Защитная сеть Trend Micro Smart Protection Network проводит обработку угроз не на защищаемых компьютерах, а непосредственно в Интернете, используя концепцию полностью динамической репутации.

Мы живем в постиндустриальную информационную эпоху. Для современных компаний особую ценность представляет их интеллектуальная собственность, и для простых людей информация тоже становится все более и более значимой составляющей жизни. Да что говорить, если основная часть всех денег в мире представляет собой не аккуратно нарезанную бумагу с портретами и не слитки ценных металлов, а нули и единицы в базах данных различных финансовых организаций.

В таких условиях сохранность информации становится все более важной задачей и для отдельных людей, и для компаний, и даже для целых государств. Рост ценности информации привел к тому, что одним из наиболее прибыльных видов преступной деятельности стала так называемая киберпреступность. Многие сегодня не подозревают, что в последние несколько лет преступления в Интернете приносят злоумышленникам существенно больше выгоды, чем торговля наркотиками или оружием.

Фантастическая прибыльность киберпреступности привела и к значительному росту «инвестиционной привлекательности» этой «индустрии» для тех, кого волнует не законность методов получения прибыли, а только ее размер. В такой обстановке стали реальными самые изощренные кибератаки, проводимые с использованием огромного числа компьютеров и множества вредоносных программ и предполагающие самые разнообразные методы получения прибыли. Такие атаки относят к Web-угрозам, поскольку одна из ключевых характеристик таких угроз — использование сети Web.

Самым значимым следствием описанной выше ситуации, наверное, можно считать экспоненциальный рост количества уникальных образцов вредоносного кода. В некоторых атаках используются сотни и даже тысячи образцов вредоносного ПО. Цель такого разнообразия — обойти защиту у пользователей и в компаниях с тем, чтобы украсть ценную информацию. Тем не менее индустрия безопасности уже сталкивалась пусть и не с таким масштабным, но все же с бурным ростом числа образцов. В конце XX века это было связано с появлением программных генераторов вирусов, которые позволяли любому, даже несведущему в программировании человеку создать вредоносную программу и запустить ее в Интернет. Тогда же было придумано и противоядие — так называемые обобщенные сигнатуры или эвристика. С помощью этих методов антивирусные лаборатории разрабатывали сигнатуры, блокирующие все варианты вредоносного кода, которые могла сгенерировать программа-генератор.

Подходы к обнаружению вредоносного ПО

Сегодня, десять лет спустя, «дедовские» способы, увы, не помогут. Причина в том, что авторы современных вредоносных программ — вовсе не «несведущие в программировании» любители, а профессиональные программисты, которым платят приличные деньги. И если их продукт будет детектироваться антивирусными программами, спрос на него будет очень низким. Поэтому авторы вредоносных программ, создавая, даже автоматическими средствами, десятки, сотни и тысячи вариантов такого ПО, убеждаются, что каждая новая версия не детектируется «обобщенными сигнатурами», «эвристиками» и прочими известными методами. Для этого достаточно использовать пару десятков популярных в мире антивирусных программ как тестовую площадку, проверяя каждый новый образец, и применять на практике только необнаруженные образцы. Именно такой подход позволяет злоумышленникам наиболее эффективно добиваться своей цели.

К сожалению, использовать для защиты от современных угроз традиционный сигнатурный метод, самый популярный и проверенный, невозможно, а вскоре станет и вовсе бессмысленно. Сигнатурный метод заключается в том, что для каждого образца вредоносной программы вирусные аналитики выпускают свою сигнатуру, добавляемую в общую базу, которую пользователи загружают через Интернет. Порочность этого метода прежде всего в том, что в нем присутствует задержка между созданием защиты в антивирусной лаборатории и моментом времени, когда эта защита становится доступной пользователю.

Но у сигнатурного подхода есть и более серьезные недостатки. Во-первых, с ростом числа угроз в антивирусных лабораториях просто не хватит персонала для их анализа. Если с потоком в несколько сотен новых образцов в день (в среднем) современные антивирусные лаборатории способны справиться, то через несколько лет, когда сотни, вполне вероятно, превратятся в несколько тысяч, а затем в несколько десятков тысяч, ситуация станет тупиковой. Где взять столько вирусных аналитиков?! Во-вторых, это проблема роста антивирусной базы. Опять-таки, если количество новых угроз в сутки будет исчисляться тысячами, при традиционном подходе придется непрерывно загружать антивирусные обновления, содержащие сигнатуры множества вредоносных программ. Самое обидное, что подавляющее большинство сигнатур никогда не будет использовано по назначению. Когда на заре антивирусной индустрии хороший антивирус проверял файлы по базе в несколько сотен вирусов, это считалось нормально. Но зачем компьютеру хранить в памяти миллионы практически никогда не используемых сигнатур?!

Сеть Smart Protection Network

Как упреждающий ответ на формирующуюся угрозу, компания Trend Micro разработала специальную глобальную сеть отражения угроз Smart Protection Network (ее архитектура показана на рисунке). Эта сеть, которая строилась последние три года, сейчас введена в строй, но ее возможности продолжают развиваться по мере роста изощренности угроз. Главное преимущество Smart Protect Network — у нее нет «врожденных» недостатков традиционных технологий. При этом она выступает как универсальное средство безопасности, которое обеспечивает надежной защитой и конечные узлы (домашние компьютеры, игровые приставки, корпоративные рабочие станции, файловые серверы, мобильные рабочие места), и Интернет-шлюзы (прокси-серверы, маршрутизаторы Wi-Fi), и почтовые серверы (Microsoft Exchange, IBM Lotus Domino, sendmail, postfix и т. д.), а также множество других сред и платформ.

Цель создания Smart Protection Network заключалась в том, чтобы проводить всю обработку угроз не на компьютере потенциальной жертвы, а непосредственно в Интернете (in-the-cloud). При таком подходе ресурсы конечного компьютера задействуются минимально, а реакция на новые угрозы становится превентивной или, в худшем случае, время реакции сокращается до нескольких минут. Таким образом, безопасность фактически становится не продуктом, а сервисом, работающим в реальном времени.

Основу Smart Protection Network составляют три распределенные базы данных, каждая со своей специализацией (почта, Web, файлы), корреляция информации между этими базами и система обратной связи. Для работы Smart Protection Network компания Trend Micro предлагает три технологии (и соответственно базы данных).

Технология репутации электронной почты. База репутации электронной почты хранит сведения о более чем полутора миллиардах IP-адресов. Для каждого адреса зафиксировано, в какой вредоносной деятельности он был замечен (спам, фишинг, почтовые черви и т. д.). В базе даже хранятся образцы спама, который был отправлен с этого адреса. Эту технологию можно использовать как в составе антиспам-решений Trend Micro, так и совместно с другими антиспам-решениями. Даже при подключении этого сервиса к простому почтовому сервису технология позволяет блокировать 50—70% спама и прочих угроз до их попадания собственно на почтовый сервер. Сообщения электронной почты блокируются непосредственно в момент подключения.

Технология Web-репутации. База Web-репутации содержит данные о репутации сайтов, доменов и отдельных Web-страниц. Суть технологии в том, что в базу включены не только сайты или страницы, уличенные во вредоносной активности, но и вообще все домены в Интернете. Периодически анализ повторяется, и при оценке благонадежности ресурса учитывается не только его текущее состояние, но и то, как себя этот ресурс вел в прошлом. Подобный подход позволяет превентивно отразить угрозы, с которыми не может справиться никакой другой подход. В качестве примера возьмем сайт, который вовлекал посетителей в аферу с отмыванием денег. Ни один инструмент защиты не позволяет заблокировать доступ к такому сайту, так как у него нет ни одного признака вредоносности. С точки же зрения Smart Protection Network этот сайт не заслуживает доверия просто потому, что его расположение менялось каждые два-три дня с момента создания. Так ведут себя многие опасные сайты, создатели которых размещают их на бесплатных хостингах и прочих временных площадках.

Сервис Web-репутации, который реализован на основе описанной технологии, повсеместно используется в продуктах Trend Micro. Его можно также активизировать в некоторых продуктах компаний Cisco и Sony.

Технология репутации файлов. Третья база содержит сведения о репутации всех файлов, с которыми имеют дело пользователи. По этой базе можно проверять любые попадающие на компьютер пользователя файлы в режиме онлайн, что намного быстрее любых технологий, основанных на загрузке традиционных антивирусных обновлений. Технология репутации файлов в настоящий момент используется в Trend Micro OfficeScan — продукте для защиты корпоративных рабочих станций и файловых серверов.

Однако наиболее интересный вопрос в работе Smart Protection Network — это не описанные выше технологии, а то, как наполняются базы и как вычисляется репутация.

Для наполнения баз используются не только автоматизированные системы анализа Интернета и ручной труд аналитиков; одним из источников данных для репутационных баз выступают… сами клиенты компании Trend Micro. Каждое обращение с запросом о репутации того или иного ресурса фиксируется и учитывается при последующем анализе. Простой пример: если с некоего IP-адреса было зафиксировано одно спам-письмо, то этот адрес попадает в базу спамеров, но на очень короткий срок. Если же по поводу этого адреса у Smart Protection Network будет наводить справки большое количество клиентов, то время жизни записи об этом IP-адресе существенно вырастет.

Вычисление репутации — это также весьма нетривиальная процедура, которая постоянно дорабатывается экспертами Trend Micro. В основе ее лежит корреляция информации между базами, т. е. каждая база функционирует не автономно, а постоянно подпитывается за счет содержимого других баз. Подобная «подпитка» может быть самой разной. Например, репутация доменов у провайдера, с серверов которого рассылается много спама, понижается, так как там вероятно появление вредоносных сайтов; родство адресов и доменов вычисляется на основе общности DNS-серверов. Есть и другие виды корреляций. Например, при обнаружении вредоносной программы ее запускают и выясняют, с каких сайтов эта программа загружает себе дополнительные вредоносные модули. Сама программа и дополнительные модули попадают в базу репутации файлов, а сайты, с которых загружались модули, — в базу Web-репутации.

Таким образом, разработанная Trend Micro система защиты Smart Protection Network значительно повышает уровень защиты в современных продуктах безопасности, но самое главное — она позволяет с уверенностью смотреть в будущее и справляться с отражением тысяч, десятков и сотен тысяч атак в сутки, которые станут реальностью через несколько лет.