Cloud-security. Что за зверь такой?

Появление новых технологий в мире зловредов и киберпреступности привело к изменениям в мире безопасности, а точнее – ее реализации. Сегодня я хочу рассказать о технологии, которая позволяет более оперативно противостоять виртуальным опасностям, перед которыми сегодня стоит киберсообщество.

Построение эффективного противостояния наступающим нам на пятки угрозам – это больная тема для многих. В данной ситуации все зависит от того, насколько антивирусные компании готовы к переменам, а самое главное, насколько они готовы внедрять эти перемены. Если говорить о теперешнем состоянии рынка услуг безопасности, то я могу смело вас успокоить. Не потому, что придумана новая мега технология по борьбе с теми вирусами, которые еще даже не появились :). Дело в том, что антивирусные компании на данный момент стоят на пороге внедрения новой технологии, которая, кстати, весьма спорна в кругах специалистов по безопасности информационных технологий. Сегодня я расскажу о том, что несет пользователям эта технология. А также изложу свою точку зрения на все это, расскажу о том, что по этому поводу считают аналитики Лаборатории Касперского, Agnitum Ltd., SASecurity gr. и итальянской компании Panda Security.

Речь сегодня пойдет о применении технологии облачных вычислений в антивирусной сфере. In-the cloud-безопасность – вот такое название получила эта технология, внедрение которой в современные антивирусные системы ведется довольно активно. Чтобы не говорить о чем-то непонятном и абстрактном, я предлагаю идти по порядку и начать с небольшого рассказа на тему «что же такое In-the cloud-безопасность».

Контуры In-the-cloud-безопасности

Думаю, что тот, кто хотя бы изредка почитывает ленты новостей о мире информационных технологий, уже слышал о том, что технология облачной безопасности (далее я буду называть In-the cloud-безопасность именно так, чтобы не перегружать материал излишней терминологией) появилась и в том антивирусе, и в том, и вот в том, которым я вообще никогда не пользовался… Обычно после такого рода новости идет небольшое пояснение, исходя из которого становится немного понятно, что это, что-то работающее через Интернет. Именно так и есть, методика работы данной технологии чем-то напоминает клиент-сервер, с которым многие знакомы более детально, полагаю.

Начну с самого начала. В классических антивирусных системах основой является метод сигнатурного обнаружения. Все достаточно просто: сканер сканирует файлы, находящиеся в памяти, на жестком диске и т.д. В процессе проверки высчитывается сигнатура файла, которая служит аналогом отпечатка пальца для программы. Если сигнатура имеется в БД, то файл классифицируется как зловредный. В помощь сигнатурному методу обнаружения имеются еще и эмуляторы, эвристические анализаторы, локальные системы безопасности и т.д. Однако, как я и говорил, окончательно решается, относится ли файл к вредоносным, именно при наличии его сигнатуры в базе данных, все остальное – предположения.

Кажется, что все в норме и менять ничего не надо. Может быть и так, однако есть нюансы, которые все-таки подталкивают на изменения в мире услуг безопасности. Главным нюансом всегда было время. Дело в том, что после появления нового зловреда, то есть начала его активного распространения и обработкой экземпляра аналитиками антивирусной лаборатории, точнее, добавление сигнатуры в БД, проходит слишком много времени. С первого взгляда решение достаточно простое – увеличить частоту обновлений. Но тут встает вопрос «а когда пользователь обновит базы?». Эта проблема была, собственно, всегда, но вирусная индустрия не стоит на месте, а развивается очень стремительно. Новые вирусы разрабатываются и распространяются с применением новых технологий. Подтверждение тому – мои аналитические материалы, которые недавно публиковались в КГ, на тему бэкдора-руткита Sinowal и руткита Rustock.C. Замечу, что это только начало переворота в индустрии вирусостроения. Только эти экземпляры доставили антивирусным компаниям немало хлопот, а чего ждать, когда такого рода зловреды станут стандартом де-факто? Поэтому тема быстродействия на данный момент особенно важна.

