Раньше защититься от вредоносных
программ было просто

Вредоносных программ было мало. Антивирусные лаборатории о них знали, антивирусной программе нужно было лишь сравнить файлы на компьютере со списком известных вредоносных программ.

Но киберпреступность стала профессиональной. Вредоносных программ появлялось очень много, они стали сложнее и антивирусные лаборатории перестали успевать за вирусописателями. Пришлось дополнить антивирусы технологиями, способными выявлять те угрозы, которые антивирусным лабораториям еще не известны.



Антивирусы стали сложными

В антивирусах появились эвристики, поведенческие механизмы, эмуляция кода и другие способы проверки файлов на компьютере. Они уже были способны выявлять значительно больше вредоносных программ. Например, если злоумышленник в ходе атаки немного менял код вредоносной программы, то распознать опасность с помощью сигнатурного метода уже не получалось. Зато новые методы иногда могли выявить угрозу.

Злоумышленникам пришлось научиться обманывать антивирусы. Для этого они скачивали антивирусные программы, устанавливали на компьютер и изучали — как работает тот или иной механизм обнаружения. Обычно это им удавалось, после чего антивирусной компании приходилось встраивать в свой продукт еще какой-нибудь вид проверки.

В результате появления все новых и новых слоев защиты работа антивирусных программ стала сильно сказываться на производительности компьютеров — тормозить. Но даже все эти слои не могли гарантировать, что компьютер будет чист.



Перенос вычислений в облако снижает влияние
на производительность компьютера

Теперь не нужно выполнять на компьютере сложные и ресурсоемкие вычисления. Собранные данные передаются в облачную систему Sensa и там анализируются.

Сначала файлы с компьютера сравниваются с теми, о которых уже известно, опасны они или нет. В Sensa содержится информация обо всех файлах, которые раньше уже были проанализированы.

Все новые и поэтому еще не известные Sensa файлы подвергаются нескольким видам анализа.

Облачный антивирус трудно обмануть

Система Cezurity Sensa анализирует работу каждого из подключенных компьютеров.

Злоумышленники рассчитывают, что успеют заработать, пока их вредоносная программа остается неизвестной для вирусных лабораторий (0day). Облачные технологии лишают их такой возможности. Когда на подключенный к Sensa компьютер попадает новая программа, все необходимые для ее оценки данные сразу передаются в Sensa и анализируются.

Попытки злоумышленников изучить работу антивируса, установив его на компьютер, теперь бесполезны. Анализ происходит в облаке, а не на локальном компьютере. Логика принятия решений от злоумышленников скрыта и они больше не могут доработать вредоносную программу так, чтобы она не обнаруживалась.

Чтобы злоумышленники не смогли обмануть антивирус, подменив передаваемые в облако данные, информация о работе компьютера собирается несколькими разными способами и на разных уровнях системы. Даже на уровне, близком к аппаратному.


Основные виды проверок. Как облачный антивирус выявляет опасность

Облачный антивирус выполняет несколько видов проверок. Каждая из проверок решает свои задачи и вместе они позволяют выявить все заражения и надежно защитить компьютер.




1. Проверка среза системы

Это базовый тип проверки. Он позволяет узнать о том, есть ли на компьютере активное заражение.

На подключенном к Sensa компьютере собирается информация о работе операционной системы и приложений. Для этого выполняется сканирование критических областей системы, цель которых — сбор и классификация широкого спектра их характеристик. В результате такого сканирования формируется срез системы (slice), который передается в Sensa для анализа. Срез системы состоит из объектов, их характеристик и взаимосвязей. Можно сказать, что срез — это состояние системы в определенный момент времени.

В обычном режиме работы сервиса срезы формируются и отправляются в Sensa периодически, а интервал запуска этой проверки можно изменить вручную в настройках. В некоторых случаях формирование среза автоматически запускается после какого-то действия, например, после лечения — для того, чтобы убедиться в его успешности. Формирование среза можно запустить вручную. Но при этом важно помнить, что формирование среза не является полным аналогом антивирусной проверки с помощью обычного антивируса. Главное отличие здесь в том, что из Sensa результаты анализа среза поступают на компьютер не мгновенно, а в течение некоторого времени. Но после того, как Sensa полностью проанализирует срез, вердикт о наличии заражения будет обладать гораздо более высоким уровнем достоверности, чем может обеспечить обычный антивирус.

