Архитектура на сигурността

© Христо Тужаров, януари 2010  

МЕТОДИ ЗА ПРОАКТИВНА ЗАЩИТА

 

[Home] [Съдържание] [Асеневци] [Инфопедия] [Консултации]

 

КОНТРОЛ ЗА ИМПОРТ НА ПРОГРАМИ

 

ЗАЩИТА ОТ ВИРУСИ

 

ПРОАКТИВНА АНТИВИРУСНА ЗАЩИТА

 

АНТИВИРУС безплатен софтуер

 

КОНТРОЛ НА ИНТЕРАКТИВНИ

ПРОГРАМИ  

Активен анализ на поведение

Метод за активен анализ на поведението представлява IPS-метод с интелектуална система за приемане на решение, анализиращ не отделни, а верига от действия.

 

                   IPS (Intrusion Prevention System) — система  за предотвратяване на атаки.
 

Различните проактивни системи на защита използват различни концепции за реализация на метода за анализ на поведение  (тъй като метода за анализ на поведение може да бъде изграден на база всеки IPS-метод). Най-общо се извършва анализ в реално време на верига от действия на програмното осигуряване и блокиране на потенциално опасни алгоритми.

 

Анализа на поведението се явява технологична база за цял клас програми - поведенчески блокатори (HIPS – Host-based Intrusion Systems).

 

        Host Intrusion Prevention System (HIPS)
HIPS - метод за контрол на  активността, основан на прихващане обръщения към ядрото на ОС и блокиране на изпълнението на потенциално опасни действия на програмно осигуряване, работещо в user-mode, изпълнявани без знанието на потребителя.

 

HIPS-система с помощта на собствен драйвер прихваща всички обръщения към ядрото на операционната система. В случай на опит за изпълнение на потенциално опасно действие от страна на програмното осигуряване, HIPS-системата  блокира изпълнението на даденото действие и изкарва запитване съм потребителя, който разрешава или забранява даденото действие.

 

                   Преимущества на HIPS

  • По-малко количество обръщения към потребителя в сравнение със системите построени на IPS-методите;

  • Необходимост от малко системни ресурси;

  • Няма изисквания към нардуера на компютъра, който може да работи на различни платформи.

                    Недостатъци на HIPS  

  • Интелектуалната система за вземане на решение може да предизвика лъжливи противодействия;

  • Невъзможност за противодействие на активно заразяване на компютъра;

Поведенческите блокиратори и по специално  HIPS системите се явяват напълно проактивни, тъй като се противопоставят на неизвестни вредоносни програми, чиито сигнатури не са внесени в антивирусната база данни.

 

Днес този подход намира своето място в продуктите на  "Лаборатория Касперски", Panda и Cisco.

 

Пасивен анализ на поведение

Метод на откриване на вредоносни програми чрез анализ на действията и/или верига от действия с помощта на изпълнениe на програмите в специална ограничена среда (т.н. емулатор на код), имитираща реално апаратно осигуряване.

      

       Метод на емулация на системни събития

Програмите  се стартират в специална ограничително среда, имитираща реално апартно осигуряване, където се провежда проверка на изпълнение на отделните действия  и/или верига от дойствия. Ако бъде открита възможност за потенциално опасно действие и/или верига от действия , програмата се обозначава като вредоносна.

 

                Преимущества на метода на емулация:

  • Не са необходими специално знания от страна на потребителя;

  • Няма изисквания към хардуера;

  • Отсъствие обръщения към потребителя, с изключение на случаи на откриване на вредоносни програми.

                    Недостатъци  на метода на емулация:

  • В някои случаи анализа на кода може да заема много време;

  • Изисква сериозни ресурси на компютъра.

Методи за ограничаване изпълнението на операциите (виртуална среда)

Осъществява се виртуализация на работната среда, като по този начин се блокира въздействието на потенциално опасни операции върху системната среда. 

     

      Контрол на активността VIPS

Метод за контрол на активността, основан на мониторинг на изпълнение на операциите на програмното осигуряване и блокиране на изпълнението на потенциално опастни действия.


                     Принцип на работа на
VIPS
VIPS-системата  с помощта на тахнологията апаратна виртуализация (Intel VT-x, AMD-V) стартира операционната система във "виртуална машина" и осъществява контрол на изпълняваните операции.

В случай на опит за изпълнение на опасно действие от съответната програма, VIPS-системата блокира изпълнението на действието и прави запитване до потребителя.


 

 

                    Преимущества на VIPS

  • Необходимост от малко системни ресурси;

  • Висока ефективност към заплахи от типа  0-day;

  • Висока ефективност на противодействие на руткити;

                   Недостатъци на VIPS

  • Високи изисквания към хардуера ( процесори с апаратна виртуаризация - Intel VT-x или AMD-V);

  • Голямо количество обръщения към потребителя;

  • Необходимост от специализирани знания на потребител.

        Ограничение на привилегиите за изпълнение (Sandboxing - Пясъчница) 

Технологията работи по принципа на ограничаване активността на потенциалнните вредоносни програми, по начин който блокира опитите за нанасяне вреда на системата на потребителя.

Ограничението на активността си постига за сметка на изпълнение на неизвестната програма  в ограничена среда - пясъчница, от която проложението няма право на достъп до критични системни файлове,  вътрешни регистри и друга важни ресурси.

 

                     Пясъчница (sandbox) - мотод, основан на изпълнение на потенциално опасно програмно осигуряване в ограничена среда, която осигурява контакта на потенциално опасните програми с операционната система.

 
                Принцип на работа на пясъчницата

Пясъчницата  разделя инсталираното програмно осигуряване на две категории :

  • Доверени програми - изпълняват се без някакви ограничения;

  • Недоверени програми - изпълняват се в специална ограничена среда (пясъчница).

 

 

                    Преимущества на използване на Пясъчница

  • Необходимост от малко системни ресурси;

  • Нямат изисквания към хардуера;

  • Малък брой обръщения към потребителя.