Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Antywirusowa prognoza pogody: duże zachmurzenie


Jurij Maszewski
Dyrektor ds. rozwoju technologii strategicznych, Kaspersky Lab

Wstęp

av_weather.pngPrzeglądając zasoby internetowe lub uczestnicząc w dyskusjach, nie sposób nie natrafić na materiały i komentarze związane z wykorzystaniem technologii “chmury” w ochronie antywirusowej.

Opinii na ten temat jest wiele, od oskarżania producentów o udział w krzykliwych kampaniach PR-owych przy braku jakichkolwiek korzyści wynikających z chmury antywirusowej, po stwierdzenia, że tak zwane chmury stanowią panaceum na wszystko. W takie dyskusje zaangażowani są zarówno użytkownicy Internetu jak i eksperci z dziedziny bezpieczeństwa i wygląda na to, że nie ma wśród nich zgody.

Celem tego artykułu jest próba dotarcia do samego sedna sytuacji. Tekst ten dotyczy tylko współpracy w czasie rzeczywistym produktów antywirusowych przeznaczonych dla użytkowników indywidualnych z infrastrukturą chmury producenta. W artykule nie zostaną omówione usługi hostowane SaaS.

Dla uproszczenia będę stosował termin “chmura antywirusowa” w odniesieniu do systemu firmy antywirusowej wykorzystywanego do przetwarzania informacji otrzymywanych z komputerów użytkowników w celu zidentyfikowania nowych, jeszcze niewykrytych zagrożeń.

W tym artykule dostarczymy odpowiedź na następujące pytanie: czym jest chmura antywirusowa i jakie są jej wady i zalety? Artykuł jest przeznaczony głównie dla czytelników, którzy chcieliby dowiedzieć się czegoś więcej na temat ochrony antywirusowej opartej na chmurze, zrozumieć ogólne zasady działania chmury antywirusowej i dowiedzieć się, jaką zapewnia ochronę.

Era przed chmurą lub co doprowadziło do powstania chmury

Przez ostatnie 20 lat ochrona antywirusowa opierała się głównie na analizie sygnaturowej oraz heurystycznej. Metody te w zupełności wystarczały, aby skutecznie zwalczać szkodliwą zawartość, ponieważ:

  • nowe szkodliwe programy pojawiały się stosunkowo rzadko i nawet te nieliczne laboratoria antywirusowe prowadzone przez firmy antywirusowe mogły bez problemu dotrzymać tempa rozwojowi szkodliwego oprogramowania;
  • częstotliwość udostępniania aktualizacji produktów antywirusowych w pełni spełniała wymagania i pozwalała blokować zagrożenia.

Jednak w latach 2003-2004 rozwinęła się masowa komunikacja, gwałtownie wzrosła liczba użytkowników Internetu, biznes zaczął rozkwitać w Internecie, co stworzyło atrakcyjne warunki dla cyberprzestępców. Na początku szkodliwe programy były tworzone dla samej zabawy lub udowodnienia umiejętności twórców wirusów. Później, gdy pojawiła się możliwość zarobienia pieniędzy na wirtualnej własności innych osób oraz kradzieży cudzych pieniędzy, cyberprzestępcy zaczęli proaktywnie rozwijać szkodliwe oprogramowanie dla korzyści finansowych.


Wzrost liczby unikatowych szkodliwych plików wykrytych przez Kaspersky Lab

Oprócz wzrostu liczby nowych szkodliwych plików zwiększyła się również liczba sposobów wykorzystywanych do kradzieży pieniędzy: cyberprzestępcy opracowywali jeszcze skuteczniejsze techniki przeprowadzania ataków.

 новое окно
Ewolucja szkodliwego oprogramowania

Twórcy oprogramowania antywirusowego wciąż udoskonalali metody heurystyczne umożliwiające wykrywanie szkodliwego oprogramowania i wprowadzili do swoich produktów automatyczne systemy i/lub funkcje wykrywania automatycznego. Te ostatnie doprowadziły do znacznego wzrostu ilości aktualizacji i zbliżyliśmy się do takiego punktu, gdy pobieranie aktualizacji stawało się poważną niedogodnością dla użytkowników.


