Comments 12
Угрозы окна возможностей — это, как я понимаю, вредоносные программы, которые их создатели протестировали на необнаружение всеми стандартными механизмами используемого защитного решения (все остальное не попавшее на исследование — ловится эвристиками) — включая эвристики, база знаний облака, поведенческие анализаторы и тд. Соответственно они ничем и не обнаруживаются в момент заражения.
Если не сложно — из статьи не понятно, как вы ловите то, что ваши механизмы до получения обновлений не детектируют. Ограничения путем запрета загрузки и запуска новых программ не считаем
Если не сложно — из статьи не понятно, как вы ловите то, что ваши механизмы до получения обновлений не детектируют. Ограничения путем запрета загрузки и запуска новых программ не считаем
Работа Adaptive Defense 360 основана на непрерывном мониторинге и анализе целого ряда событий, происходящих на машине. В процессе мониторинга собирается информация о различных событиях: загрузка файлов, установка программ, откуда что скачивается, изменения файла hosts, записи в реестр, запуск DLL, открытие, удаление или переименование файлов, доступ к данным (свыше 200 форматов) и многое другое. Вся эта информация анализируется в облаке и между всеми процессами устанавливается корреляция. Анализ такого большого массива статической, динамической и контекстной информации в режиме реального времени позволяет с высокой точностью классифицировать процесс (вредоносный или нет). Кроме того, выполняется ретроспективный анализ, а потому процесс, который ранее классифицировался как невредоносный, может впоследствии оказаться вредоносным.
Анализ осуществляется в облаке в глобальном режиме, информация по каждому из процессов поступает как локально с машины, так и из других источников (сообщество пользователей, внешние источники, антивирусная лаборатория и т.д.).
Если говорить о неизвестных угрозах, то в борьбе с ними принимают участие следующие основные технологии:
— специальная технология по защите от эксплойтов (локально и из облака), которая позволяет закрывать доступ эксплойтов к незакрытым уязвимостям в часто используемых приложениях
— поведенческий анализ (локально и из облака) для оценки поведения каждого процесса
— эвристика (локально и из облака) для оценки подозрительности каждого процесса
— защита от несанкционированного доступа к определенным критически важным зонам операционной системы
— блокировка запуска подозрительных и неклассифицированных процессов и приложений
Да, мы не оперируем какими-то принципиально новыми техниками: поведенческий анализ, эвристика, блокировка запуска — сами по себе эти технологии используются в решениях Panda и других производителей достаточно давно. Но усовершенствование данных технологий в сочетании с использованием платформы больших данных для глубокого и тщательного глобального анализа в облаке в реальном времени (а главное, с учетом анализа корреляции между всеми процессами) и специальных техник машинного обучения позволяют добиться высоких результатов.
Если же говорить о потребительских качествах, то такая расширенная защита работает автоматически. В расширенном режиме запрещаются все процессы, которые не классифицированы в настоящий момент как вредоносные или подозрительные. Классификация каждого нового процесса и приложения, как правило, занимает секунды и минуты. Администратору не требуется выполнять какие-либо настройки, достаточно только выбрать один из трех режимов работы. При необходимости, можно указать исключения и настроить нагрузку на полосу пропускания.
Анализ осуществляется в облаке в глобальном режиме, информация по каждому из процессов поступает как локально с машины, так и из других источников (сообщество пользователей, внешние источники, антивирусная лаборатория и т.д.).
Если говорить о неизвестных угрозах, то в борьбе с ними принимают участие следующие основные технологии:
— специальная технология по защите от эксплойтов (локально и из облака), которая позволяет закрывать доступ эксплойтов к незакрытым уязвимостям в часто используемых приложениях
— поведенческий анализ (локально и из облака) для оценки поведения каждого процесса
— эвристика (локально и из облака) для оценки подозрительности каждого процесса
— защита от несанкционированного доступа к определенным критически важным зонам операционной системы
— блокировка запуска подозрительных и неклассифицированных процессов и приложений
Да, мы не оперируем какими-то принципиально новыми техниками: поведенческий анализ, эвристика, блокировка запуска — сами по себе эти технологии используются в решениях Panda и других производителей достаточно давно. Но усовершенствование данных технологий в сочетании с использованием платформы больших данных для глубокого и тщательного глобального анализа в облаке в реальном времени (а главное, с учетом анализа корреляции между всеми процессами) и специальных техник машинного обучения позволяют добиться высоких результатов.
Если же говорить о потребительских качествах, то такая расширенная защита работает автоматически. В расширенном режиме запрещаются все процессы, которые не классифицированы в настоящий момент как вредоносные или подозрительные. Классификация каждого нового процесса и приложения, как правило, занимает секунды и минуты. Администратору не требуется выполнять какие-либо настройки, достаточно только выбрать один из трех режимов работы. При необходимости, можно указать исключения и настроить нагрузку на полосу пропускания.
Просьба не воспринимать как критику — все обсуждаемое аналогично и на иных вендорах, но все же хабр не для такого маркетинга:
— облако не будет работать в закрытых от интернета сетях (кроме контроля контрольных сумм через локальное облако)
— при оценке через облако есть задержка между заражением и вердиктом — за это время шифровальщик вполне может выполнить свою роль
— как и любой механизм облако доступно и злоумышленникам — в ходе тестирования вируса они могут принимать во внимание оценку в облаке — и сразу после выпуска вирус облачными репутациями обнаруживаться не будет — до получения вердикта от аналитиков — а это дни и более
— специальная технология по защите от эксплойтов (локально и из облака), которая позволяет закрывать доступ эксплойтов к незакрытым уязвимостям в часто используемых приложениях — по сути поведенческий анализатор (за исключением технологии у Dr.Web). Работает на основе базы знаний, учитывается при разработке вредоносного ПО и соответственно обходится
— поведенческий анализ (локально и из облака) для оценки поведения каждого процесса. Аналогично предыдущему
— эвристика (локально и из облака) для оценки подозрительности каждого процесса. Не смешите. Также база знаний, но в антивирусных базах. обходится скажем шифрованием/перепаковкой существующего вредоносного файла
— защита от несанкционированного доступа к определенным критически важным зонам операционной системы. Уязвимости. Но в принципе я и исключил этот пункт, так как он не относится к антивирусной защите и зависит от уровня знаний сисадмина
— блокировка запуска подозрительных и неклассифицированных процессов и приложений. Подписи к приложениям утекают периодически. А подозрительные — та же превентивка, то есть обходится тщательным тестированием создаваемых вредоносных программ.
Итого мы вернулись к первому моему замечанию. Имеющиеся технологии до момента обновления (локальных ав и поведенческих баз или глобальных баз в облаке) — не способны защитить от неизвестной им угрозы. Ибо злоумышленники не идиоты и если хотят зарабатывать — тестируют свои произведения. Защита от них — закрытие уязвимостей и ограничение прав. Плюс естественно антивирус для защиты от пионеров
— облако не будет работать в закрытых от интернета сетях (кроме контроля контрольных сумм через локальное облако)
— при оценке через облако есть задержка между заражением и вердиктом — за это время шифровальщик вполне может выполнить свою роль
— как и любой механизм облако доступно и злоумышленникам — в ходе тестирования вируса они могут принимать во внимание оценку в облаке — и сразу после выпуска вирус облачными репутациями обнаруживаться не будет — до получения вердикта от аналитиков — а это дни и более
— специальная технология по защите от эксплойтов (локально и из облака), которая позволяет закрывать доступ эксплойтов к незакрытым уязвимостям в часто используемых приложениях — по сути поведенческий анализатор (за исключением технологии у Dr.Web). Работает на основе базы знаний, учитывается при разработке вредоносного ПО и соответственно обходится
— поведенческий анализ (локально и из облака) для оценки поведения каждого процесса. Аналогично предыдущему
— эвристика (локально и из облака) для оценки подозрительности каждого процесса. Не смешите. Также база знаний, но в антивирусных базах. обходится скажем шифрованием/перепаковкой существующего вредоносного файла
— защита от несанкционированного доступа к определенным критически важным зонам операционной системы. Уязвимости. Но в принципе я и исключил этот пункт, так как он не относится к антивирусной защите и зависит от уровня знаний сисадмина
— блокировка запуска подозрительных и неклассифицированных процессов и приложений. Подписи к приложениям утекают периодически. А подозрительные — та же превентивка, то есть обходится тщательным тестированием создаваемых вредоносных программ.
Итого мы вернулись к первому моему замечанию. Имеющиеся технологии до момента обновления (локальных ав и поведенческих баз или глобальных баз в облаке) — не способны защитить от неизвестной им угрозы. Ибо злоумышленники не идиоты и если хотят зарабатывать — тестируют свои произведения. Защита от них — закрытие уязвимостей и ограничение прав. Плюс естественно антивирус для защиты от пионеров
Спасибо за Ваш комментарий, ибо нахожу его предельно конкретным и профессиональным.
Ну и потом критика, если она по существу, — это не страшно, а зачастую полезно.
1. Adaptive Defense 360 — это все же продукт для сетей, которые имеют хотя бы один компьютер, подключенный к Интернету.
Конечно, для совсем закрытых сетей этот продукт не подойдет. Но мы и не разрабатывали его для полностью закрытых сетей.
2. Насчет задержки между заражением и вердиктом. В нашем продукте есть несколько режимов работы. Например, в расширенном режиме ни один исполняемый процесс не запустится, если он не классифицирован в текущий момент как невредоносный. Как правило, оценка каждого нового процесса осуществляется в течение секунд или минут. В настоящий момент классифицировано свыше 1,5 млрд процессов. Технологии машинного обучения, собственные аналитические технологии и мощные вычислительные ресурсы позволяют большинство процессов классифицировать без привлечения экспертов, т.е. в автоматическом режиме. Соответственно, скорость классификации очень высокая.
3. Доступность облаков для злоумышленников: да, доступно, в текущий момент на текущую минуту. В облаках все может менять оперативно :)
4. По поводу защиты от уязвимостей. Тут все же вопрос может быть спорный, потому что использовать уязвимость — это цель для хакеров. Если данная уязвимость не закрыта, но она известна антивирусной компании, то антиэксплойтная технология может отслеживать процессы, которые пытаются воспользоваться этой уязвимостью, чтобы блокировать ее. Конечно, я не говорю, что тут 100% защиты — ни одна превентивная технология такого не даст, наверное, в принципе. Но опять же насколько широки эти знания и насколько детально можно отслеживать все процессы, пытающиеся воспользоваться уязвимостью — тут есть возможности для улучшения. А как это реализовано в Dr. Web?
5. По поводу маркетинга. А почему нет? Adaptive Defense 360 достаточно уникален в силу своей облачной природы. Рассказать о данном решении на хабре — я думаю, что стоит. Тем более, что, как показывает статистика и наш анализ, на хабре очень много людей, которым такая информация интересна :)
Соглашусь с Вами в том плане, что действительно, на текущий момент 100% защиты от неизвестных угроз нет. Кстати, вряд ли она когда-либо будет создана (извечная битва атаки и обороны).
Поэтому AD360 (например, в расширенном режиме) использует помимо всех традиционных антивирусных технологий, запрет на запуск всех процессов, которые не классифицированы как невредоносные. Особенность решения в том, что:
1. Решение полностью облачное, а потому не требуется инфраструктура на предприятии и соответствующие расходы на ее приобретение / обслуживание (до 40-50% ТСО)
2. Расширенная защита работает полностью в автоматическом режиме. Соответственно, простота управления и низкие ресурсы на настройку, обслуживание.
3. Экспертная информация по всему жизненному циклу угроз, по всем процессам (с использованием LogTrust).
Данные технологии тестировались в течение 1,5 лет на различных предприятиях в мире.
Уровень обнаружения новых угроз, блокируемых в течение первых 24 часов — 99,999%
Уровень ложных срабатываний — 0,0009%
Ну и потом критика, если она по существу, — это не страшно, а зачастую полезно.
1. Adaptive Defense 360 — это все же продукт для сетей, которые имеют хотя бы один компьютер, подключенный к Интернету.
Конечно, для совсем закрытых сетей этот продукт не подойдет. Но мы и не разрабатывали его для полностью закрытых сетей.