Каждая сигнатура имеет определенный размер, и базы растут в объемах, когда в них добавляются все новые и новые отпечатки пальцев вредоносного программного обеспечения. Конечно, хорошая сигнатура способна детектировать целые семейства зловредов, это сокращает объемы баз, но недостаточно. На данный момент размер антивирусной базы Антивируса Касперского составляет 45 Мб, по прогнозам аналитиков в течение ближайших нескольких лет, если темпы роста количества вирусов не сократятся, а сокращаться им нет смысла, то размер БД достигнет примерно 1000 Мб, то есть 1 Гб. Попробуйте загрузите такой объем информации, при, скажем, переустановке антивируса? Конечно, если у пользователя выделенная линия и выгодный тарифный план, то проблема не такая уж и большая, однако это не все могут себе позволить, а большинство пользуются более доступными, но менее продуктивными способами подключения к Глобальной Сети. Это также заставило производителей принимать определенные меры.

При работе could антивирус высчитывает контрольную сумму файла и отправляет ее на сервер для проверки. Если обратно он получает утвердительный ответ, то, соответственно, выводится сообщение о наличии зловреда. Если взглянуть на этот процесс с точки зрения обычного пользователя, то различий между could и классической сигнатурной проверкой никаких. Но на самом деле есть. Одним из плюсов использования этой технологии является повышение производительности компьютера. Смотрите сами, что значит высчитать контрольную сумму, а что значит еще и сверить ее с базой данных сигнатур в несколько миллионов. Вот и решение проблемы потребления системных ресурсов, которая так беспокоила не один год пользователей, особенно Антивируса Касперского, который весьма любит потреблять эти самые ресурсы.

По мнению специалистов Лаборатории Касперского, к плюсам технологии также можно отнести следующие:

«Меньшее потребление оперативной памяти и меньший размер обновлений. Как уже говорилось, через несколько лет классические базы сигнатур достигнут неприемлемого для пользователей размера. Решения in-the-cloud легко решают эту проблему: все «отпечатки пальцев» хранятся на сервере антивирусной компании. На компьютере конечного пользователя находится лишь само антивирусное ПО, а также кэшируемые данные. Соединение с сервером устанавливается только в тех случаях, когда на локальном диске обнаруживается новая, еще неизвестная программа. Если пользователь не устанавливает новых программ, то нет необходимости загружать новые данные. В этом и состоит принципиальное отличие от нынешней ситуации, при которой сигнатуры необходимо постоянно обновлять на случай установки в системе новой программы (которая может оказаться вредоносной).
Повышение скорости реакции на появление новых угроз. Скорость реакции всегда была в антивирусной отрасли горячей темой. Выпуск новых сигнатур — важное дело. Но если сигнатура попадет на компьютер через несколько часов после того, как пользователь откроет зараженное вложение, может быть уже поздно: к этому времени компьютер может оказаться втянут в ботнет. Не исключено, что он уже загрузит дополнительные вредоносные компоненты, для которых пока нет процедур обнаружения. Именно поэтому «Лаборатория Касперского» перешла почти на ежечасный выпуск обновлений, в то время как большинство антивирусных компаний выпускали обновления раз в сутки. Тем не менее, даже в такой ситуации временной разрыв между появлением новой вредоносной программы и выпуском сигнатуры для нее может составлять час или более. Методы проактивного обнаружения и технологии эмуляции, используемые на стороне клиента, могут отчасти компенсировать этот разрыв, но проблема остается. Эффект от in-the-cloud-безопасности очевиден: сигнатурная проверка проводится по требованию и в реальном времени, а скорость реакции значительно увеличивается. Как только вирусные аналитики признают файл вредоносным, эта информация становится доступной клиенту, сокращая время реакции до минут или даже секунд».

Собственно, по поводу реакции на появление нового зловреда я уже говорил выше, как видите, это на самом деле важная составляющая безопасности. Еще и потому, что у некоторых пользователей не всегда есть возможность обновить антивирус и раз в месяц или они просто не знают, что такая процедура существует. Could антивирус постоянно пользуется новыми БД на сервере и проблема отпадает. Немного повторился, сорри. Давайте двигаться дальше.

С использованием технологии In-the-cloud-безопасности могут проверяться и web-ресурсы, и почтовые ящики на наличие спама. Поэтому будущие антивирусные программы, основанные на облачных вычислениях, будут носить многовекторный характер защиты, что не может не радовать.
Многовекторность поможет существенно облегчить строение защиты локальных машин. Конечно, классические антивирусы также могут проводить проверку электронной почты на наличие спама, у них имеется и веб-контроль для наблюдения за содержимым посещаемых пользователем сайтов. Но за это отвечают отдельные, часто достаточно массивные, модули. А в случае кулд антивирусов все будет намного легче.

