Современные технологии безопасности
Лучшая защита познается в сравнении!
О бесчисленных вирусных напастях, хакерских и шпионских атаках, рекламном спаме и тому подобных бедах современного компьютерного пользователя было сказано немало и на просторах Интернета, и на страницах специализированных СМИ. Страдают все – от мала до велика, от отдельного пользователя, продвинутого и не очень, до международных концернов и транснациональных корпораций с целыми компьютерными парками. Крупные и мелкие игроки на рынке информационной безопасности предлагают передовые разработки и свежие решения. Старые версии обновляются, дополняются, улучшаются. Очевидно, настало время разобраться в этом изобилии и найти оптимальное решение для защиты своего ПК или корпоративной сети.
Современный рынок программного обеспечения для защиты от различных видов внешних угроз представлен 4-мя основными направлениями:
-
антивирусные программы, работающие как по сигнатурному принципу (выявление вредоносного кода), так и на основе эвристического анализатора (анализ кода по нескольким заданным показателям и заключение об опасности/безвредности приложения)
-
корпоративные межсетевые экраны (firewall), которые часто используются совместно с network intrusion detection, контролирующей потоки информации в компьютерной сети
-
персональные файрволы, анализирующие трафик на конкретном ПК
-
и, наконец, передовые программы класса Host Intrusion Prevention, основанные на системе проактивной защиты ПК от любых видов угроз, базирующейся на анализе поведения компонентов информационной системы
Все эти направления эффективно борются с определенными видами угроз и вместе представляют единый комплекс надежной защиты от различных типов вторжения. Однако без применения превентивной технологии класса Host Intrusion Prevention, блокирующей несанкционированную активность прежде, чем ПК будет нанесен какой-либо ущерб, никто не даст Вам 100% гарантию безопасности. Host Intrusion Prevention удачно дополняет вышеперечисленные средства защиты, делая защиту компьютера более универсальной и комплексной.
Статистика неутешительна: две трети ущерба – в сфере информационной безопасности предприятий приходится на долю инсайдеров, т.е. своих. Поэтому сегодня очень остро стоит вопрос об эффективной защите корпоративных сетей не только от внешних, но и от внутренних угроз. Традиционные средства защиты не способны эффективно бороться с «внутренним вредительством», так как исторически, первоначально, разрабатывались для защиты от внешних вторжений (в первую очередь из Интернета), - эту проблему успешно решают программы класса Host Intrusion Prevention, например, проактивная система защиты Safe’n’Sec® компании StarForce.
В основе технологии Safe’n’Sec® лежит перехват и интеллектуальный анализ всех вызовов системных функций (system calls) на уровне операционной системы. В момент начала загрузки операционной системы System Interceptor загружается одним из первых и встраивается в цепочку вызовов системных функций. Основная задача System Interceptor – перехват всех системных вызовов любых приложений и отправка полной информации о них в модуль идентификации приложений iTrust Engine. Последний идентифицирует приложение по уникальным свойствам и передает эту информацию в модуль управления правилами Rules Engine. Данный модуль проверяет поступившую информацию на предмет потенциальной опасности действий приложений и передает отчет в модуль принятия решений Intelligent Decision Maker. Тот в свою очередь анализирует поступившую информацию и выдает команду в System Interceptor, который разрешает или запрещает передачу вызова в операционную систему компьютера для дальнейшего выполнения. Таким образом, любая вредоносная активность на Вашем ПК будет блокирована прежде, чем успеет нанести какой-либо вред компьютерной среде.
Safe’n’Sec® имеет целый ряд преимуществ, восполняющих пробелы традиционных систем защиты ПК. Рассмотрим основные из них:
-
антивирусные программы, как сигнатурные, так и эвристические, способны противостоять лишь известным вирусам или в лучшем случае типам вирусов, которые единожды или многократно уже нанесли вред компьютерам пользователей. Выпуск же производителями антивирусов сигнатур – вирусных «вакцин» - не всегда оперативен. Потеря драгоценного времени также происходит на этапе тестирования обновлений. Между тем вирусный бум, охвативший компьютерный мир, принимает катастрофические масштабы: согласно данным компании mi2g, в 2004 году суммарный ущерб, нанесенный вирусами, составил 184 млрд. долларов, что почти вдвое превышает аналогичный показатель 2003 года! Программный продукт Safe’n’Sec® предлагает проактивную защиту ПК в том числе и от ранее неизвестных вирусов, отслеживающую и блокирующую любые несанкционированные действия, прежде чем они нанесут какой-либо вред. Кроме того, антивирусная программа-эвристик в каждом случае предназначена для одной определенной среды, следовательно, в отличие от Safe’n’Sec® не универсальна. Особенно показательна в этом плане проблема защищенности от индустриального шпионажа, проявившаяся в недавних разоблачениях в Израиле. Разработка компании StarForce в области проактивной защиты обеспечивает организациям надежную, контролируемую и эффективную защиту от шпионского ПО, вирусов червей, троянов, фишинг-атак, ошибок неопытных пользователей и т.д.
-
сетевые файрволы в качестве элемента технологии Network Intrusion DetectionPrevention являются защитным барьером на пути информационных потоков между внутренней информационной системой и внешними сетями. Network Intrusion Detection-системы позволяют установить защиту по периметру сети (на входе в неё) и анализировать данные для всех хостов одновременно. Недостатком является то, что их можно перегрузить ненужными данными, чтобы они не успевали справляться с информационным потоком, например, посылать пакеты на несуществующие в сети адреса. Кроме того, сетевые файрволы не контролируют активность на каждом конкретном компьютере. Проблема защиты сети от внутрипользовательских угроз с успехом решается программным продуктом направления Host Intrusion Prevention - Safe’n’Sec®.
-
персональные файрволы на первый взгляд успешно восполняют пробел системных, контролируя трафик на конкретном ПК. Однако контролируя и анализируя информационные потоки по периметру компьютерной информационной системы, файрвол тем не менее не способен контролировать активность внутри самого компьютера. Дело в том, что вредоносные программы типа spyware для проникновения в компьютерную среду зачастую используют легитимные порты, такие, как почтовый или интернет-порт. Например, если при работе на ПК Вы пользуетесь электронной почтой, файрвол никак не может блокировать сообщения данного порта, следовательно, его можно использовать для проникновения. Если сравнить «беззащитный» компьютер с распахнутым окном квартиры, то персональный файрвол можно уподобить открытой форточке. Залезть в нее хоть и сложно, но можно! Единожды пропустив вредоносную программу в компьютерную среду или будучи пройденным злоумышленником, файрвол уже не сможет контролировать последующую активность внутри системы. Этого никогда не произойдет с вашим ПК, если на нем установлена программа класса Host Intrusion Prevention, например, такая как Safe’n’Sec®.
Резюме
Проактивная система защиты Safe’n’Sec® является весомым и эффективным дополнением ко всем стандартным видам защиты ПК, образуя комплексный заслон на пути различных типов угроз. Сочетание поведенческих и сигнатурных технологий позволяет контролировать широчайший спектр событий, связанных с предотвращением вторжений (см. сравнительную таблицу). С помощью антивирусных продуктов предыдущего поколения эта цель была малодостижима.
Сравнение характеристик Safe’n’Sec® с другими решениями по безопасности
Характеристика | Межсетевые экраны / Персональные межсетевые экраны | Антивирусы, Антишпионы, Anti-adware и проч. | Safe’n’Sec® (только Host-based IPS) |
Safe’n’Sec® + Антивирус (Host-based Intrusion Prevention System и Антивирус по-запросу) |
Размещение | Сервер / рабочая станция | Сервер и/или рабочая станция | Рабочая станция | |
Защищает от следующих угроз | Сетевые атаки / Локальные атаки, шпионские программы | Только уже известные вредоносные программы отдельных классов | Атаки вредоносных приложений любого типа независимо от их происхождения (включая как известные, так и не известные вредоносные приложения) | |
Защитные действия, обеспечивающие безопасность | Блокирование сетевого трафика и/или блокирование приложений | Восстанавливает, изолирует или удаляет файлы, зараженные известными вирусами / Удаляет известные вредоносные программы | Блокирует предпринятое единичное опасное действие, сетевой трафик или полностью всю активность вредоносного приложения | |
— | + Изолирует или удаляет файлы, зараженные известными вирусами | |||
Условия выполнения защитных действий | Отличие сетевого трафика от нормы | Обнаружение повреждений файла известным вирусом / Обнаружение известного вредоносного приложения | Попытка любого приложения выполнить действие наносящее ущерб системе/данным пользователя | |
Объект контроля / Метод контроля | Сетевой трафик / Анализ сетевого трафика | Код программ (иногда сетевой трафик) / Сопоставление сигнатуры кода (анализ сетевого трафика) | Все действия всех приложений, сетевой трафик / непрерывный анализ поведения приложений на протяжении всей сессии | |
— | Код программ / Сопоставление сигнатуры кода | |||
Проверка файлов на жестком диске | Нет | Да | Нет | Да |
Потребление ресурсов | Незначительное / Умеренное | Большое до умеренного | Незначительное | |
Зависимость эффективности от обновлений | Мало зависит от обновлений | Очень сильно зависит от обновлений | Не зависит от обновлений | |
— | Антивирус обновляется не реже 1го раза в сутки | |||
Требует вмешательства пользователя | Часто | Часто или редко в зависимости от настроек | Редко при отсутствии попыток атак | |
Риски, ограничения и недостатки | Внутренние атаки на рабочую станцию, Новые типы атак или заказные атаки | Ранее не обнаруживаемые или заказные вредоносные приложения | Возможные ложные срабатывания при установке новых приложений (иногда при их запуске) | |
Необходимость для многоуровневой системы защиты | Рекомендуется | Весьма необходим | Крайне необходим |