Взгляд в будущее - Outpost 7.0
Долгожданная весна приятно радует нас не только прекрасной погодой, но и скорым выходом 7-й версии Outpost Pro. По заявлениям разработчиков из Agnitum Ltd, до выхода публичной бета-версии Outpost Pro 7.0 осталось всего несколько недель. Релиз новой версии намечен на I квартал 2010 года. Поэтому в рамках сегодняшней статьи я бы хотел познакомить читателей с новыми фишками и обновлениями, которые будут присутствовать в 7-й версии продукта.
В данном релизе разработчики обновили практически все: интерфейс, функционал, производительность. Изменения и улучшения затронули почти все компоненты продукта, причем их количество не может не радовать. Как всегда, советы и пожелания пользователей были учтены, что является хорошим примером для производителей антивирусного программного обеспечения. Ведь мнение пользователя, как известно, много чего решает. А начну я обзор новинок, как обычно, с того, что мы видим при старте программы – с интерфейса.
Обновленный интерфейс
В данной версии Outpost основная работа была направлена не на изменение «шкурки» программы (хотя не обошлось и без этого, потому как интерфейс был переработан в современном стиле Windows 7), а на обеспечение большего удобства для пользователя при взаимодействии с продуктом. Так, например, были улучшены диалоговые окна модуля «Антивирус+Антишпион». В интерфейсе 7.0 уведомления более дружелюбны к обычному пользователю: информация о том или ином событии, представленная в них, понятнее благодаря обозначению типа угрозы и ее источника. Само окно модуля «Антивирус» выглядит так, как показано на рис.1.
Таким же образом в 7.0 версии улучшена функция автоматического лечения обнаруженных зараженных объектов. Теперь она может быть установлена в режиме «По умолчанию». В этом случае Outpost будет сам решать, что делать с найденной угрозой, избавляя пользователя от лишней головной боли. Если же этот режим не устанавливать, то всегда можно принять решение самостоятельно, выбрав один из вариантов (Лечить, Удалить, Блокировать), и, при желании, применить указанное действие ко всем последующим найденным объектам, поставив соответствующую галочку (рис.2):
Изменения также затронули Интерактивный карантин. Теперь можно смело манипулировать файлами, помещенными в «Карантин»: удалять или восстанавливать. Вредоносные программы можно фильтровать и сортировать по ряду критериев, вроде имени файла, времени создания, типа угрозы и прочего. И еще одна новая фишка, на мой взгляд, полезная для начинающих и неопытных пользователей, — это отображение типа того или иного вида вредоносного объекта и его описания (рис.3):
Вся структура настроек модуля «Антивирус + Антишпион» в 7.0 хорошенько усовершенствована. Во-первых, «Общие» и «Дополнительные» настройки «Монитора постоянной защиты» теперь управляются из одного окна. Во-вторых, в новой версии программы можно управлять эвристическим анализатором (сканирующим уязвимые места реестра и автозапуска системы), а точнее, настраивать порог его «чувствительности» (нормальный или высокий). Эти настройки вынесены в интерфейс Outpost (рис.4):
Собственно, со всеми другими улучшениями вы сможете ознакомиться и сами, поэтому сейчас можно приступить к рассмотрению улучшений и новинок в техническом арсенале Outpost, чем и займемся.
Обновленный боекомплект
Чем-чем, а новинками и улучшениями Outpost 7.0 может смело похвастаться, уже хотя бы их количеством. В основном большинство модификаций были сделаны с акцентом на разгрузку процессора, повышение качества обнаружения вредоносного ПО, получение более детальной картины о происходящих событиях в системе. Ниже я приведу описание некоторых новых функций и улучшений в Outpost 7.0:
1. System and Application Guard
Функция System and Application Guard (это рабочее название) борется с широко распространенными методами взлома и кражи информации. Принцип работы основывается на ограничении доступа посторонних приложений к персональным данным, которые хранятся в IM-клиентах, браузерах, системах электронных платежей и т.д. Как пояснили разработчики, «это значит, что только ICQ сможет получить сведения о логине и пароле своего пользователя, только для Internet Explorer будет доступно содержимое cookie и т. д.». На мой взгляд, очень актуальная функция в нашу эпоху распространения вредоносных программ класса Trojan-PSW.
2. Outpost Protected Objects
Outpost Protected Objects обеспечивает защиту файлов и папок (отсюда и название - Protected Objects) от повреждения или доступа вредоносного ПО. Также данную функцию можно применить для защиты личных, конфиденциальных данных от посторонних глаз, что может пригодиться не только дома, но и в солидных компаниях с ограничением доступа к документам и данным. Для применения функции достаточно в расширенном меню Outpost выделить соответствующую папку или файл и установить пароль.
3. Монитор файловой активности и реестра
Крайне полезная новинка, призванная облегчить жизнь пользователю. Этот инструмент дает общую картину текущей активности процессов и является неоценимым помощником для опытных пользователей в процессе поиска подозрительных нарушителей. Для удобной и оперативной работы предусмотрены функции завершения выбранного процесса, а также возможность сделать «снимок» отловленных действий. Последняя функция полезна для более глубокого анализа в случае неопознанных вирусных «вторжений». Окно монитора выглядит следующим образом (рис.5).
Увидеть данную функцию в работе можно, щелкнув правой кнопкой мыши по имени процесса во вкладке «Активность процессов», а затем «Включить монитор активности».
4. Расширенная совместимость
Outpost 7.0, как заявляют разработчики, полностью совместим со всеми современными платформами Microsoft: Windows 7, Vista, Windows XP, Windows 2000, с серверными Windows 2003 и 2008, включая 32- и 64-разрядные версии. Так что особо извращенные пользователи, которые до сих пор сидят под Win 98 (да-да, знаю и таких), не смогут установить себе этот продукт. Что ж, еще одна причина для перехода в XXI век ;).
А вот краткий список улучшений во всех подробностях:
1. Антивирусное ядро.
Антивирусное ядро дополнено новыми возможностями обнаружения и лечения. В том числе оно претерпело следующие изменения настроек и алгоритмов работы:
. В соответствии со стандартами антивирусной защиты, возможность автоматического лечения зараженных объектов, обнаруженных в режиме реального времени, теперь установлена «по умолчанию».
. Обновленный эвристический анализатор (часть модуля «Антивирус») вынесен в интерфейс и оснащен возможностью гибкой регулировки уровня чувствительности (нормальная/высокая)
. Расширены возможности опции «Карантин» – пользователю проще принять решение, что делать с подозрительными объектами. Об этой функции я говорил выше при описании обновленного интерфейса программы.
Другой важный компонент модуля «Антивирус+Антишпион», эвристический анализатор автозапуска (HAX - Heuristic Analyzer for eXploits), также претерпел некоторые изменения. Данный компонент продуктов Agnitum был разработан больше года назад (к версии 6.5.2, выпущенной в декабре 2008 года) и в процессе разработок претерпел ряд улучшений, нацеленных на более точное обнаружение. Но до выпуска версии Outpost 7.0 он был скрыт в интерфейсе. Технология HAX нацелена на обнаружение потенциально опасных запакованных/защищенных/зашифрованных объектов автозапуска Windows. Запакованные объекты отслеживаются как сигнатурными, так и несигнатурными методами. Для первого характерно наличие обновляемой базы, а второй построен на статистическом классификаторе, который использует «на входе» следующие данные:
. характеристику структуры исполняемого файла (portable executable, PE);
. проверку таблицы секций;
. результаты анализа таблицы импорта;
. расчет энтропии секции файла.
Дополнительно производится проверка на попытку замаскировать исполняемый файл под системный компонент Windows.
2. Обновлен Anti-leak.
Дополнительный уровень проактивной защиты и блокировку вторжения обеспечивает механизм Anti-Leak, вооруженный знаниями о новейших угрозах и изощренных методах утечки данных, используемых вредоносным ПО. Кардинальных изменений в данном компоненте не произошло.
3. Оптимизирована производительность.
В Outpost 7.0 повышена производительность и существенно снижено потребление системных ресурсов. Этого удалось добиться за счет следующих изменений:
. Смягчена фильтрация P2P трафика, а также видео- и аудиопотоков
. Переработан механизм загрузки обновлений антивирусных баз, что в свою очередь позволило снизить объем скачиваемых обновлений без ущерба для их содержания
. В ImproveNet добавлены новые правила, которые в том числе позволят корректно отображать приложения и веб-сайты для пользователей стран Ближнего и Дальнего Востока.
4. Обновление модуля «Брандмауэр».
Основные 7 изменений и дополнений в данном модуле были произведены в части фильтрации и, как следствие, была существенно снижена загрузка ресурсов ПК при работе персонального сетевого экрана в основе клиентского решения Outpost.
. Изменен механизм фильтрации сетевых событий и содержимого.
Разработчиками Agnitum реализован новый механизм фильтрации сетевых событий и содержимого («контент-фильтр») с использованием технологии Windows Filtering Platform (WFP). WFP позиционируется компанией Microsoft как основная платформа ОС, начиная с Windows 7 и далее. Таким образом, новый механизм фильтрации позволит предотвратить возможные проблемы совместимости Outpost с Windows 7 и в потенциале с последующими версиями ОС. Новый фильтр на основе WFP показал высокую стабильность работы в ОС Windows 7, по этой причине на Vista ранее используемый фильтр TLI, построенный на перехвате недокументированных интерфейсов ОС, заменен на новый, k с SP1.
Естественно, в связи с тем, что интерфейсы WFP на Vista и Windows 7 существенно отличаются в ряде критических аспектов, была проделана соответствующая работа по интеграции WFP-фильтра в OC Vista. Как показывают результаты внутренних тестирований, благодаря этому закрылось множество критических ошибок, приводивших к BSOD в ОС Vista при использовании TLI.
Также исправлены критические ошибки в TDI/TLI-фильтрах, применяемых в Windows 2000/XP/Vista RTM.
. Новый механизм фильтрации пакетов.
Для Windows 7 и Vista существенно переработан алгоритм фильтрации принимаемых пакетов на повышенных IRQL на высокоскоростных каналах. Путем организации отложенной обработки таких пакетов с помощью пула рабочих потоков удалось снизить нагрузку на процессор. Как результат, значительно улучшена «отзывчивость» системы при интенсивной работе с сетью.
. Отказ от фильтрации бинарных потоков.
Усовершенствован механизм задания правил и поведения для контент-фильтрации, позволивший ограничить объем фильтруемых данных за счет данных, передаваемых по каналу loopback, а также бинарных данных, не представляющих интереса, с точки зрения контроля содержимого. Более того, механизм детектирования и отказа от фильтрации бинарных потоков полностью реализован в драйвере, что позволяет минимизировать количество сообщений между драйвером и сервисом, тем самым оказывая меньшее влияние на производительность системы.
. Реализация прослушивания трафика.
Реализованы правила, позволяющие тонко настроить пакетный «снифер» для получения только необходимой информации о фильтруемых пакетах. Например, о пакетах заблокированных или относящихся к установке/завершению соединения.
. Минимизация пакетных нотификаций между драйвером и сервисом.
В десятки раз снижена нагрузка на канал обмена данных между драйвером и управляющим сервисом, за счет чего произошло повышение стабильности системы в целом и значительное снижение нагрузки на CPU.
. Блокировка.
Из недр Outpost Firewall Pro версии 4.0 вынут и реализован «SPI для UDP», механизм определения модели поведения «клиента» в схеме «клиент- сервер». Входящие датаграммы на endpoint разрешаются только с тех удаленных хостов, на которые с данного endpoint’а уже была отправлена хотя бы одна датаграмма. Попытки использования non-TCP endpoint в режиме сервера будут заблокированы.
. Фильтрация невалидных флагов TCP.
Пакетный фильтр проверяет TCP-флаги и, в случае их неправильных комбинаций, классифицирует пакет как нежелательный. Данный механизм снижает нагрузку на фаервол и сетевой стек в случае бомбардирования компьютера в сети подобными пакетами, блокируя пакеты на самом раннем этапе. Результат: снижение нагрузки на CPU, противостояние DOS-атакам, более эффективное использование сетевого подключения.
Механизм автоматического обновления, который предусмотрен в новом антивирусном ядре (версия 5.0), также претерпел серьезные изменения. Основные улучшения – это повышение частоты обновления сигнатур и антивирусного ядра. Новое ядро позволяет увеличить частоту обновлений базы сигнатур до трех раз в день по рабочим дням: дважды с сигнатурами вирусов и один раз с сигнатурами шпионского и другого вредоносного ПО. А вместе с этим будет производиться поиск и обновление изменений в самом ядре модуля «Антивирус+Антишпион».
Все нововведения реализованы с прицелом на легкость и быстродействие, чтобы пользователь не чувствовал замедления в работе ПК или снижения производительности. Для тех, у кого интернет-трафик ограничен, разработчики Outpost подкорректировали алгоритм автоматических обновлений с целью экономии трафика.
Заключение
В заключение хотелось бы отметить, что 2 марта были объявлены лауреаты премии «Софт года 2009». Уверенную победу в номинации «Безопасность» завоевал комплексный антивирусный продукт Outpost Security Suite Pro.
На вопрос «Когда же выйдет новая версия?» разработчики отвечают «Скоро!». Понятие «скоро», конечно, растяжимо, но я надеюсь, что это произойдет раньше, чем мы думаем. И тогда уже вы сможете самостоятельно протестировать все новинки и вкусности новой версии продуктов Outpost.
Никита Булай SASecurity gr.
В данном релизе разработчики обновили практически все: интерфейс, функционал, производительность. Изменения и улучшения затронули почти все компоненты продукта, причем их количество не может не радовать. Как всегда, советы и пожелания пользователей были учтены, что является хорошим примером для производителей антивирусного программного обеспечения. Ведь мнение пользователя, как известно, много чего решает. А начну я обзор новинок, как обычно, с того, что мы видим при старте программы – с интерфейса.
Обновленный интерфейс
Собственно, со всеми другими улучшениями вы сможете ознакомиться и сами, поэтому сейчас можно приступить к рассмотрению улучшений и новинок в техническом арсенале Outpost, чем и займемся.
Обновленный боекомплект
Чем-чем, а новинками и улучшениями Outpost 7.0 может смело похвастаться, уже хотя бы их количеством. В основном большинство модификаций были сделаны с акцентом на разгрузку процессора, повышение качества обнаружения вредоносного ПО, получение более детальной картины о происходящих событиях в системе. Ниже я приведу описание некоторых новых функций и улучшений в Outpost 7.0:
1. System and Application Guard
Функция System and Application Guard (это рабочее название) борется с широко распространенными методами взлома и кражи информации. Принцип работы основывается на ограничении доступа посторонних приложений к персональным данным, которые хранятся в IM-клиентах, браузерах, системах электронных платежей и т.д. Как пояснили разработчики, «это значит, что только ICQ сможет получить сведения о логине и пароле своего пользователя, только для Internet Explorer будет доступно содержимое cookie и т. д.». На мой взгляд, очень актуальная функция в нашу эпоху распространения вредоносных программ класса Trojan-PSW.
2. Outpost Protected Objects
Outpost Protected Objects обеспечивает защиту файлов и папок (отсюда и название - Protected Objects) от повреждения или доступа вредоносного ПО. Также данную функцию можно применить для защиты личных, конфиденциальных данных от посторонних глаз, что может пригодиться не только дома, но и в солидных компаниях с ограничением доступа к документам и данным. Для применения функции достаточно в расширенном меню Outpost выделить соответствующую папку или файл и установить пароль.
3. Монитор файловой активности и реестра
Увидеть данную функцию в работе можно, щелкнув правой кнопкой мыши по имени процесса во вкладке «Активность процессов», а затем «Включить монитор активности».
4. Расширенная совместимость
Outpost 7.0, как заявляют разработчики, полностью совместим со всеми современными платформами Microsoft: Windows 7, Vista, Windows XP, Windows 2000, с серверными Windows 2003 и 2008, включая 32- и 64-разрядные версии. Так что особо извращенные пользователи, которые до сих пор сидят под Win 98 (да-да, знаю и таких), не смогут установить себе этот продукт. Что ж, еще одна причина для перехода в XXI век ;).
А вот краткий список улучшений во всех подробностях:
1. Антивирусное ядро.
Антивирусное ядро дополнено новыми возможностями обнаружения и лечения. В том числе оно претерпело следующие изменения настроек и алгоритмов работы:
. В соответствии со стандартами антивирусной защиты, возможность автоматического лечения зараженных объектов, обнаруженных в режиме реального времени, теперь установлена «по умолчанию».
. Обновленный эвристический анализатор (часть модуля «Антивирус») вынесен в интерфейс и оснащен возможностью гибкой регулировки уровня чувствительности (нормальная/высокая)
. Расширены возможности опции «Карантин» – пользователю проще принять решение, что делать с подозрительными объектами. Об этой функции я говорил выше при описании обновленного интерфейса программы.
Другой важный компонент модуля «Антивирус+Антишпион», эвристический анализатор автозапуска (HAX - Heuristic Analyzer for eXploits), также претерпел некоторые изменения. Данный компонент продуктов Agnitum был разработан больше года назад (к версии 6.5.2, выпущенной в декабре 2008 года) и в процессе разработок претерпел ряд улучшений, нацеленных на более точное обнаружение. Но до выпуска версии Outpost 7.0 он был скрыт в интерфейсе. Технология HAX нацелена на обнаружение потенциально опасных запакованных/защищенных/зашифрованных объектов автозапуска Windows. Запакованные объекты отслеживаются как сигнатурными, так и несигнатурными методами. Для первого характерно наличие обновляемой базы, а второй построен на статистическом классификаторе, который использует «на входе» следующие данные:
. характеристику структуры исполняемого файла (portable executable, PE);
. проверку таблицы секций;
. результаты анализа таблицы импорта;
. расчет энтропии секции файла.
Дополнительно производится проверка на попытку замаскировать исполняемый файл под системный компонент Windows.
2. Обновлен Anti-leak.
Дополнительный уровень проактивной защиты и блокировку вторжения обеспечивает механизм Anti-Leak, вооруженный знаниями о новейших угрозах и изощренных методах утечки данных, используемых вредоносным ПО. Кардинальных изменений в данном компоненте не произошло.
3. Оптимизирована производительность.
В Outpost 7.0 повышена производительность и существенно снижено потребление системных ресурсов. Этого удалось добиться за счет следующих изменений:
. Смягчена фильтрация P2P трафика, а также видео- и аудиопотоков
. Переработан механизм загрузки обновлений антивирусных баз, что в свою очередь позволило снизить объем скачиваемых обновлений без ущерба для их содержания
. В ImproveNet добавлены новые правила, которые в том числе позволят корректно отображать приложения и веб-сайты для пользователей стран Ближнего и Дальнего Востока.
4. Обновление модуля «Брандмауэр».
Основные 7 изменений и дополнений в данном модуле были произведены в части фильтрации и, как следствие, была существенно снижена загрузка ресурсов ПК при работе персонального сетевого экрана в основе клиентского решения Outpost.
. Изменен механизм фильтрации сетевых событий и содержимого.
Разработчиками Agnitum реализован новый механизм фильтрации сетевых событий и содержимого («контент-фильтр») с использованием технологии Windows Filtering Platform (WFP). WFP позиционируется компанией Microsoft как основная платформа ОС, начиная с Windows 7 и далее. Таким образом, новый механизм фильтрации позволит предотвратить возможные проблемы совместимости Outpost с Windows 7 и в потенциале с последующими версиями ОС. Новый фильтр на основе WFP показал высокую стабильность работы в ОС Windows 7, по этой причине на Vista ранее используемый фильтр TLI, построенный на перехвате недокументированных интерфейсов ОС, заменен на новый, k с SP1.
Естественно, в связи с тем, что интерфейсы WFP на Vista и Windows 7 существенно отличаются в ряде критических аспектов, была проделана соответствующая работа по интеграции WFP-фильтра в OC Vista. Как показывают результаты внутренних тестирований, благодаря этому закрылось множество критических ошибок, приводивших к BSOD в ОС Vista при использовании TLI.
