Фичи невидимого фронта-3.

Как я обещал, познакомимся с ещё одной вкусной фичой наших продуктов (конкретно сейчас это есть в KIS, CRYSTAL и новых корпоративных продуктах).

В какой-то мере фича вообще революционна для индустрии – она основана на совсем другой парадигме, нежели классические сигнатурные технологии.

В общем, сейчас мы замолвим слово о вайтлистинге (он же белые списки, он же whitelisting).

Сама по себе идея и не новая – не понимаю, за что Википедия назвала её “emerging”.  Правда, многие антивирусные вендоры действительно почему-то до сих пор не сподобились встроить её в свои продукты. Что ж, каждый сам творец своей рыночной доли.

Смысл состоит вот в чём.

В отличие от сигнатурного метода (пытается найти «плохого» по внешним признакам), вайтлистинг знает кто «хороший» (например, заведомо безопасное приложение, которое  проверено у нас по программе Whitelist). К сведению, в начале сентября у нас в базе было около  300 миллионов проверенных файлов.

Остальное автоматически помечается как подозрительное и отправляется на проверку другим компонентам продукта. Кроме того можно запустить программу в изолированной, безопасной среде (Safe Run) или посмотреть репутацию файла в KSN (видео, подробности).  Кстати, в среднем каждую секунду KSN получает 400 тысяч (sic!) таких запросов.

К чему это всё и чем это лучше традиционного подхода?

Защита компьютера сигнатурным методом значит, что нужно знать всё «плохое» в лицо. Сегодня мы каждый день детектим порядка 70 тыс. вредоносов, а что будет завтра вообще сложно представить. Но уж точно ничего хорошего. При этом каждую вредоносную программу (или семейство) нужно проанализировать и занести в базу данных. Да, мы сильно продвинулись в скорости реакции – благодаря облачным технологиям и автоматизации «конвейера» у нас сейчас среднее время выпуска обновления – всего 40 секунд. Но даже так остаётся «зазор» между детектом и обновлением. Мелкий, но неприятный нюанс, который мы всячески стараемся минимизировать.

Вот. А вайтлистингу наплевать как выглядит «плохое». Он точно знает то, что уже проверено и гарантировано чисто. А всё остальное отдыхает.

Так что вайтлистинг вообще не участвует в гонке вооружений с вредоносами. И как бы вирусописатели не напрягались, выпуская новые троянцы, у пользователя под рукой всегда будет репутационный сервис, который надёжно скажет, что можно запускать, а чем лучше не рисковать. Кстати, эта фича также повышает производительность антивируса – ему не надо проверять файлы из белого списка. Среди профи такой подход называется “Default Deny” – сначала всё запретить, потом разрешить только безопасное.

Недавно провели исследование – среди домашних пользователей эта технология, увы, малоизвестна. Ну, это только начало. Зато в крупных организациях вайтлистинг очень скоро станет одним из столпов корпоративной политики безопасности. И действительно – компаниям проще и надёжнее стандартизовать весь софт, а остальное запретить от греха подальше или же гибко управлять этим. Ну, например разрешить IM только топ-менеджерам, а простым позволить наслаждаться только чисто рабочими программами.

В недавнем релизе Endpoint Protection 8 и Security Center 9 уже есть все прелести белых списков с централизованным управлением, категоризацией, правилами, групповыми политиками и, конечно же, контролем приложений на разных этапах.

Вы спросите, а зачем вообще тогда нужны сигнатуры? Пересели бы все на вайтлистинг и горя бы не знали… Тема очень интересная и объёмная. Если вкратце, то вот так.

Во-первых, белые списки не покрывают всего разнообразия софта. А иногда и хочется и надо запустить что-то неизвестное. Вот тут неплохо бы просканировать файл другими механизмами, да на всякий случай понаблюдать через System Watcher. Во-вторых, удалить вредонос можно только старыми-добрыми сигнатурами и файловым антивирусом. Ну и наконец, в деле защиты никогда нельзя полагаться на какой-то один механизм – это как однорукий боксёр.

Как я много раз говорил:

Защита должна быть многоуровневой, при этом каждый уровень должен дополнять и подстраховывать другой, обеспечивая максимальную безопасность объекта, производительность и удобство вне зависимости от обстановки.

В общем, не кладите все яйца в одну корзину.

И напоследок – видео с популярным объяснением преимуществ вайтлистинга:

 

Подробнее о нашем вайтлистинге здесь.

7 Responses to “Фичи невидимого фронта-3.”

  1. Знаете, Евгений, мне давно не было так обидно из-за софта, как сейчас. Я пользуюсь Kaspersky Internet Security три года. Замечаний не было (разве что к быстродействию). И вот несколько дней назад закончилась годовая лицензия, купил карточку на продление. И с меня требуют _предыдущий_ код активации: либо я введу предыдущий код, либо срок лицензии уменьшается на треть. Наверное, на карточке продления, которую я покупал год назад, что-то говорилось про то, что код надо хранить. Не помню, не знаю. Но вот я не сохранил. И теперь за это наказан. Неужели трудно при сетапе проверять, что софт стоит лицензионный и тем самым избегать такого унижения (другого слова не подберу) пользователя?

    Я работаю в большой компании, выпускающей программное обеспечение, и такой подход не приснился бы в самом страшном сне. Я не обеднею на 300 рублей, которые таким образом у меня урвали. Просто обидно.

Trackbacks/Pingbacks

  1. Стой! Кто идёт? или Таблетка №3. | Nota Bene - February 27, 2012

    […] правил у нас есть готовая «облачная» база данных вайтлистинга, где лежит категоризированная информация о 300+ […]

  2. Эксплойты, зеродеи, их опасности и её профилактика. | Nota Bene - May 25, 2012

    […] блокираторы, репутационные облачные сервисы, вайтлистинг, application control, целый спектр проактивных технологий… А […]

  3. Работа над ашыпками. | Nota Bene - June 20, 2012

    […] и б) сработавшей записи. KSN проверяет наличие объекта в whitelist-списке, а записи – в списке «фалсов». При совпадении с […]

  4. Разрешить всё запретить. | Nota Bene - September 28, 2012

    […] наша «облачная» база данных проверенного софта (Whitelisting), которая содержит данные о 530+ миллионах безопасных […]

  5. Найти всё. Или Сено и Иголки. | Nota Bene - November 15, 2012

    […] «ZZZ» находится в списке чистых файлов (white list), но вдруг Astraea получает уведомление, что наш продукт […]

  6. Найти всё. Или Сено и Иголки. | Eugene Kaspersky — Russian | Eugene Kaspersky - Russian - February 4, 2013

    […] «ZZZ» находится в списке чистых файлов (white list), но вдруг Astraea получает уведомление, что наш продукт […]

Оставить комментарий

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: