Современные технологии безопасности

15 сентября 2005
Лучшая защита познается в сравнении!

О бесчисленных вирусных напастях, хакерских и шпионских атаках, рекламном спаме и тому подобных бедах современного компьютерного пользователя было сказано немало и на просторах Интернета, и на страницах специализированных СМИ. Страдают все – от мала до велика, от отдельного пользователя, продвинутого и не очень, до международных концернов и транснациональных корпораций с целыми компьютерными парками. Крупные и мелкие игроки на рынке информационной безопасности предлагают передовые разработки и свежие решения. Старые версии обновляются, дополняются, улучшаются. Очевидно, настало время разобраться в этом изобилии и найти оптимальное решение для защиты своего ПК или корпоративной сети.

Современный рынок программного обеспечения для защиты от различных видов внешних угроз представлен 4-мя основными направлениями:

  • антивирусные программы, работающие как по сигнатурному принципу (выявление вредоносного кода), так и на основе эвристического анализатора (анализ кода по нескольким заданным показателям и заключение об опасности/безвредности приложения)
  • корпоративные межсетевые экраны (firewall), которые часто используются совместно с network intrusion detection, контролирующей потоки информации в компьютерной сети
  • персональные файрволы, анализирующие трафик на конкретном ПК
  • и, наконец, передовые программы класса Host Intrusion Prevention, основанные на системе проактивной защиты ПК от любых видов угроз, базирующейся на анализе поведения компонентов информационной системы

Все эти направления эффективно борются с определенными видами угроз и вместе представляют единый комплекс надежной защиты от различных типов вторжения. Однако без применения превентивной технологии класса Host Intrusion Prevention, блокирующей несанкционированную активность прежде, чем ПК будет нанесен какой-либо ущерб, никто не даст Вам 100% гарантию безопасности. Host Intrusion Prevention удачно дополняет вышеперечисленные средства защиты, делая защиту компьютера более универсальной и комплексной.

Статистика неутешительна: две трети ущерба – в сфере информационной безопасности предприятий приходится на долю инсайдеров, т.е. своих. Поэтому сегодня очень остро стоит вопрос об эффективной защите корпоративных сетей не только от внешних, но и от внутренних угроз. Традиционные средства защиты не способны эффективно бороться с «внутренним вредительством», так как исторически, первоначально, разрабатывались для защиты от внешних вторжений (в первую очередь из Интернета), - эту проблему успешно решают программы класса Host Intrusion Prevention, например, проактивная система защиты Safe’n’Sec® компании StarForce.

В основе технологии Safe’n’Sec® лежит перехват и интеллектуальный анализ всех вызовов системных функций (system calls) на уровне операционной системы. В момент начала загрузки операционной системы System Interceptor загружается одним из первых и встраивается в цепочку вызовов системных функций. Основная задача System Interceptor – перехват всех системных вызовов любых приложений и отправка полной информации о них в модуль идентификации приложений iTrust Engine. Последний идентифицирует приложение по уникальным свойствам и передает эту информацию в модуль управления правилами Rules Engine. Данный модуль проверяет поступившую информацию на предмет потенциальной опасности действий приложений и передает отчет в модуль принятия решений Intelligent Decision Maker. Тот в свою очередь анализирует поступившую информацию и выдает команду в System Interceptor, который разрешает или запрещает передачу вызова в операционную систему компьютера для дальнейшего выполнения. Таким образом, любая вредоносная активность на Вашем ПК будет блокирована прежде, чем успеет нанести какой-либо вред компьютерной среде.

Safe’n’Sec® имеет целый ряд преимуществ, восполняющих пробелы традиционных систем защиты ПК. Рассмотрим основные из них:

  • антивирусные программы, как сигнатурные, так и эвристические, способны противостоять лишь известным вирусам или в лучшем случае типам вирусов, которые единожды или многократно уже нанесли вред компьютерам пользователей. Выпуск же производителями антивирусов сигнатур – вирусных «вакцин» - не всегда оперативен. Потеря драгоценного времени также происходит на этапе тестирования обновлений. Между тем вирусный бум, охвативший компьютерный мир, принимает катастрофические масштабы: согласно данным компании mi2g, в 2004 году суммарный ущерб, нанесенный вирусами, составил 184 млрд. долларов, что почти вдвое превышает аналогичный показатель 2003 года! Программный продукт Safe’n’Sec® предлагает проактивную защиту ПК в том числе и от ранее неизвестных вирусов, отслеживающую и блокирующую любые несанкционированные действия, прежде чем они нанесут какой-либо вред. Кроме того, антивирусная программа-эвристик в каждом случае предназначена для одной определенной среды, следовательно, в отличие от Safe’n’Sec® не универсальна. Особенно показательна в этом плане проблема защищенности от индустриального шпионажа, проявившаяся в недавних разоблачениях в Израиле. Разработка компании StarForce в области проактивной защиты обеспечивает организациям надежную, контролируемую и эффективную защиту от шпионского ПО, вирусов червей, троянов, фишинг-атак, ошибок неопытных пользователей и т.д.
  • сетевые файрволы в качестве элемента технологии Network Intrusion DetectionPrevention являются защитным барьером на пути информационных потоков между внутренней информационной системой и внешними сетями. Network Intrusion Detection-системы позволяют установить защиту по периметру сети (на входе в неё) и анализировать данные для всех хостов одновременно. Недостатком является то, что их можно перегрузить ненужными данными, чтобы они не успевали справляться с информационным потоком, например, посылать пакеты на несуществующие в сети адреса. Кроме того, сетевые файрволы не контролируют активность на каждом конкретном компьютере. Проблема защиты сети от внутрипользовательских угроз с успехом решается программным продуктом направления Host Intrusion Prevention - Safe’n’Sec®.
  • персональные файрволы на первый взгляд успешно восполняют пробел системных, контролируя трафик на конкретном ПК. Однако контролируя и анализируя информационные потоки по периметру компьютерной информационной системы, файрвол тем не менее не способен контролировать активность внутри самого компьютера. Дело в том, что вредоносные программы типа spyware для проникновения в компьютерную среду зачастую используют легитимные порты, такие, как почтовый или интернет-порт. Например, если при работе на ПК Вы пользуетесь электронной почтой, файрвол никак не может блокировать сообщения данного порта, следовательно, его можно использовать для проникновения. Если сравнить «беззащитный» компьютер с распахнутым окном квартиры, то персональный файрвол можно уподобить открытой форточке. Залезть в нее хоть и сложно, но можно! Единожды пропустив вредоносную программу в компьютерную среду или будучи пройденным злоумышленником, файрвол уже не сможет контролировать последующую активность внутри системы. Этого никогда не произойдет с вашим ПК, если на нем установлена программа класса Host Intrusion Prevention, например, такая как Safe’n’Sec®.
Резюме

Проактивная система защиты Safe’n’Sec® является весомым и эффективным дополнением ко всем стандартным видам защиты ПК, образуя комплексный заслон на пути различных типов угроз. Сочетание поведенческих и сигнатурных технологий позволяет контролировать широчайший спектр событий, связанных с предотвращением вторжений (см. сравнительную таблицу). С помощью антивирусных продуктов предыдущего поколения эта цель была малодостижима.

Сравнение характеристик Safe’n’Sec® с другими решениями по безопасности

Характеристика Межсетевые экраны / Персональные межсетевые экраны Антивирусы, Антишпионы, Anti-adware и проч. Safe’n’Sec®
(только Host-based IPS)
Safe’n’Sec® + Антивирус
(Host-based Intrusion Prevention System и Антивирус по-запросу)
Размещение Сервер / рабочая станция Сервер и/или рабочая станция Рабочая станция
Защищает от следующих угроз Сетевые атаки / Локальные атаки, шпионские программы Только уже известные вредоносные программы отдельных классов Атаки вредоносных приложений любого типа независимо от их происхождения (включая как известные, так и не известные вредоносные приложения)
Защитные действия, обеспечивающие безопасность Блокирование сетевого трафика и/или блокирование приложений Восстанавливает, изолирует или удаляет файлы, зараженные известными вирусами / Удаляет известные вредоносные программы Блокирует предпринятое единичное опасное действие, сетевой трафик или полностью всю активность вредоносного приложения
+ Изолирует или удаляет файлы, зараженные известными вирусами
Условия выполнения защитных действий Отличие сетевого трафика от нормы Обнаружение повреждений файла известным вирусом / Обнаружение известного вредоносного приложения Попытка любого приложения выполнить действие наносящее ущерб системе/данным пользователя
Объект контроля / Метод контроля Сетевой трафик / Анализ сетевого трафика Код программ (иногда сетевой трафик) / Сопоставление сигнатуры кода (анализ сетевого трафика) Все действия всех приложений, сетевой трафик / непрерывный анализ поведения приложений на протяжении всей сессии
Код программ / Сопоставление сигнатуры кода
Проверка файлов на жестком диске Нет Да Нет Да
Потребление ресурсов Незначительное / Умеренное Большое до умеренного Незначительное
Зависимость эффективности от обновлений Мало зависит от обновлений Очень сильно зависит от обновлений Не зависит от обновлений
Антивирус обновляется не реже 1го раза в сутки
Требует вмешательства пользователя Часто Часто или редко в зависимости от настроек Редко при отсутствии попыток атак
Риски, ограничения и недостатки Внутренние атаки на рабочую станцию, Новые типы атак или заказные атаки Ранее не обнаруживаемые или заказные вредоносные приложения Возможные ложные срабатывания при установке новых приложений (иногда при их запуске)
Необходимость для многоуровневой системы защиты Рекомендуется Весьма необходим Крайне необходим
417
;