Также исправлены критические ошибки в TDI/TLI-фильтрах, применяемых в Windows 2000/XP/Vista RTM.
. Новый механизм фильтрации пакетов.
Для Windows 7 и Vista существенно переработан алгоритм фильтрации принимаемых пакетов на повышенных IRQL на высокоскоростных каналах. Путем организации отложенной обработки таких пакетов с помощью пула рабочих потоков удалось снизить нагрузку на процессор. Как результат, значительно улучшена «отзывчивость» системы при интенсивной работе с сетью.
. Отказ от фильтрации бинарных потоков.
Усовершенствован механизм задания правил и поведения для контент-фильтрации, позволивший ограничить объем фильтруемых данных за счет данных, передаваемых по каналу loopback, а также бинарных данных, не представляющих интереса, с точки зрения контроля содержимого. Более того, механизм детектирования и отказа от фильтрации бинарных потоков полностью реализован в драйвере, что позволяет минимизировать количество сообщений между драйвером и сервисом, тем самым оказывая меньшее влияние на производительность системы.
. Реализация прослушивания трафика.
Реализованы правила, позволяющие тонко настроить пакетный «снифер» для получения только необходимой информации о фильтруемых пакетах. Например, о пакетах заблокированных или относящихся к установке/завершению соединения.
. Минимизация пакетных нотификаций между драйвером и сервисом.
В десятки раз снижена нагрузка на канал обмена данных между драйвером и управляющим сервисом, за счет чего произошло повышение стабильности системы в целом и значительное снижение нагрузки на CPU.
. Блокировка.
Из недр Outpost Firewall Pro версии 4.0 вынут и реализован «SPI для UDP», механизм определения модели поведения «клиента» в схеме «клиент- сервер». Входящие датаграммы на endpoint разрешаются только с тех удаленных хостов, на которые с данного endpoint’а уже была отправлена хотя бы одна датаграмма. Попытки использования non-TCP endpoint в режиме сервера будут заблокированы.
. Фильтрация невалидных флагов TCP.
Пакетный фильтр проверяет TCP-флаги и, в случае их неправильных комбинаций, классифицирует пакет как нежелательный. Данный механизм снижает нагрузку на фаервол и сетевой стек в случае бомбардирования компьютера в сети подобными пакетами, блокируя пакеты на самом раннем этапе. Результат: снижение нагрузки на CPU, противостояние DOS-атакам, более эффективное использование сетевого подключения.
Механизм автоматического обновления, который предусмотрен в новом антивирусном ядре (версия 5.0), также претерпел серьезные изменения. Основные улучшения – это повышение частоты обновления сигнатур и антивирусного ядра. Новое ядро позволяет увеличить частоту обновлений базы сигнатур до трех раз в день по рабочим дням: дважды с сигнатурами вирусов и один раз с сигнатурами шпионского и другого вредоносного ПО. А вместе с этим будет производиться поиск и обновление изменений в самом ядре модуля «Антивирус+Антишпион».
Все нововведения реализованы с прицелом на легкость и быстродействие, чтобы пользователь не чувствовал замедления в работе ПК или снижения производительности. Для тех, у кого интернет-трафик ограничен, разработчики Outpost подкорректировали алгоритм автоматических обновлений с целью экономии трафика.
Заключение
В заключение хотелось бы отметить, что 2 марта были объявлены лауреаты премии «Софт года 2009». Уверенную победу в номинации «Безопасность» завоевал комплексный антивирусный продукт Outpost Security Suite Pro.
На вопрос «Когда же выйдет новая версия?» разработчики отвечают «Скоро!». Понятие «скоро», конечно, растяжимо, но я надеюсь, что это произойдет раньше, чем мы думаем. И тогда уже вы сможете самостоятельно протестировать все новинки и вкусности новой версии продуктов Outpost.
Никита Булай SASecurity gr.
Компьютерная газета. Статья была опубликована в номере 18 за 2010 год в рубрике soft
