Зачем нужны антивирусные песочницы?

 «Врага надо знать в лицо» — так часто говорят в ИТ-кругах. Однако одна из проблем, с которыми регулярно сталкиваются компании, заключается в том, что им каждый раз приходится противостоять новому противнику, который атакует компьютерные сети, дестабилизирует рабочий процесс и крадет конфиденциальную информацию при помощи невероятно мощного арсенала вредоносных программ. Все это значительно затрудняет узнавание врага.

Наглядное представление о том, что происходит сейчас в отрасли, дает тот факт, что в 2012 году ежедневно создавалось и распространялось в среднем от 70 до 100 тысяч образцов вредоносного кода. Это в десять с лишним раз больше, чем в 2011 году, и в сто с лишним раз превышает показатель 2006 года. Стандартные средства борьбы с вредоносным ПО просто не в состоянии противостоять такому мощному росту. Согласно Отчету по безопасности-2013 (Security Report 2013) компании Check Point, 63% организаций были заражены ботами, а более половины подвергались атакам нового вредоносного ПО не реже одного раза в день.

Код большинства нежелательных программ скрывается в файлах обычных форматов, которые мы все используем каждый день: электронные письма, документы в формате Word, PDF, Excel и т.д. В арсенале хакеров существуют специальные средства, позволяющие маскировать их исполняемые сценарии с целью скрыть вредоносные действия, — например, изменение системного реестра или загрузку исполняемого файла, который способен заразить сеть. Вследствие растущих объемов сетевого трафика и огромного количества новых вредоносных программ, скрывающихся под личиной безобидных файлов, организации становятся уязвимыми для атак нулевого дня. Несмотря на то, что многоуровневые системы защиты, основанные на IPS- и IDS-решениях, могут блокировать некоторые действия вредоносных программ, они не в силах предотвратить проникновение вирусов в сеть и их распространение.

Огромное количество и сложность новых атак не оставляют нам надежды узнать все о своих врагах. Тем не менее, мы можем хотя бы понять намерения противника и методы атак, которые он предпочитает применять. Это даст возможность раскрыть жизненно важную информацию, владея которой, можно выявлять и устранять новые риски.

Подобно тому, как при пограничном контроле используются различные технологии наблюдения за людьми, пересекающими границу, и выявления лиц, представляющих опасность, новые способы защиты позволяют изучать электронные письма, файлы и данные, поступающие в сеть, и изолировать вредоносные файлы на входе в сеть, предотвращая ее заражение и не нарушая при этом повседневных рабочих процессов. Все это возможно благодаря методу, который называется эмуляцией угроз.

Разберем на примере. Существует множество уязвимостей в прикладных приложениях (Microsoft Office, Adobe Reader), в операционных системах, и вредоносное ПО их использует, чтобы внедриться на компьютер пользователя. Разумеется, антивирусы пытаются обнаруживать подобное вредоносное ПО, но и злоумышленники не стоят на месте, используют различные техники маскировки, например, шифрование своего кода. Зачастую антивирусы не способны определить, что же делает тот или иной фрагмент кода и принимают решение о его опасности не по его действительным действиям, а по некоторым косвенным признакам (например, код самомодифицируется), что снижает надежность детектирования ранее невстречавшихся угроз.

Гораздо эффективнее позволить вирусу проявиться в естественной среде, то есть, если он внедрен в документ Word, пусть это файл действительно откроет MS Word 2010. А мы посмотрим, что при этом происходит. Если вдруг началась сетевая активность, начали модифицироваться ключи реестра, файлы на жестком диске – это не к добру.

Разумеется, все это следует делать в какой-то песочнице – то есть, некой изолированной среде, в которой выполняется тот или иной код. Именно такой подход применяется в эмуляции угроз, которая проверяет на деструктивные действия файлы, которые пользователь скачивает из Интернета (или получает как вложение). Она действует следующим образом.

Песочница устанавливается на шлюзе безопасности, где каждый скачиваемый файл открывается в виртуальной машине с полноценным программным обеспечением, принятым в организации. Например, «Windows 7 32bit SP1, MS Office 2010 без сервиспака, Adobe Reader 9…», и мониторится активность внутри этой машины. Появление нехарактерной активности позволяет уверенно определить вредоносное ПО, использующее уязвимости операционной системы или приложений. Так как песочница – это полноценная среда (например, Windows 7 32 bit SP1, MS Office 2010), используемая в организации, то злонамеренный код выполняется точь-в-точь в той среде, атаковать которую он создан, чьи уязвимости он эксплуатирует.

Подобно рентгеновскому сканированию на пограничном контроле, метод эмуляции угроз позволяет заглянуть внутрь подозрительных файлов, пересекающих шлюз безопасности, и проверить их содержимое в визуализированной изолированной среде. В песочнице открываются и просматриваются в режиме реального времени все файлы с необычным поведением, например, попытками внести нетипичные изменения в реестр или выполнить необычные подключения. Если такое поведение расценивается как подозрительное или вредоносное, файл блокируется и помещается на карантин, что предотвращает возможное заражение компьютерной системы.

После того, как подозрительный файл обнаружен и блокирован, организация должна иметь возможность передать информацию о новой угрозе другим пользователям, чтобы помочь им избежать заражения. Такой подход способствует распространению информации о новых угрозах, значительно сокращая время между открытием нового вида атаки и разработкой методов защиты от нее. Примерно таким же образом сотрудничают между собой международные организации здравоохранения в борьбе с возникающими на планете заболеваниями.

Исследование, проведенное в 2012 году, показало, что 85% проникновений в систему в результате кибератак были обнаружены спустя недели или даже месяцы после их совершения. Если компании станут обмениваться информацией о возникающих угрозах в режиме онлайн сразу же при их выявлении, случаи заражения станут значительно более редкими. Это поможет всему бизнес-сообществу узнать хотя бы немного об общем враге до того, как произойдут новые атаки.

• Комментарии