В общем, сервер антивирусной компании помогает антивирусу сделать заключение о вредоносности того или иного файла. Но эта система может работать и в обратном порядке. Представим, что эвристика и эмулятор, проанализировав новый файл, пришли к выводу, что он вредоносный. Программа может отослать файл на сервер для того, чтобы аналитики обработали его. Схема хорошая, но пользователь может быть против того, чтобы с его компьютера отсылали какие-то файлы. Поэтому все можно реализовать горазда проще, скорее всего, оно так и будет впоследствии. Серверу будет отправлена контрольная сумма подозрительного файла и логи работы эвристики с эмулятором. В итоге аналитики получат возможность проанализировать те выводы, которые были сделаны программой. А если это, допустим, червь и он распространяется довольно быстро, то массовость отсылки на сервер одной и той же контрольной суммы позволит точно определить, что появился новый зловред. Да и с добавлением в БД сигнатур проблем не возникнет, несмотря на отсутствие тела, ведь контрольная сумма уже имеется.

Однако несмотря на такие вкусные положительные моменты, имеются и негативные стороны. Ведь у каждой медали две стороны, да? Вот так вот и получается, что с использованием кулд антивирусов резко возрастает процент ложных срабатываний. Допустим, что есть отличная программка, которая не является коммерческой, а носит авторский характер. Естественно, сообщение об обновлении пойдет волной по пользователям, но может не затронуть антивирусную компанию. Если программа не имеет подписи, работает с системными файлами и плюс к этому обновляется, дозагружая компоненты из Интернета, то ложного срабатывания не избежать. А поскольку все пользователи разом кинутся скачивать и устанавливать программку, то это будет расценено как распространение зловреда, и в БД сигнатур появится соответствующая запись. Вот неприятность будет, когда никто не сможет пользоваться прогой из-за того, что антивирус считает ее вирусом. Конечно, после обращения внимания аналитика на эту запись программа буде быстро реабилитирована, но неприятный осадок останется все равно. А посему производителям антивирусов стоит грамотно продумать систему противодействия. Например, предоставлять пользователю возможность отметить установленные им программы, расцененные как вирусы. Знание пользователя о наличии данного ПО позволит сделать вывод о вредоносности/невредоносности подозреваемого файла.

Кроме того, сервер, к которому подключается антивирус-клиент, должен быть постоянно доступен, иначе пользователи останутся совершенно беззащитны. Но в данной ситуации есть простой и достаточно действенный выход: использование мощной эвристики и HIPS.

Если говорить о конкретных примерах антивирусов, использующих технологию in-the-cloud-security, многие антивирусные компании не рискнули пока выпускать продукты, основанные целиком на облачных вычислениях. Лаборатория Касперского, например, включила технологию в состав своих последних продуктов.

Отдельный антивирус на основе could-security был представлен компанией Panda Security, которая, как обычно, не медлит с внедрением нового. На рисунках вы можете увидеть некоторые из компонентов данного антивируса. Попробовал я его и в деле, естественно. Из 22 угроз, обнаруженных программой (было обнаружено все, что я предложил), примерно 3-4 ложных срабатывания на программы, которые были не установлены, то есть на инсталляторы. В принципе, как я и говорил выше – этого не избежать, несмотря на мощность технологии. Главное, чтобы производители грамотно продумали систему противодействия таким срабатываниям. Я же считаю, что если после сканирования пользователь просмотрит найденные угрозы и исключит положительные файлы, то ничего страшного не случится. Пора переходить от автоматизма к использованию человека в процессе обеспечения безопасности.

Рассуждения

Ну, рассуждать я тут не буду, так как выше уже хватило моих мыслей вполне. В этой части статьи я приведу комментарии специалистов некоторых ведущих антивирусных компаний, чтобы вы могли, делая выводы, опираться не только на мои мысли, но и на мысли самих производителей.

