(Dr.Web) Технологии превентивной защиты

Сочетание традиционных методов детекции с современными технологиями позволяет создать надежную систему информационной безопасности, способную противостоять современным киберугрозам.



Антивирус обязан не допускать заражения. В этом на помощь традиционному антивирусу приходят несигнатурные технологии и технологии превентивной защиты.

Антивирусная защита нового поколения
Современные угрозы кибербезопасности требуют комплексного подхода к защите информационных ресурсов. Традиционные методы детектирования вирусов, основанные исключительно на сигнатурных технологиях, зачастую оказываются недостаточными перед лицом новых видов угроз — шифровальщиков, эксплойтов нулевого дня и прочих современных вредоносных программ.

Роль традиционного антивируса
Традиционный антивирус эффективно выявляет известные вирусы путем сравнения файлов с базой вирусных сигнатур. Однако этот метод имеет ряд недостатков:
- Отсутствие реакции на новые угрозы: пока вирус не попадёт в базу сигнатур, традиционный антивирус не сможет распознать угрозу.
- Невозможность предотвращения атаки: традиционные антивирусы работают реактивно, выявляя заражение лишь постфактум.
Именно поэтому современные системы безопасности интегрируют дополнительные компоненты, такие как несигнатурные технологии и технологии превентивной защиты, способные повысить уровень защищенности устройств и сетей.

Несигнатурные технологии
Несигнатурный подход основан на анализе поведения программного обеспечения, обнаруживая подозрительные действия даже тех программ, которые ранее не были зафиксированы как вредоносные. К таким технологиям относятся:
- Мониторинг аномалий: выявление необычных действий программы, таких как попытки несанкционированного доступа к критическим ресурсам.
- Эмуляция: запуск потенциально опасного файла в изолированной среде («песочнице») для анализа его активности.
- Машинное обучение: использование алгоритмов машинного обучения для выявления признаков потенциальной угрозы.
Эти технологии позволяют существенно снизить вероятность успешного проникновения вредоносного ПО на устройство или сеть.

Превентивная защита
Еще одним важным компонентом современной антивирусной защиты является концепция превентивного подхода. Вместо простого обнаружения вируса эта стратегия направлена на предотвращение самого факта заражения. Примеры технологий превентивной защиты включают:
- Контроль приложений: ограничение запуска неизвестных или ненадежных программ.
- Защита целостности ОС: мониторинг изменений ключевых компонентов операционной системы.
- Репутационная проверка: блокировка загрузки исполняемых файлов с сомнительных источников.

Таким образом, сочетание традиционных методов детекции с современными технологиями позволяет создать надежную систему информационной безопасности, способную противостоять современным киберугрозам.

Все троянцы делают это:
Действуют по схожим алгоритмам, используют одни и те же критические места в операционных системах для проникновения, имеют одинаковые наборы вредоносных функций.
Совершают одну и ту же ошибку: начинают действовать первыми (нападают на систему).
Начала проявления активности троянца достаточно для Dr.Web, чтобы увидеть и обезвредить его.

Это возможно благодаря разнообразным технологиям Превентивной защиты Dr.Web, действующей на опережение. Они «на лету» анализируют поведение программ и немедленно пресекают вредоносные процессы. По схожести поведения подозрительной программы с известными моделями подобного поведения Dr.Web умеет распознавать и блокировать такие программы. Технологии Превентивной защиты Dr.Web не допускают проникновений новейших, наиболее опасных вредоносных программ, разработанных с расчетом на необнаружение традиционными сигнатурными и эвристическими механизмами, — объектов, которые еще не поступили на анализ в антивирусную лабораторию, а значит, не известны вирусной базе Dr.Web на момент проникновения в систему.
Перечислим только некоторые из этих технологий.

Dr.Web Process Heuristic

В отличие от традиционных поведенческих анализаторов, полагающихся на жестко прописанные в базе знания, а значит, известные злоумышленникам правила поведения легитимных программ, интеллектуальная система Dr.Web Process Heuristic анализирует «на лету» поведение каждой запущенной программы, сверяясь с постоянно обновляемым репутационным облаком Dr.Web, и на основе актуальных знаний о том, как ведут себя вредоносные программы, делает вывод о ее опасности, после чего принимаются необходимые меры по нейтрализации угрозы.
Эта технология защиты данных позволяет свести к минимуму потери от действий неизвестного вируса — при минимальном потреблении ресурсов защищаемой системы.

