Статьи

сервіс репутацій

Не секрет, що сьогодні написання вірусів давно стало розвиненим бізнесом . Це свого роду промисловість. Часи хакерів-одинаків давно в минулому. Подобається нам чи ні, але боротьба з вірусами - це боротьба з міжнародним злочинним співтовариством. основна ціль вирусописателей сьогодні - гроші!

Уже давно спостерігається поділ праці - один знаходить уразливості , Інший реалізує їх у вигляді тих чи інших закінчених рішень, третій продає ці рішення на біржі, четвертий купує і застосовує, а п'ятий все це оплачує ...

Звернімося до фактів.

Фахівці лабораторії G Data Security Labs виявили на підпільному форумі розпродаж мереж дистанційно керованих зловмисниками комп'ютерів - так званих ботів , Які в разі активації можуть викликати масивну хвилю шкідливого коду по всій мережі Інтернет. Так званий бот-конструктор Aldi Bot з'явився в кінці серпня за ціною всього 10 Євро. Частина шкідливого коду дуже нагадує знамениту мережу ZeuS.

Суть пропозиції: програма-билдер + бот + поновлення + допомога в інсталяції = € 10. Більш того, кілька днів тому ціна досягла € 5 Євро.

Для новаків хакерських атак, які не мають ні найменшого уявлення, як працюють інструменти для організації атаки, він проводить спеціальний курс «Молодого бійця». Більш того, турботливий автор також використовує TeamViewer для того, щоб зробити своїх покупців ще більш впевненими і готовими до атаки. Це дуже нагадує своєрідну службу клієнтської підтримки для хакерів .

А тепер ближче до справи: наявність такого дешевого шкідливого коду на ринку (ціна Aldi Bot вже опустилася до 5 Євро), робить організацію DDoS-атаки розвагою і легким способом заробити гроші. Молоді хакери можуть купити програму для створення бот-мережі разом з оновленнями і технічною підтримкою на гроші, які були виділені батьками на кишенькові витрати.

Таким чином, стає зрозумілим різкий, лавиноподібне зростання, числа шкідливих програм .

І знову факти.

За даними Лабораторії Касперського:

  • 200 000 000 мережевих атак блокується щомісяця
  • 2 000 вразливостей в додатках виявлено тільки в 2010 році
  • 35 000 шкідливих програм з'являється щодня
  • 19 000 000 + нових вірусів з'явилося в 2010 році
  • 30 000+ нових загроз з'являється в день
  • щодня з'являється близько 70 000 нових шкідливих програм.

200 000 000 мережевих атак блокується щомісяця   2 000   вразливостей   в додатках виявлено тільки в 2010 році   35 000 шкідливих програм з'являється щодня   19 000 000 + нових   вірусів   з'явилося в 2010 році   30 000+ нових загроз з'являється в день   щодня з'являється близько 70 000 нових шкідливих програм

Малюнок 1 Обсяг антивірусних оновлень (за даними "Лабораторії Касперського")

Малюнок 1 Обсяг антивірусних оновлень (за даними Лабораторії Касперського)

Малюнок 2 Зростання числа вірусів за версією компанії G-Data

Нескладно зробити висновок про те, що число вірусів зростає лавиноподібно. І в цій війні, використовуючи існуючі технології, антивірусні компанії скоро прийдуть до того, що ресурсів ПК вистачатиме виключно на роботу антивіруса .

З початку антивірусної індустрії склався зрозумілий механізм забезпечення захисту, коли від потерпілого користувача або з іншого джерела лабораторія отримувала зразок шкідливого файлу і після всебічного аналізу випускала оновлення до базі сигнатур вірусів разом з рецептом з видалення зарази. Всі клієнти завантажували це оновлення і отримували актуальну захист. Зрозуміло, що була частка тих, хто заражався раніше, ніж отримував оновлення, але таких було відносно мало. У міру зростання числа загроз, виробникам антивірусів довелося максимально автоматизувати процес аналізу нових видів загроз, використовуючи евристичні механізми і навіть вбудувати подібні механізми в самі антивіруси. При цьому частота оновлень збільшилася, і випуски стали щоденними і навіть повсякчасними.

Незважаючи на успіхи антивірусних компаній в описаних способах прискорення випуску оновлень, очевидно, що експоненціальне зростання числа нових погроз не залишає до цього підходу шансу. З одного боку, антивірусні компанії не в силах нарощувати людські ресурси такими ж експонентними темпами. З іншого боку, обсяг випущених оновлень виходить за всі розумні межі.

У свій час в індустрії безпеки існувала думка, що описану проблему раз і назавжди вирішать так звані евристичні технології, тобто методики детектування не на основі сигнатури, а з використанням методів штучного інтелекту , Вбудованого в антивірус . Ці технології набули широкого поширення, але проблеми вирішити не змогли. Кращі приклади реалізації евристичного аналізу забезпечують рівень виявлення в межах 50-70% для знайомих сімейств вірусів і абсолютно безсилі перед абсолютно новими видами атак.

На даний момент сформувалося спільне бачення, що поле боротьби з погрозами, яке зводиться до того, що розпізнавати загрози необхідно безпосередньо в розподілених центрах обробки даних антивірусної компанії, а не тільки на комп'ютері кінцевого користувача. Таке перенесення центру ваги технології в Інтернет називається « хмарним ».

Перехід до хмарних технологій дозволяє спростити архітектуру продукту, який користувач ставить на свій комп'ютер, адже тепер для кожного підозрілого ресурсу надається невелике за обсягом оновлення, індивідуально завантажувати з хмари практично в реальному часі. Зрозуміло, що розроблені технології істотно складніше, адже багато процесів в комп'ютері вимагають часу реакції, якого не дозволяє досягти швидкість отримання подібних оновлень. Крім цього, необхідно забезпечити захист в той момент, коли комп'ютер взагалі не підключений до Мережі. Проте, хмарні технології є ключем до забезпечення безпеки не найпотужніших комп'ютерів, таких як нетбуки, планшети і смартфони .

За даними дослідження, проведеного в другому кварталі 2010 року компанією NSS Labs , Час, необхідний антивірусним компаніям для блокування web-загроз, становить від 4,62 до 92,48 години ( http://nsslabs.com/host-malware-protection/q2-2010-endpoint-protection-product-group-test-report.html ). Подальше принципове збільшення максимальної швидкості реакції на загрози за допомогою звичайних антивірусних оновлень неможливо, так як витрати часу на виявлення « зловредів », Їх подальший аналіз і тестування формуються антивірусних оновлень вже зведені до мінімуму.

Що таке сервіс репутації?

сервіси репутації показують надійність того чи іншого джерела (пошта, інтернет), показують репутацію (наскільки широко застосовується, чи є зловмисним) того чи іншого програмного забезпечення. При цьому обчислення репутації проводиться на серверах відповідного виробника в інтернеті.

Як це працює?

Розглядаючи сервіси репутації, варто розрізняти хмарні сервіси репутації , Що застосовуються сьогодні в браузерах Google Chrome , Safari , Opera , Internet Explorer , [1] і антивірусні хмарні сервіси репутації . І хоча в роботі даних сервісів все ж є багато спільного, однак є і відмінності.

Сервіси репутації в браузерах

Розглянемо, як працюють сервіси репутації в різних браузерах .

Google Chrome

функція безпечного перегляду Google Chrome, що відповідає за виявлення фішингу і шкідливого ПО, включена за замовчуванням. При спробі відвідування сайту, підозрюваного у фішингу або розповсюдженні шкідливого ПО, браузер показує попередження.

Малюнок 3. Попередження про фішинговому сайті в Google Chrome

Функція безпечного перегляду захищає вас від фішингу та шкідливих програм двома способами. По-перше, Google Chrome завантажує і зберігає на вашому ПК оновлені списки заражених сайтів через 5 хвилин після запуску, а потім з інтервалом у півгодини.

Для прискорення застосовується хешування посилань за алгоритмом SHA-256. При цьому в список заносяться тільки перші 32 біта з 256. Всі відвідувані вами посилання хешіруются і порівнюються зі списком. При збігу перших 32 біт відправляється запит на сервер і порівнюється повний хеш. У разі повного збігу виводиться повідомлення про те, що дана сторінка може розцінюватися як шкідлива (рис.3).

У разі якщо комп'ютер звертається в Google для запиту інформації про конкретний фрагменті URL або для оновлення списку, буде відправлений стандартний набір даних, в тому числі ваш IP-адреса , А іноді і файл cookie. На основі цих даних неможливо встановити особу. Крім того, ці дані зберігаються в Google всього кілька тижнів. Вся інформація, отримана таким чином буде захищено відповідно зі стандартними умовами політики конфіденційності Google .

По-друге, безпечний перегляд захищає від цільового фішингу (так званого spear-phishing), при якому сайт може бути ще не зареєстрований в Google списках небезпечних сайтів. Для цього Chrome аналізує зміст сайту і, якщо воно здається підозрілим, видає попередження.

Крім того, якщо ви вирішили надавати Google статистику про використання і зайшли на сайт, який може виявитися небезпечним, в Google відправляються і деякі інші дані, в тому числі повний URL відвідуваною сторінки, заголовок referer, відправлений на цю сторінку, і URL, який співпав з одним з адрес у списку шкідливого ПО функції Безпечного перегляду Google.

Хотілося б також підкреслити що з 5 квітня 2011 року Google Chrome навчився блокувати завантаження шкідливих файлів за допомогою того ж Safe Browsing API.

Відключити цю функцію можна в меню «Параметри - Розширені - Конфіденційність». Для цього досить зняти прапорець «Увімкнути захист від фішингу та шкідливих програм».

Сповіщення Google Chrome про фішинг і шкідливі програми

При включеному захисті від фішингу та шкідливих програм відображає наступне повідомлення.

Повідомлення

значення

Увага! Виявлено проблему.

Це повідомлення відображається для сайтів, які Google Chrome визначає як потенційно містять шкідливе ПЗ.

Увага! Можливо, цей сайт створений з метою фішингу.

Це повідомлення з'являється, коли Google Chrome виявляє, що відвідуваний вами сайт підозрюється у фішингу.

Антифішинговий захист в Opera

У цьому браузері для захисту від фішингу використовується функція «Захист від шахрайства» (Fraud and Malware Protection), включена за замовчуванням. На початку кожного сеансу з конкретним веб-сайтом вона перевіряє адресу, використовуючи шифрований канал (Https): передає ім'я домену та адреса запитуваної сторінки на спеціальний сервер, де шукає його в чорних списках фішингових посилань, які формуються Netcraft (www.netcraft.com) і PhishTank (www.phishtank.com), а також в списках сайтів з шкідливим ПО, які веде « Яндекс ».

якщо доменне ім'я співпаде з ім'ям з чорного списку, сервер Fraud and Malware Protection поверне браузеру XML-документ, в якому буде описана проблема (фішинг або шкідливі програми).

При цьому необхідно врахувати:

  • Opera Fraud and Malware Protection server не зберігаються IP-адреса користувача або будь-яку іншу ідентифікує його інформацію. Ніяка сесійний інформація, включаючи cookies, не зберігається;
  • в будь-який час можна відключити функцію «Захист від шахрайства» в меню «Налаштування - Розширені (Crtl-F12) - Безпека».

Ніяка сесійний інформація, включаючи cookies, не зберігається;   в будь-який час можна відключити функцію «Захист від шахрайства» в меню «Налаштування - Розширені (Crtl-F12) - Безпека»

Малюнок 4. антифішингових фільтр в Opera

Якщо веб-сайт знайдений в чорному списку, в браузері відкриється сторінка з попередженням. Користувачеві доведеться вирішити, відвідувати цю підозрілу сторінку або повернутися на свою домашню. Механізм захисту від шахрайства не робить ніякого впливу на швидкість відкриття веб-сторінок.

Малюнок 5. Попередження про шахрайство в Opera

Safari

За замовчуванням модуль захисту від фішингу в цьому браузері включений. Для пошуку фішингових сайтів він використовує технології Google.

Як тільки користувач намагається відкрити підозрілу сторінку в Safari , Браузер з'єднується з Google і запитує інформацію з двох основних баз Google: бази фішингових посилань і бази посилань шкідливого ПЗ. При наявності збігу користувач повинен побачити сторінку з попередженням.

При наявності збігу користувач повинен побачити сторінку з попередженням

Малюнок 6. Попередження про перехід на сайт, що містить шкідливі програми,

Фільтр SmartScreen в Internet Explorer 9

Починаючи з Internet Explorer 8 до складу IE входить фільтр SmartScreen - набір технологій, призначений для захисту користувачів від можливих інтернет-загроз, в тому числі загроз соціальної інженерії . Базується SmartScreen на технології фішингових фільтра і призначений для захисту користувачів від відомих шкідливих веб-вузлів. Крім того, даний фільтр включає захист від ClickJacking, технології, застосовуваної для перехоплення клавіш, спотворення веб-сторінок і т.д. За замовчуванням він включений.

Фільтр SmartScreen в Internet Explorer 9 використовує відразу кілька технологій. В першу чергу відбувається порівняння адреси відвідуваного сайту зі списком відомих шахрайських і шкідливих сайтів. Якщо сайт знайдений в цьому списку, більше перевірок не проводиться. В іншому випадку він аналізується на предмет наявності ознак, характерних для шахрайських сайтів . Також можлива відправка адреси того сайту, куди користувач збирається зайти, онлайн-службі Microsoft, яка шукає його в списку фішингових і шкідливих сайтів. Причому доступ до онлайн-службі проводиться асинхронно по SSL-з'єднання, так що це не позначається на швидкості завантаження сторінок. Однак звернення до даної службі користувач може заборонити.

щоб зменшити мережевий трафік , На клієнтському комп'ютері зберігається зашифрований DAT-файл зі списком тисяч найбільш відвідуваних вузлів; всі включені в цей список не піддаються перевірці фільтром SmartScreen.

Для захисту від фішингу та експлойтів фільтр SmartScreen досліджує рядок URL цілком, а не підмножина адрес URL, на які заходив користувач, а значить, службі URL Reputation Service (URS) можуть бути передані особисті відомості, оскільки іноді вони знаходяться в самому рядку URL.

Разом з тим необхідно додати, що до складу SmartScreen входить і перевірка репутації завантаження Application Reputation Service (ARS)

При завантаженні програми в IE9 ідентифікатор файлу і видавця додатка (якщо вона підписана цифровим підписом ) Відправляються на перевірку за допомогою нової послуги репутації додатків в хмарі. Якщо програма має репутацію, то попередження відсутній. Якщо ж файл буде завантажуватися з шкідливого сайту, IE9 блокує закачування, так само, як і IE8. Однак, якщо файл не має репутації, IE покаже це в рядку повідомлення і менеджері завантаження, що дозволить прийняти обґрунтоване рішення про довіру до цього файлу.

Фільтр SmartScreen в Internet Explorer 9 попереджає користувача про підозрілих або вже відомих шахрайських веб-вузлах. При цьому фільтр проводить аналіз вмісту відповідного сайту, а також використовує мережу джерел даних для визначення ступеня надійності сайту. Фільтр SmartScreen поєднує аналіз веб-сторінок на стороні клієнта на предмет виявлення підозрілої поведінки з онлайн-службою, доступ до якої користувач дозволяє або забороняє. При цьому реалізується три способу захисту від шахрайських і шкідливих вузлів.

i. Порівняння адреси відвідуваного сайту зі списком відомих сайтів. Якщо сайт знайдений в цьому списку, більше перевірок не проводиться.

ii. Аналіз сайту на предмет наявності ознак, характерних для шахрайських сайтів.

iii. Відправка адреси сайту, на який користувач збирається зайти, онлайн-службі Microsoft, яка шукає сайт в списку фішингових і шкідливих сайтів. При цьому доступ до онлайн-службі проводиться асинхронно по SSL-з'єднання, так що це не позначається на швидкості завантаження сторінок.

Щоб уникнути затримок звернення до URS виробляються асинхронно, так що на роботі користувача це не відбивається. Щоб зменшити мережевий трафік, на клієнтському комп'ютері зберігається зашифрований DAT-файл зі списком тисяч найбільш відвідуваних вузлів; всі включені в цей список вузли не піддаються перевірці фільтром SmartScreen. У фільтрі SmartScreen також застосовується механізм локального кешування адрес URL, що дозволяє зберігати раніше отримані рейтинги вузлів і уникнути зайвих звернень по мережі. Один із способів виявлення потенційно підставних вузлів, застосовуваний службою URS, - збір відгуків користувачів про раніше невідомі вузлах. Користувач може вирішити, чи слід відправляти інформацію про вузол, який викликає у нього підозри.

Для захисту від фішингу та експлойтів фільтр SmartScreen досліджує рядок URL цілком, а не підмножина адрес URL, на які заходив користувач. Врахуйте, що службі URS можуть бути передані особисті відомості, оскільки іноді вони знаходяться в самому рядку URL.

Фільтр SmartScreen можна включати або відключати вибірково для кожної зони безпеки, але тільки в тому випадку, коли ця функція включена глобально. За замовчуванням фільтр SmartScreen включений для всіх зон, крім місцевої інтрамережі. Якщо ви захочете виключити деякі вузли зі списку перевіряються фільтром SmartScreen, але не відключати при цьому фільтр повністю, то необхідно включити фільтр глобально, а потім відключити фільтрацію тільки для зони «Надійні вузли», після чого окремі сайти додати в цю зону. Для того щоб користувачі в організації не могли відключити фільтр SmartScreen, необхідно застосувати групову політику.

Сервіси репутацій в антивирусах

Основні принципи роботи Kaspersky Security Network

складовими частинами Kaspersky Security Network (KSN) є кілька підсистем:

  • Географічно розподілений моніторинг актуальних загроз на комп'ютерах користувачів
  • Миттєва доставка зібраних даних на сервери «Лабораторії Касперського»
  • Аналіз отриманої інформації
  • Розробка і застосування заходів щодо захисту від нових загроз.

За допомогою KSN автоматично збирається інформація про спроби зараження, підозрілих файлах, завантажених і виконуваних на ПК користувачів, незалежно від джерела їх появи (веб-сайти, листи, однорангові мережі і т.д.

В Kaspersky Security Network автоматично надходить інформація про спроби зараження , Яка потім передається експертам «Лабораторії Касперського». Також збирається інформація про підозрілі файли, завантажених і виконуваних на комп'ютерах користувачів, незалежно від джерела їх отримання (веб-сайти, поштові вкладення, однорангові мережі і т.д.). Для відправки інформації в KSN потрібна згода користувача. Користувачі корпоративних рішень «Лабораторії Касперського» зазвичай не беруть участь у формуванні бази даних Kaspersky Security Network. Конфіденційна інформація - паролі та інші особисті дані - в KSN не передається.

Інформація про спроби зараження надходить на сервери «Лабораторії Касперського» і піддається аналізу з використанням всіх ресурсів компанії. Це забезпечує надзвичайно швидку і надійну ідентифікацію нових програм - як шкідливих, так і легітимних. Вердикт про безпеку програми виноситься на підставі присутності цифрового підпису, що засвідчує її походження і гарантує цілісність програми, а також ряду інших ознак. Програма, визнана безпечною, включається до списку довірених додатків.

Якщо після закінчення перевірки програма визнається шкідливою, дані про неї надходять в Urgent Detection System (UDS), і ця інформація стає доступною користувачам «Лабораторії Касперського» ще до створення відповідної сигнатури і включення її в оновлення антівірусніх баз . Таким чином, клієнти «Лабораторії Касперського» отримують оперативну інформацію про нові та невідомих загроз через лічені хвилини після початку кібератаки , В той час як традиційні антивірусні бази , Які, як правило, оновлюються раз на кілька годин.

Таким чином, клієнти «Лабораторії Касперського» отримують оперативну інформацію про нові та невідомих загроз через лічені хвилини після початку   кібератаки   , В той час як традиційні   антивірусні бази   , Які, як правило, оновлюються раз на кілька годин

Програма, що запускається користувачем, перевіряється по білим списками і базі UDS. Залежно від результатів цієї перевірки програма отримує права доступу до ресурсів комп'ютера або блокується. Kaspersky Security Network грає важливу роль в поповненні цих списків і баз і підтримці їх в актуальному стані, забезпечуючи надійний контроль запускаються.

Схема роботи Kaspersky Security Network

Дана схема описує основні принципи взаємодії KSN з комп'ютерами користувачів продуктів «Лабораторії Касперського», яке відбувається в 4 етапи:

1. Інформація про запускаються або завантажуються додатках і відвідуваних веб-сторінках (URL) відправляється в KSN з комп'ютерів, на яких встановлено останню версію продуктів «Лабораторії Касперського» для домашніх і корпоративних користувачів .

2. Файли і URL перевіряються і, в разі визнання їх шкідливими, додаються в базу Urgent Detection System. Легітимні файли вносяться в білі списки (Whitelisting).

3. Експерти «Лабораторії Касперського» аналізують підозрілі файли, визначають ступінь їх небезпеки і додають опис в базу сигнатур.

4. Через лічені хвилини інформація про нововиявлених шкідливих і легітимних файлах і URL стає доступна всім користувачам продуктів «Лабораторії Касперського» (не тільки користувачам Kaspersky Security Network).

По завершенні аналізу нової шкідливої ​​програми створюється її сигнатура, яка включається в антивірусні бази, регулярно оновлювані на комп'ютерах користувачів.

Білі списки - не єдина технологія в рамках KSN, що дозволяє користувачеві прийняти рішення про те, чи варто запускати ту чи іншу програму. У KSN також використовується технологія Wisdom of the Crowd (WoC), що надає інформацію про ступінь популярності програми і її репутації серед користувачів KSN.

Крім цього, останні версії продуктів «Лабораторії Касперського» дозволяють отримувати дані Глобальних рейтингів безпеки (GSR) безпосередньо з «хмари». Рейтинг (GSR) кожної програми розраховується за допомогою спеціального алгоритму і широкого набору репутаційних даних.

Таким чином, в Kaspersky Security Network використовується поєднання сигнатурних і евристичних методів детектування шкідливих програм, технології контролю програм з використанням білих і чорних списків і репутаційних сервісів (WoC і GSR).

Розширена хмарна захист для корпоративних клієнтів

З випуском Kaspersky Endpoint Security 8 для Windows можливості Kaspersky Security Network стали доступні корпоративним клієнтам «Лабораторії Касперського». Поряд з традиційними методами захисту та інноваційними технологіями, що забезпечують ефективне застосування корпоративних політик безпеки , Kaspersky Security Network оперативно реагує на нові і невідомі загрози і допомагає захистити конфіденційні дані від цільових атак .

Загальні принципи роботи з Kaspersky Security Network в корпоративній мережі такі ж, як в продуктах «Лабораторії Касперського» для домашніх користувачів. Корпоративні комп'ютери, що працюють під управлінням Windows, використовують Kaspersky Security Network для оцінки репутації файлів і URL і на підставі отриманої інформації блокують доступ до шкідливого контенту або обмежують дії підозрілого ПО.

Крім того, функціональність Kaspersky Security Network в корпоративних продуктах розширена. По-перше, хмарні технології (дані з Kaspersky Security Network) використовуються для створення білих списків додатків. Відомі законне програмне забезпечення автоматично розподіляються за категоріями (гри, комерційне програмне забезпечення і т.д.). Використовуючи ці категорії, системний адміністратор може швидко налаштувати і застосувати правила для певних типів програм відповідно до корпоративної політикою безпеки. При формуванні білих списків додатків поряд з інформацією, одержуваної від користувачів, використовуються дані, що надаються більш ніж 200 провідними виробниками ПО.

Інструмент для централізованого управління Kaspersky Security Center дає можливість тонкої настройки взимодействия з Kaspersky Security Network для захисту вузлів корпоративної мережі . Адміністратор може активувати або відключити хмарну захист в різних модулях Kaspersky Endpoint Security 8 для Windows. Також є можливість відключити передачу даних в Kaspersky Security Network, якщо цього вимагає корпоративна політика безпеки. З метою зниження навантаження на канали передачі даних в корпоративній мережі може бути встановлений внутрішній проксі-сервер Kaspersky Security Network.

[1] У браузері Firefox не реалізований хмарний сервіс репутації, обробка репутації відбувається на ПК користувача (проводиться пошук в базах, що завантажуються на комп'ютер користувача)

Безмалий В.Ф.

MVP Consumer Security

Microsoft Security Trusted Advisor

Що таке сервіс репутації?
Як це працює?

Новости