Обзор DefenseWall HIPS 3.0



Цель DefenseWall - достижение максимально близкой к 100% защищённости домашних компьютеров и рабочих станций в корпоративных сетях с минимальным вовлечением пользователя либо IT-персонала компаний в процесс защиты. Программа способна сама принимать решения на основании встроенной системы разрешающих и запретительных правил, а также на базе истории появления файлов в системе.

Сертификат AM Test Lab

Номер сертификата: 33

Дата выдачи: 15.08.2010

Срок действия: 15.08.2015

Реестр сертифицированных продуктов »

 

1. Введение

2. Системные требования

3. Установка программы

4. Принципы работы DefenseWall

5. Защита конфиденциальных данных при помощи DefenseWall

6. Настройки DefenseWall

7. Выводы

 

Введение

В данный момент, наибольшую опасность представляют собой вредоносные программы,  распространяемые через интернет. Источниками опасности являются веб-сайты (в том числе и вполне легитимные, подвергшиеся заражению), электронная почта, средства обмена мгновенными сообщениями (ICQ, Skype, MSN и т.д.), мультимедиа, P2P и IRC-клиенты.

Количество новых образцов вредоносных программ растет ужасающими темпами и традиционные средства защиты и классические антивирусные технологии многократно доказали свою неэффективность и бесперспективность, упершись в потолок роста результатов. По результатам теста Anti-Malware на предотвращение заражения компьютеров так называемыми «угрозами нулевого дня», лучший из средств защиты, базирующихся на идеологии «чёрных списков» (в том числе и поведенческих) получил 92 процента. И, судя по всем признакам, это «стеклянный потолок» для подобных программ.

Для блокирования угроз, приходящих от потенциально опасного веба, необходимы новые, инновационные подходы, основанные на контроле поведения процессов в памяти (HIPS, аббревиатура от Host-based Intrusion PreventionSystem). Одной из разновидностей HIPS  является так называемая «песочница» (sandbox), позволяющая полностью изолировать подозрительные приложения на основе предопределённых правил. «Песочница» означает здесь «изолированную среду исполнения с ограниченными правами».

 

Рисунок 1: Главное окно DefenseWall  3.0

Обзор DefenseWall

 

Основные отличием песочницы, на основе которой реализован DefenseWall, от других проактивных методов защиты является практически полное отсутствие всплывающих окон с вопросами пользователю – программа все делает автоматически.  Изолируя среду вокруг потенциальных источников заражения (браузер, мультимедиа, ICQ, E-mail или P2P-клиент и т.д.), мы ограничиваем возможности заражения основной операционной системы. В идеальном варианте, мы можем полностью предотвратить его, если пользователь сам не поддался на методы социальной инженерии (банальный обман) и понимает, по каким принципам работает программа. Также, программа способна блокировать доступ к конфиденциальным данным пользователя (адреса и пароли почты, ICQ, FTP и т.п.) со стороны зловредных приложений. Причём для популярных приложений это делается автоматически.

Редакция DefenseWall Personal Firewall также автоматически блокирует атаки из Интернета на уязвимости в доверенных процессах локального компьютера, защищая от заражения сетевыми червями и хакерских атак.

 

Рисунок 2: Пример блокировки интернет-соединения от недоверенного процесса в DefenseWall

Обзор DefenseWall

 

 

Системные требования

Microsoft Windows 2000/XP/2003/Vista/7 32-бит

Установка программы

DefenseWall 3.0 устанавливается через стандартный «мастер» буквально в несколько кликов.

 

Рисунок 3: Начало установки DefenseWall

Обзор DefenseWall

 

Рисунок 4: Принятие лицензионного соглашения при установке DefenseWall

Обзор DefenseWall

 

Рисунок 5: Выбор пути для установки DefenseWall

Обзор DefenseWall

 

Рисунок 6: DefenseWall успешно установлен, можно перезагружаться

Обзор DefenseWall

 

Принципы работы DefenseWall

DefenseWall разделяет все процессы на доверенные и недоверенные.

Недоверенные –  это все те, что могут служить воротами для инфекции, контактируя с потенциально опасным контентом в интернете. При установке программы, она ищет такие приложения, установленные на жёстком диске компьютера по своей внутренней базе уже известных потенциально опасных программ, и помещает их в список «недоверенные приложения».