Начнем с ЗАО «Лаборатория Касперского». Вопреки тому, что достаточно много пользователей недолюбливают продукты этой компании, она по-прежнему сохраняет лидирующие позиции на рынке антивирусного программного обеспечения. Если кому-то интересна статистика рынка антивирусных продуктов РФ, то ее можно увидеть в блоге одного из авторов SASecurity gr. - сайт Вот такой вывод сделал Магнус Калькуль, анализируя предмет нашего сегодняшнего разговора:

«Лаборатория Касперского» оказалась среди пионеров in-the-cloud-безопасности, внедрив ее элементы в продукт Kaspersky Internet Security 2009 и развернув сервис Kaspersky Security Network, работающий в связке с этим продуктом. Сейчас уже многие компании, занимающиеся компьютерной безопасностью, начали реализовывать подход in-the-cloud в своих продуктах. Однако пока отрасль в целом находится лишь на начальном этапе внедрения этой чрезвычайно мощной технологии. Здесь можно провести параллель с ситуацией в мире автомобилей: несмотря на то, что со временем электромобили заменят бензиновые и дизельные машины, на данный момент в большинстве автомобилей, рекламируемых как электрические, на деле применены гибридные технологии. В мире информационных технологий инновации, как правило, внедряются быстрее, чем в других отраслях. Тем не менее, скорее всего, пройдет два или три года, прежде чем in-the-cloud-безопасность полностью заменит используемые ныне методы сигнатурного обнаружения».

«Стремительное развитие каналов связи, растущие объемы передаваемой через Интернет информации и потребность в горизонтальном масштабировании информационных систем подстегивают развитие технологий, которые позволят отдельно взятой компании при ограниченных ИТ-ресурсах решать стоящие перед ней бизнес-задачи.

Cloud computing — одна из модных и активно обсуждаемых в ИТ-сообществе концепций, таких как SaaS и удаленные хранилища, основанных на новой схеме отношений между пользователем и провайдером. В рамках данных концепций ИТ-ресурсы - программные продукты, дисковое пространство или процессорное время - предоставляются через интернет-каналы как сервис для клиентов.

Применительно к ИТ-безопасности технология Cloud computing в том или ином виде появится во многих антивирусных продуктах. Ряд разработчиков уже заявляет об использовании «облачных» технологий в своих продуктах, но зачастую речь идет лишь о системе обратной связи с пользователями, которая позволяет анализировать активность вредоносного ПО, отслеживать эпидемии и оперативно выпускать обновления.

Компания Agnitum ведет разработки, отвечающие современным тенденциям развития ИТ-индустрии, в рамках собственной технологии ImproveNet. При этом, мы не предполагаем использование классической схемы Cloud computing и полный перенос функции проверки объектов на удаленные серверы, так как эффективная и надежная защита ПК-пользователя не должна зависеть от пропускной способности и стабильности интернет-канала, а также наличия подключения к серверу разработчика ПО.

На наш взгляд, слепой отказ от традиционной клиентской части с эвристическими методами защиты ПК и перенос функциональности антивирусного ПО на удаленные серверы может стать опрометчивым шагом для разработчика решений ИТ-безопасности» - вот так ответил мне Максим Коробцев, технический директор компании Agnitum.

Стало мне интересно и мнение нашей VirusBlokada Ltd., долго не думая, написал в асю Геннадию Резникову, директору компании, и через некоторое время получил вот такой ответ:

«В 2007 году ряд антивирусных компаний пришли к выводу, что единственным путем развития антивирусных программ является in-the-cloud- безопасность.

Как известно, суть идеи in-the-cloud-безопасности заключается в том, что подсчитывается контрольная сумма файла, которая затем проверяется на некоем сервере в Интернете на ее соответствие контрольной сумме вредоносного файла. В случае положительного результата пользователь получает сообщение с предупреждением, а сам вредоносный файл помещается в карантин.

При этом преимуществами данной технологии могут являться меньшее потребление оперативной памяти, меньший размер обновлений и повышение скорости реакции на появление новых угроз.

Однако недостатки данной технологии с моей точки зрения перевешивают ее достоинства. В частности, система подвержена наличию ложных срабатываний, вероятность возникновения которых значительно выше, чем у обыкновенных антивирусов. Кроме того, не только серверы антивирусных компаний должны абсолютно устойчиво работать 24 часа в сутки, но и пользователь должен иметь надежную интернет–связь. В случае с «облачной» безопасностью при отказе сервера потребители оказываются совершенно незащищены, поскольку вся концепция in-the-cloud-безопасности основана на связи с сервером по требованию и в реальном времени. При классическом подходе можно работать с сигнатурами, созданными несколько часов назад. При этом, с моей точки зрения, в большинстве случаев не происходит сколь-нибудь значительного снижения уровня обнаружения угроз».

