Почему сигнатуры больше не справляются, как KSN ловит Red October и что такое «блокировка по умолчанию».

В мире ИБ редко встретишь технологию, вызывающую столько полярных мнений, как облачные антивирусы. Одни считают это маркетинговым пузырем, другие искренне верят, что старый добрый сигнатурный анализ на локальном ПК — это всё, что нужно человеку.

Правда, как обычно, лежит посередине, но с сильным креном в сторону «облака». И если вы до сих пор думаете, что ваш антивирус работает только на вашем компьютере, то мы спешим вас разочаровать (или обрадовать): вы уже давно часть глобальной сети. Давайте разбираться, как это работает, на примере одной из самых мощных инфраструктур — Kaspersky Security Network (KSN).

1. Антивирусный апокалипсис в цифрах

Первый вопрос, который стоит задать: а зачем вообще куда-то «в облако» выгружать данные? Ответ прост: локальный компьютер физически не способен переварить тот объем зловредов, который плодится в мире каждую минуту.

«Ведущим фактором, направившим внимание вендоров в сторону облачных технологий, является постоянно возрастающее количество сетевых угроз, — комментирует Денис Легезо, менеджер по технологическому позиционированию «Лаборатории Касперского». — В среднем, в мире ежедневно появляется около 200 тысяч новых вредоносных программ».

Для понимания масштаба: два года назад база сигнатур насчитывала около 50 миллионов записей. Сегодня эта цифра перевалила за 100 миллионов.

При этом нельзя бесконечно наращивать локальные базы. Толкать на компьютеры пользователя гигабайты сигнатур каждые 15 минут — это убивать производительность системы. Компьютер создан для работы, а не для бесконечного сканирования самого себя.

«Раньше мы наращивали локальную базу, но это тупиковый путь, — поясняет эксперт. — Именно здесь в качестве оптимального решения выступили облачные системы. Разработка началась около четырех лет назад не с корпоративных проектов, а именно с решений для персональных пользователей. Поэтому наивно полагать, что вы не пользуетесь «облаком», если у вас установлен современный антивирус».

2. Как работает облачная репутация: механика KSN

В чем магия облачного антивируса вроде KSN? Вместо того чтобы хранить все сигнатуры на диске, компьютер отправляет запрос в «облачный центр»: «Эй, что это за файл?»

Если файл с сомнительной репутацией попадает на анализ, «облако» системы получает запрос и генерирует ответ в течение нескольких секунд. Но как рождается этот ответ?

Архитектура процесса такова:

  1. Нулевой день. В мире появляется новый вирус. Он попадает на компьютер одного из пользователей, подключенного к KSN.

  2. Мгновенный анализ. Антивирусный «облачный» движок автоматически (а иногда и с привлечением экспертов R&D) анализирует поведение файла. Благодаря динамическому анализу, система не ждет, пока вирус «полетит» по сети, а классифицирует его здесь и сейчас.

  3. Распространение ответа. Файл признается опасным. Сигнатура (или, в случае с поведенческим анализом, — паттерн) мгновенно распространяется по облаку.

  4. Реакция. Среднее время с момента появления вируса до того, как любой другой пользователь KSN станет защищен от него, составляет всего несколько минут. Тогда как в классических схемах на выработку сигнатуры уходят часы, а иногда и сутки.

3. Легкость для бизнеса и нагрузка на сервера

Часто бизнес-сегмент боится облачных технологий из-за возможной нагрузки на каналы связи. Однако здесь логика работы KSN для корпоративных клиентов грамотно перераспределяет нагрузку.

В корпоративной версии используется Proxy-сервер, который кэширует запросы. Если 500 пользователей попытаются запустить один и тот же безобидный установщик, сервер не будет долбить облако 500 запросами — он проверит один раз и разошлет результат локально.

Масштаб системы впечатляет: пиковая нагрузка на инфраструктуру KSN достигает 600 тысяч запросов в секунду, а объем передаваемого трафика может доходить до 1.4 Гб в секунду.

При этом для конечного пользователя процесс остается абсолютно прозрачным. Администратор же получает полную аналитику на сервере управления.

4. Социальная инженерия и «белые списки»

Однако, как бы ни был силен антивирус, самое опасное уязвимое место — это человеческий мозг. Фишинг и социальная инженерия остаются главным инструментом взлома.

