Технологии

Антивирусная индустрия ведет свою историю с тех времен, когда основная опасность исходила от одного типа вредоносных программ – от вирусов. В 90-х годах прошлого века антивирусной программе достаточно было защитить пользователей лишь от нескольких десятков известных вирусов. Как правило, в названиях программного обеспечения всегда присутствовало слово «антивирус», которое однозначно определяло функции и возможности программы. Хотя компьютерные вирусы и могли нанести вред компьютеру или данным жертвы, но извлечь из этого материальную выгоду их авторам обычно не удавалось.
 
Мир компьютерных угроз изменился. Сегодня роль вирусописателей исключительно прагматична. Киберпреступность стала профессиональной, атаки - более изощренными, а число угроз резко выросло. Появилось много способов “нейтрализовать” или обойти антивирусную защиту.
 
Переломным моментом в антивирусной индустрии можно считать 2005 - 2006 годы, когда число вредоносных программ стало расти экспоненциально, а их сложность постоянно увеличивалась. Например, если в 2005 г. вирусная база исследовательской лаборатории AV-Test.org, которая специализируется на тестировании антивирусов, включала менее 3 миллионов образцов вредоносных программ, то уже в 2010 это число превысило 40 миллионов, а в 2012 достигло 100 миллионов. Традиционные решения не могли больше обеспечить надежную защиту - они не справлялись с быстрым ростом числа вредоносных программ, зачастую легко отключались злоумышленниками, не могли противостоять низкоуровневым атакам.
 
В результате каждому из разработчиков средств защиты пришлось искать новые способы повысить надежность своих решений. Можно сказать, в эти годы пути антивирусных компаний разошлись - в их продуктах начали использоваться разные технологии, а подходы стали базироваться на отличном друг от друга понимании тенденций мира киберугроз.
 
С момента своего появления Cezurity фокусируется на создании инновационных технологий защиты информации и компьютеров.

Ключевые технологии, используемые в решениях Cezurity

  • Cezurity Event Observer (EvO)

    Механизм детектирования (engine) вредоносной активности на компьютерах пользователей.
     

    Единый механизм

    Обнаружение вредоносных программ и атак происходит с помощью единого механизма, использующего данные о различных событиях. Эти данные в реальном времени поступают от ключевых подсистем: сигнатурного и эвристического антивируса, межсетевого экрана, контроля приложений, а также из Cezurity Cloud - облачной среды, в которой происходит анализ свойств файлов.
     

    Цепочки событий

    Анализируются не отдельные события, а цепочки событий. Для каждой цепочки событий механизм Cezurity EvO создает вектор поведения, оценка которого позволяет вынести вердикт об уровне опасности.
     

    Контекст

    События анализируются в контексте других событий. Например, событие само по себе подозрений не вызывает. Но если сопоставить его с другими событиями, то становится понятно, что оно может нанести вред компьютеру.
     

    Анализ в реальном времени

    Каждое новое событие может повлиять на вердикт. Анализ осуществляется не последовательно внутри отдельных подсистем, как это делает большинство решений класса Internet Security, а параллельно. Таким образом, обнаружение происходит в реальном времени, а не после того, как в системе уже произошло нечто опасное. Это значительно снижает риск заражения системы (вылечить компьютер труднее, чем не допустить заражения).
     

    Основные преимущества Cezurity EvО перед другими способами обнаружения вредоносных программ:

    • Низкое влияние на производительность компьютера.
    • Выше точность детектирования и, соответственно, надежность защиты. Меньше ложных срабатываний; в большинстве решений снижение уровня ложных срабатываний коррелирует с уровнем защиты (защита агрессивнее - ложных срабатываний больше).
    • Защита в реальном времени снижает риск заражения системы.
    • Реже возникают ситуации, когда пользователь должен сам принять решение или вмешаться в работу антивирусной программы.
    • Защита от еще не известных вредоносных программ и атак (0day).
    • Защита от руткитов.
    • Самозащита антивируса - злоумышленникам не отключить защиту.
    • New: защита от таргетированных (направленных) атак.
    • New: контроль работы приложений, полноценная реализация политики “запрещено то, что не разрешено” (default deny).
    • New: ультразащищенные приложения - новая для антивирусных решений возможность, позволяющая защитить данные внутри приложений и пользовательских директорий.

