Белая магия: как работает технология белых списков

Принято считать, что работа антивируса — блокировать все опасные программы. На самом деле его задача состоит в том, чтобы определить, какие программы безопасны

KIS: Fortifying your PC

Большинство людей считают, что защита от вредоносного ПО основана на поиске сигнатур вредоносных программ, но это всего лишь одна сторона медали. На самом деле составление списков запрещенных программ на основе поиска сигнатур — это не основная часть работы, которую выполняет антивирус. Вторая часть — это составление списка разрешенных, то есть выявление и утверждение списка тех приложений, которые не представляют угрозы.

Что такое список запрещенных программ?

Отвечу на этот вопрос в терминах технологии «Лаборатории Касперского» — Kaspersky Security Network (KSN). Когда пользователь устанавливает какой-либо продукт «Касперского», ему предлагают возможность добровольно присоединиться к KSN. В случае согласия компьютер данного пользователя становится частью сети, которая занимается тем, что обрабатывает информацию, связанную с обеспечением кибербезопасности.

Вот как это работает: если ПК, например, из Индии заражается новым типом вируса, «Лаборатория Касперского» создает соответствующую сигнатуру для обнаружения зловреда, а затем добавляет ее в базу данных, чтобы другие пользователи «Касперского» не столкнулись с вредоносом снова.

Если говорить совсем упрощенно, то технология списков запрещенных работает так: мы создаем список программ, которые могут навредить вашему компьютеру, и не подпускаем их к вашим системам. Это помогает предупредить 99,9% случаев заражения. И это отлично работало, пока нам приходилось иметь дело, скажем, с 10 000 вирусов. Но когда их число переваливает за 10 000 000, приходится придумывать что-то еще.

Что такое список разрешенных программ?

Снова используем для объяснения технологии терминологию «Касперского». У нас есть такая процедура, как «Отказ по умолчанию» (Default Deny). При таком подходе антивирус блокирует все приложения, пока программы не получат явного разрешения от администратора системы. Из этих разрешений и формируется список доверенных, получивших одобрение приложений.

Проблема вот в чем. Такой способ составления списков разрешенных программ прекрасно подходит крупным компаниям, в которых IT-инфраструктура централизована. В них всегда есть лицо, принимающее решение, а список используемых приложений, как правило, хорошо известен, сравнительно короток и редко меняется. В таких условиях нетрудно утвердить круг программ, необходимых для работы, и блокировать все остальные.

Если же речь идет о домашнем пользователе, то все становится сложнее: невозможно точно предсказать, какое приложение потребуется пользователю и в какой момент.

«Отказ по умолчанию» и список доверенных приложений

Наши друзья-исследователи из «Лаборатории Касперского» нашли способ, как предложить домашним пользователям все преимущества корпоративных списков разрешенных программ и принципа «отказ по умолчанию». Для этого они создали технологию «Доверенные приложения» — это динамически обновляемый список разрешенных приложений. Программы попадают в него после отбора по результатам тестирования данных, полученных через сеть KSN.

Другими словами, наш список доверенных пользовательских программ — это огромная и постоянно обновляемая база знаний существующих приложений. Она содержит информацию более чем о миллиарде уникальных файлов абсолютного большинства популярных программ, в том числе офисных пакетов, браузеров, программ просмотра изображений, — в базе есть все, что только можно представить.

Для того чтобы минимизировать количество случаев ложного срабатывания, мы используем данные от 450 партнеров. Главным образом это разработчики приложений, которые заранее предупреждают нас о грядущих обновлениях их программных продуктов.

Цепочка доверия

Но как насчет приложений, о которых мы пока не знаем? Некоторые приложения и процессы могут создавать для своих нужд новые программы, о которых пока ничего не известно, и это затрудняет их попадание в список разрешенных. Например, чтобы скачать обновление, какое-либо программное обеспечение запускает отдельный модуль, который служит для соединения с сервером поставщика ПО и скачивания файлов обновления. Фактически этот модуль является новым приложением, и в списке разрешенных его еще нет. Тем не менее, раз приложение было создано доверенной программой, ему также будет присвоен статус доверенного. Такой механизм называется «цепочка доверия» (Trust Chain).

Если обновление загружается автоматически, но существенно отличается от оригинального приложения и не входит в список разрешенных, присвоить ему статус доверенного можно другими способами, к примеру проведя верификацию цифровой подписи или сертификата. Третий уровень утверждения доверенного приложения используется, если приложение неожиданно модифицируется и не имеет цифровой подписи. В таком случае, в соответствии с принципом цепочки доверия, можно сверить домен, с которого загружается ПО, со списком доверенных доменов. Если домен находится в списке доверенных, то приложение автоматически получает этот статус. Если домен когда-либо использовался для распространения вредоносного ПО, приложение исключается из цепочки доверия.

И напоследок

Как вам известно, хакеры пристально следят за тем, как идут дела в сфере защиты от угроз. Отчасти поэтому они стремятся найти уязвимости в популярных программах и использовать их для того, чтобы обойти описанные выше меры безопасности. То есть использовать доверенные приложения для вредоносной деятельности.

Чтобы бороться с этой угрозой, наши специалисты создали систему под названием «коридор безопасности» (Security Corridor). «Коридор безопасности» использует список разрешенных, чтобы удостовериться, что доверенные приложения и ПО осуществляют исключительно действия, которые должны. То есть, если ваш графический редактор внезапно попытается включить микрофон, система об этом узнает и отметит данное приложение как опасное.

Чьи компьютеры защищены?

Технология динамического списка разрешенных приложений листа доступна не для всех наших клиентов: она имеется только у пользователей Kaspersky Internet Security и Kaspersky Total Security.

Противоречат ли друг другу белые списки и непрерывный рабочий процесс?

Securelist недавно опубликовал статью эксперта «Лаборатории Касперского» Кирилла Круглова «Дыры в защите корпоративной сети: контроль доступа». В своей статье г-н Круглов излагает несколько нестандартные взгляды на общепринятый подход, который системные

Советы