«Начинать защиту нужно с организационных мер, с образования, — подчеркивает Денис Легезо. — Против гибкого человеческого фактора технический инструментарий подобрать сложно. Но частично положиться на «облако» можно и здесь».

Речь идет о технологии Application Whitelisting («белые списки» приложений). Благодаря облачным репутационным базам, которые категоризируют приложения в реальном времени, администратор может применять политику Default Deny (блокировка по умолчанию).

Суть проста: разрешено только то, что «знает» облако или администратор. Остальное — заблокировано.

Кейс из практики: В одной энергетической компании, где работало 1300 сотрудников, при сканировании обнаружилось 4200 различных приложений! Причем 5% из них не имели никакого отношения к работе (игры, мессенджеры). Внедрение подхода Default Deny позволило не только повысить безопасность, но и вернуть украденные рабочие часы. Доля лишнего софта, кстати, со временем возросла бы до 41%, если бы меры не приняли вовремя.

5. Исторический кейс: Охота на «Красный Октябрь»

Главный экзамен для любой технологии — это столкновение с реальной угрозой «тяжелого веса». Для KSN таким экзаменом стало обнаружение легендарного вируса Red October (Rocra).

Этот зловред оставался невидимым для классических сигнатурных антивирусов на протяжении пяти лет. Он представлял собой серию таргетированных атак, нацеленных на дипломатические ведомства, правительственные структуры, атомные и аэрокосмические предприятия Восточной Европы и Центральной Азии.

«Нашим специалистам удалось не только «раскрутить» его, но и собрать массу информации о том, как данная программа работает, — рассказывает Денис Легезо. — В итоге динамический анализ в сочетании с быстрой реакцией и высоким уровнем осведомленности о происходящем на машинах пользователей позволил говорить об адекватности существующего комплекса современным условиям».

Именно облачная инфраструктура позволила собрать поведенческие паттерны зловреда по всему миру, не дожидаясь, пока кто-то принесет его файл в лабораторию на флешке. Атакующие создали более 60 доменов для управления серверами (C&C), но после вмешательства экспертов эта распределенная сеть пала.

6. Что еще умеет «облако»? Анти-DDoS и IRIS

Технологии KSN не ограничиваются только лечением файлов. Облачная инфраструктура интегрирована с рядом сопутствующих сервисов.

  • Kaspersky DDoS Prevention. Трафик фильтруется через «центры очистки» еще до того, как атака достигнет сервера клиента. Это актуально в условиях нездоровой конкуренции, когда организовать ботнет-атаку дешево, а вот лечить ее последствия — дорого.

  • Сервис IRIS. Это система раннего реагирования. Она позволяет не просто выявить атаку, но и предоставляет заказчику полные данные экспертизы, включая анализ действий хакеров, что помогает не только защититься, но и собрать доказательную базу для правоохранительных органов.

7. Мнение со стороны

Андриан Бушин, директор по развитию бизнеса ActiveCloud, отмечает практическую пользу решения:

«Принципиальным отличием облачного антивируса является оперативная двусторонняя связь. В случае традиционной схемы с обновлениями реакция занимает часы. В случае KSN при попытке заражения система сама запрашивает «антивирусный центр». Стоит вредоносному файлу попасть хотя бы на один сервер в облаке, специалисты моментально блокируют сам ресурс, проводящий атаку. Мы предлагаем это как аренду комплексного решения, и спрос стабильно высокий».

Резюмируем

Облачный антивирус — это не модная фишка, а вынужденная эволюция. В мире, где вирусы пишутся промышленными масштабами, «бороться в одиночку» с помощью локального ПК невозможно.

Что мы имеем на выходе с KSN:

  1. Мгновенная реакция. На обнаружение угрозы уходят минуты, а не часы.

  2. Экономия ресурсов. Система не грузит ваш компьютер гигантскими базами, вся аналитика — на стороне «облака».

  3. Превентивная защита. Метод Default Deny и контроль приложений защищают даже от неизвестных уязвимостей (Zero-day).

  4. Экспертиза 24/7. К расследованию подключаются специалисты, которые видят всю мировую картину атак (как в случае с Red October).

Современный бизнес просто не может позволить себе роскошь игнорировать «облачные» методы защиты, ведь пока вы читали эту статью, в мире появилось еще несколько тысяч новых угроз.

Комментарии (0)