Symantec представляет технологию Quorum

Корпорация Symantec (Nasdaq: SYMC) объявила о внедрении в продукты семейства Norton 2010 — Norton Internet Security 2010 и Norton AntiVirus 2010 — революционной технологии Quorum. Она обеспечивает защиту данных на основе оценки репутации. Эффективность данной технологии, позволяющей автоматически распознавать абсолютно новые вредоносные программы, вирусы и сетевые черви, достигается благодаря работе с огромным сообществом пользователей продуктов Symantec.

«С новой технологией изменяются правила борьбы с вредоносным ПО, — считает Стивен Триллинг (Stephen Trilling), старший вице-президент Symantec по технологиям безопасности и защиты. — Благодаря знаниям и опыту десятков миллионов пользователей мы сможем выявлять угрозы, которые традиционные средства обеспечения безопасности не видят». 

Почему в основе новой технологии лежит именно оценка репутации?

Существенные изменения в принципах и структуре угроз, произошедшие за последние несколько лет, полностью преобразили и типичные стратегии распространения новых вредоносных программ.

Сегодня вместо одного штамма вирусов (или другого вредоносного ПО), заражающего миллионы компьютеров, чаще можно видеть миллионы штаммов, каждый из которых старается поразить лишь небольшое число машин. В 2008 году компания Symantec обнаружила более 120 миллионов различных вариаций программ, угрожающих безопасности компьютерных систем. В такой ситуации, чтобы успешно защищаться, просто необходимо выйти за рамки привычных подходов к решению проблем безопасности. 

В основе традиционных антивирусных программ лежат сигнатуры вирусов и практика внесения в «черный список» тех элементов вредоносного ПО, которые должны быть заблокированы на компьютере пользователя. Десять лет назад компания Symantec ежедневно публиковала около пяти новых сигнатур. Сегодня же поставщики средств обеспечения безопасности публикуют тысячи новых сигнатур в день, и это при том, что выявление одной сигнатуры позволяет определить множество различных штаммов.

Новый подход, реализованный в технологии Quorum, дополняет традиционные методы защиты от вредоносного ПО. При классификации файлов как «опасные» или «безопасные» он обращается к опыту многочисленных пользователей. Технология Quorum обеспечивает совершенно новый уровень защиты от самых современных угроз. Около трех лет назад исследовательская лаборатория компании (Symantec Research Labs), приступая к созданию этой технологии, внимательно изучила, как небольшие (с точки зрения частоты применения файлов в системе пользователя) объемы данных, полученные от очень крупного, рассредоточенного по всему миру сообщества, могут помочь определить вероятность вредоносности того или иного файла. После успешного тестирования прототипа проект был передан в подразделение технологий безопасности и защиты (Security Technology and Response — STAR) для разработки полной коммерческой версии и вывода новой технологии на рынок. 

Принципы работы новой технологии

В модуле Quorum, обеспечивающем безопасность на основе репутации, используются данные, полученные из множества различных источников, включая: анонимную информацию, предоставленную десятками миллионов членов сообщества Norton Community Watch, данные издателей ПО, а также анонимные данные от клиентов крупных предприятий, поступающие с помощью специальной программы сбора данных. Информация постоянно импортируется и передается в специальный модуль, определяющий репутационный рейтинг каждого файла, причем сам файл при этом никогда не сканируется. Для точной оценки репутации файла Quorum использует такую информацию о нем, как распространенность, время существования и другие атрибуты. Затем эти рейтинги с помощью масштабной «облачной» инфраструктуры серверов Symantec предоставляются всем пользователям продуктов компании. Более подробно о технологии Quorum можно узнать в блоге Norton Protection Blog.

Каковы преимущества технологии Quorum?

- Предоставление данных обо всех исполняемых файлах. Традиционно компании, обеспечивающие безопасность, в первую очередь располагают инструментами для защиты от вредоносного ПО, о котором их проинформировали либо бдительные пользователи, либо другие исследователи проблем уязвимости информации. Quorum же, напротив, хранит репутационные рейтинги для каждого исполняемого файла, который когда-либо встречали пользователи продуктов Symantec в любой точке мира.

- Интеграция с новым модулем Symantec — Download Insight. Наиболее наглядный способ увидеть систему Quorum в действии при работе в Norton Internet Security 2010 и Norton AntiVirus 2010 — это загрузить из Интернет новый исполняемый файл. Новый модуль Download Insight при определении безопасности любого скачиваемого файла опирается на информацию о его репутации, которую предоставляет система Quorum. Таким образом, пользователя уведомляют о рейтинге этого файла, а файлы, имеющие плохую репутацию, автоматически блокируются. Кроме того, пользователь может щелкнуть правой кнопкой мыши на любой исполняемый файл, чтобы узнать, откуда он появился, сколько других пользователей продуктов Symantec с ним работают, когда компания Symantec впервые обнаружила его и каков его репутационный рейтинг. 

- Снижение уровня зависимости от традиционных сигнатур. Технология Quorum лишает хакеров возможности видоизменять вредоносное ПО таким образом, чтобы обычные средства сканирования на основе сигнатур не могли его обнаружить. Более того, при использовании Quorum, чем интенсивнее нарушитель защиты модифицирует вредоносный файл, тем более очевидной становится его небезопасность. 

- Повышение эффективности существующих технологий защиты от вредоносного ПО. Помимо создания дополнительного уровня защиты, Quorum также позволяет более агрессивно применять другие технологии обеспечения безопасности Symantec, включая эвристику и сканирование поведения приложений. Это повышает общую защищенность пользователей.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Yandex Cloud открыл клиентам опцию веб-защиты сайтов от DDoS

В рамках проходящей в эти дни конференции Yandex Cloud компания «Яндекс» объявила об официальном запуске нового сервиса для защиты веб-приложений — Smart Web Security. В настоящее время функция Smart Web Security работает в режиме Public Preview и предоставляется ограниченному количеству пользователей бесплатно по запросу. Воспользоваться новым сервисом смогут компании, разместившие свои сайты в облаке Yandex Cloud.

Новая технология Smart Web Security позволяет блокировать наиболее сложные атаки злоумышленников, которые реализуются через ботов на прикладном уровне L7 (Application level) по классификации OSI. Считается, что такие DDoS-атаки максимально близко имитируют поведение «живых» пользователей, поэтому для защиты от реализуемых с их помощью DDoS-атак наиболее эффективным является отсечение ботов от доступа к разделам пользовательских сайтов. Технически данная функция была доступна и ранее, но на уровне корпоративных средств защиты. Это стоило достаточно высоких затрат. Теперь опция защиты от DDoS становится доступной для всех клиентов Yandex Cloud.

Особенности работы механизма Smart Web Security

Как отмечает «Яндекс», новая технология помогает выявлять угрозы с помощью поведенческого анализа пользователей, встроенных алгоритмов машинного обучения и средств интеграции с капча-механизмом Yandex SmartCaptcha. Новый сервис «Яндекса» проводит верификацию запросов и способен отличить обращения пользователей от действий роботов в автоматическом режиме.

Если механизм «Яндекса» при автоматической идентификации убеждается, что перед ним с высокой достоверностью присутствует человек, то сервис обходит вызов капча-опции «Я не робот». Если подключение опции показа капчи все-таки требуется, то пользователю достаточно просто кликнуть на чек-бокс и подтвердить, что он не является роботом. В остальных случаях, когда механизм оценки «Яндекса» показывает высокую вероятность присутствия робота, запускается обработка капчи в полном объеме: на экране появляется «изломленный» текст, а от пользователя требуется ввод показанных слов с клавиатуры.

 

Новый сервис был разработан на основе «Антиробота» – внутренней технологии «Яндекса», которая давно применяется внутри компании для отражения DDoS-атак на ее собственные сервисы, сообщает сам вендор. Интеграция тех же ML-алгоритмов в Smart Web Security позволит вести постоянное дообучение механизма на новых реальных паттернах, перехватываемых «Яндексом» в сегменте легитимного и нелегитимного трафика.

Следует также напомнить, что, по имеющимся данным, исходный код Smart Web Security ранее попал в массовую утечку, которая произошла в январе 2023 года. Тогда в сеть попали 45 Гбайт данных «Яндекса» в открытом виде, в том числе исходные коды его отдельных механизмов и готовящейся функции Smart Web Security. Многие утверждали, что из-за этого «Яндекс» получил тогда не только серьезные репутационные убытки, но и трудности в будущей реализации защиты от DDoS. Яндекс не комментировал необходимость переработки алгоритма выявления роботов, поэтому сейчас нет достоверных сведений, работает ли механизм в его нынешней реализации на «слитом» коде или код претерпел существенные изменения.

Кастомизация Smart Web Security

Можно отметить, что «Яндекс» предоставил не просто механизм Smart Web Security, но также предусмотрел возможность его кастомизации. Типовые опции управления представлены в готовых пресетах, но пользователь может выбирать, например, сложность генерируемых капчей, добиваясь эффективной защиты от интеллектуальных DDoS-атак, когда злоумышленники используют механизм для распознавания.

