Safe’n’Sec® - защита с умом

Safe’n’Sec® - защита с умом

О бесчисленных вирусных напастях, хакерских и шпионских атаках, рекламном спаме и тому подобных бедах современного компьютерного пользователя было сказано немало и на просторах Интернета, и на страницах специализированных СМИ. Крупные и мелкие игроки на рынке информационной безопасности предлагают передовые разработки и свежие решения. Очевидно, настало время разобраться в этом изобилии и найти оптимальное решение для защиты своего ПК или корпоративной сети.

 Автор: Калиниченко Наталья

 В данной статье я постараюсь рассказать об одном из современных способов интеллектуального анализа и перехвата опасного контента – системе Safe’n’Sec®. О бесчисленных вирусных напастях, хакерских и шпионских атаках, рекламном спаме и тому подобных бедах современного компьютерного пользователя было сказано немало и на просторах Интернета, и на страницах специализированных СМИ. Крупные и мелкие игроки на рынке информационной безопасности предлагают передовые разработки и свежие решения. Старые версии обновляются, дополняются, улучшаются. Очевидно, настало время разобраться в этом изобилии и найти оптимальное решение для защиты своего ПК или корпоративной сети.

Современный рынок средств защиты программного обеспечения от различных видов внешних угроз представлен 4-мя основными направлениями:

  • антивирусные программы, работающие как по сигнатурному принципу (выявление вредоносного кода), так и на основе эвристического анализатора (анализ кода по нескольким заданным показателям и заключение об опасности/безвредности приложения)
  • корпоративные межсетевые экраны (firewall), которые часто используются совместно с network intrusion detection, контролирующей потоки информации в компьютерной сети
  • персональные файрволы, анализирующие трафик на конкретном ПК
  •  передовые программы класса Host Intrusion Prevention, основанные на системе проактивной защиты ПК от любых видов угроз, базирующейся на анализе поведения компонентов информационной системы

Все эти направления эффективно борются с определенными видами угроз и вместе представляют единый комплекс надежной защиты от различных типов вторжения. Однако без применения превентивной технологии класса Host Intrusion Prevention, блокирующей несанкционированную активность прежде, чем ПК будет нанесен какой-либо ущерб, никто не даст Вам 100% гарантию безопасности. Host Intrusion Prevention удачно дополняет вышеперечисленные средства защиты, позволяя сделать защиту компьютера более универсальной и комплексной.

На сегодняшний день одной из самых страшных угроз для рабочих станций и компьютерных сетей, исходящих из всемирной сети, является взлом и кража информации. В начале года по миру прокатилась волна шпионских атак на сетевые ресурсы правительственных структур, финансовых учреждений, крупнейших корпораций, коммерческих предприятий и организаций. Количество шпионских атак против конкретных компаний и целых отраслей с целью завладения важнейшими коммерческими сведениями и приобретения конкурентного преимущества на рынке в первом полугодии 2005 года выросло на 50%! Причем если в предыдущие годы основной целью было, так сказать, мелкое вредительство, то теперь злоумышленники перешли к более прибыльному воровству информации. Примеров кражи информации при помощи проникновения в ПК из Интернета немало. Встает вопрос – как обезопасить сети и отдельные компьютеры от «взлома».

В этой статье описывается эффективное решение этой проблемы - развертывание  проактивной системы защиты Safe’n’Sec®, использующей передовую технологию Host Intrusion Prevention.

В основе технологии Safe’n’Sec® лежит перехват и интеллектуальный анализ всех вызовов системных функций (system calls) на уровне операционной системы. В момент загрузки операционной системы System Interceptor загружается одним из первых и встраивается в цепочку вызовов системных функций. Основная задача System Interceptor – перехват всех системных вызовов любых приложений и отправка полной информации о них в модуль идентификации приложений iTrust Engine. Последний идентифицирует приложение по уникальным свойствам и передает эту информацию в модуль Rules Engine. Данный модуль проверяет поступившую информацию на предмет потенциальной опасности действий приложений и передает отчет в модуль Intelligent Decision Maker. Тот в свою очередь анализирует поступившую информацию и выдает команду в System Interceptor, который разрешает или запрещает передачу вызова в операционную систему компьютера для дальнейшего выполнения. Таким образом, любая вредоносная активность на Вашем ПК будет блокирована прежде, чем успеет нанести какой-либо вред компьютерной среде.

