Nowa era programów antywirusowych

Podobne dokumenty
Gdy liczy się prędkość rozwiązanie jest jedno, Webroot. Instalator 700Kb Instalacja ok. 2 sek. Skanowanie 2 min.

Otwock dn r. Do wszystkich Wykonawców

Kaspersky Security Network

Webroot SecureAnywhere ROZWIĄZANIA DLA UŻYTKOWNIKÓW DOMOWYCH

Zaufanie jest bardzo ważne. Nie chcemy, aby nasze projekty trafiły w niepowołane ręce.

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

Kaspersky Security Network

Technologia Automatyczne zapobieganie exploitom

Wprowadzenie do Kaspersky Value Added Services for xsps

OCHRONA PRZED RANSOMWARE

Zabezpieczanie danych użytkownika przed szkodliwym oprogramowaniem szyfrującym

Włącz autopilota w zabezpieczeniach IT

Panda Internet Security 2017 przedłużenie licencji

Wszechstronne urządzenie. z wbudowanymi wszystkimi funkcjami. zapory ogniowej i technologiami. zabezpieczeń. Symantec Gateway Security SERIA 5400

Najwyższa jakość ochrony na każdym poziomie.

PROGRAMY ANTYWIRUSOWE TYPU KLIENT/CHMURA PERSPEKTYWY ROZWOJU, WYDAJNOŚĆ, ZAGROŻENIA

Symantec Enterprise Security. Andrzej Kontkiewicz

4 WEBINARIA tematyczne, gdzie każde przedstawia co innego związanego z naszym oprogramowaniem.

Przetwarzanie w chmurze

Norton 360 Najczęściej zadawane pytania

Programy antywirusowe dostępne bez opłat

Wyższy poziom bezpieczeństwa

Kaspersky Anti-Virus PC

Arkanet s.c. Produkty. Norman Produkty

Produkty. ESET Produkty

Software Updater F-Secure Unikatowe narzędzie, które chroni firmy przed znanymi zagrożeniami

Panda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik

Internet Security Multi-Device PL Box 2-Device 1Year KL1941PBBFS

Polityka prywatności

Kaspersky Hosted Security

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego

Odpowiedzi na pytania do postępowania na zakupu oprogramowania antywirusowego (NR BFI 1S/01/10/05/2019) z dnia

Znak sprawy: KZp

Misja. O firmie. NOD32 Antivirus

Bitdefender GravityZone Advanced Business Security

Zapewnienie dostępu do Chmury

TEST BEZPŁATNYCH ANTYW IRUSOW YCH

BEZPIECZNY BIZNES GDZIEKOLWIEK CIĘ ZAPROWADZI. Protection Service for Business

BITDEFENDER GRAVITYZONE

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

Koniec problemów z zarządzaniem stacjami roboczymi BigFix. Włodzimierz Dymaczewski, IBM

Necurs analiza malware (1)

Panda Global Business Protection

SIŁA PROSTOTY. Business Suite

F-Secure Anti-Virus for Mac 2015

Przedstawiamy produkt KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Bitdefender GravityZone

CENTRALA ŚWIATOWA Stevens Creek Blvd. Cupertino, CA USA

MailStore Server. Sun Capital sp. z o.o. dystrybutor MailStore. Standard w archiwizacji poczty

PREMIUM BIZNES zł 110zł za 1 Mb/s Na czas nieokreślony Od 9 14 Mbit/s

Bezpieczeństwo usług oraz informacje o certyfikatach

Netia Mobile Secure Netia Backup

Bitdefender GravityZone

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI

Różnice pomiędzy hostowanymi rozwiązaniami antyspamowymi poczty firmy GFI Software

1. Bezpieczne logowanie i przechowywanie hasła

sprawdzonych porad z bezpieczeństwa

Wymagania systemowe dla Qlik Sense. Qlik Sense February 2018 Copyright QlikTech International AB. Wszelkie prawa zastrzeżone.

