Nowa era programów antywirusowych

Transkrypt

1 Nowa era programów antywirusowych W jaki sposób architektura typu klient/chmura i nowy sposób rozpoznawania zachowań zmieniają sposób postrzegania kwestii bezpieczeństwa i powodują, że tradycyjne antywirusy stają się przestarzałe i nieefektywne Nowe oblicze antywirusów Spis treści: Wprowadzenie: Koniec tradycyjnych rozwiązań antywirusowych... 1 Dlaczego tradycyjny antywirus już nie wystarcza?... 2 Architektura typu klient / chmura... 2 Rozpoznawanie zachowań... 4 System księgowania i przywracania systemu... 5 W jaki sposób Webroot łączy wszystkie elementy... 5 Podsumowanie: Przekonaj się sam... 7 Wprowadzenie: Koniec tradycyjnych rozwiązań antywirusowych Czytając artykuły i wpisy na blogach nie sposób nie zauważyć rosnącej liczby pytań o kondycję programów antywirusowych. Nie bez powodu. Czy antywirus to już przeszłość? Z pewnością tradycyjna technologia oparta na sygnaturze staje się coraz bardziej i bardziej przestarzała. Istnieją jednak nowe rozwiązania, dzięki którym tego rodzaju oprogramowanie może stać się na powrót efektywne i użyteczne. Przyjrzyjmy się trzem spośród nich: - Architekturze typu klient / chmura - rozpoznawaniu zachowań - księgowaniu i przywracaniu systemu Odzwierciedlają one zasadniczą zmianę, w postrzeganiu rozwiązań antywirusowych, zwrot, dzięki któremu powstaje nowa technologia, umożliwiająca skuteczne wykrywanie i przeciwdziałanie zagrożeniom związanym z atakami złośliwego oprogramowania

2 Dlaczego tradycyjny antywirus już nie wystarcza? Tradycyjne programy antywirusowe oparte są na rozpoznawaniu sygnatur odbywającym się na urządzeniach końcowych. Ta strategia nie jest skuteczna z kilku powodów: - Liczba rozpoznanych zagrożeń wzrosła tak bardzo, iż bezcelowe stało się aktualizowanie sygnatur na urządzeniach końcowych, jako że nie są one w stanie porównywać plików ze wszystkimi znanymi sygnaturami. - Hakerzy i cyberprzestępcy wykorzystują rozmaite techniki oraz sieci bonet do przeprowadzania ataków typu zero-day, zanim sygnatury zostaną zaktualizowane na urządzeniach końcowych. W sytuacji, kiedy cyberatak wymierzony jest w konkretną jednostkę lub organizację, prawdopodobne jest, że sygnatura w ogóle nie istnieje Hakerzy wykorzystują takie techniki jak szyfrowanie złośliwych kodów, polimorfowanie po stronie serwerów oraz testowanie QA, których rozpoznanie na podstawie sygnatur jest niemożliwe. W obliczu tego rodzaju zagrożeń, większość ekspertów zajmujących się bezpieczeństwem informacji zgadza się, iż tradycyjne produkty antywirusowe, oparte na rozpoznawaniu sygnatur nie są w stanie skutecznie zapobiegać atakom najnowszego i najbardziej niebezpiecznego złośliwego oprogramowania. Architektura typu klient / chmura Architektura ciężkiego klienta tradycyjnych produktów antywirusowych oparta jest na modułach zajmujących bardzo dużą przestrzeń pamięci dyskowej urządzeń końcowych. Rozwiązanie to umożliwia porównywania podejrzanych plików z sygnaturami zagrożeń, jednak stwarza jednocześnie kilka zasadniczych problemów: - skanowanie w poszukiwaniu złośliwego oprogramowania oraz porównywanie sygnatur spowalnia działanie komputerów, zmniejsza efektywność pracy, irytuje użytkownika i, w niektórych przypadkach, zmusza go do wyłączenia oprogramowania antywirusowego, - z powodu konieczności przesyłania do urządzeń końcowych tysięcy nowych sygnatur (często nawet 5MB na każdy z nich dziennie), przepustowość łącza zostaje ograniczona, a cały proces musi być monitorowany przez administratora systemu. - ponieważ aktualizacja bazy sygnatur jest często możliwa jedynie po podłączeniu do sieci korporacyjnej za pomocą VPN, użytkownicy zdalni oraz ci korzystający z roamingu są narażeni na ataki typu zero-day. Architektura typu klient / chmura całkowicie zmienia tę sytuację, jako że na urządzeniu końcowym potrzebny jest jedynie ultralekki klient, który odnajduje nowe pliki i tworzy ich znaczniki (hashe). Hash wysyłany jest do ulokowanego w chmurze serwera i porównywany z bardzo rozbudowaną bazą sygnatur, a wyniki przesyłane są z powrotem do urządzenia końcowego (patrz: schemat nr 1 na kolejnej stronie).

