Защита ПК: новые технологии

Последнее время производители антивирусов переходят на новые технологии защиты компьютеров от вредоносного и нежелательного ПО. Некоторые из разработчиков софта ставят на "облачные вычисления", некоторые занимаются внедрением модулей мгновенного реагирования на атаки и механизмов запуска подозрительного ПО в изолированных областях, другие применяют системы распределения мониторинга угроз и различные технологии "коллективного разума", а часть работает над совершенствованием имеющиеся решений и выводом их на новый уровень. Поисками перспективных направлений борьбы с вирусами занимаются многие известные компании, а недавно в их число вошла и корпорация Symantec, которая объявила о внедрении в свои продукты линейки Norton 2010 новейшей технологии Quorum, которая использует механизм репутационных файловых рейтингов.

От традиционных способов установления опасности объекта, которые предполагают применение сигнатур вирусов, Quorum отличается лежащими в ее основе алгоритмами для идентификации зловредных программ, которые руководствуются сведениями репутационного анализа документов, полученными от участников сообщества Norton Community Watch, а также издателей ПО и других источников. Чтобы более точно оценить репутацию файлов, Quorum применяет такие сведения об объектах, как их распространенность, длительность существования и прочие атрибуты (агрегирующиеся и многократно проверяющиеся при помощи внушительной "облачной" инфраструктуры серверов Symantec) передаются пользователям продукции компании.

Специалисты Symantec уверены, что технология Quorum отлично дополняет средства защиты, используемые в продуктах Norton 2010, позволяя поддерживать выявление угроз на должном уровне и снижать степень зависимости от общепринятых традиционных сигнатур. Старший вице-президент Symantec по вопросам технологий безопасности и защиты Стивен Триллинг считает, что новая технология изменяет традиционные правила борьбы с вредоносным ПО. Знания и опыт десятков миллионов пользователей позволяют выявлять даже те угрозы, которые не видят традиционные средства безопасности.

Увидеть Quorum в действии во время работы в NIS 2010 или NAV 2010, достаточно развернуть окно модуля Insight Network или нажать правой кнопкой мышки по любому файлу и выбрать в меню пункт File Insight. При первом варианте пользователь увидит статистические сведения о данных, обрабатываемых в Quorum и Norton Community Watch, а при втором появится окно с данными о том, откуда возник указанный файл, сколько пользователей продукции Symantec работают с ним, когда он впервые был обнаружен алгоритмами системы и каков у него репутационный рейтинг. В случае, если выяснится, что у объекта плохая репутация, его автоматически заблокирует антивирусная программа.

Руководитель управления продуктового маркетинга "Лаборатории Касперского" Дмитрий Устюжанин по этому поводу заметил, что эта технология, которую Symantec представила как революционную и осуществляющую блокирование объектов на основании репутации файлов, реализовалась с момента анонса в продуктах Антивирус Касперского 2009 и KIS 2009 инновационной технологии Urgent Detection System, которая является не чем иным, как репутационным сервисом. Он отметил, чтопринцип, лежащий в основе новой технологии Symantec, можно назвать похожим на принцип, который применяется его компанией.

Григорий Васильев, технический директор ESET, считает, что Quorum является попыткой использования статистической информации, получаемой от системы обратной связи с пользователем, чтобы повысить эффективность защиты. Он отметил, что это нельзя назвать полноценной технологией детектирования, потому что в отличие от черных и белых списков, этот подход однозначного ответа о вредоносности файла дать не может. Статистика Quorum может оказаться полезной в сочетании с прочими методами, в том числе, с эвристическим анализом. Проблема Quorum состоит в том, что рейтинг нового файла будет низким, пока его не использует большое количество пользователей продукта.

Таким образом, коллеги-конкуренты по бизнесу не в восторге от Quorum и довольно осторожно смотрят на эту разработку конкурентов, продвигаемую как "инновационную", "революционную" и т.д. Чтобы укрепить позиции среди антивирусных решений, компании-разработчики могут использовать различные методы и средства, только бы они были прозрачными и понятными для покупателя.

источник: "Мастер-сервис" (ремонт ноутбуков, Москва)