cio.ru№

1 Я

нвар

ь 20

12

Метал

лур

гия К

он

трол

ь пор

учени

й Х

ари

зма C

IO

Настольный журнал ИТ-руководителя №1 Январь 2012

Тема номера:меТаллургия

судьба приказакак контролировать поручения

легенды о харизменужен ли ореол иТ-лидеру?

CIO как покупаТельумная организация закупок иТ

гадание по TIerо чем расскажет категория Цод

Фредерик Ваностойс, вице-президент по информационным технологиям

компании «Мобильные ТелеСистемы», — об отношении к стандартам управления ИТ

Прагматика, а не догмы

январь 2012 l www.cio.ru

технологии д ля бизнеса

52

Сервисы репутации отражают на-дежность того или иного источни-ка (почта, Интернет), показыва-ют репутацию (насколько широко

применяется, является ли злонамерен-ным) того или иного программного обес-печения. Вычисление репутации произ-водится на серверах соответствующего производителя в Интернете.

Сервис репутаций включает следую-щие технологии.

Whitelisting — белые списки про-граммного обеспечения. С помощью данного решения отслеживаются заве-домо безопасные приложения, которые уже проверены антивирусной лабора-торией (термин используется «Лабора-торией Касперского»). Необходимо под-черкнуть, что белые списки не покрыва-ют всего разнообразия ПО.

Web Reputation — репутация Web-сайтов. Каждой странице присваива-ется после проверки определенный уро-вень репутации. Например, сайт часто меняет свой IP-адрес или с него рассы-лается спам — значит, сайт является по-дозрительным, соответственно, репута-ция снижается.

Email Reputation — репутация ис-точника электронной почты. Если с адресов данного домена рассылается

вредоносное ПО или спам — репутация домена снижается.

File Reputation — репутация файла. Зависит от источника получения, поведе-ния данного файла и т. д. Если файл по-лучен из сомнительного источника — его репутация заведомо снижена. Если в хо-де работы файл пытается несанкциониро-ванно записать что-то в реестр либо у раз-ных пользователей файл вроде бы один, но у него разные контрольные суммы — это повод для снижения репутации и т. д.

Smart Feedback — технология срав-нения и анализа поведения. Позволяет пополнять базы URL, почтовых адресов и файлов на основе сравнения. Если фай-лы, загружаемые со страницы, заражены, значит, снижается репутация сайта и на-оборот.

На самом деле признаков, по кото-рым вычисляется репутация, намного больше.

как это работает?Предположим, пользователь запускает неизвестный файл. Локальный антиви-рус проверяет его — файл чист. Однако показывает, что файл странно прописы-вает себя в реестр, пытается получить доступ к системным сервисам, устанав-ливает подозрительные соединения.

Времена хакеров-одиночек давно в прошлом. Сегодня борьба с вирусами превратилась в войну с международным преступным сообществом вирусописателей, и одним из методов в этой борьбе стал сервис репутаций.

Репутации превыше всего!

владимир безмалый, независимый эксперт,

MVP Consumer Security, Microsoft Security

trusted Advisor; vladb@windowslive.com

www.cio.ru l январь 2012 53

ит-университет

Сигнал поступает в антивирусное об-лако, где принимается решение о де-текте. В итоге файл блокируется, а его действия откатываются. Или, напри-мер, сайт регулярно меняет IP-адрес. В результате все скачанные с его стра-ниц приложения будут иметь снижен-ную репутацию.

Необходимо отметить, что сервис репутаций сам по себе не является па-нацеей. Только использование комп-лекса всех технологий (проактивной защиты, баз сигнатур, облачных тех-нологий) позволит сегодня чувство-вать себя защищенным.

прИЧИны появленИяСегодня написание вирусов стало биз-несом и приобрело своего рода про-мышленные масштабы. Времена ха-керов-одиночек давно в прошлом. Нравится нам или нет, но борьба с ви-русами превратилась в войну с между-народным преступным сообществом вирусописателей, чьей основной це-лью является обогащение.

Здесь даже существует разделе-ние труда — один находит уязвимос-ти, другой реализует их в виде тех или иных законченных решений, третий продает эти решения на бирже, чет-вертый покупает и применяет, а пятый все это оплачивает...

