От бесчисленных вирусных напастей, хакерских и шпионских атак, рекламного спама и тому подобных бед страдают все — от отдельного пользователя до крупнейших международных компаний с масштабными компьютерными парками. Игроки рынка информационной безопасности, в свою очередь, постоянно предлагают обновления защитного ПО и свежие решения.

Современный рынок ПО для защиты от угроз представлен четырьмя основными направлениями:

  • антивирусные программы, работающие как по сигнатурному принципу (выявление вредоносного кода), так и на основе эвристического анализатора (анализ кода по нескольким заданным показателям и заключение об опасности/безвредности приложения);
  • корпоративные межсетевые экраны, которые часто используются совместно со средствами обнаружения вторжений;
  • персональные межсетевые экраны, анализирующие трафик на конкретном ПК;
  • программы класса Host Intrusion Prevention Systems, реализующие систему проактивной защиты ПК от любых видов угроз, основанную на анализе поведения компонентов информационной системы.

Все эти системы эффективно борются с определенными видами угроз и вместе представляют собой комплекс надежной защиты от различных типов вторжения. Однако без применения проактивных HIPS-технологий, позволяющих блокировать несанкционированную активность, прежде чем компьютерной среде будет нанесен какой-либо ущерб, безопасность ПК не может быть полноценной.

Статистика неутешительна: две трети ущерба в сфере информационной безопасности предприятий приходится на долю инсайдеров, т. е. «своих». Поэтому сегодня очень остро стоит вопрос эффективной защиты корпоративных сетей не только от внешних, но и от внутренних угроз. Традиционные средства защиты не способны эффективно бороться с «внутренним вредительством», так как исторически разрабатывались для защиты от внешних вторжений (в первую очередь из Интернета). Эту проблему успешно решают программы класса HIPS, например, проактивная система защиты Safe’n’Sec российской компании StarForce (http://www.star-force.сom).

В основе технологии Safe’n’Sec лежит перехват и интеллектуальный анализ всех вызовов системных функций на уровне ОС. В момент начала загрузки ОС системный перехватчик (System Interceptor) загружается одним из первых и встраивается в цепочку вызовов системных функций. Основная его задача — перехват всех системных вызовов любых приложений и отправка полной информации о них в модуль идентификации приложений iTrust Engine. Последний идентифицирует приложение по уникальным свойствам и передает эту информацию в модуль управления правилами Rules Engine, который проверяет поступившую информацию на предмет потенциальной опасности действий приложений и передает отчет в модуль принятия решений Intelligent Decision Maker. Тот, в свою очередь, анализирует поступившую информацию и выдает команду перехватчику, который разрешает или запрещает передачу вызова в ОС компьютера для дальнейшего выполнения.

Photo

Safe’n’Sec имеет ряд преимуществ, восполняющих пробелы традиционных систем защиты. Так, антивирусные программы — как сигнатурные, так и эвристические — способны противостоять лишь известным вирусам, в лучшем случае — типам вирусов, которые единожды уже нанесли вред среде ПК. Выпуск же антивирусных «вакцин» не всегда бывает оперативен, кроме того, этап тестирования обновлений также требует времени. Safe’n’Sec предлагает проактивную защиту ПК, в том числе и от неизвестных ранее вирусов, отслеживающую и блокирующую любые несанкционированные действия до того, как они успеют нанести вред компьютерной среде.

Что касается сетевых экранов, то они в качестве элемента технологии Network Intrusion Detection/Prevention служат защитным барьером на пути информационных потоков между внутренней информационной системой и внешними сетями. NID-системы позволяют установить защиту по периметру сети (на входе в нее) и анализировать данные для всех хостов одновременно. Недостаток этих систем в том, что их можно перегрузить ненужными данными, чтобы они не успевали справляться с информационным потоком, например, посылать пакеты на несуществующие в сети адреса. Кроме того, сетевые экраны не контролируют активность на каждом конкретном компьютере, т. е. не защищают от внутренних угроз.

Персональные экраны, на первый взгляд, успешно восполняют пробелы системных, контролируя трафик на конкретном ПК. Однако, отслеживая и анализируя информационные потоки по периметру компьютерной информационной системы, они не способны контролировать активность внутри самого компьютера. Вредоносные программы типа spyware для проникновения в компьютерную среду зачастую используют легитимные порты, такие, как почтовый или Интернет-порт. Поскольку пользователю нужна электронная почта, экран никак не может блокировать сообщения данного порта, следовательно, он годится для проникновения. Если сравнить «беззащитный» компьютер с распахнутым окном квартиры, то персональный экран можно уподобить открытой форточке — залезть в нее хоть и сложно, но можно. Единожды пропустив вредоносную программу в компьютерную среду или будучи пройден злоумышленником, экран уже не сможет контролировать последующую их активность внутри системы. На этом этапе эффективную защиту может предложить лишь программа, блокирующая вредоносные действия на основе анализа поведения ПО.

Таким образом, проактивная система защиты Safe’n’Sec служит весомым и эффективным дополнением ко всем стандартным видам защиты ПК, образуя комплексный заслон на пути различных типов угроз. Сочетание поведенческих и сигнатурных технологий позволяет контролировать широчайший спектр событий, связанных с предотвращением вторжений.