Технологии облачной защиты

Применение облачных антивирусных программ породило  немало мнений, которые нередко бывают полярны. Некоторые полагают, что облачная инфраструктура антивирусной защиты (в дальнейшем – антивирусное «облако») – это всего лишь пиаровский ход разработчиков подобных программ, не имеющий практической ценности. Другие же склоняются к тому, что привычные методики сигнатурного анализа вполне оправдывают себя, и от комплексных антивирусных компонентов не стоит ожидать большего. К слову, многие из применяемых сегодня антивирусов обладают облачной инфраструктурой, хотя это не всем известно. Итак, нужны ли «облака» в использовании антивирусов и как это работает на практике? Попробуем разобраться в этих вопросах на примере продукта Лаборатории Касперского -  KSN (Kaspersky Security Network).
Облачная инфраструктура «из первых уст»
Перед тем, как перейти непосредственно к обсуждению технических деталей продукта, дадим слово компетентному специалисту:
- Безусловно, ведущим фактором, который призван направить внимание вендоров по информационной безопасности в сторону облачных технологий, является постоянно возрастающее количество сетевых угроз, - отмечает Денис Легезо, менеджер по технологическому позиционированию «Лаборатории Касперского». – В среднем, оно увеличивается на 200 тысяч вредоносных программ в день по всему миру. В случае расширения собственной профессиональной компетенции, повышения уровня услуг, сервисов и технологий справиться с подобным наплывом вирусных программ физически довольно сложно. Безусловно, в нашей компании существует отдельное направление – это примерно треть всего штата (R&D,Research), которое и занимается непосредственно анализом появляющихся вредоносов. Однако, следует обращать пристальное внимание на то, что основные тренды в сфере мобильности носителей писатели вирусных программ не оставляют вне сферы своего внимания. Статистика говорит за себя – на сегодняшний день существует более 35 тысяч локальных угроз, написанных с учетом ведущих мобильных платформ.   Безусловно, основные сетевые тенденции находят свое отражение в продуктах «вирусописателей». Как показывает практика, к началу текущего года нами было выявлено более ста миллионов антивирусных сигнатур – а это только тот объем, который при помощи сигнатурных методик может быть обнаружен. Проактивный анализ позволяет выявлять гораздо больше вирусных программ. К слову, всего два года назад эта цифра была вдвое меньше – 50 миллионов. Это позволяет судить о новом «витке» в написании вирусов, которые распространяются лавинообразно и требуют не только своевременного выявления, но и обезвреживания, деактивации.
Безусловно, существуют стандартные пути наращивания локальной базы сигнатур. Однако, обновления, приходящие на компьютеры клиентов, сервера и рабочие станции нельзя увеличивать бесконечно: это тупиковый путь, который может привести только лишь к тому, что вся производительность рабочей станции будет затрачена на ее защиту. Перед компьютером изначально ставятся совершенно иные цели – выполнять работу, для которой он и предназначен. Именно здесь в качестве оптимального решения можно рассматривать облачные системы. Разработка их началась около четырех лет назад, причем не с объемных корпоративных проектов, а именно с проектов для персональных пользователей. Поэтому наивно полагать, что вы не пользуетесь «облаком», если у вас установлен любой современный антивирус – так или иначе, при отсутствии запрета доступа, любой антивирус взаимодействует с облачными сервисами.
«Облачный антивирус»: видимые преимущества.
Если затрагивать вопросы преимущества облачной антивирусной инфраструктуры перед стандартной, нельзя обойти вниманием ряд основных аспектов:
1. Внушительная база данных и объемный дата-центр, который позволяет не только компилировать и классифицировать постоянно возникающие новые угрозы, но и содержит в себе большое количество старых. Безусловно, обладатель «антивируса на облаке», как и владелец любой другой антивирусной программы, имеет ряд базовых сигнатур, которые и позволяют обеспечивать детектирование наиболее распространенных угроз. Однако новейшие вирусы, которые появились сравнительно недавно, для вашего антивируса останутся невидимыми. Если рассматривать указанный выше продукт KSN, то благодаря динамическому анализу  или же в случае появления скрытых угроз на пользовательских компьютерах в любой точке мира, они автоматически анализируются, что и позволяет создавать дополнительные возможности защиты пользователей. Файлы или приложения распознаются автоматически, и реакция на новый вирус в среднем занимает несколько минут.
