Вы все еще опасаетесь вирусов? Вы просто не умеете их готовить

Вы все еще опасаетесь вирусов? Вы просто не умеете их готовить

Как известно, первая антивирусная программа появилась более 30 лет назад.

Автор: Евгения Красавина, менеджер по продвижению продуктов, Positive Technologies

Как известно, первая антивирусная программа появилась более 30 лет назад. За прошедшую треть века рынок антивирусных программ приобрел впечатляющие масштабы: появились антивирусы под различные операционные системы, антивирусы для защиты ПК, файловых и терминальных серверов, почтовых и интернет-шлюзов, классические, комбинированные и пр. Да даже если просто оглядеться вокруг ─ вряд ли найдется хоть один компьютер или смартфон не оснащенный той или иной антивирусной программой. Тем не менее, зараженные файлы, письма и веб-сайты продолжают наносить ущерб (весьма ощутимый порой) бизнесу, госструктурам и простым людям…

Просто силы не равны

Количество и разнообразие вредоносного программного обеспечения (ВПО) растет подобно лавине. Так, по статистике специалистов AV-Test, каждый месяц появляется около 400 000 единиц нового и модифицированного ВПО. Антивирусные компании вынуждены постоянно выпускать обновления. Однако зачастую они доставляются пользователям уже слишком поздно ─ между первичным обнаружением ВПО и его детектированием другими производителями антивирусных решений проходят недели, а иногда и месяцы. И даже найдя вредоносное ПО, антивирус не может выявить все объекты, подвергавшиеся зловредному воздействию до обнаружения. И ни о какой стопроцентной защите от всех новых угроз здесь даже говорить не приходится ─ антивирусные разработчики просто не в силах поддерживать базы знаний актуальными. При этом современные злоумышленники активно эксплуатируют ранее не известные уязвимости или уязвимости нулевого дня (0-days). А для организации целевых атак (APT / Advanced Persistent Threat) создают специальные модули для ВПО, нацеленные на эксплуатацию уязвимостей в самих антивирусах, информацию о которых нетрудно найти в интернете. Более того, в большинстве случаев, готовя APT-атаку, злоумышленник уже обладает достаточным уровнем знаний о нюансах инфраструктуры и используемых средствах антивирусной защиты. Поэтому ВПО создается таким образом, чтобы оставаться «незамеченным» как можно более длительный срок.

С одной стороны, проблему могли бы решить облачные сервисы кросс-проверок. На первый взгляд, подобные сервисы — отличное решение, так как позволяют анализировать подозрительные файлы и ссылки на наличие ВПО всевозможными антивирусами. Но только на первый. На деле они, словно тихий омут, таят в себе угрозу утечки конфиденциальных данных. Сначала в организациях создаются всевозможные эшелоны защиты, модели угроз, концепции безопасности критически важных данных, а потом в нарушение всех правил эти самые данные (пусть и с благородной целью антивирусной проверки) выгружаются на совершенно сторонний ресурс. Здесь как нельзя лучше подходит поговорка о благих намерениях, которыми выстилается дорожка к потере конфиденциальности данных в нашем случае.

Рецепт успеха

Тем не менее сама концепция использования комплекса антивирусных систем вполне имеет право на жизнь. Поэтому, оценив все нюансы антивирусной борьбы, мы создали свой эффективный рецепт, включающий пять составляющих:

  1. использование локальной (установленной внутри защищаемого периметра) системы контроля файлов, что позволит избежать рисков, связанных с обращением к сторонним системам;

  2. автоматизированная многопоточная проверка файлов несколькими антивирусными решениями ─ это повысит эффективность обнаружения ВПО и затруднит попадание зловреда в инфраструктуру, ведь злоумышленнику придется учитывать больше переменных;

  3. ретроспективный анализ: согласно исследованию Symantec Research Labs, 0-days могут незаметного «сидеть» в инфраструктуре до 312 дней, поэтому более чем желательно, чтобы такая система проводила ретроспективный анализ и заново сканировала ранее проверенные файлы при изменении антивирусных баз;

  4. добавим к этому щепотку репутационных сервисов для службы ИБ и сотрудников;

  5. ну а в качестве вишенки на торте — повышение осведомленности пользователей в вопросах информационной безопасности (security awareness).

