Журнал "Information Security/ Информационная безопасность" #1, 2024

операционной системы и не может быть выгружен в течение текущего сеанса работы. Входящий в состав Dr.Web Антируткит позволяет в фоновом режиме проводить проверку операционной системы на наличие сложных угроз и сигнализиро- вать при их обнаружении. При включении данной настройки Антируткит Dr.Web будет постоянно нахо- диться в памяти. В отличие от проверки файлов на лету, проводимой компонен- том SpIDer Guard, поиск руткитов про- изводится в системном BIOS компьютера и таких критических областях, как объ- екты автозагрузки, запущенные процес- сы и модули, оперативная память и др. Одним из ключевых критериев работы Антируткита Dr.Web является бережное потребление ресурсов операционной системы (процессорного времени, сво- бодной оперативной памяти и др.) с уче- том мощности аппаратного обеспече- ния. Превентивная защита от вымогателей Компонент "Защита от вымогателей" позволяет отслеживать процессы, кото- рые пытаются зашифровать пользова- тельские файлы по известному алгорит- му, свидетельствующему о том, что такие процессы являются угрозой безопасности компьютера. К таким процессам отно- сятся троянцы-шифровальщики, которые блокируют доступ к данным, после чего вымогают деньги за расшифровку. Шифровальщики являются одними из самых распространенных вредоносных программ и ежегодно приносят большие убытки как компаниям, так и обычным пользователям. Основной путь зараже- ния – почтовые рассылки, содержащие вредоносный файл или ссылку на вирус. Причем, по статистике компании "Док- тор Веб", расшифровка поврежденных троянцем файлов возможна только в 10% случаев, поэтому наиболее эффек- тивный метод борьбы с ними – пред- отвратить заражение. В последнее время число пользователей, пострадавших от данного типа вирусов, не только не сни- жается – оно увеличивается! Количество запросов в службу технической под- держки компании "Доктор Веб" на рас- шифровку данных идет на сотни, а ино- гда и на тысячи в месяц. Компонент "Защита от вымогателей" анализирует поведение подозрительных процессов, обращая внимание, в част- ности, на поиск файлов, чтение и попыт- ки их модификации. Проверяются также следующие харак- теристики приложения: l является ли приложение новым; l как оно попало в систему; l где приложение расположено; l как оно называется; l является ли приложение доверенным; l есть ли у него действительная цифро- вая подпись от доверенного центра сер- тификации. Проверяется также характер запра- шиваемой модификации файлов. При обнаружении признаков поведения вре- доносной программы действия попытки модификации файлов со стороны про- анализированного приложения блоки- руются. Превентивная защита: поведенческий анализ Компонент "Поведенческий анализ" позволяет настроить реакцию Dr.Web Industrial на действия сторонних прило- жений, не являющихся доверенными, которые могут привести к заражению компьютера, например на попытки модифицировать файл HOSTS или изменить критически важные ветки системного реестра. При включении этого компонента программа запрещает автоматическое изменение системных объектов, модификация которых одно- значно свидетельствует о попытке вре- доносного воздействия на операцион- ную систему. Поведенческий анализ защищает от ранее неизвестных вре- доносных программ, которые способны избежать обнаружения традиционными сигнатурными и эвристическими меха- низмами. Сигнатурный анализ и Origins Tracing В Dr.Web Industrial в качестве метода обнаружения в первую очередь приме- няется обычный сигнатурный анализ. Он основан на поиске в содержимом анализируемого объекта сигнатур уже известных угроз. Причем записи в вирус- ных базах Dr.Web составлены таким образом, что благодаря одной и той же записи можно обнаруживать целые клас- сы или семейства угроз. Но также в решении реализован метод Origins Tracing – это уникальная техно- логия Dr.Web, которая позволяет опре- делить новые или моди- фицированные угрозы, использующие уже известные и описанные в вирусных базах механиз- мы заражения или вредо- носное поведение. Она выполняется после сигнатурного анализа, позволяя выявить более "тонкие" угрозы. Исполь- зование технологии Origins Tracing поз- воляет значительно снизить количество ложных срабатываний эвристического анализатора. Применение машинного обучения Для поиска и нейтрализации вредо- носных объектов, которых еще нет в вирусных базах, используется машин- ное обучение, причем распознавание вредоносного кода проводится без его исполнения, только на основе его мета- характеристик. Обнаружение угроз строится на клас- сификации вредоносных объектов согласно определенным признакам. С помощью технологии машинного обучения, основанной на методе опорных векторов, происходит классификация и запись в базу фрагментов кода сце- нарных языков. Затем проверяемые объ- екты анализируются на основе соответ- ствия признакам вредоносного кода. Технология машинного обучения авто- матизирует обновление списка данных признаков и пополнение вирусных баз. Это существенно экономит ресурсы опе- рационной системы, так как не требует исполнения анализируемого кода, а динамическое машинное обучение классификатора может осуществляться и без постоянного обновления вирусных баз, которое используется при сигна- турном анализе. Заключение АСУ ТП, как правило, оперируют в про- мышленных средах, где присутствуют физические узлы и компоненты, тре- бующие специального внимания при проектировании системы защиты. Нали- чие специфического оборудования и тех- нологических процессов требует особого подхода к анализу угроз и реализации мер по защите. Полностью российское решение Dr.Web Industrial учитывает эти особен- ности и позволяет обнаруживать подо- зрительную активность на серверах и рабочих станциях внутри промышлен- ного сегмента сети, не приводя к оста- новке непрерывного технологического процесса. l • 15 КИИ www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ ДОКТОР ВЕБ см. стр. 70 NM Реклама Реклама 0+