KIS-2014: умный микроскоп спецназначения.
Что ещё нового-интересного под капотом свежего KIS 2014?
ZETA Shield - антивирусный спецмикроскоп для выявления и наказания самых хитрых зловредов, аки матрёшки прячущихся во вложенных сущностях сложных файлов. Короче - это наша уникальная технология защиты от будущих угроз, которая умеет находить неизвестную кибер-заразу в самых неожиданных местах.
А чтобы лучше понять её смысл, вспомним вот такой русский народный рефрен:
Смерть его
на конце иглы,
игла в яйце,
яйцо в утке,
утка в зайце,
заяц в ларце,
ларец на дубу.
Если призадуматься как и где прячутся вредоносные программы, то так оно и есть. Зловреды изо всех сил стараются завернуться во вложенные сущности, сделать пластическую операцию по коррекции своего внешнего вида, чтобы скрыться от антивируса. Всякие пакеры-архиваторы, крипто-контейнеры, флэши, офисные документы, скрипты и т.д. и т.п. - вариантов миллион. Соответственно, задача антивируса - все эти сущности вычислить, залезть внутрь и зловредов повычистить. Так? А вот и нет! Точнее - не только.
Антивирусы давным-давно умеют разбирать сложные файлы. Помню, ещё в 90х наш движок очень любили лицензировать в том числе за технологию распаковки архивов. Но распаковать - это полдела! Нужен достаточно умный инструмент, который сможет не только сложные файлы разбирать, но также эту «матрёшку» анализировать, строить зависимости и диагностировать. Проактивно, без классических сигнатур и апдейтов. Что-то вроде средства против бинарного оружия - отдельно компоненты этого оружия безопасны, но их смешивание синтезирует боевое вещество.
И вот тут на сцену выходит ZETA Shield. И весьма своевременно - рост числа и извращённости целевых атак и атак класса zero-day - как раз сфера компетенции «Зеты» (ZETA = Zero-day Exploits & Targeted Attacks).
Судьба ZETA Shield повторяет другого дебютанта 2014й версии - Режим безопасных программ. Он также уже работает в наших корпоративных решениях, примерно зарекомендовал себя и прошёл подготовку для работы в персональных продуктах. Причём, насколько мне известно, это первая в мире реализация подобной технологии в персональных продуктах.
Работу «Зеты» можно разделить на два этапа.
Сначала дело техники - объект нужно разобрать по частям. Например, тот же Word-документ может содержать много других внедрённых объектов - исполняемые файлы, flash-данные, другие документы.. да хоть образ операционной системы или вирусную коллекцию! Натурально - что угодно! Слона! Наша задача все эти сущности распознать (а они ох, как любят маскироваться!) и классифицировать.
А дальше становится интереснее - к месту происшествия подтягивается эвристический анализатор, который взвешивает состав, вложенность и взаимоотношения этих объектов, оценивает схожесть с шаблонами ранее обнаруженных угрозами, выявляет аномалии и принимает решение об опасности данного файла. Чем не бинарное оружие?
Решение, кстати, коллегиальное, совместно с нашей облачной системой KSN - антивирус получает от неё статистику появления таких же подозрительных «симптомов» у других пользователей. В свою очередь, мы через KSN видим масштабы и географию распространения угроз, характерные для целевых атак аномалии и много другой полезной аналитики, чтобы быстро разрабатывать и доставлять защиту пользователям.
В общем, работа ZETA Shield напоминает определение модели автомобиля по его узлам и агрегатам. Пластиковый кузов? Привод на одно колесо? Мотоциклетный двигатель? Немец? Трабант! :) Только вот разобрать авто по узлам и агрегатам, а потом сложившееся разнообразие проанализировать - это требует мозга в правильном месте.
Пример - мартовская целевая атака, в ходе которой избранным жертвам рассылались RTF-документы с заманчивыми названиями типа «Финансовый результат по итогам 9 месяцев 2012 г» от ФГУП ЦКБ МТ «Рубин» (ага, такие социнжиниринговые приёмчики всё ещё работают). В документе были глубоко спрятаны эксплойт и дроппер, однако ни один антивирус их не распознавал - кибер-негодяи хорошо их замаскировали разным мусором. А ZETA Shield мгновенно сработал!
Особенность реализации этой технологии в корпоративных решениях - способность «разбирать» не отдельные файлы, а потоки данных. Всё-таки каждый файл есть элемент более общей картины и, видя всю эту картину (читай - все компоненты бинарного оружия), можно строить более сложные зависимости и принимать более осведомлённые (и правильные) решения.
Увы, в KIS 2014 ZETA Shield пришлось немного «придушить» по соображениям производительности.
Здесь он работает только с файлами и только в ходе проверки по требованию. Впрочем, при правильно настроенной системной гигиене (читай - регулярной проверке компа с максимальной глубиной сканирования) это всё равно очень большой плюс к защите от целевых атак. Например, топ-менеджеров обычно атакуют во всех их инкарнациях - будь они на работе или дома на личном компе. А дома человек, увы, без прикрытия на корпоративном серверном уровне. И тут как раз срабатывает ZETA Shield, который вместе с Automatic Exploit Prevention да в Режиме безопасных программ будет чётко фильтровать атаки через системные и прикладные уязвимости.
