Конкурируя с традиционным ПО по информационной безопасности, на первый план выходят новые проактивные технологии, одно из направлений в которых составляют решения для предотвращения вторжений в систему - Host Intrusion Prevention System. В данной статье подобные технологии рассматриваются на примере российской разработки Safe’n’Sec от StarForce Technologies.
Проблема качественной и надежной защиты корпоративных сетей от взлома и кражи хранящейся в них информации на сегодня составляет головную боль руководителей предприятий и системных администраторов. Крупные и мелкие игроки на рынке информационной безопасности предлагают передовые разработки и свежие решения. Старые версии обновляются, дополняются, улучшаются.
В настоящее время, успешно конкурируя с традиционным ПО по информационной безопасности, на первый план выходят новые проактивные технологии, одно из направлений в которых составляют решения для предотвращения вторжений в систему (Host Intrusion Prevention System - HIPS).
Программы класса Host Intrusion Prevention System обладают рядом существенных преимуществ, по сути это поведенческие анализаторы, которые по определенным признакам, характерным для вредоносных объектов, предотвращают атаку и нежелательные действия в системе. Об этом классе программ стоит поговорить подробнее.
Современный рынок средств защиты персональных компьютеров и корпоративных сетей от различных видов внешних угроз представлен 4-мя основными направлениями:
Все эти направления эффективно борются с определенными видами угроз и вместе представляют единый комплекс надежной защиты от различных типов вторжения. Однако ни одна технология не даст Вам 100% гарантию безопасности. Проактивные технологии Host Intrusion Prevention удачно дополняет вышеперечисленные средства защиты, делая защиту компьютера более универсальной и комплексной.
Например, Safe’n’Sec, разработка российской компании StarForce Technologies имеет целый ряд преимуществ, восполняющих пробелы традиционных систем защиты ПК. Программный продукт Safe’n’Sec предлагает проактивную защиту компьютерных сетей в том числе и от ранее неизвестных вирусов, отслеживающую и блокирующую любые несанкционированные действия, прежде чем они нанесут какой-либо вред.
Сетевые файерволы контролируют трафик по периметру корпоративной сети, не анализируя информационные потоки на входе в каждый конкретный компьютер. Персональные файерволы не контролируют активность внутри самого компьютера. Проактивная система защиты Safe’n’Sec эффективно контролирует весь спектр активности как по периметру, так и внутри корпоративных сетей и персональных компьютеров.
Сейчас продуктовая линейка Safe’n’Sec представлена версиями Personal, Business для защиты корпоративных информационных сетей малого и среднего бизнеса. Персональная версия Personal Safe’n’Sec - это надежная защита ПК от неизвестных вирусов, программ-шпионов, троянских программ, хакерских атак, взлома, кражи информации, ошибочных действий пользователя. Как заявляет производитель, программа бережно относится к ресурсам компьютера, комфортная работа гарантирована даже на процессорах Intel 300 МГц. Кроме того, Safe’n’Sec на 100% совместим с большинством традиционного программ по безопасности (Agnitum Outpost Firewall, Антивирус Касперского, антивирус DrWeb и др.) Эффективность проактивной защиты Safe’n’Sec постоянна и не снижается при появлении новых видов угроз, поскольку не опирается на анализ кода вредоносных приложений и, следовательно, практически не зависит от обновлений.
Business Safe’n’Sec - программный продукт, основанный на системе проактивной защиты и предназначенный для информационных сетей малых и средних предприятий с количеством рабочих станций не более 1000. Business Safe’n’Sec способен эффективно противостоять вирусным эпидемиям, хакерским атакам, шпионским программам и попыткам несанкционированного доступа в систему на всех входящих в сеть ПК.
Консоль централизованного управления системой Safe’n’Sec Admin Explorer не требует инсталляции и имеет знакомый всем пользователям Windows XP привычный интерфейс управления. В программе предусмотрена возможность централизованной и удаленной установки, изменения свойств клиентских станций, централизованного и удаленного выполнения сервисных задач. Это позволяет в несколько раз снизить временные затраты на развертывание безопасности предприятия. Business Safe"n"Sec позволяет существенно экономить бюджет компании-заказчика и людские ресурсы без ущерба общему уровню информационной безопасности предприятия. В бизнес-версии введена новая система лицензирования программы, в отличие от версии для индивидуальных пользователей, в которой используется технология ProActive, в многопользовательском продукте реализован метод введения серийных ключей.
По оценке самой StarForce ее продукт Business Safe’n’Sec позволяет в 8-10 раз сократить время обработки сигнала тревоги и устранения угрозы, на 15-45% эко6номить материальные и человеческие ресурсы на развертывание и поддержание системы безопасности и сэкономить от $500 до $5000 в год на одну рабочую станцию в зависимости от направления бизнеса!
В планах StarForce уже в 2006 году выпустить новый программный продукт Enterprise Safe’n’Sec, предназначенный для защиты корпоративных сетей крупных предприятий, общее количество машин в которых превышает одну тысячу. Пользователям версии Enterprise станет доступен широкий спектр услуг сервисных центров: управление правами пользователя, настройка групповых политик, управление задачами по расписанию, централизованная система обновлений, рассылка e-mail-уведомлений о критических событиях в сети, отложенное выполнение задач на off-line станциях.
Проактивная система защиты Host Intrusion Prevention System, такая как Safe’n’Sec является весомым и эффективным дополнением ко всем стандартным видам защиты ПК, образуя комплексный заслон на пути различных типов угроз. Сочетание поведенческих и сигнатурных технологий позволяет контролировать широкий спектр событий, связанных с предотвращением вторжений.