  • Cezurity Cloud

    Облачная платформа анализа данных.
     

    Анализ свойств файлов, который происходит в облаке

    С компьютеров пользователей собирается и передается в облако широкий круг свойств объектов, расположенных в критических местах системы. На сервере данные классифицируются и помещаются в специальную базу данных. В Cezurity Cloud анализируется более 200 свойств каждого файла, включая такие характеристики, как ареал распространения, места, где они встречаются в системе, поведение файлов в случае их исполнения.
     

    Самообучение

    Обработка информации и вынесение решений о степени вредоносности тех или иных объектов приводит к новой классификации, которая происходит автоматически, то есть Cezurity Cloud является самообучающейся системой. При этом, если полученных данных оказалось недостаточно для вынесения точного решения об опасности того или иного объекта, то запрашивается дополнительная информация.
     

    Интеллектуальный анализ больших массивов разнородных данных (Big Data)

    Cezurity Cloud опирается на собственную методологию обработки больших массивов данных для целей антивирусного анализа.
     

    Преимущества технологии:

    • Высокая точность детектирования
      Cezurity Cloud эффективно решает ряд задач, стоящих сегодня перед антивирусной индустрией. В первую очередь это увеличение точности детектирования вредоносных программ, число которых быстро растет, а сложность постоянно увеличивается.
    • Качественно новый подход к антивирусной защите из облака
      По сравнению с другими облачными решениями в Cezurity Cloud обрабатывается большее число свойств объектов. Это значительно расширяет возможности применения, которые не ограничиваются детектированием на основе репутации файлов или технологией “белых списков” (whitelisting).
    • Гибкость
      Технология Cezurity Cloud обладает необходимой гибкостью для применения в разных решениях. Так, на сервер может поступать и обрабатываться различная информация - в зависимости от задач, которые определяются особенностями каждого продукта или решения. Например, Cezurity Cloud сегодня используется в качестве подсистемы, поставляющей данные для механизма детектирования Cezurity EvO. С помощью Cezurity Cloud происходит обнаружение вредоносных программ Антивирусным Сканером. Кроме того, данная технология применяется для мониторинга и анализа изменений в решении СОТА, которое предназначено для обнаружения таргетированных атак на корпоративные информационные системы.
  • Технология динамического обнаружения атак
    Для защиты корпоративной IT-инфраструктуры от таргетированных атак (APT, Advanced Persistent Threats) компанией Cezurity разработана технология динамического обнаружения. В основе лежит мониторинг изменений систем и анализ аномалий в изменениях. Технология используется в решении СОТА (Cloud Observer for Targeted Attacks).
     

    Мониторинг изменений систем

    На каждом из компьютеров, входящих в защищаемую IT-инфраструктуру, периодически запускается сканирование критических областей системы. В процессе сканирования собирается и классифицируется широкий круг данных о состоянии систем. Эти данные сравниваются с результатами предыдущих сканирований.
     

    Поиск и анализ аномалий в изменениях

    Первый этап анализа направлен на выявление аномалий в изменениях, которые произошли за время между сканированиями. Аномалии могут произойти по целому ряду причин, но при этом любая из попыток атаки обязательно приведет к появлению таких аномалий. Соответственно, на втором этапе анализируются найденные аномалии - определяется их причина и, если это была атака, она будет обнаружена.
     

    Используется технология Cezurity Cloud

    Для мониторинга изменений используется Cezurity Cloud - интеллектуальная самообучающаяся система анализа свойств файлов и поведения приложений.
     