DLA KOMPUTERÓW MAC. Przewodnik Szybki start. Kliknij tutaj, aby pobrać najnowszą wersję tego dokumentu

Powstrzymywanie zaawansowanych, ukierunkowanych ataków, identyfikowanie użytkowników wysokiego ryzyka i kontrola nad zagrożeniami wewnętrznymi

Załącznik nr 1 I. Założenia ogólne:

Instrukcja konfiguracji funkcji skanowania

Wymagania systemowe dla Qlik Sense. Qlik Sense June 2018 Copyright QlikTech International AB. Wszelkie prawa zastrzeżone.

ArcaVir 2008 System Protection

Polityka ochrony danych osobowych w programie Norton Community Watch

ASQ: ZALETY SYSTEMU IPS W NETASQ

Webroot Security Intelligence dla urządzeń mobilnych

Zadanie 1 Treść zadania:

ESET NOD32 Antivirus 4 dla systemu Linux Desktop. Przewodnik Szybki start

X-CONTROL -FUNKCJONALNOŚCI

Adaptive Defense PROAKTYWNE PRZECIWDZIAŁANIE ZAGROŻENIOM

Produkty. MKS Produkty

F-Secure Mobile Security for S60

Podręcznik administratora systemu

POLITYKA Prywatności. Przetwarzanie i Ochrona Danych Osobowych

Raport z analizy porównawczej rodzin ransomware JAFF i Cry

Windows Defender Centrum akcji

dla systemu Mac Przewodnik Szybki start

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Kaspersky Anti-Virus 2013 Kaspersky Internet Security Lista nowych funkcji

ESET NOD32 ANTIVIRUS 10

GSMONLINE.PL. T-Mobile wprowadza platformę T-Mobile Cloud - aktualizacja Polski T-

Diagnostyka komputera


S Y S T E M D O Z A R Z Ą D Z A N I A U R Z Ą D Z E N I A M I M O B I L N Y M I

KASPERSKY FRAUD PREVENTION FORENDPOINTS

Krótką instrukcję instalacji można znaleźć na końcu podręcznika.

BitDefender Antivirus Plus PC

` Oxeris Anti-Theft Service Powered by Intel Anti-Theft Technology Usługa antykradzieżowa urządzeń

Skuteczny antywirus działający w chmurze.

Microsoft Windows 7 / Vista / XP / 2000 / Home Server / NT4 (SP6) Przewodnik Szybki start

Pełna specyfikacja pakietów Mail Cloud

Antywirusy. Marcin Talarczyk. 2 czerwca Marcin Talarczyk Antywirusy 2 czerwca / 36

BEZPIECZEŃSTWO UŻYTKOWNIKA APLIKACJI FACEAPP. Analiza Zespołu CERT POLSKA w Państwowym Instytucie Badawczym NASK

Trojan bankowy Emotet w wersji DGA

NIP , REGON

System Kancelaris. Zdalny dostęp do danych

Microsoft Office 365 omówienie usług

Transkrypt:

Nowa era programów antywirusowych W jaki sposób architektura typu klient/chmura i nowy sposób rozpoznawania zachowań zmieniają sposób postrzegania kwestii bezpieczeństwa i powodują, że tradycyjne antywirusy stają się przestarzałe i nieefektywne Nowe oblicze antywirusów Spis treści: Wprowadzenie: Koniec tradycyjnych rozwiązań antywirusowych... 1 Dlaczego tradycyjny antywirus już nie wystarcza?... 2 Architektura typu klient / chmura... 2 Rozpoznawanie zachowań... 4 System księgowania i przywracania systemu... 5 W jaki sposób Webroot łączy wszystkie elementy... 5 Podsumowanie: Przekonaj się sam... 7 Wprowadzenie: Koniec tradycyjnych rozwiązań antywirusowych Czytając artykuły i wpisy na blogach nie sposób nie zauważyć rosnącej liczby pytań o kondycję programów antywirusowych. Nie bez powodu. Czy antywirus to już przeszłość? Z pewnością tradycyjna technologia oparta na sygnaturze staje się coraz bardziej i bardziej przestarzała. Istnieją jednak nowe rozwiązania, dzięki którym tego rodzaju oprogramowanie może stać się na powrót efektywne i użyteczne. Przyjrzyjmy się trzem spośród nich: - Architekturze typu klient / chmura - rozpoznawaniu zachowań - księgowaniu i przywracaniu systemu Odzwierciedlają one zasadniczą zmianę, w postrzeganiu rozwiązań antywirusowych, zwrot, dzięki któremu powstaje nowa technologia, umożliwiająca skuteczne wykrywanie i przeciwdziałanie zagrożeniom związanym z atakami złośliwego oprogramowania

Dlaczego tradycyjny antywirus już nie wystarcza? Tradycyjne programy antywirusowe oparte są na rozpoznawaniu sygnatur odbywającym się na urządzeniach końcowych. Ta strategia nie jest skuteczna z kilku powodów: - Liczba rozpoznanych zagrożeń wzrosła tak bardzo, iż bezcelowe stało się aktualizowanie sygnatur na urządzeniach końcowych, jako że nie są one w stanie porównywać plików ze wszystkimi znanymi sygnaturami. - Hakerzy i cyberprzestępcy wykorzystują rozmaite techniki oraz sieci bonet do przeprowadzania ataków typu zero-day, zanim sygnatury zostaną zaktualizowane na urządzeniach końcowych. W sytuacji, kiedy cyberatak wymierzony jest w konkretną jednostkę lub organizację, prawdopodobne jest, że sygnatura w ogóle nie istnieje Hakerzy wykorzystują takie techniki jak szyfrowanie złośliwych kodów, polimorfowanie po stronie serwerów oraz testowanie QA, których rozpoznanie na podstawie sygnatur jest niemożliwe. W obliczu tego rodzaju zagrożeń, większość ekspertów zajmujących się bezpieczeństwem informacji zgadza się, iż tradycyjne produkty antywirusowe, oparte na rozpoznawaniu sygnatur nie są w stanie skutecznie zapobiegać atakom najnowszego i najbardziej niebezpiecznego złośliwego oprogramowania. Architektura typu klient / chmura Architektura ciężkiego klienta tradycyjnych produktów antywirusowych oparta jest na modułach zajmujących bardzo dużą przestrzeń pamięci dyskowej urządzeń końcowych. Rozwiązanie to umożliwia porównywania podejrzanych plików z sygnaturami zagrożeń, jednak stwarza jednocześnie kilka zasadniczych problemów: - skanowanie w poszukiwaniu złośliwego oprogramowania oraz porównywanie sygnatur spowalnia działanie komputerów, zmniejsza efektywność pracy, irytuje użytkownika i, w niektórych przypadkach, zmusza go do wyłączenia oprogramowania antywirusowego, - z powodu konieczności przesyłania do urządzeń końcowych tysięcy nowych sygnatur (często nawet 5MB na każdy z nich dziennie), przepustowość łącza zostaje ograniczona, a cały proces musi być monitorowany przez administratora systemu. - ponieważ aktualizacja bazy sygnatur jest często możliwa jedynie po podłączeniu do sieci korporacyjnej za pomocą VPN, użytkownicy zdalni oraz ci korzystający z roamingu są narażeni na ataki typu zero-day. Architektura typu klient / chmura całkowicie zmienia tę sytuację, jako że na urządzeniu końcowym potrzebny jest jedynie ultralekki klient, który odnajduje nowe pliki i tworzy ich znaczniki (hashe). Hash wysyłany jest do ulokowanego w chmurze serwera i porównywany z bardzo rozbudowaną bazą sygnatur, a wyniki przesyłane są z powrotem do urządzenia końcowego (patrz: schemat nr 1 na kolejnej stronie).