Roczny wzrost liczby aktualizacji antywirusowych w MB (łącznie z prognozą na 2010 rok)

Otwarta wojna między cyberprzestępcami a firmami antywirusowymi stała się jeszcze bardziej zacięta, a każda strona proaktywnie badała narzędzia i metody swojego wroga. W latach 2008–2009 tempo pojawiania się nowych szkodliwych programów osiągnęło nowy poziom i standardowe systemy aktualizacji nie były już w stanie poradzić sobie ze zwalczaniem zagrożeń. Według badania przeprowadzonego w drugim kwartale 2010 przez NSS Labs, firmy antywirusowe potrzebowały od 4,62 do 92,48 godzin, aby zablokować zagrożenia internetowe (http://nsslabs.com/host-malware-protection/q2-2010-endpoint-protection-product-group-test-report.html). Zmniejszenie czasu reakcji na zagrożenia przy pomocy standardowych aktualizacji antywirusowych nie było możliwe, ponieważ czas potrzebny na wykrycie zagrożeń, ich analizę oraz testowanie aktualizacji antywirusowych już teraz został zredukowany do minimum.

 новое окно
Ochrona użytkowników, od pojawienia się zagrożenia do zainstalowania aktualizacji antywirusowych baz danych.

Wydawałoby się, że czas reakcji mógłby zostać poprawiony poprzez wykorzystanie heurystycznych metod wykrywania, które pozwalają blokować zagrożenia w momencie ich pojawienia się bez konieczności czekania na opublikowanie aktualizacji baz antywirusowych. Jednak metody heurystyczne pozwalają na wykrycie średnio 50–70% zagrożeń, co oznacza, że 30–50% wszystkich pojawiających się zagrożeń nie jest wykrywanych przez metody heurystyczne.

W rezultacie branża antywirusowa musi rozważyć następujące główne kwestie:

  • W jaki sposób można zautomatyzować ochronę, aby móc zwalczać rosnącą falę zagrożeń?
  • Jak można zminimalizować rozmiar baz antywirusowych, utrzymując wysoki poziom ochrony?
  • Jak w znaczący sposób poprawić czas reakcji na pojawiające się zagrożenia?

Kwestie te zmusiły twórców oprogramowania antywirusowego, aby większą uwagę poświęcić rozwojowi alternatywnych metod wykrywania i blokowania dzisiejszych zagrożeń. Jedną z takich metod jest wykorzystywanie technologii chmury antywirusowej.

Jak działa chmura antywirusowa

Jak pisałem już wcześniej, w artykule tym termin „chmura antywirusowa” odnosi się do infrastruktury wykorzystywanej przez firmę antywirusową do przetwarzania informacji uzyskiwanych z komputerów osób wykorzystujących określony produkt do użytku domowego w celu zidentyfikowania nowych, niewykrywanych jeszcze zagrożeń. Technologie wykorzystywane do przechowywania i przetwarzania danych użytkownika działają w tle. Program antywirusowy wysyła zapytanie do chmury, aby sprawdzić, czy są jakieś informacje na temat określonego programu, aktywności, odsyłacza lub zasobu. Odpowiedź będzie brzmiała „Tak, istnieją informacje”, „nie, nie ma żadnych informacji”.

W jaki sposób chmura różni się od aktualizacji antywirusowych?


Komunikacja użytkownika z serwerem aktualizacji

 


Komunikacja użytkownika z chmurą

Opcje komunikacji użytkownika z infrastrukturą antywirusową

System aktualizacji zakłada jednokierunkową interakcję pomiędzy firmą antywirusową a użytkownikiem: od producenta oprogramowania antywirusowego do użytkownika. Nie ma tu żadnej reakcji zwrotnej użytkownika, dlatego nie jest możliwe szybkie zidentyfikowanie podejrzanej aktywności ani uzyskanie informacji o rozprzestrzenianiu się zagrożenia lub jego źródłach. Często firmy antywirusowe muszą liczyć się z opóźnieniami, ponieważ konieczne jest zdobycie tego rodzaju danych za pośrednictwem dodatkowych kanałów.

Podejście oparte na chmurze charakteryzuje się z kolei dwukierunkowością. Duża liczba komputerów podłączonych do chmury za pośrednictwem centralnego serwera informuje chmurę o źródłach infekcji oraz wszelkiej podejrzanej aktywności, jaka została wykryta. Po przetworzeniu informacje stają się dostępne dla innych komputerów, podłączonych do chmury. W rzeczywistości, użytkownicy mogą dzielić się informacjami za pośrednictwem infrastruktury firmy antywirusowej (a nie bezpośrednio ze sobą) o atakach na nich oraz źródłach tych ataków. Otrzymujemy zintegrowaną, rozproszoną intelektualną sieć antywirusową, która działa jako całość.

