Проактивная защита
Проактивные технологии — совокупность технологий и методов, используемых в антивирусном программном обеспечении, основной целью которых, в отличие от реактивных (сигнатурных) технологий, является предотвращение заражения системы пользователя, а не поиск уже известного вредоносного программного обеспечения в системе. При этом проактивная защита старается блокировать потенциально опасную активность программы только в том случае, если эта активность представляет реальную угрозу. Серьезный недостаток проактивной защиты — блокирование легитимных программ (ложные срабатывания).
История развития проактивных технологий антивирусной защиты
Проактивные технологии начали развиваться практически одновременно с классическими (сигнатурными) технологиями. Однако, первые реализации проактивных технологий антивирусной защиты требовали высокого уровня квалификации пользователя, то есть не были рассчитаны на массовое использование простыми пользователями персональных компьютеров. Спустя десятилетие антивирусной индустрии стало очевидно, что сигнатурные методы обнаружения уже не могут обеспечить эффективную защиту пользователей. Этот факт и подтолкнул к возрождению проактивных технологий.
Технологии проактивной защиты
Технология эвристического анализа позволяет на основе анализа кода выполняемого приложения, скрипта или макроса обнаружить участки кода, отвечающие за вредоносную активность.
Эффективность данной технологии не является высокой, что обусловлено большим количеством ложных срабатываний при повышении чувствительности анализатора, а также большим набором техник, используемых авторами вредоносного ПО для обхода эвристического компонента антивирусного ПО.
Технология эмуляции позволяет запускать приложение в среде эмуляции, эмулируя поведение ОС или центрального процессора. При выполнении приложения в режиме эмуляции приложение не сможет нанести вреда системе пользователя, а вредоносное действие будет детектировано эмулятором.
Несмотря на кажущуюся эффективность данного подхода, он также не лишен недостатков — эмуляция занимает слишком много времени и ресурсов компьютера пользователя, что негативно сказывается на быстродействии при выполнении повседневных операций, также, современные вредоносные программы способны обнаруживать выполнение в эмулированной среде и прекращать своё выполнение в ней.
- Анализ поведения
Технология анализа поведения основывается на перехвате всех важных системных функций или установке т. н. мини-фильтров, что позволяет отслеживать всю активность в системе пользователя. Технология поведенческого анализа позволяет оценивать не только единичное действие, но и цепочку действий, что многократно повышает эффективность противодействия вирусным угрозам. Также, поведенческий анализ является технологической основой для целого класса программ — поведенческих блокираторов (HIPS — Host-based Intrusion Systems).
Технология Песочницы работает по принципу ограничения активности потенциально вредоносных приложений таким образом, чтобы они не могли нанести вреда системе пользователя.
Ограничение активности достигается за счет выполнения неизвестных приложений в ограниченной среде — собственно песочнице, откуда приложение не имеет прав доступа к критическим системным файлам, веткам реестра и другой важной информации. Технология ограничения привилегий выполнения является эффективной технологией противодействия современным угрозам, но, следует понимать, что пользователь должен обладать знаниями, необходимыми для правильной оценки неизвестного приложения.
- Виртуализация рабочего окружения
Технология виртуализации рабочего окружения работает с помощью системного драйвера, который перехватывает все запросы на запись на жесткий диск и вместо выполнения записи на реальный жесткий диск выполняет запись в специальную дисковую область — буфер. Таким образом, даже в том случае, если пользователь запустит вредоносное программное обеспечение, оно проживет не далее чем до очистки буфера, которая по умолчанию выполняется при выключении компьютера.
Однако, следует понимать, что технология виртуализации рабочего окружения не сможет защитить от вредоносных программ, основной целью которых является кража конфиденциальной информации, так как доступ на чтение к жесткому диску не запрещен.
Применение проактивных технологий в настоящее время
В настоящее время проактивные технологии являются важным и неотъемлемым компонентом антивирусного программного обеспечения. Более того, как правило, в антивирусных продуктах используется сочетание сразу нескольких технологий проактивной защиты, например эвристический анализ и эмуляция кода успешно сочетаются с поведенческим анализом, что позволяет многократно повысить эффективность современных антивирусных продуктов против новых, все более и более изощренных вредоносных программ. Проактивная защита в некоторых антивирусах самостоятельно анализирует поведение программ, используя поведенческие сигнатуры (шаблоны опасного поведения).
Ссылки
- Anderson, K. «Intelligence-Based Threat Assessments for Information Networks and Infrastructures: A White Paper».
- «Critical Infrastructure: Homeland Security and Emergency Preparedness»
- Infracritical
- Centre for the Protection of National Infrastructure (United Kingdom)
- National Infrastructure Institute (NI2) Center for Infrastructure Expertise
- «Water Infrastructure Security Enhancements» draft national standards
- Operational Continuity and Additivity of Operational Risk, Tyson Macaulay 2008
- Metrics and Operational Continuity, Tyson Macaulay 2008