2. Насчет задержки между заражением и вердиктом. В нашем продукте есть несколько режимов работы. Например, в расширенном режиме ни один исполняемый процесс не запустится, если он не классифицирован в текущий момент как невредоносный. Как правило, оценка каждого нового процесса осуществляется в течение секунд или минут. В настоящий момент классифицировано свыше 1,5 млрд процессов. Технологии машинного обучения, собственные аналитические технологии и мощные вычислительные ресурсы позволяют большинство процессов классифицировать без привлечения экспертов, т.е. в автоматическом режиме. Соответственно, скорость классификации очень высокая.
3. Доступность облаков для злоумышленников: да, доступно, в текущий момент на текущую минуту. В облаках все может менять оперативно :)
4. По поводу защиты от уязвимостей. Тут все же вопрос может быть спорный, потому что использовать уязвимость — это цель для хакеров. Если данная уязвимость не закрыта, но она известна антивирусной компании, то антиэксплойтная технология может отслеживать процессы, которые пытаются воспользоваться этой уязвимостью, чтобы блокировать ее. Конечно, я не говорю, что тут 100% защиты — ни одна превентивная технология такого не даст, наверное, в принципе. Но опять же насколько широки эти знания и насколько детально можно отслеживать все процессы, пытающиеся воспользоваться уязвимостью — тут есть возможности для улучшения. А как это реализовано в Dr. Web?
5. По поводу маркетинга. А почему нет? Adaptive Defense 360 достаточно уникален в силу своей облачной природы. Рассказать о данном решении на хабре — я думаю, что стоит. Тем более, что, как показывает статистика и наш анализ, на хабре очень много людей, которым такая информация интересна :)
Соглашусь с Вами в том плане, что действительно, на текущий момент 100% защиты от неизвестных угроз нет. Кстати, вряд ли она когда-либо будет создана (извечная битва атаки и обороны).
Поэтому AD360 (например, в расширенном режиме) использует помимо всех традиционных антивирусных технологий, запрет на запуск всех процессов, которые не классифицированы как невредоносные. Особенность решения в том, что:
1. Решение полностью облачное, а потому не требуется инфраструктура на предприятии и соответствующие расходы на ее приобретение / обслуживание (до 40-50% ТСО)
2. Расширенная защита работает полностью в автоматическом режиме. Соответственно, простота управления и низкие ресурсы на настройку, обслуживание.
3. Экспертная информация по всему жизненному циклу угроз, по всем процессам (с использованием LogTrust).
Данные технологии тестировались в течение 1,5 лет на различных предприятиях в мире.
Уровень обнаружения новых угроз, блокируемых в течение первых 24 часов — 99,999%
Уровень ложных срабатываний — 0,0009%
> Например, в расширенном режиме ни один исполняемый процесс не запустится, если он не классифицирован в текущий момент как невредоносный.
Логично и пожалуй верно
>Как правило, оценка каждого нового процесса осуществляется в течение секунд или минут
Опять же не наезд на вас. Но у иной не менее именитой компании при уведомлении о том, что ее облако разрешает работу отлично известному иным вендорам вирусу ничего не происходило. Увы облако — есть только вероятность оперативной реакции — так же как и оперативное занесение нового вируса в базу
У Dr.Web идет внедрение в защищаемые процессы с целью их защиты. Тоесть в дополнение к превентивке, которая контролирует поведение процесса в целом и доступ к ресурсам — идет контроль работы процесса изнутри
Логично и пожалуй верно
>Как правило, оценка каждого нового процесса осуществляется в течение секунд или минут
Опять же не наезд на вас. Но у иной не менее именитой компании при уведомлении о том, что ее облако разрешает работу отлично известному иным вендорам вирусу ничего не происходило. Увы облако — есть только вероятность оперативной реакции — так же как и оперативное занесение нового вируса в базу
У Dr.Web идет внедрение в защищаемые процессы с целью их защиты. Тоесть в дополнение к превентивке, которая контролирует поведение процесса в целом и доступ к ресурсам — идет контроль работы процесса изнутри
Согласен про облако.
Опять же, нет 100% защиты, хотя мы все очень стремимся к этому.
Но облако все же в целом серьезно расширяет возможности обнаружения и реагирования
Что касается контроля работы процесса изнутри.
А Вы можете пояснить, каким образом идет контроль процесса изнутри? Что Вы подразумеваете под этим?
Опять же, нет 100% защиты, хотя мы все очень стремимся к этому.
Но облако все же в целом серьезно расширяет возможности обнаружения и реагирования
Что касается контроля работы процесса изнутри.
А Вы можете пояснить, каким образом идет контроль процесса изнутри? Что Вы подразумеваете под этим?
Математику контроля не видел, сразу скажу. Знаю, что контролирующий код внедряется в защищаемые процессы. Ну и общая информация есть тут:
products.drweb.ru/home/version11/new
products.drweb.ru/home/version11/new
Прочитал по ссылке. Честно говоря, все те же самые виды защит реализованы и в Panda Adaptive Defense 360. Я не увидел чего-то нового.
Конечно, допускаю вариации уже на уровне исполнения, но пока не попробуешь, не узнаешь…
Но если в AD360 посмотреть жизненный цикл угрозы, то там четко видно все, что данный процесс пытается / пытался сделать с указанием времени и машин, когда и что происходило. Причем отслеживается связь процессов между собой.
Например, на компьютер попал какой-то файл (пока не представляет угрозу) и далее мы видим, тогда-то и там-то он создал еще один файл, переименовал его, запустил такую-то службу, создал DLL, попытался по такому-то порту в таком-то протоколе связаться с таким-то IP, сделал такую-то запись в реестр с таким-то ключом и т.д. Т.е. полная видимость процесса изнутри, шаг за шагом, что делается. Какие-то действия сами по себе не вызывают опасности и они пока не пресекаются, но какие-то сразу кажутся подозрительными и в зависимости от режима работы блокируются или нет, и т.д.
Конечно, допускаю вариации уже на уровне исполнения, но пока не попробуешь, не узнаешь…
Но если в AD360 посмотреть жизненный цикл угрозы, то там четко видно все, что данный процесс пытается / пытался сделать с указанием времени и машин, когда и что происходило. Причем отслеживается связь процессов между собой.
Например, на компьютер попал какой-то файл (пока не представляет угрозу) и далее мы видим, тогда-то и там-то он создал еще один файл, переименовал его, запустил такую-то службу, создал DLL, попытался по такому-то порту в таком-то протоколе связаться с таким-то IP, сделал такую-то запись в реестр с таким-то ключом и т.д. Т.е. полная видимость процесса изнутри, шаг за шагом, что делается. Какие-то действия сами по себе не вызывают опасности и они пока не пресекаются, но какие-то сразу кажутся подозрительными и в зависимости от режима работы блокируются или нет, и т.д.
Да, это тоже есть — в облачной части, просто ее описание не приводится, по ссылке только часть, конкретно касающаяся взаимодействия с процессом
Кстати, добавлю про облако Panda: оно работает в двухстороннем режиме.
т.е. облако не только собирает информацию с локальных агентов, анализирует и потом добавляет что-то в сигнатуры, но и в реальном времени «консультирует» локального агента. Например, если локальный агент увидел что-то подозрительное, то он автоматически отправляет короткий запрос в облако и практически тут же получает ответ: либо не реагировать (если файл не вредоносный), либо блокировать с помещением в карантин, либо вылечить (+микровакцина).
т.е. облако не только собирает информацию с локальных агентов, анализирует и потом добавляет что-то в сигнатуры, но и в реальном времени «консультирует» локального агента. Например, если локальный агент увидел что-то подозрительное, то он автоматически отправляет короткий запрос в облако и практически тут же получает ответ: либо не реагировать (если файл не вредоносный), либо блокировать с помещением в карантин, либо вылечить (+микровакцина).
Не осилил. Пролистав по диагонали, понял, что статья представляет собой классическую маркетинговую презентацию с картинками. " Вы знали? Вы хотели бы..., готовы ли вы?". Скучно.
Sign up to leave a comment.
Panda Adaptive Defense 360: адаптация IT-защиты к новым потребностям предприятий