3 Rysunek 1. Architektura typu klient / chmura przenosi proces dopasowywania sygnatur do chmury, dzięki czemu można wyeliminować ściąganie ogromnej liczby plików sygnatur i lepiej chronić użytkowników. Architektura typu klient / chmura ma ogromną przewagę nad tradycyjnymi produktami antywirusowymi: - jako że bardzo niewielka część zadań wykonywana jest w obrębie urządzenia końcowego, jego wydajność nie zmniejsza się, - Przepustowość łącza i działanie sieci nie są osłabione, ponieważ tylko kilka haszy w danym systemie jest wymienianych w obrębie sieci (zwykle ok. 120 KB dziennie), podczas gdy w przypadku tradycyjnych programów antywirusowych codziennie przesyłanych jest kilka tysięcy sygnatur. - Systemy działające w chmurze dysponują niezwykle rozbudowaną bazą sygnatur, a porównywanie wzorów odbywa się na ogromnych serwerach, co zwiększa skuteczność działania i w zdecydowany sposób przyspiesza cały proces. - Otrzymują one również w czasie rzeczywistym informacje źródłowe dotyczące pojawiających się unikalnych kodów złośliwego oprogramowania od laboratorów testowych, zewnętrznych producentów rozwiązań bezpieczeństwa, tysięcy przedsiębiorstw oraz milionów użytkowników, dzięki czemu zagrożenia typu zero-day mogą być natychmiast rozpoznawane i blokowane. - połączenie z siecią Internet wystarcza, aby chronić użytkowników zdalnych oraz tych korzystających z roamingu przed atakami typu zero-day. - Administratorzy systemów nie muszą instalować ciężkich klientów ani aktualizować bazy sygnatur na urządzeniu końcowym. Produkty antywirusowe typu ciężki klient są całkowicie przestarzałe, a architektura typu chmura / klient jest jedynym rozwiązaniem, dzięki któremu dopasowywanie sygnatur w czasie rzeczywistym będzie wydajne i skuteczne.

4 Rozpoznawanie zachowań Nawet najszybsze i najpełniejsze porównywanie sygnatur nie zapobiegnie jednak atakom typu zero-day czy atakom kierowanym, wymierzonym w konkretne komputery. Ich sygnatury po prostu nie istnieją. Najważniejszą innowacją w obliczu konieczności walki z tego rodzaju zagrożeniami jest metoda rozpoznawania zachowań, w połączeniu z architekturą typu klient / chmura. Technologie identyfikacji zachowań pozwalają programom na działanie w bezpiecznym środowisku typu sandbox i rozpoznawanie zachowań typowych dla złośliwego oprogramowania, takich jak: edytowanie kluczy rejestru, uzyskiwanie dostępu do mailowych list dystrybucyjnych czy próby dezaktywowania pakietów antimalware na urządzeniach. Proces ten nie jest jednak tak prosty, jak może się to pierwotnie wydawać, gdyż wzory zachowań wyróżniające te złośliwe mogą być bardzo złożone. Muszą być one rozpoznane i porównane z ogromną bazą zachowań złośliwych kodów, a aby proces mógł być skuteczny konieczne jest nieustanne aktualizowanie bazy. Schemat nr 2 pokazuje, w jaki sposób rozpoznawanie zachowań może być wprowadzone wspólnie z architekturą typu klient / chmura. W niniejszym procesie: 1. Nieznane aplikacje i pliki wykonywalne przetwarzane są w środowisku typu sandbox na urządzeniu końcowym. 2. Otwieranie plików, odczytywanie i zapisywanie, zmiany rejestru klucza i inne działania są rejestrowane, a ich charakterystyka (lista działań) wysyłane do serwera umieszczonego w chmurze. 3. Charakterystyka zachowania jest porównywana z ogromną bazą wzorów złośliwych zachowań i analizowana w odniesieniu do zastawu zasad (heurystyki), co pozwala ustalić, czy zachowania są złośliwe, czy nie. 4. Wyniki przesyłane są z powrotem do systemu urządzenia końcowego i wskazują, które programy powinny zostać poddane kwarantannie, a którym można zezwolić na działanie. Rysunek 2 Zachowania są przechwytywane przez lokalnego, wyizolowanego sandbox a oraz porównywane z zachwianiami szkodliwego oprogramowania.