Dr.Web Process Heuristic контролирует любые попытки изменения системы:
- распознаёт процессы вредоносных программ, изменяющих нежелательным образом пользовательские файлы (например, действия троянцев-шифровальщиков);
- препятствует попыткам вредоносных программ внедриться в процессы других приложений;
- защищает от модификаций вредоносными программами критических участков системы;
- выявляет и прекращает вредоносные, подозрительные или ненадежные сценарии и процессы;
- блокирует возможность изменения вредоносными программами загрузочных областей диска с целью невозможности запуска (например, троянцев) на компьютере;
- предотвращает отключение безопасного режима Windows, блокируя изменения реестра;
- не дает вредоносным программам возможности добавлять исполнение новых задач, нужных злоумышленникам, в логику работы операционной системы. Блокирует ряд параметров в реестре Windows, что не дает, например, вирусам изменить нормальное отображение Рабочего стола или скрыть присутствие троянца в системе руткитом;
- не позволяет вредоносному ПО изменить правила запуска программ.

Dr.Web Process Heuristic обеспечивает безопасность практически с момента загрузки операционной системы — начинает защищать еще до завершения загрузки традиционного сигнатурного антивируса!
- Пресекает загрузки новых или неизвестных драйверов без ведома пользователя.
- Блокирует автозапуск вредоносных программ, а также определенных приложений, например анти-антивирусов, не давая им зарегистрироваться в реестре для последующего запуска.
- Блокирует ветки реестра, которые отвечают за драйверы виртуальных устройств, что делает невозможной установку нового виртуального устройства.
- Блокирует коммуникации между компонентами шпионского ПО и управляющим им сервером.
- Не позволяет вредоносному ПО нарушить нормальную работу системных служб, например вмешаться в штатное создание резервных копий файлов.
Dr.Web Process Heuristic работает сразу «из коробки», но пользователь всегда имеет возможность настроить правила контроля исходя из собственных потребностей!
Технология Dr.Web ShellGuard, входящая в состав Dr.Web Script Heuristic, закрывает путь в компьютер для эксплойтов — вредоносных объектов, пытающихся использовать уязвимости, в том числе еще не известные никому, кроме вирусописателей (так называемые уязвимости «нулевого дня»), с целью получения контроля над атакуемыми приложениями или операционной системой в целом.

Dr.Web ShellGuard

Dr.Web ShellGuard защищает:
- все популярные интернет-браузеры (Internet Explorer, Mozilla Firefox, Яндекс.Браузер, Google Chrome, Vivaldi Browser);
приложения MS Office, включая новейший MS Office 2016;
- системные приложения;
- приложения, использующие java-, flash- и pdf-технологии;
- медиапроигрыватели.

Алгоритм работы Dr.Web ShellGuard:
- При обнаружении попытки использования уязвимости Dr.Web принудительно завершает процесс атакуемой программы. Никакие действия антивируса над файлами приложения, включая перемещение в карантин, не производятся.
- В качестве информации к сведению пользователь видит уведомление о пресечении попытки вредоносного действия, реагировать на которое не требуется.
- В журнале событий Dr.Web создается запись о пресечении атаки.
- Облачная база знаний системы получает немедленное уведомление об инциденте. Если необходимо, специалисты «Доктор Веб» мгновенно отреагируют на него — например, улучшением алгоритма контроля.

Обновления Dr.Web ShellGuard
Технологии системы Превентивной защиты Dr.Web опираются не только на прописанные правила, хранящиеся на компьютере, но и на знания репутационного облака Dr.Web, в котором собираются:
- данные об алгоритмах программ с вредоносными намерениями;
- информация о заведомо «чистых» файлах;
- информация о скомпрометированных цифровых подписях известных разработчиков ПО;
- информация о цифровых подписях рекламного / потенциально опасного ПО;
- алгоритмы защиты тех или иных приложений.
Облако получает информацию о работе Dr.Web на защищаемом ПК, в том числе об обнаруженных новейших угрозах. Это позволяет оперативно реагировать на выявленные недочеты и обновлять правила, хранящиеся на компьютере локально.

Никакие файлы с компьютера пользователя не передаются на серверы «Доктор Веб»!

Технологии Превентивной защиты Dr.Web входят в состав продуктов:
Dr.Web Security Space
Антивирус Dr.Web
Dr.Web KATANA
Dr.Web Desktop Security Suite

Материал подготовлен  "Dr.Web"