Подводя итоги, можно рекомендовать продукты такого класса в качестве дополнения к существующей системе безопасности, как персонального компьютера, так и корпоративной сети предприятия. Стоит, однако, признать, что подобные технологии в той или иной степени, не так давно стали интегрироваться в персональные антивирусные продукты и продукты для рабочих станций ведущих мировых производителей, таких как:
Конечно, функционально встроенные в антивирусные продукты HID пока не могут сравниться с отдельными решениями, но все же частично решают задачу, но это уже другая тема. Если же Вы используете какой-то другой «чистый» антивирус, не вошедший в список выше, то такое решение как Safe’n’Sec Вам просто необходимо. В любом случае, продукты Host Intrusion Prevention System надо использовать, ведь 100% гарантии Вам не даст ни одни отдельный продукт и дополнительная проактивная защита в свете все увеличивающегося потока заразы никогда не будет лишней.
Скачать бесплатную пробную 30-ти дневную версию Safe"n"Sec 1.1 вы можете , Safe"n"Sec 1.1 + Антивирус (движок и базы BitDefender)– .
Основатель проекта сайт
Благодарю компанию StarForce Technologies за предоставленную информацию о продуктах Safe’n’Sec.
Проактивные технологии - совокупность технологий и методов, используемых в антивирусном программном обеспечении , основной целью которых, в отличие от реактивных (сигнатурных) технологий , является предотвращение заражения системы пользователя, а не поиск уже известного вредоносного программного обеспечения в системе. При этом проактивная защита старается блокировать потенциально опасную активность программы только в том случае, если эта активность представляет реальную угрозу. Серьезный недостаток проактивной защиты - блокирование легитимных программ (ложные срабатывания).
Проактивные технологии начали развиваться практически одновременно с классическими (сигнатурными) технологиями. Однако, первые реализации проактивных технологий антивирусной защиты требовали высокого уровня квалификации пользователя, то есть не были рассчитаны на массовое использование простыми пользователями персональных компьютеров. Спустя десятилетие антивирусной индустрии стало очевидно, что сигнатурные методы обнаружения уже не могут обеспечить эффективную защиту пользователей. Этот факт и подтолкнул к возрождению проактивных технологий.
Технология эмуляции позволяет запускать приложение в среде эмуляции, эмулируя поведение ОС или центрального процессора. При выполнении приложения в режиме эмуляции приложение не сможет нанести вреда системе пользователя, а вредоносное действие будет детектировано эмулятором.
Несмотря на кажущуюся эффективность данного подхода, он также не лишен недостатков - эмуляция занимает слишком много времени и ресурсов компьютера пользователя, что негативно сказывается на быстродействии при выполнении повседневных операций, также, современные вредоносные программы способны обнаруживать выполнение в эмулированной среде и прекращать своё выполнение в ней.
Технология анализа поведения основывается на перехвате всех важных системных функций или установке т. н. мини-фильтров, что позволяет отслеживать всю активность в системе пользователя. Технология поведенческого анализа позволяет оценивать не только единичное действие, но и цепочку действий, что многократно повышает эффективность противодействия вирусным угрозам. Также, поведенческий анализ является технологической основой для целого класса программ - поведенческих блокираторов (HIPS - Host-based Intrusion Systems).
Технология Песочницы работает по принципу ограничения активности потенциально вредоносных приложений таким образом, чтобы они не могли нанести вреда системе пользователя.
Ограничение активности достигается за счет выполнения неизвестных приложений в ограниченной среде - собственно песочнице, откуда приложение не имеет прав доступа к критическим системным файлам, веткам реестра и другой важной информации. Технология ограничения привилегий выполнения является эффективной технологией противодействия современным угрозам, но, следует понимать, что пользователь должен обладать знаниями, необходимыми для правильной оценки неизвестного приложения.
Технология виртуализации рабочего окружения работает с помощью системного драйвера, который перехватывает все запросы на запись на жесткий диск и вместо выполнения записи на реальный жесткий диск выполняет запись в специальную дисковую область - буфер. Таким образом, даже в том случае, если пользователь запустит вредоносное программное обеспечение, оно проживет не далее чем до очистки буфера, которая по умолчанию выполняется при выключении компьютера.
Однако, следует понимать, что технология виртуализации рабочего окружения не сможет защитить от вредоносных программ, основной целью которых является кража конфиденциальной информации, так как доступ на чтение к жесткому диску не запрещен.
В настоящее время проактивные технологии являются важным и неотъемлемым компонентом антивирусного программного обеспечения. Более того, как правило, в антивирусных продуктах используется сочетание сразу нескольких технологий проактивной защиты, например эвристический анализ и эмуляция кода успешно сочетаются с поведенческим анализом, что позволяет многократно повысить эффективность современных антивирусных продуктов против новых, все более и более изощренных вредоносных программ. Проактивная защита в некоторых антивирусах самостоятельно анализирует поведение программ, используя поведенческие сигнатуры (шаблоны опасного поведения).
1. Какой экспертный HIPS по вашему мнению обнаруживает больше всего угроз?
2. По-вашему мнению, насколько хорошо защищает HIPS в ESET NOD32 в "Интеллектуальном режиме" от угроз?
3. В каких антивирусах проактивная защита имеет больше всего "поведенческих" сигнатур? Например, в KIS они называются "шаблоны опасного поведения" (Behavior Stream Signatures) , в Comodo эта технология называется "Viruscope", в Norton - "Sonar".
4. Насколько хорошо защищает от угроз "Экран поведения" в Avast ? Насколько он надёжен или ненадёжен?
5. Какие антивирусы умеют делать откат действий вредоносных программ? Я знаю, что это умеют делать Каперский, Доктор веб.
1) Давно не занимался, но из того-что понял, "Число обнаружений" прямо влияет на такое понятие как "Удобство работы", пример у того-же нода:
Если поставить файервол в "интерактивный режим", то завалит вопросами, особенно на первых порах, опять-таки вы должны обладать определенными знаниями, что-бы случайно не "загнать" нужную программу в чёрный список, или наоборот не пропустить троянчика. :)
Поэтому все антивирусы с настройками "по умолчанию" обычно сами принимают решения, тот-же каспер имеет свою базу программ и сам их распределяет по "уровням риска", программа с высоким риском, даже не сможет выйти в сеть например, или вообще будет зблокирована.
2) HIPS в ESET NOD32 с настройками по умолчанию, так-себе, можно сказать что защиты нет. Но можно настроить под себя.
3) ХЗ., думаю у топов Каспер, Нод, Нортон и Ко. примерно на одном уровне, т.к. они давно на рынке, должно-быть обладают огромной базой софта и наработок в этой области.
4) К сожалению подобная защита, как я уже писал в пункте 1-н старается уменьшить "диалог с пользователем", для удобства работы, но в то-же время ложные срабатывания также никому не нужны.
Поэтому такая защита "пропускает" так-называемый легальный софт, например винрар-архиватор, используется для упаковки файлов, но так-же этот винрар-архиватор можно использовать и для шифрования файлов, что мешает его использовать в шифровальщиках? :)
Или "косить" под винрар, это просто пример.
Такая-же проблема и с цифровыми подписями.
5)Касперский умеет, доктор не умел раньше, да это и не важно. Если шифровальщик грамотно сделать, это не поможет. Поможет беккап. :)
Опыт такой:
Если хотите пользоваться антивирусом, лучше использовать "топовые сканеры", это Касперский, Нод, Нортон, Аваст, АВГ. В целом они быстро реагируют на новые вирусы, но важно постоянно обновлять, хотя-бф раз в день.
Но можно и обойтись без антивируса, не запуская подозрительный софт, проверять его на онлайн сканерах, работать под изолированной учеткой (создать учетки для членов семьи), делать беккапы.
Адаптивные компьютерные системы, как говорится в документах корпорации IBM, - это четкая констатация проблем, с которыми столкнулась ИТ-отрасль. В частности, данная концепция предлагает путь сдерживания дальнейшего роста сложности. Исследования, которые проводит Intel Research, посвящены будущим вычислительным системам. Они включают в себя адаптивные компьютерные системы, но при этом касаются и новых прикладных областей, требующих реализации принципов, которые получили название проактивных систем. Именно они позволяют перейти от современных интерактивных систем к проактивным средам, способным предвидеть наши потребности и действовать в наших интересах.
Адаптивные и проактивные компьютерные системы предлагают решение проблем, ограничивающих развитие современных ИТ. В 90-е годы возникла идея повсеместных вычислений , которая расширила традиционное представление о распределенных системах.
До недавнего времени естественный путь развития компьютерных систем был связан с поддержкой технологий, повышающих плотность хранения данных, а также с возможностями резервирования сетевой полосы пропускания индивидуально для каждого пользователя. В последние два десятилетия емкость дисков ежегодно увеличивалась примерно в два раза, вычислительная производительность - в 1,6 раза (закон Мура), а эффективность персональных сетевых возможностей - в 1,3 раза. Развитию приложений - и одновременно росту сложности их администрирования - в немалой степени способствовали преимущества, которые дает применение Internet. Адаптивные системы, подход, предлагаемый IBM, призван решить некоторые из проблем, связанных с ростом сложности. К числу принципов системного проектирования, которые, как ожидается, позволят преодолеть существующие ограничения, относят способность систем к самоконтролю, самовосстановлению, самоконфигурированию и самооптимизации. Кроме того, система должна иметь представление о своем окружении, защищаться от атак, взаимодействовать на основе открытых стандартов и предвидеть действия пользователей. Данные принципы могут применяться и к отдельным компонентам, и к системам в целом, причем последнее дает глобальные преимущества, позволяющие удовлетворить требования большего числа пользователей.
В Intel Research активно поддерживают концепцию адаптивных систем и в то же самое время думают о том, как компьютеры будут использовать в дальнейшем. До сих пор ПК наиболее эффективно применялись дома и в офисе. Нас интересуют другие области человеческой деятельности, готовые в перспективе к внедрению компьютерных технологий. Проактивные системы расширяют наши представления о применении компьютеров, подтверждая необходимость мониторинга физического мира и влияния на него, ориентации на процессы, которые предполагают сложные взаимодействия с реальным миром, но сейчас ограниченные степенью необходимого вмешательства со стороны человека. Некоторые исследования выходят за рамки уже созданных систем повсеместных вычислений и рассчитаны на будущие конфигурации, предполагающие, что человек работает с тысячами объединенных в сеть компьютеров. Разработка проактивных систем опирается на семь базовых принципов: связь с физическим миром; «глубокие» сетевые взаимодействия; макрообработка; функционирование в условиях неопределенности; предвидение; замкнутый цикл управления; персонификация.
Ориентация на системы, в которых человек выполняет наблюдательную, а не управляющую функцию, или на полностью автоматические системы, - общая цель проактивных компьютерных систем. Отношения между пользователем и компьютером со временем меняются: формула «много к одному» с появлением в 80-х годах персональных компьютеров превратилась в «один к одному», а затем, с бурным развитием в новом тысячелетии отрасли мобильных устройств, - в «один ко многим». Сегодня большинство жителей Соединенных Штатов, как правило, работают (иногда опосредованно) с десятками компьютеров, начиная от мобильных устройств и заканчивая бытовой электроникой. Все эти системы требуют внимания человека, которое в нашем современном мире превращается во все более дефицитный ресурс. И прежде, чем мы «утонем» в море различных устройств, необходимо найти решение, позволяющее освободить людей от участия в цикле управления там, где это возможно, заменив их управляющую функцию на наблюдательную. Таким образом, проактивные компьютерные системы сосредотачиваются на обеспечении наблюдательной деятельности человека, когда пользователь не вмешивается в управление системой - до тех пор, пока не потребуется его участие в принятии критически важных решений.
Один из простейших примеров, иллюстрирующих систему, где человеку отводится именно роль наблюдателя, - система центрального отопления в современном доме. Подобные системы, как правило, имеют простую программу, определяющую температуру для утра, дня, вечера и ночи. Обычно система действует автономно и незаметно, однако пользователи могут быстро и в любой момент изменить эти настройки, если им станет жарко или холодно, либо в приближении энергетического кризиса. Если систему оснастить сетью датчиков и занести в нее информацию о «расписании дня» семьи, температурный режим и уровень энергопотребления можно заранее оптимизировать с учетом микроклимата в доме, позднего окончания буднего дня, семейного отпуска. Но обобщить этот пример на более сложные системы довольно трудно: большинство ситуаций не сводится лишь к выбору между «слишком жарко» и «слишком холодно».
Исследования в области адаптивных и проактивных систем во многом перекрываются (см. рис. 1). И те, и другие должны подсказать нам средства, которые позволят кардинально улучшить архитектуру компьютеров.
Широкое применение компьютерных систем будущего не только дома и в офисе требует освоения новых принципов их проектирования. Остановимся на трех следующих принципах проактивных систем: связь с физическим миром; функционирование в масштабе реального времени и в замкнутом цикле; наличие методик, которые позволяют компьютерам предвидеть потребности пользователей. (Всего этих принципов семь; читатели, которых интересуют оставшиеся четыре принципа, могут найти их описание в Web по адресу http://www.intel.com/research .)
Связь с физическим миром. Значительная часть существующей в настоящее время вычислительной инфраструктуры связывает персональные компьютеры с массивом серверов. Созданная виртуальная среда позволяет нам порождать, обрабатывать и сохранять информацию, которая, через людей, может косвенно влиять на физический мир. Чтобы сформировать окружение, в котором компьютерные системы помогают нам в решении повседневных задач, физический мир должен быть оснащен такими компьютерными системами, которые способны детально изучать окружающую действительность, используя собранную информацию для эффективных воздействий на нее. Примером тому могут служить микроклиматические прогнозы погоды, мониторинг дорожного трафика и определение возможного местонахождения людей в здании, пострадавшем от землетрясения.
Нет необходимости говорить о том, что создание подобных систем связано с определенными проблемами. Во-первых, встают вполне прагматические вопросы, такие, как техподдержка, коммуникации и наличие подходящих источников электропитания. Во-вторых, вопросы координации и управления поднимаются на новый уровень сложности, необходимо создавать новые протоколы, позволяющие поддерживать соответствующие потоки данных, а управление энергопотреблением превращается в критически важный параметр для датчиков, которые должны работать от независимых источников энергии. Применение физических датчиков в глобальном масштабе - задача поистине грандиозная, но наше общество становится все сложнее, так что результат того стоит.
При масштабировании систем до такой степени, чтобы они были способны вести мониторинг физического мира, сразу же возникают проблемы, касающиеся администрирования и использования - т. е. именно те проблемы, на решение которых нацелена концепция адаптивных компьютерных систем. Поэтому мы не можем рассматривать существующие компьютерные системы как образец для подражания. Однако за счет использования простых узлов, которые можно описать подробно и по отдельности, мы в состоянии больше узнать о методиках, требующихся для поддержки более крупных сетей, собранных из традиционных компьютеров. Сложные беспроводные сети датчиков, подобные тем, с которыми мы работаем вместе с коллегами из Калифорнийского университета в Беркли , обладают именно такими характеристиками.
Функционирование в масштабе реального времени и в замкнутом цикле. Если предположить, что компьютеры будут более тесно интегрированы с физическим миром, обратная связь в реальном времени станет критически важным фактором. В 60-е годы компьютерные системы были либо полностью интерактивными, включающими человека в цикл управления, либо абсолютно негибкими, созданными на основе специализированной системы управления. Чтобы полностью интегрироваться в задачи реального мира, необходимо реагировать быстрее, чем это возможно в случае участия человека в цикле управления: они должны «отзываться» на события физического мира в реальном времени.
Если бы вычислительные системы общего назначения были бы перепроектированы таким образом, чтобы могли гарантировать обратную связь в реальном времени, появилось бы множество новых проактивных приложений. Однако большинство программных систем не гарантирует обратную связь в реальном времени, скрывая сложность за уровнями абстракции и не учитывая время ответа, определяемого разнообразными факторами. В мире встроенных систем, как правило, прибегают к помощи специализированного программного инструментария, использующего для критически важных управляющих воздействий возможности операционной системы реального времени, которые не поддерживаются большинством обычных платформ.
Предвидение. Предвидение - основа проактивных компьютерных систем. Чтобы системы были действительно проактивны, они, в некотором смысле, должны предсказывать будущее. Применение ряда перспективных методик позволит системам быстро обрабатывать ситуации реального мира, предоставляя требуемый уровень взаимодействия.
Операции, учитывающие контекст. Системы, поддерживающие мобильные и беспроводные коммуникации, дают возможность использовать контекстную информацию, например, о физическом местоположении и о готовности окружающей инфраструктуры, для того чтобы изменить поведение приложений. И адаптивные, и проактивные системы для принятия важнейших решений могут использовать контекст, учитывая состояние среды, в которой они работают. Адаптивные компьютерные системы могут быть полезны непосредственно для поддержки новых конфигураций, например, позволяя определять локальные ресурсы и подразумеваемые настройки операций. Проактивные системы, действующие на более высоком уровне, могут фильтровать информацию для отображения и настраивать результаты выполнения команд.
Местонахождение - один из наиболее полезных параметров для определения контекста, и предоставление мобильным устройствам и поддерживающим их системам высокоточной информации о местонахождении, - одна из первоочередных целей исследователей.
Статистические рассуждения. За последнее десятилетие значительно усовершенствованы подходы, в которых для решения важных проблем используются статистические методы. Они превзошли и даже заменили собой некоторые из более традиционных подходов, использующих детерминированные методы. Применение подобных методик к управлению и анализу сложных систем дает значительные преимущества как в ИТ, так и для управления процессами произвольной природы.
В некоторых Web-приложениях (например, в машине поиска Google), такие методики уже применяются для добычи данных. Кроме того, статистические методы с успехом используются и в других областях информатики, таких как распознавание речи, визуальная обработка и даже в алгоритмах маршрутизации, реализованных в некоторых средствах автоматизированного проектирования. В перспективе мы планируем использовать статистические методы для обработки событий физического мира в режиме реального времени.
Проактивная обработка данных. Экспоненциальный рост плотности хранения данных и увеличение сетевой полосы пропускания, предоставляемой для передачи данных, позволяет проактивным вычислительным системам быстро предоставлять данные пользователям без их непосредственного участия. Проактивные системы могут использовать мобильную память высокой плотности, благодаря чему системы способны заранее загружать данные, которые могут потребоваться пользователям в будущем, не обременяя их громоздкими мобильными устройствами. Точно также сети с широкой полосой пропускания могут за короткий период времени передавать большие объемы данных на сервер, физически расположенный недалеко от пользователя. Однако адаптивные методики должны доказать, что пользователи могут доверять подобным системам, гарантируя, что они будут работать в самых разных условиях.
И локальное кэширование данных, и перемещение данных могут играть важную роль в поддержке мобильности пользователей. Сети обеспечивают неоценимую оперативную связь, но если полагаться на них полностью, не подведут ли они пользователей, если окажутся не готовы или перегружены? С другой стороны, локальное кэширование данных может быть весьма полезно пользователю, если информация для кэширования выбрана разумным образом, хотя данные не всегда могут оказаться актуальными. За счет использования обеих этих методик проактивные компьютерные системы призваны предоставлять данные компьютерам, перемещающимся в физическом мире в реальном времени, тем самым, формируя единое представление.
Приведем краткое описание двух из серии проектов, выполняемых в Intel Research.
Labscape. Данный проект (выполняется совместно с Вашинтгтонским университетом) предусматривает модернизацию микробиологической лаборатории и обеспечение автоматизации регистрации и анализа результатов. Это первый пример среды, которой практически не коснулся прогресс в мире компьютерных систем. Labscape отвечает за наличие реактивов, лабораторной посуды, тестового оборудования и персонала и отслеживает их положение относительно друг друга во время экспериментов (рис. 2). При проведении любого эксперимента многие процессы необходимо регистрировать в лабораторном журнале; однако некоторые шаги иногда пропускаются, а реагенты порой загрязняют друг друга. В традиционной лаборатории эти ошибки может заметить только опытный сотрудник, и для контроля состояния не существует никакого внутреннего механизма. С помощью Labscape весь эксперимент можно записать электронным образом и автоматически генерировать в журнале запись, соответствующую методу и результатам. Преимущество такого подхода заключается в том, что ни один из шагов не будет случайно пропущен и, более того, экспертная система может анализировать данные на возможность возникновения риска загрязнения и другие ошибки эксперимента.
Сложная структура вычислений Labscape формируется в результате взаимодействия множества компонентов. Принципы адаптивных компьютерных систем позволяют компонентам надежно и эффективно взаимодействовать друг с другом. Однако это тоже выходит за рамки традиционных вычислительных сред, соприкасающихся с физическим миром, требующих ответа в реальном времени и исключения пользователей из вычислительного цикла там, где это возможно. Проактивные средства играют важную роль в управлении и координации подобных систем, позволяя делать выводы и используя контекст зарегистрированных данных и оценки риска.
Personal Server. Данный проект ориентирован на взаимодействие пользователя с персональными мобильными данными в окружающем его мире, определяемыми тенденциями в вычислениях, хранением и стандартами на беспроводную связь ближнего радиуса действия. Основной тезис состоит в том, что плотность хранения, которая ежегодно удваивается, приведет к появлению к 2012 году однодюймовых дисков, способных хранить более одного терабайта данных. При такой плотности информации станет возможным буквально носить в кармане большое количество данных, часть которых может быть действительно необходима, а часть - на всякий случай.
Устройство, которое мы называем Personal Server (рис. 3), может быть достаточно миниатюрным для того, чтобы человек всегда имел его под рукой. Возможно, оно будет встраиваться в сотовый телефон или его можно будет носить как украшение. Поскольку встроенный дисплей не является для Personal Server базовым интерфейсом, само устройство может быть совсем небольшим по размеру и при этом поддерживать самые широкие интерфейсные возможности. Оно рассчитано на использование окружающей вычислительной инфраструктуры и дисплеев, поэтому позволяет просматривать информацию на имеющихся по соседству мониторах, тем самым, освобождая пользователей от необходимости носить с собой тяжелый и громоздкий экран. Стандартные беспроводные протоколы, которые, как правило, предоставляют механизм для пересылки данных между устройством и хостом, могут в этом случае применяться специальным и проактивным образом для обнаружения полезной информации в среде и ее записи для последующего использования. Аналогичные возможности проявляются при взаимодействии одного Personal Server с другими Personal Server, которые могут сообщить конкретную информацию, поддерживая персональный взаимный обмен данными.И опять-таки, для того, чтобы эта система была работоспособной, необходимо реализовать принципы адаптивных компьютерных систем, которые позволят Personal Server выполнять самоконтроль, самовосстановление, самоконфигурирование и так далее, защищаясь от возможных враждебных данных и программ, которые могут на него обрушиться. Кроме того, проактивные методики требуются для прогнозирования типов данных, которые необходимы пользователю, на основе ранее сформированных шаблонов обращения к данным или контексту, в котором он работает.
Сетевые возможности встроенных компьютеров позволят разблокировать данные, которые сейчас доступны лишь локально и дадут нам возможность использовать вычислительные системы вне традиционных границ. По мере того, как эти данные будут передаваться в более крупные системы, появятся новые возможности, позволяющие добиться новых уровней производительности при работе с этими данными и предложить новые услуги, которые повлияют на нашу жизнь. Однако поскольку каждому человеку придется иметь дело с тысячами процессоров и лавиной данных, которые они предоставляют, нам придется перейти от интерактивных к проактивным парадигмам. Этот шаг и есть цель программы исследований Intel Research, посвященной проактивным компьютерным системам, в соответствии с которой академические организации и коммерческие компании будут разрабатывать механизмы, поддерживающие проактивное поведение.
Нас всех приводит в восторг эта гонка, поскольку в том, что касается технологического прогресса, вычислительная отрасль движется быстрее, чем любая другая в истории. Это происходит, главным образом, благодаря факторам экспоненциального роста, способствующих более высокой производительности процессоров, росту плотности памяти и снижению уровня энергопотребления. Однако гонка далека от завершения и под эгидой адаптивных и проактивных методик компьютеры откроют нам немало совершенно новых областей применения.
Тревор Перинг ([email protected] ) - научный сотрудник Intel Research. Интересуется различными аспектами мобильных и повсеместных вычислений, в том числе, моделями использования, управлением уровнем энергопотребления, новыми форм-факторами и программной инфраструктурой.
Дэвид Тенненхаус ([email protected] ) - вице-президент и директор по исследованиям корпорации Intel. Одним из первых занялся изучением сетей ATM, активных сетей, программного радио и средств настольной обработки мультимедиа. Занимал должность директора по науке и технологиям агентства DARPA, определяя стратегию исследований PRO-Active Computing, особое внимание в которой уделялось сетевой инфраструктуре встроенных и самоуправляемых систем.
R. Want, T. Pering, D. Tennenhouse, Comparing autonomic and proactive computing. IBM Systems Journal, Vol. 42, No. 1, 2003. Copyright IBM. All right reserved. Reprinted with permission.
СЕРГЕЙ ЯРЕМЧУК, фрилансер. Автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС
Проактивные системы защиты,
или Есть ли жизнь без антивируса?
Антивирусное программное обеспечение так тесно вошло в жизнь каждого пользователя компьютеров, что редко кто задумывается о наличии альтернативного решения. Существуют программы проактивной защиты компьютеров, которые в отличие от реактивных систем, используемых в настоящее время, способны обнаруживать новые угрозы.
Отношения пользователей по отношению к антивирусам варьируется от полной уверенности в защите до осознания того, что главное – выдержать первый удар. Действительно антивирусы сегодня несут уже не столько защитную функцию, а скорее используются как средство оценки нанесенного ущерба и удаления заразы. Антивирусные компании, полностью осознавая то, что вирус – это некий алгоритм, включающий не только программу со всеми командами, но и определенные действия, приводящие к поражению данных, упорно продолжают идти наиболее простым путем. И мы до сих пор пользуемся антивирусами, которые просто сравнивают набор знаков, взятых из антивирусных баз, с другим (файлом пользователя или оперативной памятью).
В итоге традиционные антивирусные решения фактически оказались не способны в одиночку противостоять качественному разнообразию существующих угроз. На одном из курсов, для того чтобы убедить скептиков, я распаковал вирус MyDoom, до этого благополучно распознаваемый антивирусами с обновленными базами, а затем запаковал уже другим упаковщиком. Антивирусы оказались не способны найти модернизированный, но работоспособный вариант вируса. Система обнаружения, основанная на опыте предыдущих атак, становится бесполезной при столкновении с неизвестным вирусом или шпионской программой. Для того чтобы сгенерировать сигнатуру, антивирусной компании необходимо получить экземпляр вируса, выделить специфический только для него фрагмент, и только после этого он будет занесен в базу. На все это уходит некоторое время (а вслучае полиморфного вируса процесс создания сигнатуры может еще более затянуться), в течение которого антивирусы не способны, противостоять новому врагу, но вполне достаточному, чтобы новый червь заразил сотни тысяч компьютеров. Классические сигнатурные антивирусы оказываются не способны предотвратить глобальные эпидемии.
С другой стороны, наблюдение за работой системы либо за основными файлами позволяет определить неприятности и предотвратить нападение, такие системы принято относить к классу систем предотвращения проникновения (Intrusion prevention systems) и проактивным системам защиты. В мире Linux давно известны такие проекты, как LIDS, RSBAC, grsecurity, tripwire и другие которые при правильной настройке надежно защищают систему. В последнее время стало заметно оживление и среди разработчиков систем безопасности для ОС Windows.
Прежде чем приступить к конкретным решениям, хотелось бы пару слов сказать об проблемах. Первое и самое трудное, что придется сделать – это убедить самого себя в том, что такая утилита способна защитить компьютер или хотя бы отреагировать. В течение двух лет мой подопытный компьютер защищался одним из бесплатных антивирусов, как правило, с базами полугодичной давности, межсетевым экраном и одной из программ, описанных ниже. За это время система подвергалась (и постоянно подвергается) многочисленным атакам, но заражения так и не произошло.
Вполне возможно, что просто повезло, а может, пора действительно пересмотреть взгляды. Но вся загвоздка в том, что утилиты требуют от пользователя определенных знаний и некоторого понимания происходящего в системе. Появление нового процесса должно насторожить пользователя, он должен как минимум прочитать предупреждающее сообщение и затем принять верное решение. Щелчок по кнопке без раздумий может привести к заражению. Хотя стоит отметить, что в последнее время такие программы, задают уже меньше вопросов, самостоятельно принимая решение.
Далее, если утилиты отреагируют на новый процесс, вызванный атакой червя, то, вполне возможно, смогут проспать макровирус, если он будет заражать только файл шаблонов или рабочий документ без создания новых файлов и процессов. Но в большинстве своем они реагируют на возникшую проблему. Естественно, лучше всего подобные программы устанавливать на «чистую» систему, так легче будет контролировать добавление программ в «белый» список. Плюс ко всему поведенческие программы не всегда могут остановить проникновение, и для того чтобы вылечить или найти зараженные файлы, все равно необходимо использовать антивирус, поэтому такие средства следует относить скорее к вспомогательным (подстраховочным), основной их задачей остается недопущение эпидемий, поскольку они могут блокировать массовые заражения. Для основной защиты по-прежнему необходимо использовать связку – межсетевой экран + антивирус.
Часовой по имени Scotty
Начну с программы, которой пользуюсь уже более двух лет. WinPatrol (http://www.winpatrol.com) текущая версия 9.1, статус freeware, поддерживаются Windows 95, 98, ME, 2000, NT и XP, размер – 0.98 Кб.
WinPatrol делает снимок критических системных ресурсов и предупреждает в случае любых изменений. После запуска в трее возле часов появится значок с изображением собаки, названной Scotty the Windows Watch Dog. Вот теперь этот самый Scotty WWD безустанно и будет следить за всем, что происходит на доверенном ему компьютере, «разнюхает» все о саморазмножающиеся вирусах, Adware, Spyware, троянах, пробравшихся на ваш компьютер и, конечно, Cookies, которые будут поступать к вам постоянно. Scotty позволяет подтверждать установку любых новых программ на компьютере. Вызвав программу, получим окно программы с несколькими вкладками (рис. 1):
Менеджер процессов AnVir Task Manager
Первое, что приходит в голову после знакомства с менеджером процессов AnVir Task Manager (http://anvir.com/anvirrus.exe), что это не серьезно. Виной является небольшой размер программы, чуть меньше 380 Кб. А зря. Несмотря на такой маленький размер, программа помогает:
При помощи AnVir Task Manager возможно остановить любой процесс, изменить приоритет, добавить в автозагрузку (рис. 3).
Антивирусная база содержит только наиболее распространенные вирусы, все запускаемые программы и записи реестра автоматически проверяются на наличие вирусов. Кроме всего прочего, в трее отображаются иконки загрузки процессора и диска, а из консоли управления можно быстро получить доступ к основным системным утилитам.
Перехват системных вызовов с Safe’n’Sec
Российская компания StarForce (http://www.star-force.ru) уже давно известна своим одноименным механизмом защиты дисков от нелегального копирования. Новая разработка Safe’n’Sec, представленная в ноябре прошлого года, практически сразу получила признание и была названа журналом PC Magazine/RE антивирусом месяца. При этом Safe’n’Sec не относится к антивирусам, а принадлежит к классу систем проактивной защиты, которые анализируют подозрительное поведение пользователя или программы. Для малых и средних предприятий, а также индивидуального использования предназначена версия Personal. В корпоративной версии Safe’n’Sec Business имеется административная консоль, которая позволяет системному администратору дистанционно инсталлировать и настраивать программу на компьютерах пользователей.
Версия 1.1, актуальная на момент написания статьи, доступна в двух вариантах – усеченная Safe’n’Sec ver. 1.1 и полная Safe’n’Sec ver. 1.1 + antivirus. Последняя, как понятно из названия, включает возможность антивирусной проверки. Основу продукта составляет модуль Intelligent activity control, позволяющий обнаруживать комбинированные атаки, предотвратить попытки внести изменения в системный реестр или состояние сервисов операционной системы, открыть доступ к регистрационным данным пользователя и пр. При этом механизм принятия решения Safe’n’Sec действует на основе правил, учитывающих все возможные последовательности действий, классифицируемых как вредоносные. Защита всех данных на компьютере пользователя осуществляется в соответствии с политикой контроля активности, определяющую, какие действия и их последовательность нужно считать вредоносными. На данный момент имеются три политики – жесткая, строгая и доверительная. После обнаружения подозрительного приложения Safe’n’Sec самостоятельно принимает решение об его вредоносности и уведомляет пользователя, который должен определить, что делать с таким приложением (разрешить или заблокировать) (рис. 4).
Причем для упрощения принятия решения доступна история активности, по которой он может подробно изучить последовательность действий, выполненных приложением. Дополнительно из консоли можно получить доступ к списку запрещенных и доверенных приложений, который можно здесь же отредактировать. Для тестирования работоспособности вместе с программой поставляется утилита snstest.exe, которая имитирует занесение данных в системный реестр, попытку записи и удаления из системного каталога.
Всесторонний контроль с RegRun
RegRun Security Suite (http://www.greatis.com) работает со всеми версиями Windows. Еще один комплект средств для защиты компьютера против вирусов или троянцев, spyware и adware. Он доступен в трех основных вариантах: Standart (для обычных пользователей, обеспечивает легкое управление и безопасность), Professional (имеет дополнительные возможности по работе с системным реестром, позволят быстро оптимизировать системные параметры и обеспечить надежную защиту), и самые большие возможности имеет Gold, предназначенная для профессионалов. По ссылке http://www.greatis.com/security/rus.exe доступен русификатор программы, к тому же на сайте http://www.ruhelp.narod.ru имеется неофициальный перевод файла помощи, облегчающий знакомство с программой.
После запуска RegRun активизируется защита, определяемая уровнем безопасности – от низкого до ультравысокого. В Центре Управления RegRun настраиваются параметры работы основных модулей (рис. 5). Например, «WATCH DOG» обеспечивает контроль за автозагрузкой в течение работы, он может быть настроен на проверку конфигурации автозагрузки при старте и выключении Windows либо через заданные промежутки времени. Если при проверке обнаруживаются изменения, пользователь будет извещен об этом, и дополнительно запустится утилита Start Control, при помощи которой можно получить детальную информацию об автоматически запускаемых программах.
Одной из самых полезных функций является File Protection, защищающая компьютер от вирусов, троянов и работающих со сбоями программ. Первоначально создается список файлов, состояние которых необходимо контролировать. Для последующего восстановления они копируются в хранилище, которое находится в «Мои документыRegRun». Правда, само хранилище почему-то программа никак не защищает и на подмену файлов никак не реагирует.
При обнаружении модификации защищаемых файлов будет выведено предупреждение, с указанием размера и даты создания обоих файлов. Теперь этот файл можно копировать, переименовать, удалить, открыть или просканировать антивирусной программой. Для поиска вирусов, не известных антивирусным программам, RegRun открывает и контролирует множество программ-«приманок», если обнаруживается изменение любого из этих файлов, RegRun сообщит о присутствии вируса. Для Windows такой приманкой является файл winbait.exe, автозапуск которой заносится в реестр и сравнивается с winbait.org, кроме того, предусмотрена возможность добавления своего подконтрольного файла. RegRun имеет базу данных приложений, которая содержит описание наиболее часто встречающихся программ, помогающую пользователю определить принадлежность к одной из четырех групп: необходимые, бесполезные, опасные и по вашему выбору. RegRun проверяет присутствие любых потенциально опасных программ и информирует пользователя о них, кроме того, он совместим со всеми известными антивирусами, и Антивирус Координатор может быстро проверить файлы, помещенные в автозагрузку. Дополнительно детектор подстановки сравнивает реальный путь к исполняемому файлу с загруженным. Например, если процесс с именем explorer.exe запускается не из папки c:windowssystem, а из другого места, то пользователь будет оповещен. Трассировщик системного реестра Registry Tracer, который имеется в версиях Professional или Gold, позволяет указать список ключей реестра, при попытке изменения которых RegRun выдаст предупреждающее сообщение.
Контроль целостности с Xintegrity
Немного другим путем пошли разработчики Xintegrity (http://www.xintegrity.com). Основная задача которой – контроль целостности и обнаружение любого даже самого незначительного изменения файлов. Кроме контроля содержания файлов, утилита обнаруживает изменения в структуре каталога, включая альтернативные потоки данных (Alternate Data Streams), изменения параметров доступа к файлам, регистрационных данных и сервисах. Для этого первоначально создается база данных, содержащая информацию о контролируемых приложениях. Интересно, что разработчики учли возможность скрытого применения утилиты, и можно задать любое название, расширение и месторасположение баз. Поэтому, назвав файл как-то буднично, например, kursovik.rtf или song.mp3 и положив в группу подобных файлов, можно ее скрыть. При создании базы возможны три варианта: в нее заносятся только контрольные суммы файлов, делается резервная копия всех данных, и резервные копии дополнительно шифруются (256 бит AES). В последних двух случаях, кроме контроля, позволяют восстанавливать измененные файлы. В качестве контрольной суммы можно использовать несколько вариантов – от 128-разрядной хеш-функции MD5 до AES с 256-разрядной длиной ключа. При помощи Xintegrity можно проверять целостность файлов по требованию или запустить ее в фоновом режиме, тогда при обнаружении изменения пользователь будет сразу же уведомлен. Когда Xintegrity обнаружит такой измененный файл, пользователю будет выдана подробная информация о том, как и когда файл был изменен, и при определенных опциях создания базы будет предложено заменить его резервной копией. Например, на рис. 7 выведено различие контролируемого файла и этого же файла, зараженного вирусом Win32.HLLP.Underscore.36864.
В целях безопасности при открытии базы Xintegrity автоматически проверяет как себя, так и все зарегистрированные базы на предмет целостности. При создании базы данных в нее можно занести все файлы, лежащие в определенном каталоге, либо при помощи набора фильтров отобрать файлы, удовлетворяющие определенным критериям (размер, время модификации или создания, по типу, содержимому, атрибутам и функциональным возможностям). Имеется пункт, включающий в себя все вышеперечисленное, а также поддерживается Drag’and’Drop и вставка файла с буфера обмена. Файлы, расположенные на дисках с файловой системой FAT32, NTFS, и сетевые папки могут быть перечислены в одной базе данных. Как видите, можно задать практически любые условия. Поэтому можно создать несколько баз, в одну собрать исполняемые и системные файлы, в другую – сетевые ресурсы, к которым имеете доступ, в третью – ресурсы, способные работать в сети. И для каждой задать свой режим проверки.
Заключение
Существующие на сегодняшний день решения в области защиты информации эффективны в борьбе с уже известными угрозами и уязвимостями. Время реакции антивирусных компаний после обнаружения неизвестного вируса можно назвать медленным и достаточным для поражения тысяч компьютеров. Но тенденции позволяют говорить о том, что нас ждет появление новых методов распространения угроз, с еще большей скоростью размножения. Новые угрозы требуют нового подхода. В статье описаны только самостоятельные приложения. Между тем производители уже встраивают подобные инструменты в свои утилиты. Например, Tiny Firewall (http://www.tinysoftware.com) содержит Host Security Engine (HSE), по принципу работы несколько напоминающий проактивные антивирусы, а при помощи Track’n Reverse позволяет в случае обнаружения зловредной утилиты вернуть систему в исходное состояние. Или продукт компании Aladdin (http://www.eAladdin.com) eSafe (http://www.esafe.com) использует, кроме традиционных средств, и проактивный антивирус (Proactive Security Engine). По мнению многих аналитиков, ближайшее время пройдет под знаком проактивной защиты.