Число вирусов растет лавинооб-разно. По данным «Лаборатории Кас-перского», 200 млн сетевых атак бло-кируется ежемесячно; 2 тыс уязвимос-тей в приложениях обнаружено только в 2010 году; более 19 млн новых ви-русов появилось в 2010 году; более 30 тыс. новых угроз появляется ежеднев-но; каждые сутки появляется около 70 тыс. новых вредоносных программ. И в этой войне антивирусные компании, используя существующие технологии, скоро придут к тому, что ресурсов ПК будет хватать исключительно только на работу антивируса.

немного ИсторИИС начала антивирусной индустрии сло-жился понятный механизм обеспече-ния защиты, когда от пострадавшего пользователя или из другого источни-ка лаборатория получала образец вре-доносного файла и после всесторонне-го анализа выпускала обновления к ба-зе сигнатур вирусов вместе с рецептом по удалению заразы. Все клиенты за-гружали это обновление и получали ак-туальную защиту. Разумеется, были те, кто заражался раньше, чем получал об-новление, но таких было относительно мало. По мере роста числа угроз произ-водителям антивирусов пришлось мак-симально автоматизировать процесс анализа новых видов угроз, исполь-зуя эвристические механизмы, и да-же встроить подобные механизмы в са-ми антивирусы. При этом частота об-новлений увеличилась и выпуски стали ежедневными и даже ежечасными.

Несмотря на успехи антивирусных компаний, очевидно, что экспоненци-альный рост числа новых угроз не ос-тавляет шанса на победу. С одной сто-роны, объем выпускаемых обновлений выходит за все разумные пределы. С другой стороны, антивирусные компа-нии не в силах наращивать человечес-кие ресурсы такими же экспоненци-альными темпами.

Одно время в индустрии безопаснос-ти бытовало мнение, что описанную про-блему раз и навсегда решат так называ-емые эвристические технологии, то есть методики детектирования не на основе сигнатуры, а с использованием методов искусственного интеллекта, встраивае-мого в антивирус. Эти технологии полу-чили широкое распространение, но про-блем решить не смогли. Лучшие приме-ры реализации эвристического анализа обеспечивают уровень обнаружения в пределах 50–70% для знакомых се-мейств вирусов и совершенно бессиль-ны перед новыми видами атак.

Сейчас сформировался подход, ко-торый сводится к тому, что распозна-вать угрозы необходимо непосредс-твенно в распределенных центрах обработки данных антивирусной ком-пании, а не только на компьютере ко-нечного пользователя. Такой перенос центра тяжести технологии в Интер-нет называется облачным.

Переход к облачным технологи-ям позволяет упростить архитектуру продукта, который пользователь ста-вит на свой компьютер, ведь теперь для каждого подозрительного ресур-са предоставляется небольшое по объ-ему обновление, индивидуально за-гружаемое из облака практически в реальном времени. Разумеется, раз-работанные технологии весьма слож-ны, кроме этого, необходимо обес-печить защиту и в тот момент, когда компьютер вообще не подключен к Се-ти. Тем не менее облачные техноло-гии являются ключом к обеспечению безопасности не самых мощных уст-ройств, таких как нетбуки, планшеты и смартфоны.

По данным исследования, прове-денного во II квартале 2010 года NSS Labs, антивирусным компаниям для блокирования Web-угроз необходимо от 4,6 до 92,5 часа (NSS Labs. Corporate Endpoint Protection Products Group Test: Socially-Engineered Malware Q2 2010, May 17, 2010). В исследовании принимали участие продукты ком-паний AVG, ESET, F-Secure, «Лабора-тория Касперского», McAfee, Norman, Panda, Sophos, Symantec, Trend Micro.

Дальнейшее принципиальное уве-личение максимальной скорости реак-ции на угрозы с помощью обычных ан-тивирусных обновлений невозможно, так как затраты времени на обнаруже-ние «зловредов», их последующий ана-лиз и тестирование формируемых ан-тивирусных обновлений уже сведены к минимуму.

■ Ретейл и дистрибуция■ Социальные коммуникации в интересах бизнеса■ Создание системы прогнозной аналитики■ Серверные платформы на базе новейших процессоров■ Как сохранить себя и развивать карьеру в условиях бесконечного стресса■ Практика применения закона о цифровой подписи