Логичный вопрос - а зачем в персональном продукте какие-то мудрёные серверные технологии и вообще, какой кто будет затачивать целевую атаку на домашний комп или небольшую фирму?
Прежде всего, важный момент:
Действительно, бытует мнение, что объект целевой атаки - это непременно правительство, оборонка, критическая инфраструктура, политики, а уж если коммерческие компании, то калибра не меньше Майкрософт. Ну, и зашкаливающая сложность таких атак достойна увековечивания в голливудских нетленках.
Нет и нет.
Первое заблуждение объясняется тем, что на поверхность СМИ всплывают новости только об атаках самого верхнего уровня. А второе - от обилия непонятных технических терминов или, наоборот, недостатка информации, а дальше срабатывает логическая цепочка - «ага, атаковали министерство, ну, там же профи и защита хорошая, значит наверняка нападали яйцеголовые».
В действительности, жертвами целевых атак могут и становятся практически все пользователи и любые организации. Хорошее тому доказательство - хакерская группа Winnti и коммерческие шпионские продукты вроде FinSpy. А ещё помните поговорку «лес рубят - щепки летят»? - это про компьютерные угрозы. Целевые атаки выходят из-под контроля и накрывают случайных жертв (порой из своего лагеря!).
А кажущаяся сложность целевых атак.. Ну, слово «кажущаяся» хорошо описывает проблему. Да, существуют сложные кибер-операции, где изобретаются новые векторы атак (например Stuxnet или Flame). Но в подавляющем большинстве это комбинаторный перебор известных методов с добавлением щепотки социального инжиниринга. На самом деле провести целевую атаку становится все проще и дешевле - покупают готовые эксплойт киты за тысячу-другую долларов и собирают как конструктор.
И, наконец, главный смысл внедрения «мудрёных серверных технологий» и многоуровневой защиты в персональные продукты.
У любого изобретения, в том числе вредоносного есть жизненный цикл. Рано или поздно широкие слои кибер-негодяев находят способ утилизировать даже самые сложные атаки, которые раньше были уделом только топ-профи (ага, «консьюмеризация» целевых атак). Мы же готовим сани летом - уже сейчас KIS может выдержать серьёзные удары завтрашних зловредов.
В общем, к будущему готовы! И вы теперь тоже :)
ZETA Shield - антивирусный спецмикроскоп для выявления и наказания самых хитрых зловредов, аки матрёшки прячущихся во вложенных сущностях сложных файлов. Короче - это наша уникальная технология защиты от будущих угроз, которая умеет находить неизвестную кибер-заразу в самых неожиданных местах.
А чтобы лучше понять её смысл, вспомним вот такой русский народный рефрен:
Смерть его
на конце иглы,
игла в яйце,
яйцо в утке,
утка в зайце,
заяц в ларце,
ларец на дубу.
Если призадуматься как и где прячутся вредоносные программы, то так оно и есть. Зловреды изо всех сил стараются завернуться во вложенные сущности, сделать пластическую операцию по коррекции своего внешнего вида, чтобы скрыться от антивируса. Всякие пакеры-архиваторы, крипто-контейнеры, флэши, офисные документы, скрипты и т.д. и т.п. - вариантов миллион. Соответственно, задача антивируса - все эти сущности вычислить, залезть внутрь и зловредов повычистить. Так? А вот и нет! Точнее - не только.
Антивирусы давным-давно умеют разбирать сложные файлы. Помню, ещё в 90х наш движок очень любили лицензировать в том числе за технологию распаковки архивов. Но распаковать - это полдела! Нужен достаточно умный инструмент, который сможет не только сложные файлы разбирать, но также эту «матрёшку» анализировать, строить зависимости и диагностировать. Проактивно, без классических сигнатур и апдейтов. Что-то вроде средства против бинарного оружия - отдельно компоненты этого оружия безопасны, но их смешивание синтезирует боевое вещество.
И вот тут на сцену выходит ZETA Shield. И весьма своевременно - рост числа и извращённости целевых атак и атак класса zero-day - как раз сфера компетенции «Зеты» (ZETA = Zero-day Exploits & Targeted Attacks).
Судьба ZETA Shield повторяет другого дебютанта 2014й версии - Режим безопасных программ. Он также уже работает в наших корпоративных решениях, примерно зарекомендовал себя и прошёл подготовку для работы в персональных продуктах. Причём, насколько мне известно, это первая в мире реализация подобной технологии в персональных продуктах.
Работу «Зеты» можно разделить на два этапа.
Сначала дело техники - объект нужно разобрать по частям. Например, тот же Word-документ может содержать много других внедрённых объектов - исполняемые файлы, flash-данные, другие документы.. да хоть образ операционной системы или вирусную коллекцию! Натурально - что угодно! Слона! Наша задача все эти сущности распознать (а они ох, как любят маскироваться!) и классифицировать.
