Дайджест Trend Micro: киберпреступление как услуга и облачная защита от вирусов
Как сообщила компания Trend Micro, один из российских сайтов начал криминальную конкуренцию с услугой Virustotal в форме услуги автоматического сканирования вредоносного кода для проверки его способности обходить антивирусные системы, работающие на основе сигнатур.
Напомним, что Virustotal - это отмеченная многими наградами полностью легальная услуга, позволяющая пользователям загружать файлы и бесплатно проверять их на наличие вирусов с помощью последних версий антивирусных систем различных разработчиков. В силу открытости и законности данной услуги у компании, которая ее предоставляет, есть возможность взаимодействия с разработчиками этих антивирусных систем на предмет оперативного предоставления образцов вредоносного кода для повышения надежности защиты от вирусов. Товарный знак Not A Good Thing («Не очень хорошая вещь») довольно точно описывает то, чем данная услуга является для злоумышленников, работающих над созданием вредоносного кода, способного обойти системы защиты.
Но, как отмечает Trend Micro, есть еще и сайт The Anti Virustotal. Услуги этого российского сайта, по словам разработчика, сейчас ротируются на подпольных форумах. Его владельцы предлагают услугу сканирования файлов с помощью 18 известных антивирусных продуктов, «обновляемых каждый день», причем можно как загружать проверяемые файлы непосредственно на сайт, так и просто предоставлять ссылку для их загрузки. Процедура сканирования может выполняться по расписанию раз в 1, 6, 12 или 24 часа. Пользователи услуги получают сообщения с результатами проверки по системе Jabber или ICQ. Идея заключается в том, что как только антивирусные программы начинают ловить предоставленный вредоносный код, авторы могут начать его переработку для того, чтобы он вновь мог обходить сканеры. Данная услуга предоставляется на коммерческой основе, а ценообразование ориентировано на регулярное широкомасштабное использование.
Недавно в дополнение к платной услуге появилась бесплатная (доступная всем пользователям с ненулевыми остатками на счетах), заключающаяся в проверке кода на наличие в реестре сигнатур вирусов, которая поддерживается и ведется известной компанией Team Cymru.
На недавней конференции Virus Bulletin 2009 Андреас Маркс (Andreas Marx) и Майк Моргенштерн (Michael Morgenstern) представили доклад «Почему облачные системы сканирования не решают проблему», посвященный слабостям систем безопасности, работающим в облаке. За последний год было уже несколько дискуссий по данному вопросу, однако Маркс и Моргенштерн проделали отличную работу по систематизации проблем. Однако компания Trend Micro предложила несколько мыслей в противовес озвученным проблемам.
Проблема №1: системы по своей сути реактивны, а не проактивны, несмотря на в целом более быструю реакцию на новые виды угроз.
Комментарий Trend Micro: «Замена традиционных сигнатур интеллектуальными статическими сигнатурами позволяет справляться с замаскированным вредоносным кодом и обнаруживать полиморфные вирусы. Кроме того, эта технология требует гораздо меньшего количества ресурсов, чем обнаружение вирусов путем имитационно-поведенческого анализа. Проект Trend Micro по автоматическому созданию интеллектуальных шаблонов продемонстрировал способность данной технологии меньше чем за секунду обнаруживать сотни вариантов схожих вирусов без ложных срабатываний на более чем 20 миллионах проверяемых образцов».
Проблема №2: Чем надежнее система блокирует вирусы (что хорошо смотрится в результатах тестов), тем выше риск ложных срабатываний.
Комментарий Trend Micro: «Несколько лет назад, столкнувшись с необходимостью как-то справиться с огромными размерами протоколов системы защиты от вторжений (IDS), мы разработали систему управления информацией систем безопасности (SIM). В систему SIM входит набор датчиков, обеспечивающих возможность сбора, анализа и обработки событий IDS в кратчайшее возможное время. Централизованная обработка данной информации позволяет организовать сопоставление и классификацию данных о событиях, поступающих с разных датчиков IDS. Преимущество такого сопоставления заключается в существенном сокращении количества ложных срабатываний.
Инфраструктура Trend Micro Smart Protection Network схожа с системой SIM, в основе которой лежит анализ репутации, в том, что на наших серверах собираются и обрабатываются адреса URL, сообщения электронной почты, сценарии и файлы из разнообразных источников. В процессе сопоставления инфраструктура Smart Protection Network анализирует взаимосвязь между событиями систем безопасности и определяет потенциал новых угроз, что способствует сокращению числа ложных срабатываний до очень низкого и вполне приемлемого уровня».
Проблема №3: Сканирование «в облаке» позволяет проанализировать гораздо больше входных данных как о хороших, так и о вредоносных файлах, однако создает дополнительную нагрузку на клиентские модули, сетевую инфраструктуру и серверы.
Комментарий Trend Micro: «Для сбалансированного распределения нагрузки между настольными компьютерами и облаком требуется небольшая и интеллектуальная база данных сигнатур, занимающая значительно меньше места, чем традиционные базы данных сигнатур. Когда в отношении подозрительного файла не удается вынести однозначное решение, агент может переслать файл или его цифровой отпечаток на локальный сервер для дальнейшей проверки. Такой подход позволяет сократить объем информации, пересылаемой в облако. Встроив программу эмуляции на рабочий стол и локальный сервер, можно дать агенту возможность анализировать реальное действие программ с замаскированным кодом. Это также позволяет сократить нагрузку на сеть, поскольку в облако передается не весь файл, а только цифровой отпечаток полученных в ходе его анализа и работы данных».
Проблема №4: В силу количества времени, необходимого для получения ответа на вопрос, проверке подлежат только запускаемые файлы и файлы, проверяемые по запросу пользователя -- тогда как традиционные системы проверяют все файлы, к которым осуществляется доступ.
Комментарий Trend Micro: «Облачная защита не означает перемещения всех сигнатур в облако. Как правило, облачную систему безопасности можно разделить на три компонента: легкий агент, локальный сервер и центр обработки данных. Как упоминалось ранее, в состав легкого агента входит небольшая интеллектуальная база данных сигнатур. Каждый шаблон в этой базе позволяет обнаруживать все разновидности полиморфных вирусов определенного семейства. Кроме того, эмулятор может быть как включен в состав агента, так и установлен на локальном сервере. Для поведенческого анализа используется информация о действии кода, поступающая из эмулятора. На локальном сервере сканирования постоянно находятся последние версии файлов с шаблонами, обновляемые из центра обработки данных. Таким образом, облачные системы защиты также обеспечивают возможность сканирования всех файлов при доступе к ним».
Ранее редакция THG сообщала, что компания Trend Micro объявила о выпуске нового пакета услуг Threat Management Services, предназначенного для обеспечения безопасности корпоративных сетей. Данное решение дополняет существующую систему безопасности предприятия, обеспечивая контроль активности программ хищения информации, которым удается преодолеть традиционные средства защиты. Комплекс Trend Micro Threat Management Services позволяет обнаруживать эти угрозы с помощью системы ранних уведомлений, препятствовать их распространению и устранять их. В результате повышается уровень защиты корпоративных сетей, улучшается их контроль и упрощается управление средствами безопасности.