 Safe’n’Sec® имеет целый ряд преимуществ, восполняющих имеющиеся пробелы традиционных систем защиты ПК. Рассмотрим основные из них:

  • антивирусные программы, как сигнатурные, так и эвристические, способны противостоять лишь известным вирусам или в лучшем случае типам вирусов, которые единожды уже нанесли вред компьютерам пользователей. Выпуск же производителями антивирусов сигнатур не всегда оперативен. Потеря драгоценного времени также происходит на этапе тестирования обновлений. Между тем, согласно данным компании mi2g, в 2004 году суммарный ущерб, нанесенный вирусами, составил 184 млрд. долларов, что почти вдвое превышает аналогичный показатель 2003 года! Программный продукт Safe’n’Sec® предлагает проактивную защиту ПК в том числе и от ранее неизвестных вирусов, отслеживающую и блокирующую любые несанкционированные действия, прежде чем они нанесут какой-либо вред. Кроме того, антивирусная программа-эвристика в каждом случае предназначена для одной определенной среды, следовательно, не универсальна в отличие от Safe’n’Sec®, который обеспечивает организациям надежную, контролируемую и эффективную защиту от шпионского ПО, вирусов червей, троянов, фишинг-атак, ошибок неопытных пользователей и т.д.
  • сетевые файерволы в качестве элемента технологии Network Intrusion Detection\Prevention являются защитным барьером на пути информационных потоков по периметру сети (на входе в неё). Однако файерволы можно перегрузить ненужными данными, чтобы они не успевали справляться с информационным потоком, например, посылать пакеты на несуществующие в сети адреса. Кроме того, сетевые файерволы не контролируют активность на каждой конкретной станции. Проблема защиты сети от внутрипользовательских угроз с успехом решается программным продуктом направления Host Intrusion Prevention - Safe’n’Sec®.
  • персональные файерволы на первый взгляд успешно восполняют пробел системных, контролируя трафик по периметру ПК. Однако персональный файервол не способен контролировать активность внутри самого компьютера. Между тем вредоносные программы типа spyware для проникновения в компьютерную среду зачастую используют легитимные порты, такие, как почтовый или интернет-порт. Например, если при работе на ПК Вы пользуетесь электронной почтой, файервол никак не может блокировать сообщения данного порта, следовательно, его можно использовать для проникновения. Единожды пропустив вредоносную программу в компьютерную среду или будучи пройденным злоумышленником, файервол уже не сможет контролировать последующую активность внутри системы. Этого никогда не произойдет с вашим ПК, если на нем установлена программа класса Host Intrusion Prevention, например, такая как Safe’n’Sec®.

Можно сделать заключение, что система Safe’n’Sec® является весомым и эффективным дополнением к традиционным стандартным видам защиты ПК, поскольку позволяет организовать комплексный заслон на пути всевозможных типов угроз. А сочетание сигнатурных технологий и поведенческого анализа позволяет контролировать весь спектр событий, связанных с предотвращением вторжений.

Сравнение характеристик Safe’n’Sec® с другими решениями по безопасности

Характеристика

Межсетевые экраны / Персональные межсетевые экраны

Антивирусы, Антишпионы, Anti-adware и проч.

Safe’n’Sec®

(только Host-based IPS)

Safe’n’Sec® + Антивирус

(Host-based Intrusion Prevention System и Антивирус по-запросу)

Размещение Сервер / рабочая станция Сервер и/или рабочая станция Рабочая станция
Защищает от следующих угроз Сетевые атаки / Локальные атаки, шпионские программы Только уже известные вредоносные программы отдельных классов Атаки вредоносных приложений любого типа независимо от их происхождения (включая как известные, так и не известные вредоносные приложения)
Защитные действия, обеспечивающие безопасность Блокирование сетевого трафика и/или блокирование приложений Восстанавливает, изолирует или удаляет файлы, зараженные известными вирусами / Удаляет известные вредоносные программы Блокирует предпринятое единичное опасное действие, сетевой трафик или полностью всю активность вредоносного приложения
+ Изолирует или удаляет файлы, зараженные известными вирусами
Условия выполнения защитных действий Отличие сетевого трафика от нормы Обнаружение повреждений файла известным вирусом / Обнаружение известного вредоносного приложения Попытка любого приложения выполнить действие, наносящее ущерб системе/данным пользователя
Объект контроля / Метод контроля Сетевой трафик / Анализ сетевого трафика Код программ (иногда сетевой трафик) / Сопоставление сигнатуры кода (анализ сетевого трафика) Все действия всех приложений, сетевой трафик / непрерывный анализ поведения приложений на протяжении всей сессии
Код программ / Сопоставление сигнатуры кода
Проверка файлов на жестком диске Нет Да Нет Да
Потребление ресурсов Незначительное / Умеренное Большое до умеренного Незначительное
Зависимость эффективности от обновлений Мало зависит от обновлений Очень сильно зависит от обновлений Не зависит от обновлений
Антивирус обновляется не реже 1го раза в сутки
Требует вмешательства пользователя Часто Часто или редко в зависимости от настроек Редко при отсутствии попыток атак
Риски, ограничения и недостатки Внутренние атаки на рабочую станцию, Новые типы атак или заказные атаки Ранее не обнаруживаемые или заказные вредоносные приложения Возможные ложные срабатывания при установке новых приложений (иногда при их запуске)
Необходимость для многоуровневой системы защиты Рекомендуется Весьма необходим Крайне необходим

Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!