Rysunek 1. Architektura typu klient / chmura przenosi proces dopasowywania sygnatur do chmury, dzięki czemu można wyeliminować ściąganie ogromnej liczby plików sygnatur i lepiej chronić użytkowników. Architektura typu klient / chmura ma ogromną przewagę nad tradycyjnymi produktami antywirusowymi: - jako że bardzo niewielka część zadań wykonywana jest w obrębie urządzenia końcowego, jego wydajność nie zmniejsza się, - Przepustowość łącza i działanie sieci nie są osłabione, ponieważ tylko kilka haszy w danym systemie jest wymienianych w obrębie sieci (zwykle ok. 120 KB dziennie), podczas gdy w przypadku tradycyjnych programów antywirusowych codziennie przesyłanych jest kilka tysięcy sygnatur. - Systemy działające w chmurze dysponują niezwykle rozbudowaną bazą sygnatur, a porównywanie wzorów odbywa się na ogromnych serwerach, co zwiększa skuteczność działania i w zdecydowany sposób przyspiesza cały proces. - Otrzymują one również w czasie rzeczywistym informacje źródłowe dotyczące pojawiających się unikalnych kodów złośliwego oprogramowania od laboratorów testowych, zewnętrznych producentów rozwiązań bezpieczeństwa, tysięcy przedsiębiorstw oraz milionów użytkowników, dzięki czemu zagrożenia typu zero-day mogą być natychmiast rozpoznawane i blokowane. - połączenie z siecią Internet wystarcza, aby chronić użytkowników zdalnych oraz tych korzystających z roamingu przed atakami typu zero-day. - Administratorzy systemów nie muszą instalować ciężkich klientów ani aktualizować bazy sygnatur na urządzeniu końcowym. Produkty antywirusowe typu ciężki klient są całkowicie przestarzałe, a architektura typu chmura / klient jest jedynym rozwiązaniem, dzięki któremu dopasowywanie sygnatur w czasie rzeczywistym będzie wydajne i skuteczne.

Rozpoznawanie zachowań Nawet najszybsze i najpełniejsze porównywanie sygnatur nie zapobiegnie jednak atakom typu zero-day czy atakom kierowanym, wymierzonym w konkretne komputery. Ich sygnatury po prostu nie istnieją. Najważniejszą innowacją w obliczu konieczności walki z tego rodzaju zagrożeniami jest metoda rozpoznawania zachowań, w połączeniu z architekturą typu klient / chmura. Technologie identyfikacji zachowań pozwalają programom na działanie w bezpiecznym środowisku typu sandbox i rozpoznawanie zachowań typowych dla złośliwego oprogramowania, takich jak: edytowanie kluczy rejestru, uzyskiwanie dostępu do mailowych list dystrybucyjnych czy próby dezaktywowania pakietów antimalware na urządzeniach. Proces ten nie jest jednak tak prosty, jak może się to pierwotnie wydawać, gdyż wzory zachowań wyróżniające te złośliwe mogą być bardzo złożone. Muszą być one rozpoznane i porównane z ogromną bazą zachowań złośliwych kodów, a aby proces mógł być skuteczny konieczne jest nieustanne aktualizowanie bazy. Schemat nr 2 pokazuje, w jaki sposób rozpoznawanie zachowań może być wprowadzone wspólnie z architekturą typu klient / chmura. W niniejszym procesie: 1. Nieznane aplikacje i pliki wykonywalne przetwarzane są w środowisku typu sandbox na urządzeniu końcowym. 2. Otwieranie plików, odczytywanie i zapisywanie, zmiany rejestru klucza i inne działania są rejestrowane, a ich charakterystyka (lista działań) wysyłane do serwera umieszczonego w chmurze. 3. Charakterystyka zachowania jest porównywana z ogromną bazą wzorów złośliwych zachowań i analizowana w odniesieniu do zastawu zasad (heurystyki), co pozwala ustalić, czy zachowania są złośliwe, czy nie. 4. Wyniki przesyłane są z powrotem do systemu urządzenia końcowego i wskazują, które programy powinny zostać poddane kwarantannie, a którym można zezwolić na działanie. Rysunek 2 Zachowania są przechwytywane przez lokalnego, wyizolowanego sandbox a oraz porównywane z zachwianiami szkodliwego oprogramowania.

W ten sposób możliwe jest wykrywanie złośliwego oprogramowania na podstawie sposobu jego działania, nawet w przypadku braku sygnatury, a dzięki temu, iż analiza wzorów i reguł odbywa się w chmurze, nie wpływa ona w żaden sposób na wydajność pracy urządzeń końcowych oraz umożliwia dostęp do ogromnej bazy danych niebezpiecznych zachowań. Co więcej, charakterystyka nowych zagrożeń jest pozyskiwana natychmiast ze źródeł zewnętrznych, a nowopoznane wzory mogą być wykorzystane dla ochrony wszystkich użytkowników. System księgowania i przywracania systemu Identyfikacja zachowań nie wystarczy, jeśli będzie miała wyłącznie krótkoterminowy charakter. Twórcy złośliwego oprogramowania są w stanie zaprojektować je w taki sposób, aby po zainfekowaniu urządzenia końcowego zaczynało funkcjonować z opóźnieniem, a co za tym idzie, nie trafiało od razu do środowiska typu sandbox. W związku z tym konieczne jest wprowadzenie trzeciego elementu składowego nowego antywirusa, długoterminowej analizy zachowań, połączonej z systemem księgowania i przywracania systemu. Po jego wprowadzeniu programy mogą działać, jednak modyfikacje plików, kluczy rejestru, miejsc pamięci i tym podobne zmiany są księgowane, co pozwala oprogramowaniu na tworzenie obrazu przed i po każdej zmiany. Jeśli analiza zachowania ujawni złośliwość oprogramowania, może ono zostać usunięte, a wszystkie wprowadzone przez niego zmiany cofnięte do ostatniego dobrego stanu. To rozwiązanie: - minimalizuje szkodliwe działanie złośliwego oprogramowania, którego nie udało się wykryć ani w procesie dopasowywania sygnatur, ani skróconej identyfikacji zachowań. - eliminuje ogromne nakłady pracy, które należałoby zaangażować do czyszczenia i ponownego zapisu zainfekowanego systemu (badania pokazują, że zajmuje to nawet do jednej trzeciej czasu pracowników pomocy technicznej). - pozwala na rozpoznanie tego samego zagrożenia w innych systemach i w innych miejscach. W jaki sposób Webroot łączy wszystkie elementy Czy ktokolwiek wprowadził w życie wszystkie te pomysły i czy faktycznie mogą one być tak skuteczne, jak to przedstawiono? Otóż tak, rozwiązania te wykorzystano w SecureAnywhere Business - Endpoint Protection. W tym miejscu omówiony zostanie sposób jego działania (schemat nr 3 na kolejnych stronach) oraz uzyskiwane efekty. Webroot SecureAnywhere Business - Endpoint Protection używa agenta, który zajmuje mniej niż 700 KB pamięci na urządzeniu końcowym, a czas jego instalacji wynosi mniej niż sześć sekund (dane uzyskane na podstawie niezależnych testów przeprowadzonych przez Pass Mark Software), co stanowi wyraźny kontrast z konkurencyjnymi rozwiązaniami opartymi na systemach agentowych