Główna różnica pomiędzy chmurą a istniejącymi technologiami antywirusowymi dotyczy wykrywanego obiektu. O ile technologie starszych generacji (takie jak sygnatury) pracowały z obiektami w formie plików, chmura antywirusowa pracuje z tzw. metadanymi. W zrozumieniu, czym są metadane, może pomóc poniższy przykład: załóżmy, że istnieje plik – jest to obiekt. Informacje o tym pliku to metadane, które obejmują unikatowy identyfikator pliku (funkcja hash), dane o tym, w jaki sposób plik ten przedostał się do systemu, jak się zachowywał itd. Nowe zagrożenia są identyfikowane w chmurze przy pomocy metadanych, nawet jeżeli same pliki nie są w rzeczywistości przesyłane do chmury do wstępnej analizy. Takie podejście wspomaga gromadzenie w czasie rzeczywistym danych pochodzących od kilkudziesięciu milionów dobrowolnych uczestników rozproszonej sieci antywirusowej mającej na celu identyfikowanie niewykrytych jeszcze szkodliwych programów.

Na przykład, jeżeli użytkownik oprogramowania antywirusowego zgodzi na uczestnictwo w sieci Kaspersky Security Network (KSN), produkt zacznie wysyłać dwa rodzaje metadanych do firmy Kaspersky Lab:

  • dane o infekcjach lub atakach;
  • dane o podejrzanej aktywności plików wykonywalnych.

Należy podkreślić, że informacje te są przesyłane tylko za zgodą użytkownika.

Wyspecjalizowany system identyfikuje zagrożenia i sprawdza, czy istnieją błędy decyzyjne, a następnie szuka źródeł rozprzestrzeniania zagrożeń. Po zlokalizowaniu źródła są automatycznie sprawdzane w celu wykluczenia fałszywych trafień. Informacje o nowych zagrożeniach i ich źródłach uzyskane przy użyciu wyspecjalizowanego systemu są natychmiast udostępniane wszystkim użytkownikom produktu.

Metadane dotyczące infekcji są wykorzystywane do uczenia wyspecjalizowanych systemów, które dzięki temu szybko reagują na najnowsze szkodliwe programy i techniki cyberprzestępców poprzez automatyczne identyfikowanie aktywnych zagrożeń na komputerach użytkowników. Informacje wykorzystywane przez system do uczenia się obejmują werdykty wydane przez mechanizmy wykrywania sygnaturowego i heurystycznego. Należy podkreślić, że najskuteczniejszą ochronę użytkownika daje połączone podejście składające się z chmury antywirusowej oraz innych technologii zwalczania zagrożeń, które są już w użyciu.

Poprzez gromadzenie i przetwarzanie danych o podejrzanej aktywności od każdego uczestnika sieci chmura stanowi zasadniczo potężny, wyspecjalizowany system stworzony w celu analizowania aktywności cyberprzestępczej. Dane potrzebne do blokowania ataków są dostarczane wszystkim uczestnikom sieci chmury, co pomaga zapobiec infekcji.

Zalety i wady chmury

Plusy

  • Czas reakcji. To jedna z kluczowych zalet ochrony opartej na chmurze. Prędkość, z jaką można zidentyfikować i zablokować zagrożenie, znacznie zwiększa prędkość, z jaką standardowe aktualizacje antywirusowe zapewniają ochronę. O ile aktualizacje sygnaturowe mogą wymagać kilku godzin, przy pomocy technologii chmury można zidentyfikować i wykryć nowe zagrożenia w przeciągu zaledwie minut.

     новое окно
    Ochrona przy użyciu technologii chmury

    Najdłuższym etapem procesu jest analiza danych uzyskiwanych z metadanych użytkowników w celu zidentyfikowania nieznanych szkodliwych programów – jednak nawet ten proces trwa zaledwie kilka minut.

  • Ukryta logika w procesie decyzyjnym. Ponieważ analiza metadanych odbywa się na serwerach firm antywirusowych, algorytmy wykorzystywane do identyfikacji szkodliwej zawartości nie mogą być analizowane przez cyberprzestępców dla ich własnych celów. Dzięki tej funkcji proces podejmowania decyzji systemu pozostaje wysoce wydajny przez długi okres czasu. To wyróżnia ochronę w chmurze od metod wykrywania heurystycznego i opartego na sygnaturach, które muszą być nieustannie aktualizowane. Jest to istotne dla utrzymania wysokich współczynników wykrywania: po opublikowaniu regularnych aktualizacji twórcy wirusów analizują je w celu rozwinięcia kolejnej wersji programu, która będzie wymagała opublikowania kolejnych uaktualnień.
  • Identyfikacja nowych, niewykrytych jeszcze zagrożeń i ich źródeł. Podejście to pomaga uniemożliwić użytkownikom odwiedzanie zasobów wykorzystywanych do rozprzestrzeniania szkodliwej zawartości. Zważywszy że źródła zagrożeń są często aktualizowane nowymi szkodliwymi programami, niektóre ze szkodników mogą pozostać niewykryte. Blokowanie zarówno zagrożeń jak i ich źródeł automatycznie rozwiązuje problem.
  • Integralność danych o zagrożeniach. Poprzez gromadzenie w czasie rzeczywistym danych od uczestników rozproszonej sieci antywirusowej, która obejmuje cały świat, wyspecjalizowany system pomaga utrzymać większą bazę zagrożeń niż przy użyciu samego wykrywania opartego na sygnaturach. Chmura posiada kompletne dane: kiedy atak został przeprowadzony, zagrożenie wykorzystane w ataku, skala ataku.
  • Minimalizacja fałszywych trafień. Nawet eksperci twierdzą, że wykorzystanie chmury zwiększa prawdopodobieństwo fałszywych trafień (tj. błędne wykrycie nieszkodliwych plików). Nie jest to prawdą. Praktyka pokazuje, że poziom fałszywych trafień w wykrywaniu opartym na chmurze jest co najmniej 100 razy niższy niż w typowym wykrywaniu opartym na sygnaturach. Wynika to z tego, że u podstaw specjalistycznego systemu ochrony leży wielowarstwowy proces weryfikacji zapobiegający i niezwłocznie identyfikujący takie błędy. Co więcej, jeżeli wystąpi fałszywe trafienie, technologia chmury działa znacznie szybciej, aby je zidentyfikować i poprawić.
  • Łatwość automatyzacji procesu wykrywania. Sposób, w jaki chmura identyfikuje nieznane zagrożenia, umożliwia łatwą automatyzację, przewyższając wydajność metod wykrywania heurystycznego i opartego na sygnaturach.
  • Stosowanie ochrony opartej na chmurze pomaga zminimalizować rozmiar pobieranych przez użytkowników antywirusowych baz danych, ponieważ bazy danych chmury nie są dostarczane do komputerów użytkowników. Warto jednak podkreślić, że dostęp do infrastruktury chmury zależy całkowicie od stałego połączenia komputera z siecią. Naturalnie odnosi się to również do tradycyjnych aktualizacji, których pobieranie wymaga regularnego połączenia z Siecią. Jednak w przeciwieństwie do chmury, jeżeli użytkownik pobierze aktualizacje, będzie chroniony, nawet jeżeli połączenie zostanie przerwane. W przypadku systemu chmury, ochrona zostanie przerwana, jeżeli zostanie przerwane połączenie.

Minusy

  • Wykrywanie oparte wyłącznie na funkcjach hashujących. W pierwszych wcieleniach infrastruktury chmury wykrywanie opierało się wyłącznie na funkcjach hashujących (unikatowych identyfikatorach plików). Gdy stało się jasne, że podejście jest niewystarczające, firmy zaczęły stosować inne podejścia, które ułatwiają sygnaturze chmury identyfikowanie całych rodzin zagrożeń (łącznie z rodzinami polimorficznymi). Chmura przestanie stanowić ochronę reaktywną, zapewniając długo oczekiwane wykrywanie proaktywne.
  • Problemy z ruchem przy połączeniach o ograniczonej szerokości pasma (dial-up / GPRS itd.) Również ten problem występował w pierwszych wcieleniach systemów chmury. Wprowadzenie podejść adaptacyjnych do zarządzania ruchem pozwala skutecznie rozwiązać ten problem.
  • Działa tylko z plikami wykonywalnymi. Prawdą jest, że obecna technologia ma na celu identyfikowanie zagrożeń jedynie w plikach wykonywalnych. Jednak dokonano również nowych osiągnięć w wykrywaniu innych rodzajów zagrożeń. W rezultacie, wada ta zostanie usunięta w najbliższej przyszłości.
  • Sieć jest zawodna. Jest to bez wątpienia poważna wada. Koncepcja systemu chmury zakłada, że interakcja z użytkownikiem będzie się odbywać za pośrednictwem kanałów sieciowych. W rezultacie, jeżeli nie ma połączenia sieciowego z infrastrukturą chmury, nie ma ochrony. Jednak jako że ochrona oparta na chmurze nie jest traktowana jako coś niezależnego od istniejących technologii bezpieczeństwa, metoda sygnaturowa zapewnia ochronę nawet wtedy, gdy nie ma aktywnego połączenia, a komputer nie pozostaje niezabezpieczony w takiej sytuacji.
  • Brak uwierzytelnienia lub weryfikacji dokładności otrzymywanych danych. To również problem występujący w najwcześniejszych wersjach infrastruktury chmury. Aby go rozwiązać, wystarczy zweryfikować legalność źródła danych.

