Современные технологии безопасности

Лучшая защита познается в сравнении!

О бесчисленных вирусных напастях, хакерских и шпионских атаках, рекламном спаме и тому подобных бедах современного компьютерного пользователя было сказано немало и на просторах Интернета, и на страницах специализированных СМИ. Страдают все – от мала до велика, от отдельного пользователя, продвинутого и не очень, до международных концернов и транснациональных корпораций с целыми компьютерными парками. Крупные и мелкие игроки на рынке информационной безопасности предлагают передовые разработки и свежие решения. Старые версии обновляются, дополняются, улучшаются. Очевидно, настало время разобраться в этом изобилии и найти оптимальное решение для защиты своего ПК или корпоративной сети.

Современный рынок программного обеспечения для защиты от различных видов внешних угроз представлен 4-мя основными направлениями:

• антивирусные программы, работающие как по сигнатурному принципу (выявление вредоносного кода), так и на основе эвристического анализатора (анализ кода по нескольким заданным показателям и заключение об опасности/безвредности приложения)
• корпоративные межсетевые экраны (firewall), которые часто используются совместно с network intrusion detection, контролирующей потоки информации в компьютерной сети
• персональные файрволы, анализирующие трафик на конкретном ПК
• и, наконец, передовые программы класса Host Intrusion Prevention, основанные на системе проактивной защиты ПК от любых видов угроз, базирующейся на анализе поведения компонентов информационной системы

Все эти направления эффективно борются с определенными видами угроз и вместе представляют единый комплекс надежной защиты от различных типов вторжения. Однако без применения превентивной технологии класса Host Intrusion Prevention, блокирующей несанкционированную активность прежде, чем ПК будет нанесен какой-либо ущерб, никто не даст Вам 100% гарантию безопасности. Host Intrusion Prevention удачно дополняет вышеперечисленные средства защиты, делая защиту компьютера более универсальной и комплексной.

Статистика неутешительна: две трети ущерба – в сфере информационной безопасности предприятий приходится на долю инсайдеров, т.е. своих. Поэтому сегодня очень остро стоит вопрос об эффективной защите корпоративных сетей не только от внешних, но и от внутренних угроз. Традиционные средства защиты не способны эффективно бороться с «внутренним вредительством», так как исторически, первоначально, разрабатывались для защиты от внешних вторжений (в первую очередь из Интернета), - эту проблему успешно решают программы класса Host Intrusion Prevention, например, проактивная система защиты Safe’n’Sec^® компании StarForce.

В основе технологии Safe’n’Sec^® лежит перехват и интеллектуальный анализ всех вызовов системных функций (system calls) на уровне операционной системы. В момент начала загрузки операционной системы System Interceptor загружается одним из первых и встраивается в цепочку вызовов системных функций. Основная задача System Interceptor – перехват всех системных вызовов любых приложений и отправка полной информации о них в модуль идентификации приложений iTrust Engine. Последний идентифицирует приложение по уникальным свойствам и передает эту информацию в модуль управления правилами Rules Engine. Данный модуль проверяет поступившую информацию на предмет потенциальной опасности действий приложений и передает отчет в модуль принятия решений Intelligent Decision Maker. Тот в свою очередь анализирует поступившую информацию и выдает команду в System Interceptor, который разрешает или запрещает передачу вызова в операционную систему компьютера для дальнейшего выполнения. Таким образом, любая вредоносная активность на Вашем ПК будет блокирована прежде, чем успеет нанести какой-либо вред компьютерной среде.

Safe’n’Sec^® имеет целый ряд преимуществ, восполняющих пробелы традиционных систем защиты ПК. Рассмотрим основные из них:

• антивирусные программы, как сигнатурные, так и эвристические, способны противостоять лишь известным вирусам или в лучшем случае типам вирусов, которые единожды или многократно уже нанесли вред компьютерам пользователей. Выпуск же производителями антивирусов сигнатур – вирусных «вакцин» - не всегда оперативен. Потеря драгоценного времени также происходит на этапе тестирования обновлений. Между тем вирусный бум, охвативший компьютерный мир, принимает катастрофические масштабы: согласно данным компании mi2g, в 2004 году суммарный ущерб, нанесенный вирусами, составил 184 млрд. долларов, что почти вдвое превышает аналогичный показатель 2003 года! Программный продукт Safe’n’Sec^® предлагает проактивную защиту ПК в том числе и от ранее неизвестных вирусов, отслеживающую и блокирующую любые несанкционированные действия, прежде чем они нанесут какой-либо вред. Кроме того, антивирусная программа-эвристик в каждом случае предназначена для одной определенной среды, следовательно, в отличие от Safe’n’Sec^® не универсальна. Особенно показательна в этом плане проблема защищенности от индустриального шпионажа, проявившаяся в недавних разоблачениях в Израиле. Разработка компании StarForce в области проактивной защиты обеспечивает организациям надежную, контролируемую и эффективную защиту от шпионского ПО, вирусов червей, троянов, фишинг-атак, ошибок неопытных пользователей и т.д.
• сетевые файрволы в качестве элемента технологии Network Intrusion DetectionPrevention являются защитным барьером на пути информационных потоков между внутренней информационной системой и внешними сетями. Network Intrusion Detection-системы позволяют установить защиту по периметру сети (на входе в неё) и анализировать данные для всех хостов одновременно. Недостатком является то, что их можно перегрузить ненужными данными, чтобы они не успевали справляться с информационным потоком, например, посылать пакеты на несуществующие в сети адреса. Кроме того, сетевые файрволы не контролируют активность на каждом конкретном компьютере. Проблема защиты сети от внутрипользовательских угроз с успехом решается программным продуктом направления Host Intrusion Prevention - Safe’n’Sec^®.
• персональные файрволы на первый взгляд успешно восполняют пробел системных, контролируя трафик на конкретном ПК. Однако контролируя и анализируя информационные потоки по периметру компьютерной информационной системы, файрвол тем не менее не способен контролировать активность внутри самого компьютера. Дело в том, что вредоносные программы типа spyware для проникновения в компьютерную среду зачастую используют легитимные порты, такие, как почтовый или интернет-порт. Например, если при работе на ПК Вы пользуетесь электронной почтой, файрвол никак не может блокировать сообщения данного порта, следовательно, его можно использовать для проникновения. Если сравнить «беззащитный» компьютер с распахнутым окном квартиры, то персональный файрвол можно уподобить открытой форточке. Залезть в нее хоть и сложно, но можно! Единожды пропустив вредоносную программу в компьютерную среду или будучи пройденным злоумышленником, файрвол уже не сможет контролировать последующую активность внутри системы. Этого никогда не произойдет с вашим ПК, если на нем установлена программа класса Host Intrusion Prevention, например, такая как Safe’n’Sec^®.

Резюме

Проактивная система защиты Safe’n’Sec^® является весомым и эффективным дополнением ко всем стандартным видам защиты ПК, образуя комплексный заслон на пути различных типов угроз. Сочетание поведенческих и сигнатурных технологий позволяет контролировать широчайший спектр событий, связанных с предотвращением вторжений (см. сравнительную таблицу). С помощью антивирусных продуктов предыдущего поколения эта цель была малодостижима.

Сравнение характеристик Safe’n’Sec^® с другими решениями по безопасности