Защита от вредоносных программ: разъяснение терминов

Бизнес

Каждый вендор решений безопасности владеет набором передовых «технологий защиты от вредоносных программ», которые выгодно отличают его продукты от предложений конкурентов. Тем не менее, иногда следует пояснять точный смысл некоторых терминов, таких как «эвристический анализ» и «антивредоносный». Данный пост не претендует на словарную или энциклопедическую ценность, скорее, это просто попытка описать термины простыми словами.

Его называли «антивирусом«

Во-первых, что значит «зловреды»? Это краткое название «вредоносного программного обеспечения». Много лет назад это были, в основном, «вирусы» — куски кода, которые вынуждали ваш компьютер (или сервер) вести себя странно, уничтожать данные или выводили машину из строя в той или иной степени.

Вирусы на самом деле устарели. Даже «черви» ушли в прошлое, хотя десять лет назад они досаждали пользователям World Wide Web довольно регулярно. Они по-прежнему остаются с нами, но хакеры сегодня полагаются, главным образом, на другой инструментарий — трояны, бэкдоры (хотя с именно этим термином есть некоторая путаница, как описано здесь), эксплойты и т.п. Но поскольку они тоже куски кода, то это вредоносные программы.

Антивредоносные или, точнее, защитные решения представляют собой на самом деле и антивирусы, и нечто куда большее.

malware

А что с технологиями?

Технологий существует несколько. Старейшая из них — «подписи», то есть метод сигнатурного обнаружения вредоносного ПО. Представьте себе полицейскую собаку, обученную искать наркотики, она ​​узнает по запаху некоторые химические соединения, даже если незаконные вещества спрятаны в чём-то весьма пахучем (в апельсинах, например).

Вредоносные программы, по большей части, имеют определенные уникальные — сигнатурные — признаки, по которым их распознают: ex ungue leonem. Данный метод вычислительно дёшев и эффективен, но у него есть всего один недостаток: подпись должна быть уже известна. Собака должна быть уже натаскана. Новый уникальный вредонос, не встречавшийся до сих пор, поставит сигнатурный метод в тупик.

На всякий тяжёлый случай найдутся тузы

Поскольку новые вредоносные программы теперь ходят ордами (325 000 новых образчиков обнаруживают каждые сутки), против них предусмотрены такие мудрёные штуки, как «эвристический анализ», «поведенческий анализ» и «белые списки».

Эвристический анализ выявляет уже известные вредоносные инструкции, а не определенный код вредоносной программы. Код может отличаться, а вот всякие гнусности, которые он творит, во многом схожи. Так что этот подход напоминает сигнатурный метод, но является более продвинутым. Он позволяет выявлять ещё неизвестных злодеев.

Поведенческий анализ отслеживает поведение каждого фрагмента кода и его взаимодействие с компьютером, отслеживая его деятельность в течение разных сессий и взаимодействие с другими процессами на компьютере. На манер: «Мне сверху видно всё, ты так и знай».

Наконец, есть лучший способ предотвратить проникновение вредоносных программ: белые списки. Речь идёт не о выявлении плохого программного обеспечения или предотвращении его запуска.  Инструмент маркирует все законные программы и соотносит что-либо новое с известным списком вредоносных программ, а затем оттесняет всё, что не попало ни в одну из категорий, в «серую зону», которая впоследствии тщательно прочёсывается с использованием вышеупомянутых методов.

И это всё?

Не совсем. Существует также сканирование уязвимостей, которое помогает обнаружить изъяны в законном программном обеспечении. Эта технология действительно антивредоносная, поскольку вредоносные программы, в основном, эксплуатируют ошибки в коде программ, независимо от их популярности.

Есть облачные репутационные сервисы, которые обеспечивают практически защиту в реальном времени от недавно обнаруженных угроз. Говоря простыми словами, метаданные о любой программе, работающей на защищённом компьютере, загружаются в облачный сервис вендора, где оценивается её общая репутация (т.е. известно ли уже о её добропорядочности, зловредности, или ничего неизвестно о её поведении вовсе, о частотности и сферах её использования и т.п.) Система работает как глобальный соседский дозор, наблюдая за тем, что работает на компьютерах по всему миру, и обеспечивая безопасность каждого защищаемого компьютера, если обнаруживается нечто вредоносное.

А теперь все вместе

Эффективная система безопасности требует как наличия подходящего набора антивирусных решений, так и других технологий и подходов, которые позволяют компаниям оставаться на плаву в бурном море вечно меняющихся киберугроз.