A zatem jedyną rzeczywistą wadą, która obecnie nie może zostać usunięta, jest zależność ochrony użytkownika od istnienia stałego połączenia. Kaspersky Security Network rozwiąże wszystkie pozostałe problemy w kolejnej wersji ochrony opartej na chmurze.

Kilka kontrowersyjnych aspektów

Jest jeszcze inna kategoria kwestii dotyczących ochrony opartej na chmurze, o których często dyskutuje się w Internecie i traktuje jako wadę. W rzeczywistości jednak nie stanowią one problemu. W tej sekcji chciałbym zająć się tymi kwestiami i wyjaśnić, dlaczego nie powinny być postrzegane jako słabe punkty.

  • Użytkownik może otrzymać odpowiedź stworzoną przez cyberprzestępcę podszywającego się pod firmę antywirusową. W rozwiązaniu tego problemu pomoże załączenie podpisu cyfrowego do wysyłanych danych.
  • Chmura nie może zapewnić użytkownikowi ochrony podczas skanowania na żądanie (skanowanie obiektów nie jest wykonywane w czasie rzeczywistym, ale na życzenie użytkownika) z powodu dużej liczby żądań skanowania wysyłanych do serwera chmury. Ochrona oparta na chmurze pozwala bez żadnych problemów wykrywać zagrożenia podczas skanowania na żądanie. Powstaje jednak pytanie: czy skanowania na żądanie ma sens jeżeli chodzi o zapewnienie użytkownikom ochrony przed aktywnymi zagrożeniami? Jak pokazuje doświadczenie, skanowanie na żądanie niewiele pomaga w walce z aktywnymi zagrożeniami. Jeżeli jest włączony system ochrony OnAccess (tj. system identyfikujący zagrożenia w czasie rzeczywistym w momencie uzyskania dostępu do zainfekowanego obiektu), zapewni on użytkownikowi wstępną ochronę. Jeżeli skaner na żądanie znajdzie coś podczas działania systemu OnAccess, prawdopodobnie będzie to ukryty szkodliwy program, który, w ten czy inny sposób, zostanie zablokowany, jak tylko zostanie uruchomiony lub gdy inne aplikacje wyślą żądanie. Innymi słowy, wykorzystanie skanowania na żądanie w środowisku ochrony opartej na chmurze jest możliwe, nie jest to jednak bardzo skuteczny sposób ochrony użytkowników przed aktywnymi zagrożeniami.

Czy podejście oparte na chmurze to cudowne rozwiązanie czy jedynie przelotna moda?

Zbadałem okoliczności, które doprowadziły do powstania chmur antywirusowych, i omówiłem krótko, w jaki sposób działa ochrona oparta na chmurze, jakie są jej zalety i wady.

W jakim miejscu plasuje się chmura w dzisiejszej branży antywirusowej? Czy są rzeczywiste korzyści wykorzystywania technologii chmury i czy technologia ta oferuje coś całkowicie nowego?

Podejście oparte na chmurze z pewnością nie jest złotym środkiem w walce z cyberprzestępcami. Jednak udowodniono szereg zalet ochrony opartej na chmurze: szybko identyfikuje i blokuje nowe zagrożenia, blokuje nie tylko zagrożenia, ale również źródła ich rozprzestrzeniania się. Dzięki temu możemy przewidzieć nowy kierunek rozwoju branży antywirusowej. Ponadto, wszystkie te zalety można zautomatyzować przy pomocy wyspecjalizowanego systemu oferującego niski współczynnik fałszywych trafień.

Chmura to nie tylko moda – to skuteczna technologia ochrony użytkowników. Wraz z rozwojem takich technologii wzrośnie ich rola i znaczenie w branży antywirusowej.

Jednak nie powinniśmy postrzegać chmury antywirusowej jedynie jako oddzielnej technologii ochrony użytkowników. Bez wątpienia systemy oparte na chmurze mogą działać całkowicie automatycznie bez konieczności wykorzystywania bogatego doświadczenia zdobytego przez ekspertów z branży przez lata wykrywania zagrożeń. Jednakże skuteczność takiego podejścia jest daleka od ideału. Maksymalną ochronę może zapewnić połączenie technologii bezpieczeństwa, które już opanowaliśmy, z systemami chmury antywirusowej. Rezultat takiego połączonego podejścia jest lepszy niż wykorzystywanie tylko jednego podejścia: systemy oparte na chmurze zapewniają szybki czas reakcji na nieznane zagrożenia, jednocześnie zachowany jest wysoki współczynnik wykrywalności i proaktywności, niski margines błędu i kompletne dane o zagrożeniach.

Źródło:
Kaspersky Lab