5 W ten sposób możliwe jest wykrywanie złośliwego oprogramowania na podstawie sposobu jego działania, nawet w przypadku braku sygnatury, a dzięki temu, iż analiza wzorów i reguł odbywa się w chmurze, nie wpływa ona w żaden sposób na wydajność pracy urządzeń końcowych oraz umożliwia dostęp do ogromnej bazy danych niebezpiecznych zachowań. Co więcej, charakterystyka nowych zagrożeń jest pozyskiwana natychmiast ze źródeł zewnętrznych, a nowopoznane wzory mogą być wykorzystane dla ochrony wszystkich użytkowników. System księgowania i przywracania systemu Identyfikacja zachowań nie wystarczy, jeśli będzie miała wyłącznie krótkoterminowy charakter. Twórcy złośliwego oprogramowania są w stanie zaprojektować je w taki sposób, aby po zainfekowaniu urządzenia końcowego zaczynało funkcjonować z opóźnieniem, a co za tym idzie, nie trafiało od razu do środowiska typu sandbox. W związku z tym konieczne jest wprowadzenie trzeciego elementu składowego nowego antywirusa, długoterminowej analizy zachowań, połączonej z systemem księgowania i przywracania systemu. Po jego wprowadzeniu programy mogą działać, jednak modyfikacje plików, kluczy rejestru, miejsc pamięci i tym podobne zmiany są księgowane, co pozwala oprogramowaniu na tworzenie obrazu przed i po każdej zmiany. Jeśli analiza zachowania ujawni złośliwość oprogramowania, może ono zostać usunięte, a wszystkie wprowadzone przez niego zmiany cofnięte do ostatniego dobrego stanu. To rozwiązanie: - minimalizuje szkodliwe działanie złośliwego oprogramowania, którego nie udało się wykryć ani w procesie dopasowywania sygnatur, ani skróconej identyfikacji zachowań. - eliminuje ogromne nakłady pracy, które należałoby zaangażować do czyszczenia i ponownego zapisu zainfekowanego systemu (badania pokazują, że zajmuje to nawet do jednej trzeciej czasu pracowników pomocy technicznej). - pozwala na rozpoznanie tego samego zagrożenia w innych systemach i w innych miejscach. W jaki sposób Webroot łączy wszystkie elementy Czy ktokolwiek wprowadził w życie wszystkie te pomysły i czy faktycznie mogą one być tak skuteczne, jak to przedstawiono? Otóż tak, rozwiązania te wykorzystano w SecureAnywhere Business - Endpoint Protection. W tym miejscu omówiony zostanie sposób jego działania (schemat nr 3 na kolejnych stronach) oraz uzyskiwane efekty. Webroot SecureAnywhere Business - Endpoint Protection używa agenta, który zajmuje mniej niż 700 KB pamięci na urządzeniu końcowym, a czas jego instalacji wynosi mniej niż sześć sekund (dane uzyskane na podstawie niezależnych testów przeprowadzonych przez Pass Mark Software), co stanowi wyraźny kontrast z konkurencyjnymi rozwiązaniami opartymi na systemach agentowych

