Авторы вирусов постоянно совершенствуют свои разработки. Современное вредоносное ПО — это не монолитный исполняемый файл, а целый комплекс из сценариев, файлов, скриптов и динамических библиотек. Существуют даже бесфайловые вирусы, которые выполняются на компьютере жертвы, не сохраняясь на диске как файл. Обнаружить новейшие творения киберпреступных профессионалов — крайне сложная задача, с которой плохо справляются традиционные антивирусы, установленные на компьютерах пользователей. Обнаруживать и блокировать вредоносное ПО приходится до того, как оно доберется до пользовательских устройств. Оптимальный вариант для такой системы обнаружения — интернет-шлюз или межсетевой экран, через который пользователи получают доступ в интернет. Руководствуясь этим соображениями, разработчики UTM-шлюза Traffic Inspector Next Generation (TING) включили в состав продукта шлюзовой антивирус, который контролирует трафик на предмет вредоносных «дополнений», добавляя ещё один уровень обороны к локальным антивирусам на рабочих местах пользователей.
Разберемся, как работает интегрированная в TING антивирусная защита и от каких угроз она может защитить.
Как обнаруживают вредоносные программы
Антивирусное ПО прошло большой путь от примитивных анализаторов файлов до мощных многоуровневых комплексов с искусственным интеллектом. Однако основные методы обнаружения вредоносного ПО до сих пор не претерпели принципиального изменения. Можно выделить три основных способа, которые используют антивирусы для детектирования вредоносного ПО.
Сигнатурный анализ. Это самый старый метод обнаружения вредоносного ПО. Его суть состоит в том, что каждый вирус содержит уникальную последовательность байт — сигнатуру, по которой антивирус может отличить исполняемый файл вируса от добропорядочных программ. Антивирусные компании коллекционируют сигнатуры известных вирусов и формируют из них специальные базы, которые регулярно обновляются и пополняются. Данные из этих баз используются в ходе проверки компьютеров на наличие вирусов: каждый файл изучается на предмет наличия сигнатуры известного вируса.
Сигнатурный анализ прост в реализации, однако имеет значительные недостатки:
- большие затраты времени и вычислительных ресурсов на проверку;
- необходимость в постоянной актуализации базы сигнатур;
- большое число ложноположительных срабатываний;
- низкая эффективность — большинство современных вирусов полиморфны, то есть не содержат постоянных сигнатур, по которым их можно узнать.
Второй метод, выявления вредоносного ПО — эвристический или вероятностный анализ. В этом случае антивирус анализирует действия, которые может выполнить в системе программа, и классифицирует их по уровням потенциальной опасности. Если какая-то из запущенных программ превысит «безопасный» уровень, антивирусный монитор остановит процесс и покажет пользователю предупреждение.
Эвристический анализ выявляет потенциально опасную программу даже если ее сигнатуры еще нет в антивирусных базах, однако из-за несовершенства эвристики этот метод дает большое число ложноположительных срабатываний.
Самый современный способ детектирования — поведенческий анализ. Антивирусный движок, как и в случае с эвристическим анализом, изучает поведение программы, но запускает ее в специальном изолированном контейнере —«песочнице». Если действия программы покажутся антивирусу опасными или подозрительными, запуск программы в реальной среде блокируется.
Разумеется, злоумышленники легко обходят этот вид анализа, добавляя в код длительные задержки, которые пропускаются «песочницей», чтобы не допустить зависания антивируса. Некоторые разновидности вредоносного ПО начинают вредоносную деятельность через несколько дней или даже недель, поэтому запуск в «песочнице» тоже не обнаружит ничего подозрительного.
Таким образом, технологии детектирования по отдельности далеки от идеала. Добиться максимального обнаружения позволяет только их совместное использование.