Белая магия: как работает технология белых списков

Новости Советы

Большинство людей считают, что защита от вредоносного ПО основана на поиске сигнатур вредоносных программ, но это всего лишь одна сторона медали. На самом деле составление черных списков программ на основе поиска сигнатур — это не основная часть работы, которую выполняет антивирус. Вторая часть — это составление белого списка, то есть выявление и утверждение списка тех приложений, которые не представляют угрозы.
KIS: Fortifying your PC

Что такое черный список?

Отвечу на этот вопрос в терминах технологии «Лаборатории Касперского» — Kaspersky Security Network (KSN). Когда пользователь устанавливает какой-либо продукт «Касперского», ему предлагают возможность добровольно присоединиться к KSN. В случае согласия компьютер данного пользователя становится частью сети, которая занимается тем, что обрабатывает информацию, связанную с обеспечением кибербезопасности.

Вот как это работает: если ПК, например, из Индии заражается новым типом вируса, «Лаборатория Касперского» создает соответствующую сигнатуру для обнаружения зловреда, а затем добавляет ее в базу данных, чтобы другие пользователи «Касперского» не столкнулись с вредоносом снова.

Если говорить совсем упрощенно, то технология черных списков работает так: мы создаем список программ, которые могут навредить вашему компьютеру, и не подпускаем их к вашим системам. Это помогает предупредить 99,9% случаев заражения. И это отлично работало, пока нам приходилось иметь дело, скажем, с 10 000 вирусов. Но когда их число переваливает за 10 000 000, приходится придумывать что-то еще.

Что такое белый список?

Снова используем для объяснения технологии терминологию «Касперского». У нас есть такая процедура, как «Отказ по умолчанию» (Default Deny). При таком подходе антивирус блокирует все приложения, пока программы не получат явного разрешения от администратора системы. Из этих разрешений и формируется белый список доверенных, получивших одобрение приложений.

Проблема вот в чем. Такой способ составления белых списков прекрасно подходит крупным компаниям, в которых IT-инфраструктура централизована. В них всегда есть лицо, принимающее решение, а список используемых приложений, как правило, хорошо известен, сравнительно короток и редко меняется. В таких условиях нетрудно утвердить круг программ, необходимых для работы, и блокировать все остальные.

Если же речь идет о домашнем пользователе, то все становится сложнее: невозможно точно предсказать, какое приложение потребуется пользователю и в какой момент.

«Отказ по умолчанию» и список доверенных приложений

Наши друзья-исследователи из «Лаборатории Касперского» нашли способ, как предложить домашним пользователям все преимущества корпоративных белых списков и принципа «отказ по умолчанию». Для этого они создали технологию «Доверенные приложения» — это динамически обновляемый белый список приложений. Программы попадают в него после отбора по результатам тестирования данных, полученных через сеть KSN.

Другими словами, наш белый список пользовательских программ — это огромная и постоянно обновляемая база знаний существующих приложений. Она содержит информацию более чем о миллиарде уникальных файлов абсолютного большинства популярных программ, в том числе офисных пакетов, браузеров, программ просмотра изображений, — в базе есть все, что только можно представить.

Для того чтобы минимизировать количество случаев ложного срабатывания, мы используем данные от 450 партнеров. Главным образом это разработчики приложений, которые заранее предупреждают нас о грядущих обновлениях их программных продуктов.

Цепочка доверия

Но как насчет приложений, о которых мы пока не знаем? Некоторые приложения и процессы могут создавать для своих нужд новые программы, о которых пока ничего не известно, и это затрудняет их попадание в белый список. Например, чтобы скачать обновление, какое-либо программное обеспечение запускает отдельный модуль, который служит для соединения с сервером поставщика ПО и скачивания файлов обновления. Фактически этот модуль является новым приложением, и в белом списке его еще нет. Тем не менее, раз приложение было создано доверенной программой, ему также будет присвоен статус доверенного. Такой механизм называется «цепочка доверия» (Trust Chain).

В целом список доверенных программ — это динамически обновляемый белый список приложений, отобранных по нескольким критериям после тестирования данных, полученных через сеть KSN

Если обновление загружается автоматически, но существенно отличается от оригинального приложения и не входит в белый список, присвоить ему статус доверенного можно другими способами, к примеру проведя верификацию цифровой подписи или сертификата. Третий уровень утверждения доверенного приложения используется, если приложение неожиданно модифицируется и не имеет цифровой подписи. В таком случае, в соответствии с принципом цепочки доверия, можно сверить домен, с которого загружается ПО, со списком доверенных доменов. Если домен находится в списке доверенных, то приложение автоматически получает этот статус. Если домен когда-либо использовался для распространения вредоносного ПО, приложение исключается из цепочки доверия.

И напоследок

Как вам известно, хакеры пристально следят за тем, как идут дела в сфере защиты от угроз. Отчасти поэтому они стремятся найти уязвимости в популярных программах и использовать их для того, чтобы обойти описанные выше меры безопасности. То есть использовать доверенные приложения для вредоносной деятельности.

Чтобы бороться с этой угрозой, наши специалисты создали систему под названием «коридор безопасности» (Security Corridor). «Коридор безопасности» использует белый список, чтобы удостовериться, что доверенные приложения и ПО осуществляют исключительно действия, которые должны. То есть, если ваш графический редактор внезапно попытается включить микрофон, система об этом узнает и отметит данное приложение как опасное.

Чьи компьютеры защищены?

Технология динамического белого листа доступна не для всех наших клиентов: она имеется только у пользователей Kaspersky Internet Security, Kaspersky Internet Security Multi-Device и Kaspersky Pure.