подвергает серьезному риску сам бизнес.

    В такой ситуации на помощь администратору приходят комплексные системы с единой консолью управления и интегрированными средствами безопасности различного уровня. Такими как WEB Control, Device Control, Application Control.

    С их помощью администратор может самостоятельно создавать различные правила и политики своей сети, а также воспользоваться экспертными данными вендора, предоставляемыми через «облако» или прописанными локально в endpoint продукте. Простая реализация, достаточное количество правил и гибкость системы позволяют администратору значительно минимизировать трудозатраты на управление сетью.

    Повышение эффективности использования ресурсов компании

    В последнее время средние и крупные компании все чаще сталкиваются с проблемами нецелевого использования ресурсов компании ее сотрудниками, а также непреднамеренным заражением сети вирусом или троянской программой. Эти проблемы являются причиной повышения затрат на техническое обслуживание и обеспечение безопасности сети.

    Исследования, проведенные среди компаний с размером сети более 1000 компьютеров, показали, что для непроизводственных целей используется до 80% общего сетевого трафика, и до 70% рабочего времени сотрудники могут тратить на активности, не связанные с работой. Нецелевые программы запускаются на более чем 40% всех компьютеров сети.

    Помимо рабочей деятельности пользователи часто проводят время в социальных сетях и чатах, посещают Интернет-магазины, обмениваются фотографиями посредством веб-галерей, устанавливают на своих компьютерах приложения, не связанные с работой. Таким образом, в среднем каждые сутки в сети компании появляется 3 новых приложения, в том числе запрещенных корпоративными политиками безопасности.

    ...простое и гибкое управление всеми приложениями, установленными на компьютерах сети...

    Для решения таких проблем необходимо новое средство, способное совместить в себе преимущества традиционного антивируса и новых технологий, которое обеспечивало бы простое и гибкое управление всеми приложениями, установленными на компьютерах сети. Именно это позволяют сделать продукты на базе технологий контроля программ Application Control & Whitelist.

    Как это работает

    При попытке запуска файл прежде всего проходит проверку в локальной Whitelist базе, созданной администратором компании. Такая база крайне необходима, поскольку в корпоративных сетях зачастую установлено много специализированного ПО.

    Если запускаемый файл не найден, данные о нем уходят на проверку в «облако», где находится глобальная база Whitelist. Важно отметить, что в облако поступают только метаданные, такие как например контрольная сумма файла, но не само программное обеспечение. Эта база содержит данные о всем многообразии ПО, ежедневно выпускаемого в мире, что позволяет получить информацию практически о любом приложении.

    График 6
    Как работает Контроль программ

    Незамедлительно результаты проверки высылаются обратно вместе с полезной аналитической информацией о файле, в числе которой находится и его категория, например драйвер, операционная система, браузер, мультимедиа и т.д. Таким образом, администратор сети получает полную внешнюю экспертную информацию о ранее неизвестном объекте в автоматическом режиме.

    Далее файл либо разрешается либо запрещается к выполнению в соответствии с политиками безопасности сети Application Startup Control, настроенными администратором. Программы, не имеющие отношения к работе — игры, видео, социальные сети — могут быть запрещены к запуску для всех или некоторых групп пользователей. Также доступ к ним может быть разрешен в соответствии с расписанием.

    Эффективное решение проблем нецелевого использования ресурсов компании и задач по повышению уровня защиты сети позволяет значительно сократить расходы на ее техническое обслуживание.

    Защита от таргетированных атак

    В случае, когда целью злоумышленников является нанесение ущерба определенной компании или отдельному ее сотруднику, могут применяться организованные таргетированные атаки. Такие атаки могут нанести непоправимый урон бизнесу.

    Зачастую политики безопасности компании по умолчанию разрешают выполнение любого кода, который не был идентифицирован как вредоносный. Это значительно снижает степень защищенности сети, делая ее уязвимой перед таргетированными атаками и некомпетентными действиями пользователей.

    Наиболее эффективным средством защиты, способным предотвратить запуск и распространение вредоносного ПО, является механизм запрета по умолчанию (Default Deny).

    Наиболее эффективным средством защиты, способным предотвратить запуск и распространение вредоносного ПО, является механизм запрета по умолчанию (Default Deny). Его особенность заключается в том, что он запрещает к запуску любые программы, не находящиеся в белом списке.

    Для упрощения реализации Default Deny в рамках endpoint продукта администратору предоставляются специальные категории Golden Image (операционная система и ее компоненты). Они содержал список всех критически важных для функционирования компьютера программ.

    Использование Golden Image, локального списка разрешенных приложений и базы Whitelist из «облака» позволяет администратору сформировать эффективные политики и правила для обеспечения безопасности сети и защиты от таргетированных атак.

  • Подход «Лаборатории Касперского»

    Облачные технологии и Whitelist «Лаборатории Касперского»

    Однако мы считаем, что защита должна быть многоуровневой, где каждый уровень дополняет и подстраховывает другой, обеспечивая максимальную безопасность объекта, производительность и удобство вне зависимости от обстановки.

    На рынке решения Application Control и Whitelist зачастую представлены нишевыми игроками, заявляющими, что эти технологии способны заменить собой сигнатурный метод детектирования — Blacklisting и прочие традиционные технологии. Однако мы считаем, что защита должна быть многоуровневой, где каждый уровень дополняет и подстраховывает другой, обеспечивая максимальную безопасность объекта, производительность и удобство вне зависимости от обстановки.

    При этом интеграция этих уровней между собой будет максимально эффективной, если все технологии разработаны и экспертизы сосредоточены в одном месте, в одной компании.

    График 7
    Технология Whitelist «Лаборатории Касперского»

    База Whitelist насчитывает более 300 миллионов уникальных файлов. Ежедневно она пополняется информацией о более чем миллионе файлов.

    • База Whitelist насчитывает более 300 миллионов уникальных файлов. Ежедневно она пополняется информацией о более чем миллионе файлов.

    • Глобальная сеть Kaspersky Security Network (KSN), насчитывающая десятки миллионов пользователей, регулярно собирает информацию о ежедневно появляющемся новом ПО, и, в свою очередь, делает ее доступной пользователям в кратчайшие сроки.

    • Эффективное использование автоматических средств обработки новых угроз, регулярная проверка уже имеющегося содержимого базы данных и огромный опыт специалистов антивирусной лаборатории обеспечивают максимальное качество Whitelist.

    • В рамках программы Whitelist мы сотрудничаем более чем с 200 крупными мировыми компаниями-производителями и дистрибьюторами ПО, такими как HP, Adobe, Intel, Asus, MSI, Mozilla, Citrix и т.д. Получая информацию о готовящихся к выходу программах, специалисты «Лаборатории Касперского» обновляют базу, обеспечивая ее актуальность и снижая риск ложных срабатываний, т.е. случаев, когда чистое ПО определяется как вредоносное.

    • Все это позволяет нашей технологии Whitelist незамедлительно реагировать на динамику в изменении мира ПО, обеспечивая максимальную полноту, качество и скорость пополнения базы данных.

    На сегодняшний день применение описанных выше технологий является одним из ключевых факторов для повышения эффективности защиты корпоративной сети.

    На сегодняшний день применение описанных выше технологий является одним из ключевых факторов для повышения эффективности защиты корпоративной сети. Уникальный опыт и высокотехнологичные решения «Лаборатории Касперского» помогут защитить ваш бизнес и повысить его эффективность.