wykorzystujących duże ilości pamięci i zasobów systemu, których średni czas instalacji wynosi często trzy minuty lub więcej. Wyniki testów jasno pokazują, że dzięki zastosowaniu rozwiązania typu klient / chmura diametralnie zmniejsza się wpływ oprogramowania antywirusowego na funkcjonowanie i wydajność systemu. Testy ośmiu popularnych programów antywirusowych pozwoliły stwierdzić, iż proces skanowania w programie Webroot, z jego architekturą typu klient / chmura, przebiega bez porównania najszybciej. Pełne pierwsze skanowanie systemu zajęło jedynie pięćdziesiąt sekund, co stanowiło mniej niż 50% czasu potrzebnego na tę samą operację produktowi, który w przeprowadzonych testach zajął drugie miejsce i jedynie 40% średniego czasu, który wynosi dwie minuty i cztery sekundy. Podczas wstępnego skanowania Webroot wykorzystuje 12MB pamięci, jedynie 21% zapotrzebowania programu, który zdobył kolejną najlepszą ocenę, a jednocześnie zaledwie 10% średniego zużycia (120MB). Wykorzystanie pamięci w trybie bezczynności systemu wynosi 4MB i stanowi jedynie 6% średniej wartości. Elementem chmury SecureAnywhere Business - Endpoint Protection jest Webroot Intelligence Network, która dysponuje ponad 75 TB sygnatur, zachowań, złych adresów URL i tym podobnych danych, które można zakwalifikować, jako zagrażające bezpieczeństwu, co stanowi o cały rząd wielkości więcej niż potencjał analityczny produktów typu gruby klient na urządzeniach końcowych. Oznacza to, iż Webroot jest w stanie zarówno wykryć znacznie większą liczbę potencjalnych zagrożeń, jak również efektywnie wykorzystać i metodę rozpoznawania zachowań. Rysunek 3 Architektura Webroot a typu klient/chmura oraz Webroot Intelligence Network

Webroot Intelligence Network jest nieustannie aktualizowana dzięki danym przekazywanym przez 25tys. partnerów i klientów biznesowych oraz miliony klientów indywidualnych. Oznacza to, że zarówno użytkownicy pracujący w oddziałach i zdalnych lokalizacjach, jak w głównej siedzibie firmy, mają natychmiastowy dostęp do bazy wirusów w momencie, kiedy jest ona aktualizowana. Podsumowując, Webroot Intelligence Network wykorzystuje zasoby światowej chmury w celu dostarczenia najwyższego poziomu bezpieczeństwa z jak najmniejszym opóźnieniem. Podsumowanie: Przekonaj się sam Tradycyjne antywirusy oparte na sygnaturze to już przeszłość, pojawiły się jednak zupełnie nowe rozwiązania, które umożliwiają skuteczną ochronę przed złośliwym oprogramowaniem. W niniejszym artykule omówiono trzy spośród nich: - Architektura typu klient / chmura - Identyfikacja zachowań - system księgowania i przywracania systemu Rozwiązania te usprawniają funkcjonowanie systemu, wykrywają znacznie większą liczbę wirusów i zasadniczo redukują czas, który administratorzy oraz obsługa techniczna poświęcają na aktualizowanie sygnatur i czyszczenie zainfekowanych systemów. Co więcej, dane przedstawione powyżej to nie tylko teoretyczna dyskusja, sam możesz przekonać się, jak omówione rozwiązania sprawdzają się w praktyce. Więcej informacji znaleźć można pod adresem: http://www.bakotech.pl/vendor/webroot/ Darmowa wersja próbna SecureAnywhere Business - Endpoint Protection: http://webroot.com/wsabtrial-bakotech 2014 Bakotech Sp. z o. o. Wszystkie prawa zastrzeżone. Webroot, SecureAnywhere, i Webroot SecureAnywhere są znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Webroot Inc. w U.S. i/lub innych krajach. Microsoft i Internet Explorer są znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Microsoft Corporation w U.S. i/lub innych krajach. Mozilla and Firefox są zastrzeżonymi znakami towarowymi firmy Mozilla Foundation. Android and Chrome są znakami towarowymi Google Inc. Apple, Safari, iphone and ipad są znakami towarowymi of Apple Inc. Opera jest znakiem towarowym firmy Opera Software ASA. Wszystkie inne znaki towarowe są własnością ich Właścicieli.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres