AV-Test.org
Технология динамических белых списков «Лаборатории Касперского» получила признание независимого института AV-TEST и сертификат «Одобренная служба белых списков»: в ходе скрупулёзного тестирования, проведённого AV-TEST, разработка «Лаборатории» показала более чем впечатляющие результаты по всем категориям.
Эксперты AV-Test проверяли эффективность нашей технологии «белых списков» по пяти параметрам: по охвату базой данных легитимного ПО, общему качеству, быстродействию, количеству ложных срабатываний и качеству режима «запрещено всё, что не разрешено» (Default Deny). «Отправной точкой» служила собственная база AV-TEST, насчитывающая 20 миллионов уникальных файлов. Разработка «Лаборатории Касперского» показала впечатляющие результаты во всех тестах. Как показала проверка, были успешно распознаны 97,5% всего программного обеспечения, используемого в корпоративном секторе, и 96% домашнего ПО. Сюда входят и все значимые файлы Windows 8, что означает, что режим Default Deny поддерживается и под Windows 8. Ни одного ложного срабатывания отмечено не было.
Что такое «белые списки»? Если говорить упрощённо, существуют два базовых подхода к информационной безопасности. Первый, более традиционный, предполагает, что в информационных системах по умолчанию допускается запуск любых приложений, если они уже не внесены в «чёрные списки» — списки вредоносного ПО. Второй подход подразумевает, что разрешён запуск лишь тех приложений, которые загодя внесены в «белые списки», а всё остальное по умолчанию блокируется.
Более традиционным считается подход с использованием «чёрных списков». К сожалению, сейчас уже можно сказать, что метод Default Allow — это постоянно ускоряющаяся гонка вооружений с авторами вредоносного софта.
По нашим оценкам, ежедневно в интернете появляются более 200 тысяч новых вредоносных программ. Антивирусным компаниям приходится с огромной скоростью анализировать колоссальные объёмы поступающей информации — речь идёт о терабайтах данных, о десятках миллионов файлов ежедневно. А это терабайты данных.
Анализируемое ПО делится на три основных категории: известный вредоносный софт, известное безопасное ПО и — программное обеспечение с неизвестным статусом.
ПО из последней категории на поверку иной раз содержит вредоносный код, при этом его труднее всего обнаружить: вирусописатели продолжают совершенствовать свои умения. В результате именно это т софт оказывается опаснее всего.
В большинстве случаев антивирусным компаниям приходится играть роль догоняющих: за появлением новой технологии вирусописателей следует новый виток развития средств защиты. В настоящее время для повышения уровня безопасности используются не только традиционные сигнатурные технологии, но и целый арсенал современных технологий защиты. Это и проактивные эвристические методы (как статические, так и динамические), и облачные технологии, которые не только обеспечивают практически мгновенную реакцию на новые угрозы, но и расширяют стандартные мощности «коробочных» средств защиты мощностью ранее недоступной инфраструктуры online-сервисов.
Традиционный подход к защите предполагает блокирование известных угроз, в том числе известных шаблонов вредоносного поведения. Однако подход «всё разрешено, что не запрещено» (Default Allow) эффективен лишь в том случае, если тот или иной зловред уже был выявлен, проанализирован, признан вредоносным, и соответствующая информация о нём была добавлена в антивирусные базы.
Однако в случае целенаправленной атаки злоумышленники заинтересованы, помимо всего прочего, в уникальности используемого ими инструмента (то есть, вредоносного кода): в чёрных списках он не значится, соответственно снижается вероятность его обнаружения средствами безопасности.
Истории с троянцами Stuxnet, Duqu и Flame наглядно показывают, что против некоторых новых угроз и целевых атак традиционная защита практически бессильна. Следствием этого являются постоянно растущие требования к безопасности корпоративных сетей.
В сложившейся ситуации перед разработчиками ПО в области IT-безопасности стоит задача поиска альтернативных решений, способных существенно повысить уровень защиты корпоративных сетей. Whitelist Security Approach — подход с использованием белых списков — позволит антивирусным компаниям перестать быть догоняющими. Подход «запрещено всё, что не разрешено» (Default Deny) позволяет блокировать запуск любого ПО, которое не фигурирует в базе «чистого» ПО.
