Пояснительная записка. Никифоров В.Н., 24Б. (1205536), страница 3
Текст из файла (страница 3)
Невозможность лечения – и в силу возможных ложных срабатываний, и в силу возможного неточного определения типа вируса, попытка лечения может привести к большим потерям информации, чем сам вирус, а это недопустимо
Низкая эффективность – против действительно новаторских вирусов, вызывающих наиболее масштабные эпидемии, этот вид эвристического анализа малопригоден.
Другой метод, основанный на эвристике, исходит из предположения, что вредоносные программы так или иначе стремятся нанести вред компьютеру. Метод основан на выделении основных вредоносных действий, таких как например:
– удаление файла;
– запись в файл;
– запись в определенные области системного реестра;
– открытие порта на прослушивание;
– перехват данных вводимых с клавиатуры;
– рассылка писем.
Выполнение каждого такого действия по отдельности не является поводом считать программу вредоносной. Но если программа последовательно выполняет несколько таких действий, например, записывает запуск себя же в ключ автозапуска системного реестра, перехватывает данные вводимые с клавиатуры и с определенной частотой пересылает эти данные на какой-то адрес в Интернет, значит эта программа по меньшей мере подозрительна. Основанный на этом принципе эвристический анализатор должен постоянно следить за действиями, которые выполняют программы. Преимуществом описанного метода является возможность обнаруживать неизвестные ранее вредоносные программы, даже если они не очень похожи на уже известные.
Безопасность на основе политик
Политика безопасности набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. В частности, правила определяют, в каких случаях пользователь имеет право оперировать с определенными наборами данных. Чем надежнее система, тем строже и многообразнее должна быть политика безопасности. В зависимости от сформулированной политики можно выбирать конкретные механизмы, обеспечивающие безопасность системы. Политика безопасности – это активный компонент защиты, включающий в себя анализ возможных угроз и выбор мер противодействия. Политика безопасности является необходимым атрибутом любой продуманной стратегии защиты от ИТ-угроз. Продуманная политика позволяет в несколько раз уменьшить риск заражения вредоносной программой, атаки хакеров или утечки конфиденциальной информации. Простой пример – запрет на открытие вложенных файлов из электронных писем снижает риск заражения почтовым червем практически до нуля. Запрет на использование сменных носителей также снижает риск проникновения вредоносного кода. К разработке политики всегда нужно подходить очень взвешенно и учитывать потребности и бизнес-процессы всех подразделений и работников компании. Кроме вышеописанного подхода к политике безопасности, в материалах различных производителей встречаются упоминания безопасности на основе политик (policy-based security). На сегодняшний день существует несколько подходов к такому способу обеспечения безопасности. Подход Trend Micro – Trend Micro Outbreak Prevention Services. Данный сервис подразумевает распространение неких политик, позволяющих предотвратить эпидемию. Т.е. политика распространяется до появления обновления антивирусных баз или патчей. С первого взгляда кажется, что данное решение выглядит разумным, но дело в том, что скорость добавления процедур обнаружения нового malware в Trend Micro низка и данное решение сделано для того, чтобы «заткнуть дыру» медленной работы антивирусной лаборатории TrendLab. Кроме этого, на формирование политики также требуется время (не всегда меньшее, чем на анализ вируса для добавления процедур детектирования в АВ базу) и все равно есть промежуток времени, в который пользователь остается беззащитным перед новой угрозой. Другим недостатком данного подхода является частота смены политик безопасности. Все плюсы от безопасности на основе политик заключаются в малой частоте смены самой политики. Это позволяет персоналу привыкнуть к тому, что и как делать можно, а что запрещено. Если же политики будут меняться по нескольку раз в день, это просто внесет сумятицу и приведет к тому, что никакой политики безопасности не будет. Корректнее всего назвать метод Trend Micro не policy-based security, а ускоренным выпуском неких сигнатур. Исключение составляют политики, которые делают невозможной эксплуатацию тех или иных уязвимостей в программном обеспечении. Подход Cisco-Microsoft. Ограничение доступа в корпоративную сеть для компьютеров, которые не соответствуют политике безопасности компании (например, отсутствуют необходимые обновления операционной системы, нет последних обновлений антивирусных баз и т.д.). Для приведения компьютера в соответствие политике, выделяется доступ только на специальный сервер обновлений. После установки всех необходимых обновлений и выполнения других действий, требуемых политикой безопасности, компьютер получает доступ в корпоративную сеть.
Методы проактивной защиты
На сегодняшний день методы проактивной защиты интегрируются в антивирусные программы, ранее использовавшие лишь реактивные системы защиты, а также на основе проактивных методов создаются новые антивирусные системы, комбинирующие несколько методов проактивной защиты, и позволяющие эффективно противостоять новейшим угрозам.
На сегодняшний день наиболее известны и часто применимы следующие методы проактивной защиты:
– методы поведенческого анализа;
– методы ограничения выполнение операций;
– методы контроля целостности ПО и ОС.
Методы предотвращения вторжений (IPS-методы):
HIPS – метод контроля активности, основанный на перехвате обращений к ядру ОС и блокировке выполнения потенциально опасных действий ПО, работающего в user-mode, выполняемых без ведома пользователя. Принцип работы HIPS-система с помощью собственного драйвера перехватывает все обращения ПО к ядру ОС. В случае попытки выполнения потенциально опасного действия со стороны ПО, HIPS-система блокирует выполнение данного действия и выдает запрос пользователю, который решает разрешить или запретить выполнение данного действия.
Преимущества систем, построенных на методе HIPS:
– низкое потребление системных ресурсов;
– не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
– высокая эффективность противостояния угрозам;
– высокая эффективность противодействия руткитам, работающим в user-mode.
Недостатки систем, построенных на методе HIPS:
– низкая эффективность противодействия руткитам, работающим в kernel-mode;
– большое количество обращений к пользователю ПК;
– пользователь должен обладать знаниями о принципах функционирования ОС;
– невозможность противодействия активному заражению ПК.
VIPS – метод контроля активности, основанный на мониторинге выполняемых операций ПО, установленном на ПК, и блокировке выполнения потенциально опасных действий ПО, выполняемых без ведома пользователя. Принцип работыVIPS-система при помощи технологий аппаратной виртуализации (Intel VT-x, AMD-V) запускает ОС в «виртуальной машине» и осуществляет контроль всех выполняемых операций. В случае попытки выполнения потенциально опасного действия со стороны ПО, VIPS-система блокирует выполнение данного действия и выдает запрос пользователю, который решает разрешить или запретить выполнение данного действия.
Преимущества систем, построенных на методе VIPS:
– низкое потребление системных ресурсов;
– высокая эффективность противостояния угрозам;
– высокая эффективность противодействия руткитам, работающим и в user-mode, и в kernel-mode.
Недостатки систем, построенных на методе VIPS:
– требовательны к аппаратному обеспечению ПК (для работы VIPS-системы необходима аппаратная поддержка процессором технологий аппаратной виртуализации (Intel VT-x или AMD-V);
– большое количество обращений к пользователю ПК;
– пользователь должен обладать знаниями о принципах функционирования ОС;
– невозможность противодействия активному заражению ПК.
Песочница (sandbox) – метод, основанный на выполнении потенциально опасного ПО в ограниченной среде выполнения (т.н. «песочнице»), которая допускает контакт потенциально опасного ПО с ОС. Принцип работы Песочница разделяет установленное ПО на две категории: «Доверенные» и «Не доверенные». ПО, входящее в группу «Доверенные», выполняется без каких-либо ограничений. ПО входящее в группу «Не доверенные» выполняется в специальной ограниченной среде выполнения (т.н. песочнице), данному ПО запрещено выполнение любых операций, которые могут привести к краху ОС.
Преимущества систем, построенных на методе песочница (sandbox):
– низкое потребление системных ресурсов;
– не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
– малое количество обращений к пользователю ПК.
Недостатки систем, построенных на методе песочница (sandbox):
– пользователь должен обладать знаниями о принципах функционирования ОС;
– невозможность противодействия активному заражению ПК.
Поведенческий блокиратор (метод активного поведенческого анализа) – метод, основанный на методах IPS, анализа в реальном времени цепочек действий ПО и блокирования выполнение потенциально опасных алгоритмов в реальном времени. Принцип работы Различные проактивные системы защиты используют различные концепции реализации метода активного поведенческого анализа (т.к. метод активного поведенческого анализа может быть построен на базе любого IPS-метода). В общем и целом, метод активного поведенческого анализа представляет собой IPS-метод с интеллектуальной системой принятия решений, анализирующей, не отдельные действия, а цепочки действий.
Преимущества систем, построенных на методе активного поведенческого анализа:
– меньшее количество обращений к пользователю, по сравнению с системами, построенными на IPS-методах;
– низкое потребление системных ресурсов;
– не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах).
Недостатки систем, построенных на методе активного поведенческого анализа:
– интеллектуальная система вынесения вердиктов может вызывать «ложные срабатывания» (блокирование работы не вредоносного ПО, из-за совершения операций, схожих с деятельностью вредоносного ПО);
– невозможность противодействия активному заражению ПК.
Методы эмуляции системных событий (метод пассивного поведенческого анализа) – метод определения вредоносного ПО путем анализа действий и/или цепочки действий с помощью выполнения ПО в специальной ограниченной среде (т.н. эмуляторе кода), имитирующей реальное аппаратное обеспечение. Принцип работы ПО запускается в специальной ограниченной среде (т.н. эмуляторе кода), имитирующей реальное аппаратное обеспечение, где производится проверка на выполнение определенных действий и/или цепочки действий. Если обнаружена возможность выполнения потенциально опасного действия и/или цепочки действий, ПО помечается как вредоносное.
Преимущества систем, построенных на методе активного поведенческого анализа:
– не требуют специальных знаний или навыков со стороны пользователя;
– не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
– отсутствие обращений к пользователю, за исключением случаев обнаружения вредоносного ПО.
Недостатки систем, построенных на методе активного поведенческого анализа:
– в некоторых случаях анализ кода может занимать достаточно продолжительное время;
– широкое применение методик противодействия эмуляции кода вредоносного ПО, поэтому системы, использующие метод пассивного поведенческого анализа, могут противостоять не всем видам вредоносного ПО;
– невозможность противодействия активному заражению ПК.
Сканер целостности осуществляет постоянный мониторинг ядра ОС, на предмет выявления изменений, которые могло произвести вредоносное ПО. В случае обнаружения изменений, внесенных вредоносным ПО об этом оповещается пользователь и по возможности производится откат действий, произведенных вредоносными ПО. Принцип работы сканер целостности осуществляет мониторинг всех обращений к ядру ОС. В случае обнаружения попытки изменения критически важных параметров, операция блокируется.
Преимущества систем, построенных на методе «сканер целостности»
– не требуют специальных знаний или навыков со стороны пользователя;
– не требовательны к аппаратному обеспечению ПК (могут работать на различных платформах);
– малое количество обращений к пользователю.
Недостатки систем, построенных на методе «сканер целостности»:
– для осуществления контроля целостности необходимо контролировать большое количество различных параметров, что может негативно сказаться на производительности ПК;
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