2. Нельзя обойти вниманием аспект интеграции «облачного антивируса» с другими сервисами. Если представить процесс схематично, как только на анализ попадает файл с сомнительной репутацией, «облако» системы автоматически получает запрос, на который тем же путем в течение нескольких секунд генерируется ответ. Безусловно, выработка новых сигнатур требует определенного промежутка времени. В среднем, компании, занимающиеся вопросами антивирусной защиты, тратят на это от часа до суток.
3. Удобство применения. Здесь не стоит акцентировать внимание на персональных пользователях, которые в качестве пионеров становятся проводниками разнообразных новшеств. Если рассматривать «облачный» антивирус в рамках корпоративного сегмента, бизнес-пользователей, в первую очередь, может привлечь надежность сервиса. Модуль KSN состоит из двух блоков, которые отличаюся ускоренной реакцией и содержат объемную репутационную базу. В нее входит большое количество источников информации, таких как сетевые ресурсы, приложения и файлы, которые анализирует система. Наличие корпоративного Proxy-сервера позволяет снизить до минимума количество индивидуальных запросов пользователей. Бесспорно, это логично с точки зрения, как пользователя, так и самой компании: клиенты могут оперативно получать необходимую информацию и пользоваться всеми преимуществами сервиса. Основной акцент здесь делается на то, что пользователь не посвящается в суть технических процессов, которые для него изначально излишни. Технологии, модули и политики безопасности его не тревожат.  Непосредственно работа антивирусного модуля здесь незаметна, хотя во время работы системы путем двустронней коммуникации по каналу «клиент/облако» передается огромное количество информации - около 600 запросов в секунду 1, 4 гб в секунду. Учёт и аналитика ведутся на самом сервере администрирования, и получает ее конкретный специалист.
Опасность с человеческим лицом.
Естественно, все современные методики защиты нельзя сводить к банальному применению антивирусных программ. Как известно, самым опасным вирусом на сегодняшний день является… человеческий мозг. И именно использование умственных ресурсов позволяет злоумышленникам генерировать все новые и новые методики овладения ценной информацией. Поэтому начинать здесь нужно, в первую очередь, с организационных мер – а точнее, с образовательных. Касаясь вопросов фишинга, социальной инженерии и прочих «человекозависимых» методов утечки, полагаться на одну лишь качественную программу полностью бессмысленно. Технический инструментарий в противовес гибкому человеческому фактору подыскать практически невозможно. Однако даже здесь частично можно положиться на «облако».
- Облачные технологии защиты находят всё большее применение в условиях современного бизнеса, - продолжает Денис Легезо. - К примеру, ряд современных решений предполагает участие облачных компонентов в модуле контроля программ и веб-контроля. При помощи «облака» мы получаем уже категоризированную информацию о благонадежности тех или иных ресурсов и веб-приложений, а также «серых» и «белых» компонентах. Благодаря модулю защиты анти-malware, здесь присутствует интеграция не только с элементами сканирования, но и с файрволлом. Это означает, что на сетевом уровне, если приложение определяется в качестве неблагонадежного во время передачи сетевых данных, данные пакеты будут блокированы. 
Безусловно, применяются облачные методики и при контроле мобильных приложений. В целом, если эти методики рассматривать в отдельном контексте, то контроль приложений интересен сам по себе как факт. Еще несколько лет назад грядущая виртуализация рассматривалась даже компетентными специалистами в качестве весьма отдаленной перспективы. На сегодняшний день все прекрасно осознают, что большинство крупных заказчиков, так или иначе, пользуются приложениями в рамках повседневной работы. С точки зрения производственных инициатив, существует качественный подход, который носит название application white-listing, Содержание его следующее: в организации создается конкретный «белый список» программ, в котором сотрудникам ставятся условия возможности или невозможности пользования теми или иными программами. При этом к вопросу можно подходить избирательно: учитывая не только фактор риска утечек конфиденциальных данных, но и степень открытости той или иной внутрикорпоративной информации для пользователей.
Наибольшую пользу подобный подход несет в правительственных организациях. Как известно, ряд зарубежных государств уже успешно применяет данные методики в своих доктринах: здесь четко оговаривается необходимость применения application white-listing. Реальное внедрение иннвационных методик контроля в практику не за горами и у нас: как известно, постоянный контроль большого количества программных обновлений весьма непрост с точки зрения администрирования.  Современными же облачными приложениями-антивирусами пользуются тысячи, если не миллионы человек во всем мире – и получают информацию о благополучных источниках. Некоторая часть «серых» данных блокируется эвристикой, проактивными модулями, модулем защиты от «атак нулевого дня». При этом, все дополнительные малоприменяемые приложения попросту уходят в небытие и не занимают полезное место. Данный подход носит название  default deny – «блокирование по умолчанию». Это означает, что организация позволяет пользователям открывать лишь определенные сервисы, приложения или услуги – особенно это актуально для компаний, в которых ценность внутрикорпоративной информации весьма высока. К слову, решения российских специалистов на сегодняшний день являются единственными, позволяющими реализовать на постсоветском пространстве подобный подход.
Пример:
Рассмотрим применение продукта в рамках конкретного реального сценария. Энергетическая компания, в сети которой располагается 1300 компьютеров, часть из которых принадлежит руководящему персоналу, при анализе инфраструктуры обнаружила около 4200 различных приложений. При развертывании программного комплекса по аналитике, просканировав собственное программное обеспечение, руководитель ИТ-отдела был поражен: насколько объемное количество софта содержится в базе данных  небольшой организации. Приложения были разнообразными по своим задачам и функционалу: часть из них была полностью легитимна, часть – нелигитимна. А 5% софта и восе не имели отношения к работе фирмы. Обратимся к фактам: доля лишнего ПО в организации возросла с 5% до 41% в ущерб локальной сети. При этом терялись и работо-часы - из-за установленных на рабочих местах мессенджеров и компьютерных игр, инсталляция которых пользователями не ограничивалась. В конечном итоге всё это обернулось финансовыми потерями, частично компенсировать которые помог именно подход default deny.
Однако, блокировка по умолчанию – это далеко не панацея от всех бед. При этом вы можете удаленно управлять программами, которые позволяют осуществлять функции удаленного администрирования, коммуникаторами, клиентами социальных сетей. Но это не дает возможности полноценной защиты от уязвимостей, что на сегодняшний день с позиции безопасности является для компаний угрозой №1. Писатели вирусов в своей «производственной практике» применяют именно наличие уязвимостей, с целью доступа к конфиденциальной информации. Поэтому с точки зрения уязвимых мест целесообразно воспользоваться отдельным функционалом: качественный антивирусный продукт, к примеру,  предлагает комплексные решения, которые позволяют не только своевременно производить тесты и публиковать открытые отчеты, но и предъявлять статистику обнаружений, лечений, превентивных мер и т.д.
- Если вернуться к позиции облачных решений, о которых и идет речь в материале, следует взглянуть на ситуацию реально, - комментирует специалист «Лаборатории Касперского» Денис Легезо.  – С точки зрения «облака» подобных тестов в индустрии еще не было.  Обусловлено это молодостью технологии, которая пока что находится в стадии становления. Первый подобный тест мы провели в минувшем году: безусловно, технология «облака» - не наше авторское решение, как и интеграция с системами инфозащиты. Однако, удалось добиться того, что продукт был отмечен положительно на тестах авторитетной компании WestCoastLabs. Первый тест представлял собой корретировку динамической репутации: 94% процента программ, файлов и приложений, применяемых на базовых компьютерах, и существующих в мире в целом, изучить иным образом, помимо помещения их в облако, попросту невозможно. Если бы эту информацию попытались сжать и перебросить на локальные клиенты, то процесс идентификации был бы невозможен. Состояние анализа репутации можно было определить наглядно, что позволило наилучшим образом охарактеризовать сам продукт. Второй частью теста стал контроль приложений, который по достигнутому результату был положительным более, чем на 90%. Тестирование  default deny было показательным в плане конкретного зловреда под названием Red October – данный вирус на протяжении ряда лет не детектировался антивирусными программами. Нашим специалистам удалось не только «раскрутить» его, но и собрать массу информации о том, как данная программа работает. В итоге динамический анализ в сочетании с быстрой реакцией и высоким уровнем осведомленности о происходящем на машинах пользователей позволил говорить об адекватности существующего комплекса современным условиям киберугроз.
С позиции актуальности: какое защитное ПО лучше применять?
Если говорить о работе технологии KSN в условиях предлагаемых решений и сервисов, следует вернуться к техническим аспектам. Итак, рассмотрим основные постулаты более детально. Запущенное в конце 2013 года решение Kaspersky Point Security для бизнеса предлагает интегрированный с облаком пакет программных сервисов: веб-контроль, контроль приложений, анти-malware и контроль устройств, а также основных модулей. При этом в программный пакет интегрирована мобильная защита, защита веб-интерфейса и почтовых клиентов, также предполагается шифрование данных. Помимо облачных, также применяются иные решения, связанные с киберугрозами: к примеру, сервис kaspersky ddos prevention, который стал итогом 15-летней работы специалистов. Нелегитимный трафик фильтруется сквозь своеобразный «центр очистки», и в случае направленных DDoS-атак сервису предоставляется гарантированная доступность собственных онлайн-ресурсов именно благодаря тому, что отработка DDoS атак происходит через центры очистки. В каких случаях это может быть эффективно? Наверняка, большинство пользователей осведомлено о работе так называемых «бот-сетей», когда генераторы DDoS-трафика осуществляют контролируемую направленную атаку на те, или иные ресурсы. В условиях нездоровой конкуренции – это один из наиболее действенных инструментов, поскольку организовать подобную атаку незатратно, а последствия ее могут быть весьма внушительны.
Существует еще один полезный сервис IRIS, который представляет собой систему раннего реагирования с предоставлением заказчикам всех данных экспертизы. Благодаря наличию облачной инфраструктуры, большая часть продуктов и сервисов позволяет автоматически обрабатывать массивный объем информации. Помимо этого, аналитики не упускают из практики и ручную обработку большого количества вирусов. Ведется активная работа в области бот-нетов с изучением их центров управления, постоянным мониторингом и контролем принципов работы. Здесь следует сделать акцент на область таргетированных атак: когда подобная атака начинается, заказчики получают превентивную информацию о том, на какие организации она направлена и когда начнет свое действие.   Если говорить о возможности практического применения подобных комплексов, следовало бы отметить их несомненную актуальность в условиях современного бизнеса. Рассматривая основные аспекты направленного вредительства со стороны недобросовестных конкурентов, руководителю компании полезно иметь под рукой инструмент, который позволяет не только упредить атаку, но и вовремя выявить агрессора. Как известно, ликвидировать последствия несанкционированного доступа гораздо сложнее – и по числу последствий, и с финансовой точки зрения. Дело обстоит за малым – проводить грамотную информационную политику среди первых лиц компаний, которая бы позволяла не только осуществлять активную security-профилактику, но и подбирать на роль руководителей ИБ-департаментов квалифицированные кадры.
Безусловно, насколько бы ни была сильна защита информации в компании, компьютерные инциденты имеют место и довольно часто. Как правило, каждый подобный случай в той или иной мере предается огласке, соседствует с судебными разбирательствами и привлечением соответствующих субъектов правоохранительных органов.  Однако, возвращаясь к вопросам превентивности и конфиденциальности, следует отметить, что открытое расследование инцидентов может нанести непоправимый урон имиджу компании. Между тем, воспользовавшись услугами экспертной защиты, предлагаемой всё теми же отечественными разработчиками, вы можете не только безболезненно ликвидировать последствия, но и выявить «заказчиков» атаки. Помимо этого, на корпоративных компьютерах могут оказаться подозрительные файлы, чья задача ставится под сомнение. А когда «производители» вирусных программ пишут очередной продукт, они предварительно сканируют его с учетом различных систем, дабы убедиться, что вирус не сканируется при «запуске» его в сеть.  Именно здесь окажется уместным применение облачных технологий: собственные эвристические сигнатуры позволяют детектировать объекты, не поддающиеся распознаванию посредством рядовых движков сканирования. В данном случае экспертная защита позволяет создавать повышенный уровень безопасности для заказчиков. Клиент получает не только персонализированные данные, но и необходимый базис для расследования. Технология имеет очевидный плюс: во время привлечения сторонних экспертов или правоохранителей часть внутренней информации теми или иными путями выливается наружу. Расследование компьютерных инцидентов – благодатная почва для тематической прессы. Однако, если журналист не будет обладать необходимой компетенцией, банальная утечка может обернуться «информационной бомбой». Именно поэтому желательно максимальным образом ограничить круг лиц, участвующих в подобном расследовании – и в этом могут помочь тематические программы.
Итак, на выходе: что же нам предлагает сервис KSN?
• Последние версии продукта позволяют разрабатывать сигнатуры, адаптированные с учетом требований конкретного заказчика.
• Благодаря двусторонней коммуникации удается осуществлять комплексную работу по противодействию вирусным атакам с максимальных охватом пользователей и методик.
• «Человеческий фактор» в лице экспертов позволяет скорректировать программные неточности и предоставить для клиента полноценные отчеты о проделанной работе.  В случае атаки для решения проблемы выделяется конкретный специалист, который будет вести работу только в рамках указанного инцидента. Всё это было показательно с описанным выше примером недетектируемого вируса Red October. Направлен был зловред на государственные службы, однако охватил весь мир. Сбор конфиденциальной информации и перенаправление ее на собственные сервера в виде файлов или отдельных угроз удалось пресечь именно российским специалистам.
Врезка
Недектируемый вирус Red October представляет собой серию целевых атак, которые происходили как минимум на протяжении последних 5 лет. Во время проведения данной операции по всему миру жертвами зловреда стали тысячи организаций. Атакованные организации можно разделить на 8 основных подгрупп:
• Правительственные структуры
• Дипломатические ведомства/посольства
• Исследовательские институты
• Торговые и коммерческие структуры
• Ядерные/энергетические исследования
• Нефтяные и газовые компании
• Аэрокосмическая отрасль
• Военные ведомства и компании, связанные с созданием вооружений
 Вполне вероятно, что могут быть выявлены и другие категории попавших под влияние зловреда организаций, которые еще были не выявлены специалистами либо же были атакованы ими в прошлом.  Как удалось выяснить, операция кибершпионажа проводилась против государственных структур, дипломатических ведомств и научно-исследовательских организаций на протяжении последних пяти лет. Во время нее собиралась секретная информация и данные с компьютеров, мобильных устройств, а также сетевого оборудования атакованных организаций. 
На протяжении нескольких месяцев экспертами «Лаборатории Касперского»  проводилась комплексная работа, в ходе которой анализировались вредоносные файлы, применяемые в атаке. Нацелено действие зловреда было на конкретные организации в странах Восточной Европы, бывшего Союза и Центральной Азии, а также Северной Америки  и Западной Европы.
- Спецоперация Red October (сокращенно Rocra) продолжает оставаться в активной фазе и сейчас, - сообщают эксперты  Лаборатории Касперского, – похищенные данные отсылаются на несколько серверов управления, конфигурация сети которых не уступает в своей сложности инфраструктуре Flame. Регистрационные данные, применяемые при покупке доменных имен C&C серверов, а также полученная информация о датах создания файлов указывает на то, что проводились данные атаки еще в мае 2007 года.  Активны были атакующие на протяжении пяти последних лет, при этом фокусируясь на государственных и дипломатических ведомствах в различных странах мира. Активность атакующих продолжалась на протяжении последних пяти лет, причем сфокусирована она была на дипломатических и государственных ведомствах различных стран мира. Информация, собранная из зараженных сетей, имела последующее применение в ряде последующих атак. Например, ворованные данные собирались в специальные списки, а применялись они, когда атакующие должны были подбирать пароли и логины в других сетях. В целях контроля и управления зараженными сетями, атакующие создали более 60 различных доменных имен, а также несколько сервисов, которые размещались на хостингах в различных странах – в основном, в Германии и России. 
Окончание врезки
Проходят тестирование облачные сервисы, позволяющие осуществлять поддержку корпоративных заказчиков во время обнаружения фишинговых банковских сайтов. Ресурсы тестируются соответственно базе данных, по которой проявляется валидность и действительность сертификатов, получаемых от данного ресурса. Продукт уже заинтересовал украинских заказчиков в сфере банковского дела и обещает стать популярным на всем постсоветском пространстве.
Мнение: Андриан Бушин, директор по развитию бизнеса компании ActiveCloud:   
- Принципиальным отличием облачного антивируса является оперативная двусторонняя связь клиента с антивирусной лабораторией. В случае традиционной схемы с обновлениями реакция на появление новой угрозы занимает от нескольких  часов до нескольких суток. Для начала необходимо зафиксировать подозрительные файл или сайт, передать в антивирусный центр, потом его проанализировать и принять необходимые меры. По современным меркам это недопустимо долго. А в случае подключения к KSN при попытке заражения системы она сама запрашивает «антивирусный центр»  на предмет обнаружения сомнительного источника. Помимо этого, данная  технология не только распознает угрозы, но и обладает способностью устанавливать их непосредственные источники. На примере нашей комплексной услуги аренды серверной инфраструктуры и решения  KSN можно с уверенностью сказать, что стоит попасть вредоносному файлу хотя бы на один используемый в облаке сервер, как инцидентом моментально займутся специалисты и очень быстро заблокируют сам сайт и ресурс, распространяющий вредонос и проводящий атаку.
Для наших клиентов услуга доступна уже несколько месяцев в формате аренды комплексного решения, как связка аренды ИТ инфраструктуры и KSN, при этом она  пользуется неизменным спросом. В числе основных причин, по которым пользователи выбирают этот сервис, можно назвать постоянно растущее количество кибератак и необходимость обеспечить защиту серверных ресурсов, а также  web-проектов, которую они могут передать на исполнение компетентным специалистам, владеющим необходимыми техническими решениями.
Гринёв Сергей Олегович, для KasperskyLab