Именно на этих пяти элементах и основывается наша многопоточная система выявления зловредного контента PT MultiScanner. Она позволяет значительно повысить точность и оперативность обнаружения угроз за счет параллельного сканирования десятком антивирусов и комбинации различных методов выявления вредоносных активностей — включая ретроспективный анализ и репутационные сервисы.

Результаты сканирования отправляются по почте ответственному ИБ-специалисту в форме отчета, содержащего, помимо прочего, еще и информацию об источнике и адресате. позволяют значительно быстрее выявлять заражение и устранять последствия или отображаются в привлекательном и простом веб-интерфейсе. Последний, кстати, позволит создать внутри корпоративной инфраструктуры сервис, который пользователи смогут использовать для проверки подозрительных файлов как с рабочего места, так и с телефона. Чтобы получить результаты сканирования, достаточно загрузить файл на сервис или переслать письмо на выделенный почтовый адрес PT MultiScanner — отчет придет в ответном письме. Удобно, быстро, а главное ─ понятно.

Ну и конечно же система интегрируется с любым Web Application Firewall, поддерживающим протокол ICAP.

Кому и зачем это нужно?

Естественно, что с развитием новых технологий совершенствуются и сервисы обслуживания клиентов различных организаций — например, финансовых, страховых, телекоммуникационных. Все чаще они предлагают своим партнерам и клиентам оформлять необходимые документы не выходя из дома — через официальные сайты или по электронной почте. При этом один из самых распространенных способов получения доступа к конфиденциальным данным — атаки на веб-сервис с последующим заражением инфраструктуры зловредом. Это первый и самый очевидный полигон для работы PT MultiScanner, который оперативно выявляет ВПО в загружаемых документах, более того ─ проверяет наличие вредоносного содержимого в файлах, загруженных ранее.

Чуть менее очевидная, но едва ли менее актуальная проблема ─ незнание сотрудниками компаний элементарных основ информационной безопасности, чем активно пользуются злоумышленники. В результате стремительно набирают обороты фишинговые атаки, нацеленные на конкретных людей или группы. Поэтому для любой компании важной частью концепции безопасности являются программы по повышению уровня ИБ-знаний пользователя. Да-да-да, настало время тотальной популяризации ИБ! И создание удобного корпоративного ИБ-сервиса для проверки файлов повысит осведомленность пользователей об угрозах (в следующий раз пользователь трижды подумает, прежде чем открыть подозрительный файл) и гарантирует соблюдение политик информационной безопасности.

Ну и самая, пожалуй, невидимая извне задача ─ оптимизация работы самой службы ИБ, которая частенько прямо-таки утопает в заявках от пользователей. Если вы один из тех, кто тратит дни, вечера и ночи на анализ подозрительного контента и работу с заявками, — то мы идем к вам! Использование системы позволяет автоматизировать анализ подозрительных файлов. Все, с чем теперь предстоит работать, — уведомления от системы, содержащие всю необходимую информацию об отправителе, IP-адресе, сработавших сигнатурах. Для удобства в уведомлении также есть ссылка на результат сканирования в PT MultiScanner. А в результате в разы снижаются трудозатраты службам ИБ при обработке соответствующих запросов.

***

Кто из антивирусных вендоров победит (и победит ли) в гонке за эффективностью обнаружения вредоносного ПО — неизвестно. На наш взгляд, уже сейчас в условиях растущих угроз стоит объединить усилия по борьбе с ними и нацелиться на точность детектирования и минимизацию рисков. А каким будет ваш рецепт — решать уже вам.

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!