2. Импульсная проверка

Импульсные проверки — это сбор и отправка в Sensa данных об отдельных событиях в системе, которые могут повлиять на безопасность. Таким событием может оказаться, например, запуск какой-то программы, установка драйвера или появление нового процесса. В отличие от проверки среза, которая в обычном режиме происходит периодически, импульсная проверка запускается автоматически в момент наступления события. Цель таких проверок — быстро узнать, не несет ли событие опасности. Иногда результатом импульсной проверки может стать запуск проверки среза системы.


3. Мгновенная проверка

Мгновенные проверки позволяют при наступлении некоторых событий сделать вывод об опасности не дожидаясь ответа от Sensa. Это нужно для того, чтобы заблокировать запуск вредоносных программ до того, как им удалось заразить компьютер и тем самым предотвратить заражение. На компьютер из Sensa постоянно поступает информация об актуальных угрозах, которая используется в мгновенных проверках.

Мгновенные проверки доступны при использовании Cezurity Antivirus. На компьютерах, подключенных к Sensa с помощью бесплатного приложения Cezurity Scanner, мгновенные проверки не производятся.

Узнайте больше о том, как происходит анализ среза системы в Sensa

Sensa способна учитывать контекст

У всех методов обнаружения, которые опираются на локальные проверки, есть ограничение. Они способны оценить отдельный файл или событие в системе, но не могут сопоставить его с другими. То есть, локальные проверки сильно ограничены в возможностях сопоставлять события друг с другом.

Например, отдельный файл сам по себе кажется безвредным. Но если посмотреть на его появление в системе в контексте других событий, то можно сделать вывод, что компьютер атакован.

Сегодня злоумышленники хорошо знают о такой особенности антивирусных решений и очень часто используют ее для того, чтобы обманывать антивирусы. Отдельные действия современных вредоносных программ зачастую не вызывают никаких подозрений и поэтому антивирусы их обнаружить не могут.

Облака способны это изменить.

Ключевое преимущество облачного анализа заключается в возможности учитывать контекст. Одна из технологий, которая используется аналитической системой Sensa для выявления заражений — это проверка срезов системы (slice check). Такие поверки позволяют оценить каждое из событий на компьютере в зависимости от нескольких видов контекста и в результате выявить те заражения, которые не были замечены другими антивирусами.



Для того, чтобы собрать информацию о работе операционной системы и приложений, выполняется сканирование критических областей системы, цель которых — сбор и классификация широкого спектра их характеристик. В результате сканирования формируется срез системы (slice). Срез передается в Sensa для анализа.

Срез системы состоит из объектов, их характеристик и взаимосвязей. Можно сказать, что срез — это состояние системы в определенный момент времени.

Когда приложение, с помощью которого компьютер подключен к Sensa, работает в обычном режиме, срезы формируются и отправляются в облако периодически. Интервал между срезами можно вручную изменить в настройках. Иногда срез автоматически создается после какого-то действия. Например, после лечения — так как это это нужно для того, чтобы убедиться в его успешности.

Запустить формирование и отправку в Sensa среза можно вручную — при клике на "выполнить проверку" начинается не обычное для большинства антивирусов сопоставление файлов на компьютере с сигнатурной базой, а создание среза.

Анализ среза позволяет учитывать контекст. Поэтому он может сказать гораздо больше, чем самый глубокий анализ любого из отдельных объектов. Sensa способна учитывать несколько видов контекста.

Способность учитывать контекст — это ключевое отличие от применяемого в некоторых антивирусах метода метода "белых списков" (whitelisting). "Белые списки" также оценивают характеристики проверяемых объектов, но рассматривают их отдельно для каждого из объектов.

Чтобы найти и вылечить заражения, которые пропустили антивирусы,
подключите компьютер к Cezurity Sensa с помощью сканера Cezurity

Установить сканер