Подобный подход пользуется меньшей популярностью, чем вариант с «чёрными списками» по нескольким причинам. Во-первых, дело привычки: режим Default Allow («разрешено всё, что не запрещено») — подход более традиционный. Во-вторых, «белые списки» — это заведомые ограничения, которые непопулярны не только у конечных работников, но и подчас у IT-департаментов. И в-третьих, часто встречается мнение, что режим Default Deny («запрещено всё, что не разрешено») — крайне сложно реализовать на практике. Что ж, как раз решение «Лаборатории Касперского» и разрабатывалось с тем, чтобы максимально упростить внедрение «белых списков» и облегчить жизнь айтишникам. Причём это касается не только противодействия вредоносному софту.
К числу проблем, которые позволяют решать «белые списки», относятся также «непродуктивный» софт и сервисы (коммуникаторы, P2P-клиенты, игры, если их установку допускает внутренняя IT-политика компании), несертифицированный софт и, наконец, служебные программы удалённого управления, допускающие доступ к компьютерам без ведома и подтверждения со стороны пользователя.
Корпоративная сеть со временем может обрасти целым «зоопарком» ПО, которое непонятно кто и когда установил, которое не представляет явной угрозы (с точки зрения антивируса, по крайней мере), но теоретически может служить средством для проникновения недружелюбно настроенных элементов внутрь корпоративной сети. Наши решения позволяют элементарным образом навести порядок, централизованно запретив запуск любых неуместных приложений.
Эффективность подхода Default Deny определяется целым рядом факторов. В первую очередь, «запретительный» алгоритм должен опознавать благонадёжные файлы и давать минимальное количество ложных срабатываний. Это можно обеспечить, в сущности, лишь одним способом — созданием насколько возможно массивной и подробной базы данных по легитимному софту, используемому во всём мире. Соответственно, качество решений, связанных с использованием «белых списков», в первую очередь напрямую связано с размерами базы «разрешённого» программного обеспечения и её актуальностью. Эффективное решение подобного рода обязано «знать» как можно большее количество уникальных файлов, входящих в популярное (и даже не очень популярное) программное обеспечение, и обновляться как можно оперативнее.
Ежедневно в свет выходит множество новых легитимных приложений и обновлений к уже существующему ПО. Соответственно, необходимо оперативное и автоматическое обновление баз чистого ПО из множества источников из разных регионов мира. И это обновление должно происходить в автоматическом режиме, ведь речь идет о гигантских объемах информации (как и в случае со зловредами, — это терабайты данных в сутки). Для этих целей поставщики баз Dynamic Whitelist разворачивают в Сети поисковые агенты, которые осуществляют мониторинг нового ПО и при необходимости – загрузку новых приложений.
Другим источником информации об обновлении ПО становятся крупные производители и дистрибуторы ПО (Independent Software Vendors), которые предоставляют данные ещё до выхода его публичных релизов с целью минимизации ложных срабатываний: случаев несовместимости решений по безопасности и ПО вендора-партнера.
Еще один возможный источник пополнения базы — глобальная информационная сеть, созданная вендором на базе сообщества его пользователей. Отметим, что такая информационная сеть является серьёзным конкурентным преимуществом. Она позволяет отслеживать метаданные о ПО, запускаемом на компьютерах пользователей, и снабжать базу знаний информацией о появлении новых приложений и выпуске различных обновлений ПО.
База данных нашего решения Dynamic Whitelist насчитывает более 700 млн уникальных файлов, и вдобавок она постоянно обновляется как самой «Лабораторией», так и тремя сотнями наших партнёров — поставщиков ПО.
AV-TEST — не первая организация, подтвердившая высокое качество базы Dynamic Whitelist «Лаборатории Касперского»; ранее — в 2011 году — оно было доказано в независимом тесте, проведенном компанией West Coast Labs. Согласно результатам тестирования в нашей базе на тот момент содержалась информация о 94% всего чистого ПО, выпущенного в мире. Как видим, в ходе тестирования, проведённого AV-TEST, результаты оказались ещё лучше.
Дополнительная информация:
Текст доклада (англ.)
Описание технологии (англ.)
Советы