SONAR - защита на основе поведения

2013-10-02 14872 комментарии
SONAR - это решение, обеспечивающее защиту от угроз, которая основывается на поведении угроз, а не на их «внешнем виде». SONAR является основным движком защиты на основе поведения антивирусных решений компании Symantec

SONAR - защита на основе поведения

Продолжение статьи 5 уровней защиты решений от Symantec.

Миллионы пользователей обманом открывают вредоносные программы, маскирующиеся под видеоплееры или антивирусные продукты, которые не предлагают заявленных возможностей, но заражают компьютер пользователя и заставляют его платить за несуществующие функции.

Загрузки методом «Drive-by» и распространенные веб-атаки незаметно заражают пользователей, посещающих популярные сайты. Некоторые программы устанавливают руткиты или внедряют вредоносный код в системные процессы. Современное вредоносное ПО может с легкостью обходить, уже недостаточную для защиты конечного пользователя, файловую защиту.

Почему именно защита на основе поведения?

В 2010 году, Symantec обнаружила более 286 миллионов вариантов вредоносных программ и заблокировала более 3 миллиардов атак. В условиях продолжающегося роста вредоносного ПО и его вариантов, Symantec увидела необходимость в создании инновационного подхода, который позволит предотвратить вредоносные инфекции- автоматически и бесшумно, вне зависимости от того, чем занят пользователь и каким образом вирус проник в его систему. Insight Reputation Technology и поведенческая технология Symantec Online Network for Advanced Response (SONAR) компании Symantec, являются двумя из таких подходов.

Защита на основе поведения является более рентабельной по сравнению с файловой эвристикой, поскольку она одновременно может оценивать большие масштабы программ как опасных, так и не представляющих угрозы.

Защита на основе поведения обеспечивает эффективную и неинвазивную защиту от угроз "нулевого дня". SONAR - это решение, обеспечивающее защиту от угроз, которое основывается на поведении угроз, а не на их «внешний виде». SONAR является основным движком защиты на основе поведения компании Symantec: классифицирующий движок, сделанный на основе искусственного интеллекта, авторских поведенческих сигнатур и поведенческого механизма блокировки на основе политики. Все эти компоненты соединены в одно целое, и они обеспечивают лучшую в индустрии безопасности защиту от угроз.

Основными направлениями защиты, которые обеспечивает поведенческая технология Symantec, являются:

- Направленные атаки, включая Advanced Persistent Threats (APT), троянские программы, шпионское ПО, кейлоггеры и общие угрозы "нулевого дня";
- Загрузки методом drive-by, веб-атаки;
- Атаки типа «Социальной инженерии»: FakeAV (поддельные антивирусы), вредоносные генераторы ключей и кодеки;
- Боты и ботнеты:
- Non-Process and Injected Threats (NPTs)
- Угрозы "нулевого дня";
- Угрозы, пропущенные другими слоями защиты
- Угрозы, использующие технику руткитов.

В каких случаях осуществляется поведенческая защита?

Независимо от того, запускает ли пользователь вредоносное приложение умышленно, или же оно производит автоматическую попытку установки, SONAR блокирует программу в режиме реального времени, после того, как она была запущена и/или пытается внедрить себя в запущенные процессы (технология NPT). Обеспечивая защиту от Hydraq/Aurora, Stuxnet и вредоносного ПО, такого как Tidsrev и ZeroAccess, она зарекомендовала себя как одну из самых важных технологий защиты конечных точек.

Как это работает? Классификационный движок, основанный в области Искусственного Интеллекта

Symantec создала одну из самых больших баз данных поведенческих профилей во всем мире, имея около 1.2 миллиардов экземпляров приложений. Анализируя поведение хороших и плохих файлов, используя метод машинного обучения, Symantec способна создавать профили для приложений, которые еще не были созданы. Опираясь почти на 1400 различных поведенческих атрибутов и богатый контекст, которые компания получает от других компонентов, таких как Insight, IPS, AV-движок, классификация SONAR способна быстро обнаружить вредоносное поведение и принимать меры по остановке вредоносных приложений до того, как они нанесут ущерб. В 2011 году более 586 миллионов исполняемых DLL-файлов и приложений, были проанализированы с помощью технологии SONAR.

Non-process Based Threat Protection

Современные угрозы не всегда являются отдельными исполняемыми файлами. Зачастую, они пытаются скрыться при помощи инъекций в широко известные запущенные процессы, приложения или другие компоненты, тем самым скрывая свою вредоносную деятельность под видом доверенных процессов (к примеру, системных), или же доверенных приложений. В качестве примера, при выполнении вредоносного приложения, оно может внедрить вредоносный код в запущенные процессы, такие как explorer.exe (процесс оболочки Рабочего стола), Iexplorer.exe (браузер Internet Explorer) или зарегистрировать вредоносные компоненты в качестве расширений для подобных приложений. SONAR предотвращает выполнение кода, введенного в целевой процесс, путем классификации источника, пытающегося сделать инъекцию. Он также классифицирует, и при необходимости останавливает вредоносный код, загружаемый в целевой или доверенный процесс.

Политика Поведенческой блокировки

Загрузка методом «Drive-by» работает, используя уязвимости в браузерных плагинах, таких как Adobe Reader, Oracle Sun Java и Adobe Flash. После того, как уязвимость была обнаружена подобной загрузкой, она может использовать уязвимое приложение в своих целях, т.е. для запуска любого другого приложения. Создавая определение политики Поведенческой блокировки, Symantec может блокировать вредоносные поведения, такие как "Adobe Acrobat не должно создавать другие исполняемые файлы" или "этой DLL запрещена инъекция в процесс explorer.exe», тем самым защищая систему. Это может быть описано как блокировка поведения на основе политики и правил. Эти политики/определения SONAR создаются командой Symantec STAR и автоматически задействованы в блокирующем режиме и не требуют управления. Это предотвращает подозрительное поведение «хороших» приложений, и автоматически защищает пользователей.

Сигнатуры Behavioral Policy Enforcement (BPE - поведенческое применение политик)

Возможность развития в соответствии с непрерывно изменяющимися угрозами, является неотъемлемой частью технологий SONAR, поэтому защита продуктов компании Symantec имеет возможность ориентироваться на угрозы даже завтрашнего, еще не наступившего дня. Когда Symantec обнаруживает новое семейство угроз, такие как новые руткиты, трояны, FakeAV или другие типы вредоносных программ, она может создать новые поведенческие сигнатуры для обнаружения подобных семейств угроз, и доставить их вместе с обновлениями. Поэтому, компании совершенно не обязательно обновлять код самого продукта. Это так называемые поведенческие сигнатуры SONAR Enforcement Policy. Эти сигнатуры можно довольно быстро написать, протестировать и доставить пользователю, и именно они дают SONAR «гибкости» и «адаптивности», что позволяет ей дать ответ на некоторые классы возникающих угроз, имея при этом очень низкий уровень ложных срабатываний.

Так как же работают BPE-сигнатуры?

Давайте взглянем на приложение, которое запускается для выполнения.

1) Оно создает определенные компоненты в директории TEMP
2) Добавляет свои записи в реестр
3) Меняет hosts-файл
4) Оно не имеет интерфейса
5) Оно открывает связи на «высоких» портах

Любая из этих форм поведения сама по себе не может быть "плохой", но в целом ее поведенческий профиль расценивается, как плохой. STAR-аналитик создает правило, в котором указывает, что если имеется определенная последовательность поведения исполняемых файлов с определенными характеристиками Репутации Insight, то продукт должен остановить этот процесс и выполнить откат изменений. SONAR умеет создавать виртуальную песочницу вокруг зараженного, но вполне законного приложения и тем самым может предотвратить любые вредоносные действия зараженного приложения, которое способно нанести вред компьютеру пользователя. Это является совершенно новой парадигмой в сфере конечной защиты пользователя. Она работает за счет использования данных, которые показывают действия приложения, а не его внешний вид.

Автоматическое Восстановление вредоносных файлов с помощью песочницы

Защита на основе поведения в режиме реального времени отслеживает и помещает в песочницу приложения, процессы и события во время того, как они происходят. Системные изменения могут быть отменены с целью предотвращения вредоносной активности.

Мониторинг приложений и процессов в режиме реального времени

SONAR отслеживает и защищает более 1400 аспектов всех запущенных приложений, DLL-файлов и процессов, предоставляя защиту в режиме реального времени, по мере их выполнения.

STAR Intelligence Communication Bus

Технология защиты SONAR не работает сама по себе. Движок обменивается данными с другими сервисами защиты при помощи протокола STAR Intelligence Communication (STAR ICB). Движок Сетевой IPS, соединяется с движком Symantec Sonar, а затем с движком Внутренней Репутации (Insight Reputation). Это позволяет предоставить более информативную и точную защиту, какую не может предоставить практически ни один продукт.

По материалам Symantec

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?