И на этом месте я не обрел покоя и обратился за комментарием в Panda Security. Опять же через некоторое время пришло письмо с ответом, который мне дал Константин Архипов, руководитель Panda Security в России. «Основные выигрыши у новой "облачной" технологии cloud security по сравнению с классическим сигнатурным анализом:

- продукт, построенный на основе "облачной" технологии, всегда обновлен. То есть он всегда использует самые современные базы знаний по вредоносным программам (malware) и точно не вредоносным (goodware), которые находятся на серверах производителя продукта. Можно смело говорить о том, что вместо локальной базы сигнатур пользователь, по сути дела, использует всю базу знаний антивирусной лаборатории;

- соответственно, эффективность защиты у "облачных" продуктов в разы выше: во-первых, используемая база знаний на порядок шире стандартной локальной базы сигнатур (размер базы исчисляется десятками терабайтов); во-вторых, в базе знаний содержится информация даже по самым новым угрозам, которые могли появиться считанные минуты назад (у Panda Cloud Antivirus время реакции - 6 минут); в-третьих, уровень ложных срабатываний у "облачных" продуктов на порядок ниже по сравнению со стандартными продуктами за счет использования базы невредоносных программ;
- скорость работы "облачного" антивируса значительно выше скорости работы традиционного антивируса за счет того, что самые ресурсоемкие операции осуществляются не на локальном компьютере пользователя, а на удаленных серверах.

Как Вы можете наблюдать, постоянно происходит рост объема информации, объема требуемых информационных ресурсов, растет сложность задач и т.д. В этой гонке ресурсов крайне актуальным становятся процессы оптимизации. Принимая по внимание вышеупомянутые выигрыши, можно говорить о соответствующих преимуществах, которые получат пользователи при переходе на "облачные" антивирусы: повышение эффективности защиты и снижение потребления ресурсов компьютера».

Ну и в конце я бы хотел привести комментарий нашего эксперта по хакингу и системам web-безопасности.

«Главная особенность cloud computing состоит в том, что все вычислительные и программные ресурсы хранятся на удаленном сервере, в связи с этим встает проблема антивирусной безопасности на каждом отдельно взятом клиенте системы cloud computing, устанавливать ли на отдельно взятый компьютер антивирусное ПО или же оно также будет храниться на сервере? Естественно, второе: размеры сигнатурных баз растут в геометрической прогрессии, и скорость проверки файлов зависит от мощности компьютера. Так что использование cloud computing в этом плане вполне разумно, но тогда защита клиента от вредоносного ПО будет непосредственно зависеть от скорости интернет-канала и от доступности сервера; если вдруг сервер окажется недоступным, то защита клиента сойдет на нет. Вообще подобный способ антивирусной защиты ничем не отличается от «обычного», кроме быстрого реагирования на новые угрозы (практически ежечасное обновление баз), если взломщику понадобится написать «невидимый»
вирус/троян/бэкдор/, он его напишет, и никакое быстрое реагирование cloud computing не спасет, такая технология позволит защищаться либо от уже известных вирусов, либо от «студенческой» малвари, нужна абсолютно новая концепция обнаружения, сигнатуры нужно выбросить на свалку истории и придумать нечто совершенно иное, я склоняюсь в сторону развития эвристического анализа» - вот так вот коротко и понятно изложил свое мнение Kerny.

Что до меня, то хоть я и обещал промолчать и ничего не говорить, но итоги надо же подвести ;). Несмотря на, возможно, «горячий» рассказ о положительных моментах новой технологии, я больше склоняюсь к мнениям Максима Коробцева, Геннадия Резникова и Kerny. Технология облачной безопасности неплоха, но полностью отдавать безопасность пользователей под ее крыло я бы не стал.

Вот такая вот статья немаленькая получилась. Мнение свое я высказал, мнения других тоже изложил :). А решать и делать выводы, как всегда, вам. Напоследок хотел бы пожелать – держитесь золотой середины в своих решениях.

Евгений Кучук http://sa-sec.org


Компьютерная газета. Статья была опубликована в номере 24 за 2009 год в рубрике безопасность

©1997-2022 Компьютерная газета
oJnWE3?=нD}{DfHM=|]| ,Rh٣ <Ļi՛)^l`6=Rep9oyB~{<@- $ 3?:͜i*Ifgf$;9'yUw9Z.N#ҧcxS`np^i㺔o; :_].mC[tTbH)n̳\jzskV[CMͿ v}\I?lI_ }:7„CzhrE