6 wykorzystujących duże ilości pamięci i zasobów systemu, których średni czas instalacji wynosi często trzy minuty lub więcej. Wyniki testów jasno pokazują, że dzięki zastosowaniu rozwiązania typu klient / chmura diametralnie zmniejsza się wpływ oprogramowania antywirusowego na funkcjonowanie i wydajność systemu. Testy ośmiu popularnych programów antywirusowych pozwoliły stwierdzić, iż proces skanowania w programie Webroot, z jego architekturą typu klient / chmura, przebiega bez porównania najszybciej. Pełne pierwsze skanowanie systemu zajęło jedynie pięćdziesiąt sekund, co stanowiło mniej niż 50% czasu potrzebnego na tę samą operację produktowi, który w przeprowadzonych testach zajął drugie miejsce i jedynie 40% średniego czasu, który wynosi dwie minuty i cztery sekundy. Podczas wstępnego skanowania Webroot wykorzystuje 12MB pamięci, jedynie 21% zapotrzebowania programu, który zdobył kolejną najlepszą ocenę, a jednocześnie zaledwie 10% średniego zużycia (120MB). Wykorzystanie pamięci w trybie bezczynności systemu wynosi 4MB i stanowi jedynie 6% średniej wartości. Elementem chmury SecureAnywhere Business - Endpoint Protection jest Webroot Intelligence Network, która dysponuje ponad 75 TB sygnatur, zachowań, złych adresów URL i tym podobnych danych, które można zakwalifikować, jako zagrażające bezpieczeństwu, co stanowi o cały rząd wielkości więcej niż potencjał analityczny produktów typu gruby klient na urządzeniach końcowych. Oznacza to, iż Webroot jest w stanie zarówno wykryć znacznie większą liczbę potencjalnych zagrożeń, jak również efektywnie wykorzystać i metodę rozpoznawania zachowań. Rysunek 3 Architektura Webroot a typu klient/chmura oraz Webroot Intelligence Network

7 Webroot Intelligence Network jest nieustannie aktualizowana dzięki danym przekazywanym przez 25tys. partnerów i klientów biznesowych oraz miliony klientów indywidualnych. Oznacza to, że zarówno użytkownicy pracujący w oddziałach i zdalnych lokalizacjach, jak w głównej siedzibie firmy, mają natychmiastowy dostęp do bazy wirusów w momencie, kiedy jest ona aktualizowana. Podsumowując, Webroot Intelligence Network wykorzystuje zasoby światowej chmury w celu dostarczenia najwyższego poziomu bezpieczeństwa z jak najmniejszym opóźnieniem. Podsumowanie: Przekonaj się sam Tradycyjne antywirusy oparte na sygnaturze to już przeszłość, pojawiły się jednak zupełnie nowe rozwiązania, które umożliwiają skuteczną ochronę przed złośliwym oprogramowaniem. W niniejszym artykule omówiono trzy spośród nich: - Architektura typu klient / chmura - Identyfikacja zachowań - system księgowania i przywracania systemu Rozwiązania te usprawniają funkcjonowanie systemu, wykrywają znacznie większą liczbę wirusów i zasadniczo redukują czas, który administratorzy oraz obsługa techniczna poświęcają na aktualizowanie sygnatur i czyszczenie zainfekowanych systemów. Co więcej, dane przedstawione powyżej to nie tylko teoretyczna dyskusja, sam możesz przekonać się, jak omówione rozwiązania sprawdzają się w praktyce. Więcej informacji znaleźć można pod adresem: Darmowa wersja próbna SecureAnywhere Business - Endpoint Protection: Bakotech Sp. z o. o. Wszystkie prawa zastrzeżone. Webroot, SecureAnywhere, i Webroot SecureAnywhere są znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Webroot Inc. w U.S. i/lub innych krajach. Microsoft i Internet Explorer są znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Microsoft Corporation w U.S. i/lub innych krajach. Mozilla and Firefox są zastrzeżonymi znakami towarowymi firmy Mozilla Foundation. Android and Chrome są znakami towarowymi Google Inc. Apple, Safari, iphone and ipad są znakami towarowymi of Apple Inc. Opera jest znakiem towarowym firmy Opera Software ASA. Wszystkie inne znaki towarowe są własnością ich Właścicieli.