«Яндекс» не использует для капчей рисунки и фотоснимки, поскольку злоумышленники уже научились достаточно хорошо распознавать и обходить такую защиту. Вместо этого «Яндекс» применяет кастомную генерацию двухсловных последовательностей. Сложность их распознавания увеличивается с ростом количества изломов текста. Впрочем, известно по исследованиям самого «Яндекса», что с ростом количества и степени изломов падает распознаваемость текста не только для роботов, но и для человека. Возможно, поэтому «Яндекс» предоставил выбирать сложность капчей самим владельцам сайтов. Как минимум теперь они смогут экспериментировать с качеством своей защиты.

К сожалению, «Яндекс» не предоставляет возможности для кастомного формирования капчей и оценки результатов их выбора посетителями сайтов. Эта опция могла бы быть полезной самим компаниям – клиентам «Яндекса». Например, 20 лет назад на такой опции Google выстроил проект по оцифровке газетного фонда, благодаря чему удалось оцифровать архив всех газетных публикаций The New York Times с самого первого выпуска в 1851 году. Это было большое культурное достижение. Оно позволило практически бесплатно решить задачу, за которую не бралось ни одно профильное агентство.

С сегодняшнего дня в сервисе SmartCaptcha появятся ряд существенных улучшений. Станет доступен выбор типов проверок для основного челленджа (чек-бокс и слайдер) и для дополнительного челленджа (текст, силуэты, калейдоскоп). Появится возможность настроить уровень сложности проверок, при этом для оценки правильности выбора клиентам станет доступен встроенный мониторинг с различными метриками, например, показы капчи, успешные прохождения капчи, количество успешных validate запросов в API сервиса и т. д. По этим метрикам можно будет оценивать эффективность работы капчи.

Сколько это стоит?

В арсенале конфигуратора пользователя веб-сайта и раньше была опция защиты от DDoS-атак в рамках услуг Advanced Yandex DDoS Protection и Managed Web Application Firewall. Однако цены на эти услуги остаются достаточно высокими. Они ограничивают применение данной опции в основном только для компаний среднего и крупного бизнеса.

 

Достоинство новой функции Smart Web Security состоит в том, что она позволяет активно противодействовать DDoS также и для компаний малого бизнеса, ведущим свой интернет-бизнес через Yandex Cloud. Пока информации о тарифах на эту опцию нет, она предоставляется в режиме Public Preview ограниченному количеству пользователей бесплатно по запросу. Мы попросили ответить «Яндекс» о планах будущей тарификации этой услуги, но, к сожалению, пока не получили ответа.

«Для нас приоритетно не просто обеспечивать высокий уровень безопасности собственной инфраструктуры, а предоставлять готовые сервисы для защиты ИТ-систем клиентов, – отметил Григорий Атрепьев, директор по продуктам в Yandex Cloud. – Smart Web Security – хороший пример, в котором мы применили алгоритмы защиты, разработанные с учетом экспертизы ИБ-специалистов Яндекса».

Что ждать в будущем еще?

В будущем в сервисе для фильтрации трафика появится еще и технология WAF (Web Application Firewall, межсетевой экран для веб-приложений), обещает «Яндекс». Этот инструмент позволит осуществлять фильтрацию трафика и предоставлять сервис Yandex DDoS Protection на уровнях L3 (сетевой) и L4 (транспортный). Владельцы сайтов в Yandex Cloud смогут комплексно работать с безопасностью на уровне сети и на уровне приложений.

«Яндекс» отмечает, что новый сервис Smart Web Security уже нативно интегрирован с другими продуктами его облачной платформы. В частности, можно по кнопке развернуть его в рамках балансировщика нагрузки Yandex Application Load Balancer, использовать Certificate Manager для безопасного хранения и использования TLS-сертификатов. Средствами Cloud Logging и Audit Trails можно использовать логи сервиса Smart Web Security для анализа трафика и событий безопасности. Можно также применять накопленные данные для мониторинга в рамках Yandex Monitoring.

Насколько накладна для «Яндекс» реализация новой функции Smart Web Security?

Согласно обнародованным данным, в настоящее время облачным сервисом Yandex Cloud пользуется более 29 тыс. клиентов. Как уже было отмечено ранее, наиболее нагруженный сценарий поддержки, охватывающий загрузку капчи в виде «ломанного текста», требует передачи трафика в размере 300 Кбайт. Используемые ML-алгоритмы позволяют отсечь не менее 50% от дополнительной проверки, опираясь на поведенческий анализ активности. Благодаря этому для них не требуется загрузка графики капчей. Таким образом, благодаря ИИ и оптимизации процедуры обработки, «Яндекс» обеспечил ограничение повышенной загрузки при реализации DDoS-защиты.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru