Kaspersky Security Network

Прогрессивная технология Kaspersky Security Network, реализованная в последних версиях персональных продуктов «Лаборатории Касперского», обеспечивает незамедлительное реагирование и недоступный ранее уровень детектирования новых вредоносных программ, обеспечивая высочайшее качество защиты.

В Kaspersky Security Network объединены возможности непрерывного распределённого глобального мониторинга реальных угроз, их централизованного анализа с помощью мощных экспертных и технологических ресурсов «Лаборатории Касперского», и немедленного создания и распространения средств защиты. Такое объединение дает мощный синергетический эффект, обеспечивающий пользователей продуктов «Лаборатории Касперского» максимально полной и быстрой защитой от нового вредоносного ПО.

В компьютерном мире назрела необходимость новых методов защиты

Сегодня вредоносное ПО – вирусы, черви и троянцы – являются основной угрозой нарушения нормальной работы компьютеров и потери хранимой на них информации. Число вредоносных программ и их модификаций постоянно растет, а их функциональные возможности увеличиваются. Они развивают всё новые способы проникновения в компьютерные системы, сокрытия своей деятельности и ухода от обнаружения антивирусными программами.

В настоящее время ни один из традиционных методов обнаружения вредоносного ПО, используемый в качестве единственного, не обеспечивает полноценную защиту.

Традиционный сигнатурный метод детектирования вредоносного ПО основан на создании уникальных сигнатур кода или набора поведений, и сравнении с ними подозрительной программы. Однако такой подход не позволяет детектировать новое, неизвестное ранее вредоносное ПО, что делает его малоэффективным в текущих условиях непрерывного мутирования угроз. Кроме того, он связан с большим временем реакции, поскольку информация о «зловредной» программе не всегда поступает антивирусному вендору сразу же после начала заражения.

Эвристические методы обнаружения, базирующиеся на анализе кода и имитировании исполнения подозрительной программы, способны детектировать новое опасное ПО. Однако они пока ещё не обеспечивают достаточный уровень детектирования, и часто имеют длительное время реакции из-за сложностей настройки таких систем.

Противоположный подход – так называемое ведение «белых» списков или Whitelisting – заключается в выделении не вредоносных, а безопасных программ, ограничении активности остальных и категоризации неизвестных программ на вредоносные и безопасные. Этот метод тоже не может использоваться в качестве единственного из-за сложности занесения в «белые» списки всех легальных программ и их новых версий. Современный мир нуждается в новых комплексных подходах к обеспечению безопасности компьютеров. Они должны сочетать достоинства и предельно уменьшать недостатки вышеперечисленных методов борьбы с вредоносным ПО, а также использовать возможности глобального мониторинга и автоматической актуализации информации о новых реальных угрозах. Именно такой подход реализован в системе Kaspersky Security Network.

Основные принципы работы Kaspersky Security Network

Система Kaspersky Security Network включает в себя несколько подсистем – географически распределённого непрерывного глобального мониторинга угроз на пользовательских компьютерах, доставки собранной информации на централизованные серверы «Лаборатории Касперского», анализа полученных данных и создания средств защиты от новых угроз, и оперативной передачи созданных средств защиты обратно к пользователям. В Kaspersky Security Network задействуются компьютеры пользователей последних версий персональных продуктов «Лаборатории Касперского». Система позволяет осуществлять автоматизированные сбор и отправку в «Лабораторию Касперского» информации обо всех попытках заражений, а также о всех неизвестных подозрительных файлах, загружаемых и исполняемых на компьютерах пользователей – с веб-сайтов, вложений электронных писем, каталогов пиринговых сетей и т.д.

При этом соблюдается строгая добровольность и конфиденциальность – участие в системе возможно только с согласия пользователя, а сбора и передачи какой-либо персональной информации, например, паспортных данных, паролей и содержания личных документов, не производится.

Полученная информация агрегируется на централизованных серверах «Лаборатории Касперского» и анализируется с использованием мощных технических, технологических и экспертных ресурсов компании. Это позволяет достичь высочайшего уровня и быстроты детектирования новых вредоносных, а также безопасных программ.

Решение о безопасности программы выносится на основе наличия цифровой подписи, удостоверяющей её источник и целостность, а также других факторов. Программа, признанная безопасной, вносится в «белый» список доверенных приложений.

Решение о вредоносности программы выносится после прохождения необходимых процедур детектирования, включающих, если требуется, и эвристический анализ. Если программа признается вредоносной, информация о ней направляется в онлайновую базу системы немедленного реагирования Urgent Detection System, становясь доступной всем пользователям продуктов «Лаборатории Касперского» ещё до создания соответствующей сигнатуры и обновления антивирусных баз на пользовательских компьютерах. Это существенно ускоряет ответ на новые угрозы! Благодаря технологии Kaspersky Security Network, от появления ранее неизвестной опасной программы на компьютере пользователя до полноценной защиты от данной угрозы пользователей продуктов «Лаборатории Касперского» может пройти не более 40 cекунд!

При запуске какой-либо программы пользователем, она проверяется по «белым» спискам и спискам Urgent Detection System. В соответствии с результатами проверки программа блокируется, или же ей назначаются определённые права доступа к ресурсам компьютера. Технология Kaspersky Security Network играет важнейшую роль в пополнении и поддержании в актуальном состоянии указанных списков, обеспечивая тем самым контроль над активностью приложений.

 
Рис.1. Схема работы системы Kaspersky Security Network

После завершения анализа новой вредоносной программы создается и соответствующая сигнатура, которая добавляется в антивирусные базы, регулярно обновляемые на компьютерах пользователей продуктов «Лаборатории Касперского».

Таким образом, в Kaspersky Security Network используется взаимодополняющая комбинация сигнатурных и эвристических методов обнаружения вредоносного ПО, а также технологий контроля приложений с помощью баз доверенных и опасных программ.

Преимущества Kaspersky Security Network

Глобальный масштаб мониторинга новых угроз и его непрерывность, сбор информации в реальных условиях и с соблюдением строгой конфиденциальности, быстрая передача данных, глубокий анализ потенциальных угроз с использованием мощных ресурсов антивирусного вендора, своевременная доступность выработанных защитных средств, – всё это обеспечивает «Лаборатории Касперского» новый уровень реакции на новые угрозы, а клиентам компании – высокий уровень защиты.

Сейчас технология Kaspersky Security Network используется на миллионах персональных компьютеров по всему миру, что позволяет получать глобальную, и в то же время детальную картину распространения новых вредоносных программ, включая источники угроз и количество попыток заражений в разные периоды времени. Например, на приведённой ниже диаграмме, составленной на основе данных Kaspersky Security Network, отображено распространение одного из вирусов семейства Win32 в период с 8 февраля по 1 марта 2009 г. Диаграмма показывает, что наиболее резкий рост числа попыток заражения происходил 17 и 18 февраля.

 
Рис. 2. Диаграмма распространения одного из вирусов семейства Win32,
составленная на основе данных, полученных с помощью Kaspersky
Security Network. На вертикальной оси отражено число пользователей решения
Kaspersky Internet Security, у которых был блокирован этот вирус.

Глобальный масштаб и географическая распределённость мониторинга, осуществляемого системой Kaspersky Security Network, позволяет реагировать на новые угрозы, источники и мишени которых имеют практически любое территориальное расположение.

Мониторинг ситуации на рабочих машинах в режиме реального времени дает возможность отслеживать и блокировать действительно существующие угрозы в их «естественной», «дикой» среде, сразу же после начала попыток заражений.

Непрерывность мониторинга и быстрая доставка информации о подозрительных файлах в «Лабораторию Касперского» обеспечивают постоянную актуальность баз данных о новых вредоносных программах, а также вырабатываемых средств защиты. Актуализация достигается автоматизированными средствами, а значит, является более быстрой, точной и полной, чем при традиционном методе ручной отправки подозрительных файлов антивирусному вендору через электронную почту.

При этом соблюдается строгая конфиденциальность – персональная информация, включая логины, пароли, личные данные и содержание документов, не собирается и не транспортируется.

Более того, пользователи, участвующие в Kaspersky Security Network, получают дополнительную защиту от краж персональных данных, поскольку на их компьютерах блокируется новое вредоносное ПО, приводящее к утечкам персональной информации, – программы, ищущие и отсылающие злоумышленникам копии файлов на жестком диске, шпионящие за нажатиями клавиш, снимающие копии изображения экрана, следящие за сетевой активностью и т.д.

Любое антивирусное ПО, установленное на компьютеры пользователей, потребляет их ресурсы и поэтому всегда имеет ограничения по сложности и ресурсоёмкости. Использование для анализа новых, неизвестных программ мощных централизованных ресурсов «Лаборатории Касперского» заметно повышает уровень и скорость детектирования по сравнению с пользовательским антивирусным ПО.

Система Kaspersky Security Network предоставляет проактивную защиту, то есть позволяет выявлять и блокировать новые угрозы, еще не успевшие распространиться и нанести существенный ущерб пользователям. Наличие такой защиты крайне важно для обеспечения стабильности и непрерывности работы вычислительной техники и обслуживаемых ею процессов.

Как подключиться к Kaspersky Security Network?

Участвовать в системе Kaspersky Security Network могут пользователи персональных продуктов «Лаборатории Касперского» – Антивируса Касперского и Kaspersky Internet Security версии 2010.

Функцию сбора информации о новых угрозах можно в любой момент включить или выключить в разделе «Обратная связь» окна настройки продукта. Для включения требуется согласие с «Положением об использовании Kaspersky Security Network», в котором указан перечень собираемой информации, а также описывается порядок её сбора и использования.