 

Рисунок 7: Список недоверенных приложений в DefenseWall

Обзор DefenseWall

 

Также, все исполняемые файлы, созданные недоверенными процессами, помечаются как недоверенные, и этот атрибут сохраняется как при перемещении, так и при копировании файла. При их запуске новый процесс будет помечен как недоверенный. Естественно, что все процессы, порождённые недоверенными, также являются недоверенными.

Для предотвращения заражения DefenseWall имеет набор запретительных (изолирующих) правил внутри драйвера, которые предотвращают опасные манипуляции с файлами на диске и ключами реестра. Изоляции на основе виртуализации в программе не предусмотрена, она сложнее в обслуживании при массированном ежедневном использовании (но проще в программном исполнении).

Ограничение прав внутри песочницы блокирует взаимодействие процессов недоверенной зоны с объектами операционной системы, которые могут привести к заражению системы либо прорыву в зону доверенных процессов. Также, в третьей версии программы контролируются попытки перезагрузки компьютера из недоверенной зоны.

 

Рисунок 8: Обнаружение DefenseWall попытки перезапустить систему из недоверенной зоны

Обзор DefenseWall

 

Если DefenseWall не знает какое-либо приложение, которое должно находится в недоверенной зоне, то его нужно добавить вручную. Для этого можно использовать контекстное меню Windows, кликнуть правой кнопкой на нужном файле, выбрав пункт DefenseWall HIPS и щёлкнув на «Сменить статус на недоверенный». Также можно воспользоваться вкладкой «Недоверенные приложения» главного окна программы, щёлкнув на кнопку добавить и выбрав метод добавления (файл, процесс, папка).

Для запуска недоверенного приложения доверенным, можно использовать контекстное меню Windows, кликнуть правой кнопкой на нужном файле, выбрав пункт DefenseWall HIPS и щёлкнув на пункте «Запустить как доверенное» либо «Сменить статус на доверенный» и запустить. Можно также использовать вкладку «Недоверенные приложения» главного окна программы, использовав кнопки «Как доверенный», «Удалить» или «Вкл./Откл.».

 

Рисунок 9: Управление областью загрузок в DefenseWall

Обзор DefenseWall

 

Для упрощения запуска установщиков легитимных программ, полученных из недоверенных источников (например, скачанных через «недоверенный» браузер) в доверенную зону, используются две методики. Первая из них базируется на цифровых подписях исполняемых модулей и списке уже известных производителей ПО. Если такой исполняемый файл стартует из одной из папок, помеченных как «Зона загрузки», он автоматически будет переведён в доверенную зону. Если же модуль неизвестен программе, то DefenseWall спросит пользователя о том, в какой именно зоне он хотел бы запустить его, в доверенной или недоверенной.

 

Рисунок 10: Контроль запуска установщиков приложений в DefenseWall

Обзор DefenseWall

 

Защита конфиденциальных данных при помощи DefenseWall

Для предотвращения похищения конфиденциальных данных (важных файлов, паролей от почты, FTP, сайтов, cookies браузеров и т.д.) существует два основных подхода.

Первый из них – это «Защищённые файлы», где все объекты файловой системы, перечисленные в данном списке, недоступны для доступа со стороны недоверенных процессов.

 

Рисунок 11: Управление защищенными файлами в DefenseWall

Обзор DefenseWall

 

Второй из них – это инновационная «Защита ресурсов», ассоциируя определённые ресурсы (ветки реестра, файлы и папки) с теми программами, которые их могут эксклюзивно использовать в недоверенной зоне.  DefenseWall может защитить эти ресурсы от доступа со стороны зловредных кодов, пытающихся украсть пароли либо другие важные данные. В самой программе существует список уже известных программ, для которых осуществляется подобная защита автоматически при установке либо DefenseWall, либо самой программы.

 

Рисунок 12: Защита ресурсов программ в DefenseWall

Обзор DefenseWall

 

DefenseWall полностью контролирует съём информации с экрана компьютеров из недоверенной зоны. То есть, если недоверенное приложение захочет получить копию окна, созданного доверенным приложением, то данное действие будет заблокировано. Для определённых недоверенных процессов можно разрешить снятие информации с экрана.

 

Рисунок 13: Исключения в контроле снятия информации с экрана в DefenseWall

Обзор DefenseWall

 

Защита от всевозможных кейлоггеров также присутствует, как от тех, которые работают через установку оконных перехватов, так и снимающие информацию через обращения к клавиатуре. К сожалению, некоторые технологии, присущие кейлоггерам, встречаются и в легитимных приложениях, в таком случае DefenseWall не блокирует их работу, но информирует пользователя о факте присутствия опроса клавиатуры процессом.

 

Рисунок 14: Извещение о подозрении на кейлоггер в DefenseWall

Обзор DefenseWall

 

В редакции DefenseWall Personal Firewall программы присутствует полноценный контроль сетевых подключений, как снаружи, так и изнутри. Компонента контроля подключений процессов к Интернету предупреждает пользователя в случае, если неизвестный недоверенный процесс пытается подключиться к сети. Этим блокируется работа локальных агентов ботнетов. Также, компонентой блокируются атаки из недоверенной зоны на «хорошо известные» порты (например, 445 и 139), что позволяет защищаться от сетевых червяков, проникших за периметр безопасности.

 

Рисунок 15: Управление списком правил для исходящих соединений в DefenseWall

Обзор DefenseWall

 

Компонента защиты от внешних подключений блокирует «слушающие» порты, принадлежащие «доверенным» процессам, полностью защищая пользователей от сетевых червей и хакерских атак из Интернета (в условиях загрузки под «доменным контроллером», все необходимые порты открываются автоматически). Если же пользователю необходимо открыть какой-либо порт вручную, то программа предоставляет такую возможность.

 

Рисунок 16: Контроль входящих подключений в DefenseWall

Обзор DefenseWall

 

Самое главное в этой системе контроля Сети то, что она может быть настроена на полностью автоматическое принятие решений, что выгодно отличает её от всех остальных решений в этой области для работы в корпоративном окружении. «Настроил и забыл», что может быть проще?

Настройки DefenseWall

Настройки программы делятся на две части: встроенные, автоматически устанавливаемые списки и ручные настройки.

Автоматические списки позволяют провести предустановку правил для приложений, которые известны DefenseWall. Если что-то программа пропустила, это может быть добавлено вручную. Эти списки относятся к группе «недоверенные приложения» и «защита ресурсов».

 

Рисунок 17: Основные настройки в DefenseWall

Обзор DefenseWall

 

DefenseWall позволяет устанавливать извлекаемые устройства недоверенными источниками файлов (по умолчанию включено), считать CD/DVD недоверенными (выключено),  периодически проверять приложения на предмет появления новых из них, присутствующих во внутреннем списке недоверенных (включено), автоматически убирать элементы из списка отката (включено), запускать GUI-процесс при старте Windows (включено), периодически проверять сайт на предмет появления новых версий программы (включено), считать локальные сетевые ресурсы недоверенными (выключено), записывать логии событий (включено), защищать плагинные папки  (включено).

 

Рисунок 18: Дополнительные функции в DefenseWall

Обзор DefenseWall

 

Также можно настроить локальные горячие клавиши для программы, настройки для специального режима онлайн-банкинга, защитить все критические функции, списки  и настройки программы паролем.

 

Рисунок 19: Защита паролем в DefenseWall

Обзор DefenseWall

Выводы

В DefenseWall реализована иная логика работы по сравнению с традиционными средствами защиты конечных точек. Продукт не требует постоянного обновления антивирусных баз или исполняемых модулей для поддержания высокого уровня защиты.

Использование поведенческих методов анализа (HIPS) и изолированного пространства (песочницы, sendbox) позволяет эффективно противостоять любым видам угроз, даже так называемым атакам «нулевого дня».

К недостаткам текущей версии программы можно отнести изначальное требование определенной квалификации от пользователя, которому нужно будет правильно настроить программу и понимать логику ее работы (исключения и разрешения). В противном случае эффект от ее использования может существенным образом снизиться. Также требует доработки интерфейс программы и ее дружественность к пользователю, особенно недостаточно продвинутым в вопросах безопасности.

Автор: Илья Рабинович

Реестр сертифицированных продуктов »

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.