Новый подход к защите ПК от Symantec
АрхивСофтерраSymantec объявила о внедрении в продукты семейства Norton 2010 технологии Quorum, использующей механизм репутационных оценок для файлов. Компания относит свое антивирусное решение к разряду инновационных. Так ли это?
В последнее время среди производителей антивирусов наметилась тенденция перехода на новые технологии защиты ПК от вредоносного и нежелательного программного обеспечения. Одни разработчики софта делают ставку на "облачные вычисления" (cloud computing), другие внедряют модули мгновенного реагирования на кибератаки и механизмы запуска подозрительных приложений в изолированных областях, третьи используют системы распределенного мониторинга угроз и технологии так называемого "коллективного разума", а четвертые совершенствуют имеющиеся решения и выводят их на принципиально новый уровень. В поисках перспективных направлений борьбы с цифровой нечистью участвуют многие известные на рынке ПО компьютерной безопасности компании, а совсем недавно их список пополнила корпорация Symantec, объявившая о внедрении в продукты семейства Norton 2010 инновационной технологии Quorum, использующей механизм репутационных рейтингов для файлов.
В отличие от традиционных подходов к определению опасности того или иного объекта, предполагающих использование сигнатур вирусов, лежащие в основе Quorum алгоритмы для идентификации зловредов руководствуются данными репутационного анализа файлов, полученными от членов сообщества Norton Community Watch, издателей программного обеспечения, от клиентов крупных предприятий, а также из многих других источников. При этом для точной оценки репутации файлов Quorum использует такую информацию об объектах, как распространенность, время существования и другие атрибуты, которые агрегируются и многократно проверяются с помощью масштабной "облачной" инфраструктуры серверов Symantec и только лишь затем передаются пользователям продуктов компании.
По словам специалистов корпорации, технология Quorum дополняет используемые в продуктах линейки Norton 2010 средства защиты, позволяет поддерживать на должном уровне точность выявления угроз и снижает степень зависимости от традиционных сигнатур. "С новой технологией изменяются правила борьбы с вредоносным ПО, - считает Стивен Триллинг (Stephen Trilling), старший вице-президент Symantec по технологиям безопасности и защиты. - Благодаря знаниям и опыту десятков миллионов пользователей мы можем выявлять угрозы, которые традиционные средства обеспечения безопасности не видят".
Чтобы увидеть механизм Quorum в действии при работе в Norton Internet Security 2010 или Norton AntiVirus 2010, достаточно открыть окно модуля Insight Network либо щелкнуть правой кнопкой мыши по любому файлу на диске и выбрать в контекстном меню пункт File Insight. В первом случае взору пользователя предстанут статистические сведения об обрабатываемых в системе Quorum и сети Norton Community Watch данных, а во втором откроется окно с информацией о том, откуда появился выбранный файл, сколько других пользователей продуктов Symantec с ним работают, когда алгоритмы системы впервые обнаружили его и каков его репутационный рейтинг. Если обнаружится, что объект имеет плохую репутацию, он будет автоматически заблокирован антивирусной программой.
"Технология, представленная Symantec как революционная и осуществляющая блокирование объектов на основе репутации файлов, была реализована с момента анонсирования в наших продуктах Антивирус Касперского 2009 и Kaspersky Internet Security 2009 технологии Urgent Detection System (UDS), - так прокомментировал нововведения в системе защиты Norton 2010 Дмитрий Устюжанин, руководитель управления продуктового маркетинга "Лаборатории Касперского". - UDS представляет собой не что иное, как репутационный сервис, элемент системы KL Software Reference Library (KLSRL), представленной в свою очередь в Kaspersky Security Network (KSN). Согласно данным из прессы, принцип, на котором основана новая технология Symantec, можно отчасти назвать схожим с принципом, применяемым нашей компанией. Однако в отличие от ситуации, когда учитываются только мнения пользователей о репутации объектов (а эти данные могут быть относительно легко сфабрикованы), помимо данных от наших пользователей, в составе многочисленных потоков статистики мы принимаем во внимание и ряд альтернативных критериев. На основании глубокого анализа данных факторов рядом экспертных систем (JFYI-KLSRL\WL ver. 2.0 и Astraea), контролирующих друг с друга, осуществляется классификация ПО и расчёт репутации объектов. Наличие постоянной обратной связи с экспертными системами и вирусными аналитиками самой "Лаборатории", гарантирует правильную идентификацию и оперативное разрешение возможных логических ошибок".
По мнению Григория Васильева, технического директора ESET, Quorum представляет собой попытку использовать статистическую информацию, получаемую от системы обратной связи с клиентом, для повышения эффективности защиты. "Назвать это полноценной технологией детектирования нельзя, - подчеркнул Григорий, - поскольку, в отличие от традиционных белых и черных списков, этот подход не дает однозначного ответа, является ли файл вредоносным - он только предоставляет рейтинг. Статистика Quorum может быть полезна в сочетании с другими методами, в частности, с эвристическим анализом, как ещё один параметр для принятия решения о вредоносности файла. Серьёзная проблема Quorum заключается в том, что рейтинг вновь появившегося файла будет низким до тех пор, пока им не воспользуется достаточно большое число пользователей продукта. То есть, пока не наберется необходимый (извините за каламбур) кворум клиентов, каждый новый пользователь будет информирован о ненадежности файла, и человеку придется самому решать, рисковать ему или обойтись без данного приложения".
Таковы комментарии коллег по бизнесу. Как можно заметить, в них нет восторженных комплиментов в адрес Quorum, а сами специалисты довольно осторожно относятся разработкам конкурентов, продвигаемым под лейблами "инновационный", "революционный" и т.д. В стремлении укрепить позиции на рынке антивирусных решений, софтверные компании могут прибегать к различным методам и средствам. Главное, чтобы они были прозрачны и понятны для покупателя, стоящего перед выбором того или иного продукта.
После публикации материала с нами связались представители компании Symantec и прислали письмо с комментарием Кирилла Керценбаума, руководителя группы технических специалистов Symantec в России и СНГ.
"Мы и не отрицаем, что подобные репутационные технологии могут быть малоэффективны без других механизмов защиты, которых в новой линейке Norton 2010 стало не меньше, а наоборот больше. Например, чего стоит только новая версия поведенческого анализатора SONAR 2, способного на основе безсигнатурного метода находить большинство неизвестных угроз. Технологии репутации всего лишь логически дополняют как другие модули, так и сами продукты, позволяя предостерегать пользователя от использования того или иного ПО еще на стадии, когда он еще не загрузил его на свой ПК. Подобных технологий сейчас фактически нет ни в одном из аналогичных продуктов. Также никаких возможностей сфабриковать репутацию того или иного файла нет, так как такие факторы, как распространенность и новизна файлов, не является решающим при выставлении ему того или иного рейтинга. Один из главных моментов здесь - именно построение рейтинга файла в зависимости от того, что он делает и что может потенциально сделать на ПК пользователя. Решается это путем как эмуляции поведения приложений в "облаке" Symantec, так и отчетов, которые формирует система поведенческого анализа SONAR 2. Таким образом, продукты Norton 2010 на данный момент являются фактически уникальным сочетанием локальных и "облачных" технологий в едином продукте безопасности. При этом стоит отметить, что фактически разработка технологии Quorum продолжалась около 5 лет и впервые в неком виде появилась в продуктах Symantec еще в 2007 году".