В рубрику "Техническое обозрение" | К списку рубрик | К списку авторов | К списку публикаций
Владимир Бычек, руководитель направления контент-безопасности (eSafe) компании Aladdin
Описание проблемы
То, что на сегодня spyware является основной угрозой для компьютеров корпоративных сетей и частных пользователей, не вызывает никаких сомнений. Это аксиома. Также не вызывает сомнений утверждение, что основным источником заражения является Web-браузинг.
Благодаря новым возможностям, предоставляемым Всемирной паутиной, и в особенности повсеместному распространению социальных сетей, все большее количество не сведущих в вопросах информационной безопасности людей регулярно обращаются к Интернет-ресурсам и становятся жертвами все более изощренных атак, целью которых является как похищение конфиденциальных и персональных данных, так и "зом-бирование" компьютеров с целью последующего использования их ресурсов злоумышленниками.
Эффективная работа бот-сети определяется тремя составляющими, из которых она условно состоит:
Все перечисленные составляющие написаны, как правило, на достаточно высоком уровне, имеют в арсенале средства подавления антивирусных продуктов, персональных межсетевых экранов, и бороться с ними в большинстве случаев совсем непросто.
Рассмотрим основные методы борьбы со spyware и попробуем оценить, насколько они эффективны.
Методы борьбы со spyware. Сигнатурный анализ
Классическим методом борьбы со spyware является сигнатурный анализ. Как и любой другой вид вредоносного кода, spyware можно определить по сигнатуре. Большинство вендоров имеют в арсенале подобные средства борьбы со spyware. Существуют также и бесплатные продукты, качественно реализующие сигнатурный метод. Данный метод неплох, но его эффективность при современном развитии угроз, связанных с распространением spyware, недостаточно высока по следующим причинам:
Проактивный анализ
Проактивные механизмы определения spyware существенно меньше зависят от актуальности баз, однако предъявляют еще более высокие требования к производительности как шлюзовых, так и персональных средств защиты. Для выявления на стадии загрузки spyware проактивные модули также требуют 100% проверки поступающего Web-трафика (HTTP, FTP, желательно HTTPS). На сегодняшний день, несмотря на все усилия антивирусных вендоров, проактивные системы анализа все же уступают по распространению сигнатурным, поскольку более сложны в реализации (особенно для детектирования программ-шпионов, использующих руткит-технологии).
Анализ исходящего трафика
Очень эффективный метод, основанный на анализе исходящего трафика, генерируемого персональным компьютером. Существует ряд следующих подходов к реализации подобного решения, эффективность которых существенно отличается:
Выявление попыток переадресации ("drive-by")
Распространенным методом инфицирования ПК является метод переадресации, называемый также "drive-by". В процессе реализации метода пользователь, оказавшись на "заряженном" вредоносным кодом сайте, незаметно для себя переадресовывается либо сразу на сайт, с которого происходит загрузка spyware, либо через несколько итераций. К сожалению, это чрезвычайно эффективный и труднодетектиру-емый метод, где наиболее разумной технологией борьбы является доскональный анализ 100% кода Web-трафика, поступающего из Интернета.
Нейтрализация spyware
Как уже было отмечено ранее, эффективным способом детектирования и обезвреживания spyware является полное сканирование ПК сети. Недостатком подобного метода является его продолжительность, измеряемая утомительными часами.
В заключение хотелось бы заметить, что только комбинация перечисленных методов позволит достичь высокой степени защиты от угроз со стороны spyware.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2008