20/09/2016

Kontrola systemu jeszcze sprytniejsza

Porady Zagrożenia

Produkty zabezpieczające muszą potrafić wykonywać dwa niełatwe zadania: zapobiegać i – w razie potrzeby — naprawiać. Najnowszy patent firmy Kaspersky Lab obejmuje technologię, która zwiększa skuteczność ochrony i ratunku w przypadku infekcji.

Jeśli chodzi o zapobieganie, najbardziej powszechna metoda obejmuje śledzenie tego, co się dzieje na komputerze, i neutralizowanie szkodliwych obiektów. Jeśli program zabezpieczający namierzy trojana, wiadomość phishingową lub spamową, lub szkodliwą stronę internetową, powinien robić, co tylko może, aby uchronić użytkownika przed zagrożeniem.

under-the-hood-featured

Gdy funkcja zapobiegania zawiedzie, produkt zabezpieczający musi poradzić sobie z zainfekowanym komputerem. Czyszczenie zarażonego systemu nie polega jedynie na usunięciu niepożądanego pliku; antywirus musi usunąć szkodliwy kod i przywrócić normalne działanie maszyny. Nie chodzi tylko o wyeliminowanie infekcji, trzeba przywrócić zdrowie — a to bywa skomplikowane.

Z niezależnych testów porównujących poziom zabezpieczeń wynika, że chociaż antywirusy wielu producentów całkiem dobrze radzą sobie z zapobieganiem, są dalekie od ideału w przypadku dezynfekcji systemu.

Lepsze wykrywanie…

Korzystanie z listy sygnatur wirusów i innych tradycyjnych metod wykrywania zajmuje w produktach zabezpieczających wysokie miejsce, jednak istotną rolę odgrywają także metody wykorzystujące heurystykę. Polega ona na uczeniu się i rozwoju na podstawie doświadczenia, przez co umożliwia programowi antywirusowemu wyłapanie nie tylko szkodliwych obiektów, ale także podejrzanej aktywności.

Wykrywanie podejrzanej aktywności stanowi rdzeń technologii, która została utworzona i niedawno opatentowana przez Michaiła Pawluszczyka, Aleksieja Monsatrijskiego i Denisa Nazarowa z Kaspersky Lab. Potrafi ona mapować interakcje pomiędzy programem i innymi komponentami systemu operacyjnego a oprogramowaniem. Chodzi tu dokładnie o jeden program pracujący z pamięcią używaną przez inne procesy.

Nie ma konieczności śledzenia wszystkich działań — co jest bardzo korzystne, ponieważ monitorowanie wszystkiego mogłoby zajmować znaczne zasoby komputera. Technologia, która śledzi interakcje, monitoruje zachowanie z większą precyzją i blokuje wiele wcześniej nieznanych szkodliwych programów.

…i zapobieganie

Rozpatrzmy to na przykładzie komputera zaatakowanego przez szkodliwy program, który rejestruje naciśnięcia klawiszy (keylogger).

Jeśli keylogger zdoła zainfekować komputer, oznacza to, że albo ominął ochronę, albo przeniknął, wykorzystując błędną konfigurację w zabezpieczeniach, co zdarza się dosyć często. Należy go powstrzymać, zanim wyśle dane (hasło do poczty e-mail, login do bankowości, zrzut kamery itp.) do osoby stojącej za atakiem.

W tym miejscu zaczyna działać analiza behawioralna. Jest ona osadzona w module Kontrola systemu i, przy pomocy innych komponentów systemu, wykrywa znane szkodliwe interakcje powodowane przez niezaufane oprogramowanie, zanim wystąpią nieodwracalne szkody. Co więcej, może ona cofnąć zmiany dokonane przez malware, ponieważ śledzi jego zachowanie.

Silny produkt zabezpieczający, taki jak Kaspersky Internet Security, rzadko pozwala na to, aby jakiś program ingerował w system tak głęboko, aby wymagane było cofnięcie zmian. Nowe zagrożenia dodajemy bardzo szybko do naszej bazy wirusów; a chmura Kaspersky Security Network pomaga nam dowiadywać się o nowych próbkach szkodliwych programów. Lecz jeśli chodzi o tworzenie antywirusa, nie istnieje coś takiego jak zbyt dużo ochrony. Świetny produkt zabezpieczający wymaga nieustannych prac w obszarze rozwijania nowych technologii na rzecz wykrywania i naprawy, bo na tym opiera się kompleksowa ochrona.