    Преимущества и возможности технологии:

    • Учитываются такие особенности таргетированных атак, как протяженность во времени, поэтапность реализации и необходимость для злоумышленников обойти защиту.
      Злоумышленники предпринимают шаги, которые препятствуют обнаружению. Поэтому отдельные состояния систем могут не вызывать подозрений. Но анализ изменений все равно позволит увидеть атаку - если IT-инфраструктура атакована, на некотором этапе это приведет к аномальному изменению хотя бы одной системы, и активность атакующих будет обнаружена.
    • Все типы атак могут быть обнаружены с помощью одного решения.
      Другие решения зачастую фрагментарны - они могут быть эффективны в случае одной попытки атаки, но бесполезны при атаке другого типа. Например, могут отследить аномальный трафик, но не в состоянии сопоставить его с появлением новых файлов в критических областях системы. Использование для обнаружения атак нескольких решений параллельно зачастую сильно усложняет администрирование защиты, что в результате может негативно сказаться на общем уровне защищенности информационной системы.
    • Скорость обнаружения.
      Динамическое обнаружение позволяет детектировать атаку вовремя - сразу после того, как в одной из защищаемых систем зафиксировано критическое вредоносное изменение.
    • Просто внедрить и начать использовать.
      Так как технология динамического обнаружения опирается на мониторинг изменений конечных точек, решение не зависит от инфраструктуры и топологии информационной системы. Это позволит быстро внедрить и начать использовать решение даже в том случае, если IT-инфраструктура сложна и включает много различных систем.
    • Низкая нагрузка на системные ресурсы.
      Наиболее ресурсоемкие процессы анализа происходят в облаке (Cezurity Cloud). Это позволит снизить нагрузку на информационную систему защищаемой организации.
  • Защищенная среда исполнения программ
    Технология создания защищенной среды исполнения ПО может использоваться для защиты критической инфраструктуры, в том числе SCADA-систем и встраиваемых систем (Embedded Systems): банкоматов, терминалов оплаты.
     

    Контроль событий в системе с помощью перехватов системных вызовов

    Технология основана на контроле событий в системе, который осуществляется за счет низкоуровневых перехватов системных вызовов. Контроль над сетевым взаимодействием на самом низком уровне (наиболее близком к аппаратному) совмещен с перекрестной проверкой на двух уровнях.
     

    Политики безопасности для каждого действия

    Для каждого действия создается правило или набор правил - политика безопасности. Таким образом, даный подход позволяет реализовать рекомендуемый для защиты критических систем принцип “запретить все, что не разрешено”.
     

    Ограничение действий

    Поведение приложений и ОС внутри среды ограничено жесткими правилами. Каждое из приложений может выполнять лишь те действия, которые ему разрешены.
     

    Ограничение доступа

    Все системные и критически важные процессы защищаются от любых программных воздействий. На каждый из процессов можно воздействовать лишь разрешенным способом. Например, вредоносная программа не может заразить доверенное приложение, имеющее широкие права в системе и, соответственно, осуществить какие-то действия от имени этого приложения.
     

    Преимущества и возможности технологии:

    • Высокая надежность решения
      Создание защищенной среды исполнения программ является одним из наиболее надежных способов обеспечить безопасность промышленных систем и объектов критической инфраструктуры. Технология способна обеспечить полную защиту исполняемых в системе процессов от любого программного воздействия.
    • Позволяет контролировать все критические действия
      Технология позволяет реализовать рекомендуемый для защиты критических систем принцип “запретить все, что не разрешено”. Любые действия в системе, которые не разрешены, могут блокироваться как автоматически, так и удаленно с помощью централизованного управления. Осуществляется контроль за такими действиями приложений в системе, как: скрытое создание файлов, скрытый запуск, межпроцессное взаимодействие (внедрение вредоносного кода), доступ в сеть и др.
      Технология Cezurity для создания защищенной среды исполнения позволяет исключить возможность незаметной отсылки или получения данных даже “невидимыми” для ОС процессами, а также 0day-руткитами с собственной реализацией TCP/IP-стека на уровне ядра. Для выявления атак технология позволяет использовать паттерны в протоколах взаимодействия приложений.
    • Гибкость
      Возможна настройка решения в зависимости от конкретных задач. Например, может быть увеличено число анализируемых событий. Для каждого из событий может быть реализована своя логика анализа данных и принятия решения - о запрещении, разрешении и логировании действия.