А дальше становится интереснее - к месту происшествия подтягивается эвристический анализатор, который взвешивает состав, вложенность и взаимоотношения этих объектов, оценивает схожесть с шаблонами ранее обнаруженных угрозами, выявляет аномалии и принимает решение об опасности данного файла. Чем не бинарное оружие?
Решение, кстати, коллегиальное, совместно с нашей облачной системой KSN - антивирус получает от неё статистику появления таких же подозрительных «симптомов» у других пользователей. В свою очередь, мы через KSN видим масштабы и географию распространения угроз, характерные для целевых атак аномалии и много другой полезной аналитики, чтобы быстро разрабатывать и доставлять защиту пользователям.
В общем, работа ZETA Shield напоминает определение модели автомобиля по его узлам и агрегатам. Пластиковый кузов? Привод на одно колесо? Мотоциклетный двигатель? Немец? Трабант! :) Только вот разобрать авто по узлам и агрегатам, а потом сложившееся разнообразие проанализировать - это требует мозга в правильном месте.
Пример - мартовская целевая атака, в ходе которой избранным жертвам рассылались RTF-документы с заманчивыми названиями типа «Финансовый результат по итогам 9 месяцев 2012 г» от ФГУП ЦКБ МТ «Рубин» (ага, такие социнжиниринговые приёмчики всё ещё работают). В документе были глубоко спрятаны эксплойт и дроппер, однако ни один антивирус их не распознавал - кибер-негодяи хорошо их замаскировали разным мусором. А ZETA Shield мгновенно сработал!
Особенность реализации этой технологии в корпоративных решениях - способность «разбирать» не отдельные файлы, а потоки данных. Всё-таки каждый файл есть элемент более общей картины и, видя всю эту картину (читай - все компоненты бинарного оружия), можно строить более сложные зависимости и принимать более осведомлённые (и правильные) решения.
Увы, в KIS 2014 ZETA Shield пришлось немного «придушить» по соображениям производительности.
Здесь он работает только с файлами и только в ходе проверки по требованию. Впрочем, при правильно настроенной системной гигиене (читай - регулярной проверке компа с максимальной глубиной сканирования) это всё равно очень большой плюс к защите от целевых атак. Например, топ-менеджеров обычно атакуют во всех их инкарнациях - будь они на работе или дома на личном компе. А дома человек, увы, без прикрытия на корпоративном серверном уровне. И тут как раз срабатывает ZETA Shield, который вместе с Automatic Exploit Prevention да в Режиме безопасных программ будет чётко фильтровать атаки через системные и прикладные уязвимости.
Логичный вопрос - а зачем в персональном продукте какие-то мудрёные серверные технологии и вообще, какой кто будет затачивать целевую атаку на домашний комп или небольшую фирму?
Прежде всего, важный момент:
Действительно, бытует мнение, что объект целевой атаки - это непременно правительство, оборонка, критическая инфраструктура, политики, а уж если коммерческие компании, то калибра не меньше Майкрософт. Ну, и зашкаливающая сложность таких атак достойна увековечивания в голливудских нетленках.
Нет и нет.
Первое заблуждение объясняется тем, что на поверхность СМИ всплывают новости только об атаках самого верхнего уровня. А второе - от обилия непонятных технических терминов или, наоборот, недостатка информации, а дальше срабатывает логическая цепочка - «ага, атаковали министерство, ну, там же профи и защита хорошая, значит наверняка нападали яйцеголовые».
В действительности, жертвами целевых атак могут и становятся практически все пользователи и любые организации. Хорошее тому доказательство - хакерская группа Winnti и коммерческие шпионские продукты вроде FinSpy. А ещё помните поговорку «лес рубят - щепки летят»? - это про компьютерные угрозы. Целевые атаки выходят из-под контроля и накрывают случайных жертв (порой из своего лагеря!).
А кажущаяся сложность целевых атак.. Ну, слово «кажущаяся» хорошо описывает проблему. Да, существуют сложные кибер-операции, где изобретаются новые векторы атак (например Stuxnet или Flame). Но в подавляющем большинстве это комбинаторный перебор известных методов с добавлением щепотки социального инжиниринга. На самом деле провести целевую атаку становится все проще и дешевле - покупают готовые эксплойт киты за тысячу-другую долларов и собирают как конструктор.
И, наконец, главный смысл внедрения «мудрёных серверных технологий» и многоуровневой защиты в персональные продукты.
У любого изобретения, в том числе вредоносного есть жизненный цикл. Рано или поздно широкие слои кибер-негодяев находят способ утилизировать даже самые сложные атаки, которые раньше были уделом только топ-профи (ага, «консьюмеризация» целевых атак). Мы же готовим сани летом - уже сейчас KIS может выдержать серьёзные удары завтрашних зловредов.
В общем, к будущему готовы! И вы теперь тоже :)