Автор Тема: 5 уровней защиты решений от Symantec  (Прочитано 2284 раз)

0 Пользователей и 1 Гость просматривают эту тему.


  • Владелец сайта
  • Гл. Администратор
  • *****
  • ru

<---Информация--->

  • Сообщений: 53901
  • Регистрация: 29-03-2010
  • Возраст: 53
  • Расположение: Крым
  • Спасибо за пост:
  • -Сказал(а) спасибо: 43878
  • -Поблагодарили: 87344
  • Награды За 50 000 сообщений За искрометный юмор Тем, кто привел пользователей на наш форум За активность в разделе Кулинария За активность в разделе Музыка За активность в разделах Книги и Аудио-книги За активность в разделе Киноиндустрия За активность в разделе Софт За активность в разделе Игры Ключнику форума Новостнику форума Главному Админу
    • Награды
5 уровней защиты решений от Symantec


Пять уровней защиты решений Symantec - это сетевая защита, поведенческий анализатор, репутационный сервис и восстановление. В серии статей мы подробнее расскажем о каждом из них


Технология Безопасности и Реагирования (сокращенно: STAR - Security Technology and Response), осуществляет контроль исследований и разработок всех технологий защиты от вредоносных программ, внутри компании Symantec. Именно эти технологии формируют основные возможности продуктов защиты Symantec как для корпоративных (Symantec Endpoint Protection), так и для домашних пользователей (Norton Antivirus, Norton Internet Security и Norton 360).
Организация STAR, включающая в себя отдел Security Response, представляет собой команду инженеров, аналитиков и исследователей вредоносного ПО со всего мира. Именно они обеспечивают продукты основным функционалом, а также оказывают поддержку корпоративным клиентам и обычным пользователям. При помощи центров быстрого Реагирования, расположенных по всему миру, STAR обрабатывает отчеты о вредоносном коде более чем с 130 миллионов систем, подключенных к сети Интернет; получает данные от 240,000 сетевых сенсоров, расположенных более чем в 200 странах, и отслеживает более 25,000 уязвимостей, которые касаются более 55,000 технологий 8,000 с лишним вендоров. Команда использует эту огромнейшую базу для создания и предоставления конечным пользователям наиболее продвинутую защиту от угроз. В настоящее время в проекте STAR задействовано 550 сотрудников.
Несколько лет назад, традиционных антивирусных технологий было вполне достаточно, чтобы защитить конечного пользователя. Однако в связи с существенным изменением угроз за последние несколько лет, разумно предположить, что подобных методов становится недостаточно, а технологии несовершенны. Для решения этой проблемы, STAR разработало совмещенные «экосистемы» технологий безопасности для защиты пользователей Symantec от вредоносных атак.

Основные направления технологий защиты

- Остановка загрузок методом drive-by, остановка веб-атак;
- Предотвращение атак типа «Социальной инженерии»: удаление FakeAV (поддельных антивирусов) и кодеков;
- Предотвращение Non-Process and Injected Threats (NPT);
- Блокировка направленных атак, включая Advanced Persistent Threats (APT), троянские программы и общие угрозы Нулевого дня;
- Предотвращение заражения, в результате обхода загрузкой drive-by других уровней защиты;
- Удаление вредоносного ПО, использующего руткит-технологии.
Экосистема состоит из следующих пяти областей:
- Файловая защита по-прежнему играет важную роль в защите системы, в связи с инновациями в статической файловой эвристике;
- Сетевая защита может определять случаи, когда как известные, так и неизвестные уязвимости используется для входа в систему пользователя;
- Поведенческий анализатор рассматривает динамику поведения вредоносной активности, при этом исключая статические характеристики программы;
- Репутационный сервис определяет общие сведения о файле: его возраст, происхождение, путь, его местонахождение и т.д.
- Восстановление представляет собой набор технологий, которые помогают очистить зараженную систему.


Используясь совместно, каждая технология способна работать более эффективно и более точно определять, является ли ситуация вредоносной или нет. Поскольку каждая технология анализирует атрибуты каждого процесса или файла, она отправляет полученную информацию другой технологии. К примеру, сетевая технология защиты способна определить происхождение загруженного веб-файла, и таким образом, передать эту информацию другим технологиям.


[Ссылки могут видеть только зарегистрированные пользователи. ]


  • Владелец сайта
  • Гл. Администратор
  • *****
  • ru

<---Информация--->

  • Сообщений: 53901
  • Регистрация: 29-03-2010
  • Возраст: 53
  • Расположение: Крым
  • Спасибо за пост:
  • -Сказал(а) спасибо: 43878
  • -Поблагодарили: 87344
  • Награды За 50 000 сообщений За искрометный юмор Тем, кто привел пользователей на наш форум За активность в разделе Кулинария За активность в разделе Музыка За активность в разделах Книги и Аудио-книги За активность в разделе Киноиндустрия За активность в разделе Софт За активность в разделе Игры Ключнику форума Новостнику форума Главному Админу
    • Награды
Re: 5 уровней защиты решений от Symantec
« Ответ #1 : 30-11-2013, 17:42 »
Файловая защита - первый уровень защиты Symantec

Файловая защита антивирусных решений компании Symantec является набором технологий, которые предоставляют многочисленные методы выявления известных и неизвестных угроз. Рассмотрим основные направления файловой защиты и ее формирующие ее компоненты

Существует распространенное заблуждение о том, что работа антивирусных сканеров заключается именно в поиске файлов по базам, чтобы определить, является ли файл хорошим или нет. На самом деле, современные антивирусные решения выходят далеко за рамки сопоставления файлов с сигнатурами: применяют общие и эвристические методы обнаружения угроз.
Фактически, лучшие антивирусные движки предоставляют многочисленные методы выявления известных и неизвестных угроз. Файловая защита продуктов компании Symantec, является именно одной из таких технологий.


Файловая защита имеет довольно продолжительную историю, почти как один из краеугольных камней нашей технологии защиты. STAR продолжает инвестировать и развивать файловую защиту антивирусных решений Symantec, чтобы в компании могли обладать повышенными наработками на широком поле интернет-угроз. Наличие зараженных файлов на машине пользователя, является основным методом сохранения существования зловреда после первоначального заражения.

Для предотвращения подобного и существует файловая защита: именно она играет важную роль в выявлении, нейтрализации и удаления угроз с компьютеров наших клиентов. Основными направлениями защиты, которые обеспечивает наша файловая технология, являются:

• Вредоносные программы и вирусы;
• Направленные атаки, включая Advanced Persistent Threats (APT), троянские программы и общие угрозы Нулевого дня;
• Атаки типа «Социальной инженерии»: FakeAV (поддельные антивирусы) и кодеки;
• Боты и ботнеты;
• Руткиты;
• Вредоносные PDF-файлы и документы Microsoft Office (Powerpoint, Excel, Word);
• Вредоносные файлы в архивах;
• Программы-шпионы и Adware;
• Кейлоггеры.

Для того, чтобы противостоять этим угрозам, четыре различных компонента формируют основу нашей файловой защиты: Антивирусное ядро, Автоматическая защита, движок ERASER, а также наши эвристические методы: Malheur и Bloodhound.

Антивирусное ядро

Уникальный сканирующий движок Symantec, развернут более чем на 350 миллионах машин. Это стабильный, высокопроизводительный движок, обеспечивающий безопасность от последних угроз. Движок часто обновляется при помощи LiveUpdate, что позволяет беспрепятственно реагировать на новейшие угрозы. Это позволяет нам актуализировать обнаружающую способность нашего продукта без требования полного обновления.

Автоматическая защита

Файловый сканер Symanteс, обнаруживает угрозы в файловой системе в режиме реального времени. Сделанная на уровне ядра, Автоматическая защита является высокопроизводительным сканирующим движком, который защищает пользователя от новейших угроз, при этом не мешая ему. При записывании файлов на жесткий диск, срабатывает Автоматическая защита и ее компоненты: антивирус и движки Malheur и Bloodhound. Работая на низком уровне, Автоматическая защита позволяет заблокировать инфицированный файл до его запуска- прежде, чем он сможет заразить систему. Помимо защиты файлов, Автоматическая защита обеспечивает ключевую функциональность Download Inside- части нашей передовой технологии анализа репутации файлов.

Движок ERASER

Движок ERASER компании Symantec обеспечивает возможность ремонта и устранения угроз, найденных в системе пользователя. ERASER также отвечает за проверку драйверов и приложений при загрузке, чтобы исключить их зловредность. Чтобы убедиться в том, что наш продукт не «обманывается» руткитами или другим вредоносным ПО, ERASER имеет функционал прямого доступа к реестру и диску.

Malheur и Bloodhound

В дополнение к сигнатурному методу обнаружения, мы снабжаем продукт технологиями, которые могут «осудить» файл еще до того, как он был впервые обнаружен, если он обладает характеристиками зловреда. Защита на базе эвристики реализована в наших технологиях Malheur и Bloodhound. Эвристические сигнатуры способны определить неизвестные вредоносные программы на основе атрибута файла, при попытке использовать системные уязвимости, а также на основе общих действий, свойственных зловредным программам.

Подробнее о файловой защите

Каждый из последующих разделов подробно описывает технологии файловой защиты, присущие компонентам, описанным выше.

Широкая поддержка файлов

Сжатые файлы и файлы, находящиеся внутри других- один из примеров среди множества файловых типов, которые могут быть проанализированы на наличие скрытого вредоносного ПО. Неполный перечень доступных для анализа файлов включает в себя:
DOC, .DOT, .PPT, .PPS, .XLA, .XLS, .XLT, .WIZ, .SDW, .VOR, .VSS, .VST, .AC_, .ADP, .APR, .DB, .MSC, .MSI, .MTW, .OPT, .PUB, .SOU, .SPO, .VSD, .WPS, .MSG ZIP, .DOCX, .DOCM, .DOTX, .DOTM, .PPTX, .PPTM, .PPSX, .PPSM, .XLSX, .XLSB, .XLSM, .XLTX, .XLTM, .XLAM, .XPS, .POTX, .POTM, .ODT, .OTT, .STW, .SXW, .eml, .MME, .B64, .MPA, ,AMG, .ARJ, .CAB, .XSN, .GZ, .LHA, .SHS, .RAR, .RFT, .TAR, .DAT, .ACE, .PDF, .TXT, .HQX. .MBOZ, .UUE, .MB3, .AS, .BZ2, .ZIP, .ZIPX

Движок распаковки

В некоторых случаях, вредоносная программа использует «упаковщик», чтобы скрыть свои файлы и избежать попытки обнаружения технологией сопоставления файлов с базами. Наш движок распаковки имеет возможность:

- Распаковывать исполняемые файлы;
- Распознавать сотни семейств пакера;
- Рекурсивно распаковывать файлы, которые были многочисленно упакованы, т.е. до достижения основного вредоносного файла.
Generic Virtual Machine
GVM позволяет коду быть выполненным в изолированной безопасной среде.
- Байт-код на основе систем, таких, как Java или C#, позволяет чрезвычайно быстро производить новые защитные технологии- без зависаний и аварий приложения.
- Применяет экстремально сложную эвристику и «семейные» сигнатуры для зловредов на подобии Trojan.Vundo.
- Проводит все этапы сканирования для нетрадиционных файловых форматов: в т.ч. PDF, DOC, XLS, WMA, JPG и другие.

Анти-полиморфный движок

Включает в себя передовые технологии эмуляции CPU, с целью демаскировки вредоносного ПО.
Анти-руктит технологии
Symantec имеет 3 разные анти-руткит технологии, предназначенные для удаления даже самых упрямых руткитов, наподобие Tidserv и ZeroAccess. Техники включают в себя:
- Прямой доступ к тому диска и прямое сканирование кустов реестра;
- Сканирование памяти ядра.

Движок анти-трояна

Включает в себя технологии хеширования, которые позволяют безостановочно сканировать на наличие миллионов троянов и шпионских программ, делая это буквально за микросекунды времени.
- Находит и извлекает регионы ключевых файлов, которые содержат следы и логику зловредов;
- Обрабатывает криптографические хеш-файлы каждого раздела, и производит их поиск в базе «отпечатков»;

Движок Photon

Использует «размытые» сигнатуры для выявления как известных, так и новых, неизвестных вариантов вредоносных программ.
- Сканирует файлы, одновременно используя сотни тысяч «размытых» сигнатур, кардинально улучшая производительность сканирования;
- «Размытые» сигнатуры позволяют детектировать абсолютно новые вредоносы, практически в момент их появления

Движок расширенной эвристики

- Проводит более десятка различных эвристических поисков на наличие подозрительных характеристик.
- Все подозрительные файлы соотносятся с облаком Symantec и списками доверенных цифровых подписей.
- Движки используют контекст для регулировки эвристической чувствительности; в т.ч. эвристика относится с большим подозрением к только что загруженном файлу, нежели к уже установленному.

[Ссылки могут видеть только зарегистрированные пользователи. ]



  • Владелец сайта
  • Гл. Администратор
  • *****
  • ru

<---Информация--->

  • Сообщений: 53901
  • Регистрация: 29-03-2010
  • Возраст: 53
  • Расположение: Крым
  • Спасибо за пост:
  • -Сказал(а) спасибо: 43878
  • -Поблагодарили: 87344
  • Награды За 50 000 сообщений За искрометный юмор Тем, кто привел пользователей на наш форум За активность в разделе Кулинария За активность в разделе Музыка За активность в разделах Книги и Аудио-книги За активность в разделе Киноиндустрия За активность в разделе Софт За активность в разделе Игры Ключнику форума Новостнику форума Главному Админу
    • Награды
Re: 5 уровней защиты решений от Symantec
« Ответ #2 : 30-11-2013, 17:47 »
Сетевая защита - второй уровень защиты Symantec

Сетевая защита представляет собой набор технологий, призванных блокировать вредоносные атаки до того, как у злоумышленников получится разместить вредоносный файл в системе

В отличии от файловых методов защиты, которые вынуждены ждать создания физического файла на компьютере пользователя, сетевая защита начинает анализировать входящие потоки данных, поступающие на компьютер пользователя через сеть, и блокирует угрозы прежде, чем они попадают в систему.
Основными направлениями сетевой защиты, которые обеспечивают технологии Symantec, являются:
- Загрузки методом drive-by, веб-атаки;
- Атаки типа «Социальной инженерии»: FakeAV (поддельные антивирусы) и кодеки;
- Атаки через социальные сети наподобие Facebook;
- Обнаружение вредоносных программ, руткитов и зараженных ботами систем;
- Защита от усложненных угроз;
- Угрозы Нулевого дня;
- Защита от неисправленных уязвимостей ПО;
- Защита от вредоносных доменов и IP-адресов.


Технологии Сетевой защиты

Уровень "Сетевая защиты" включает в себя 3 различные технологии.

Network Intrusion Prevention Solution (Network IPS)

Технология Network IPS понимает и сканирует более 200 различных протоколов. Он интеллектуально и точно «пробивается» сквозь двоичный и сетевой протокол, попутно ища признаки вредоносного трафика. Этот интеллект позволяет обеспечить более точное сетевое сканирование, при этом обеспечивая надежную защиту. В его «сердце» находится движок блокировки эксплойтов, который обеспечивает открытые уязвимости практически непробиваемой защитой. Уникальной особенностью Symantec IPS является то, что никакой настройки этот компонент не требует. Все его функции работают, как говорится, «из коробки». Каждый пользовательский продукт Norton, а также каждый продукт Symantec Endpoint Protection версии 12.1 и новее, обладают данной критичной технологией, включенной по умолчанию.

Защита Браузера

Этот защитный движок располагается внутри браузера. Он способен обнаруживать наиболее сложные угрозы, которые ни традиционный антивирус, ни Network IPS не способны определить. В наше время, многие сетевые атаки используют методы обфускации во избежание обнаружения. Поскольку Защита Браузера работает внутри браузера, она способна изучать пока еще не скрытый (обфускацированный) код, во время того, как он выполняется. Это позволяет обнаружить и заблокировать атаку, в случае, если она была пропущена на нижних уровнях защиты программы.

Un-Authorized Download Protection (UXP)

Находящаяся внутри слоя сетевой защиты, последняя линия обороны помогает прикрыть и «смягчить» последствия использования неизвестных и неисправленных уязвимостей, без использования сигнатур. Это обеспечивает дополнительный слой защиты от атак Нулевого дня.

Ориентируясь на проблемы

Работая вместе, технологии сетевой защиты решают следующие проблемы.

Загрузки методом Drive-by и наборы инструментов для веб-атак

Используя Network IPS, Защиту Браузера, и UXP-технологию, технологии сетевой защиты компании Symantec блокируют загрузки Drive-by и, фактически, не позволяют зловреду даже достичь системы пользователя. Практикуются различные превентивные методы, включающие использование этих самых технологий, включая технологию Generic Exploit Blocking и инструментарий обнаружения веб-атак. Общий веб-инструментарий обнаружения атак анализирует характеристики распространенной веб-атаки, не зависимо от того, какой именно уязвимости касается эта атака. Это позволяет обеспечить дополнительной защитой новые и неизвестные уязвимости. Самое лучшее в этом типе защиты - это то, что если вредоносный файл смог бы «тихо» заразить систему, он все равно был бы проактивно остановлен и удален из системы: ведь именно это поведение обычно пропускается традиционными антивирусными продуктами. Но Symantec продолжает блокировать десятки миллионов вариантов вредоносного ПО, которое обычно не может быть обнаружено другими способами.

Атаки типа «Социальной инженерии»

Поскольку технологии компании Symantec наблюдают за сетевым трафиком и трафиком браузера во время его передачи, они определяют атаки типа «Социальной инженерии», на подобии FakeAV или поддельных кодеков. Технологии предназначены блокировать подобные атаки до того, как они отобразятся на экране пользователя. Большинство других конкурирующих решений не включает в себя этот мощный потенциал.

Symantec блокирует сотни миллионов подобных атак при помощи технологии защиты от сетевых угроз.

Атаки, нацеленные на социальные медиа-приложения

Социальные медиа-приложения в последнее время стали широко востребованы, поскольку они позволяют мгновенно обмениваться различными сообщениями, интересными видео и информацией с тысячами друзей и пользователей. Широкое распространение и потенциал подобных программ, делают их объектом внимания №1 для хакеров. Некоторые распространенные трюки «взломщиков» включают в себя создание поддельных аккаунтов и рассылку спама.
Технология Symantec IPS способна защитить от подобных методов обмана, зачастую предотвращая их до того, как пользователь успеет кликнуть на них мышкой. Symantec останавливает мошеннические и поддельные URL, приложения и другие методы обмана с помощью технологии защиты от сетевых угроз.

Обнаружение вредоносного ПО, руткитов и зараженных ботами систем

Правда было бы неплохо знать, где именно в сети располагается зараженный компьютер? IPS-решения компании Symantec предоставляют эту возможность, также включая в себя обнаружение и восстановление тех угроз, возможно которым удалось обойти другие слои защиты. Решения компании Symantec обнаруживают вредоносов и ботов, которые пытаются совершить автодозвон или загрузить «обновления», чтобы увеличить свою активность в системе. Это позволяет IT-менеджерам, у которых есть четкий лист систем для проверки, получить гарантию того, что их предприятие находится в безопасности. Полиморфные и сложные скрытые угрозы, использующие методы руткитов наподобие Tidserv, ZeroAccess, Koobface и Zbot, могут быть остановлены и удалены при помощи этого метода.

Защита от «запутанных» угроз

Сегодняшние веб-атаки используют комплексные методы усложнения атак. Browser Protection компании Symantec «сидит» внутри браузера, и может обнаружить очень сложные угрозы, которые зачастую не способны увидеть традиционные методы.

Угрозы «Нулевого дня» и неисправленные уязвимости

Одним из прошлых, добавленных компанией защитных дополнений, является дополнительный слой защиты против угроз «Нулевого дня» и неисправленных уязвимостей. Используя безсигнатурную защиту, программа перехватывает вызовы System API и защищает от загрузок вредоносного ПО. Эта технология называется Un-Authorized Download Protection (UXP). Она является последним рубежом опоры внутри экосистемы защиты от сетевых угроз. Это позволяет продукту «прикрыть» неизвестные и непропатченные уязвимости без использования сигнатур. Эта технология включена по умолчанию, и она находится во всех продуктах, выпущенных с момента дебюта Norton 2010.

Защита от неисправленных уязвимостей в ПО

Вредоносные программы зачастую устанавливаются без ведома пользователя, используя уязвимости в ПО. Сетевая защита компании Symantec предоставляют дополнительный слой защиты, именуемый Generic Exploit Blocking (GEB). Независимо от того, установлены ли последние обновления или нет, GEB «в основном» защищает основные узявимости от эксплуатации. Уязвимости в Oracle Sun Java, Adobe Acrobat Reader, Adobe Flash, Internet Explorer, контролях ActiveX, или QuickTime сейчас повсеместно распространены. Generic Exploit Protection была создана методом «обратного инжиниринга», выяснив, каким образом уявимость могла быть использована в сети, предоставляя при этом специальный патч на сетевом уровне. Одна-единственная GEB или сигнатура уязвимости, способна предоставить защиту от тысяч вариантов зловредов, новых и неизвестных.

Вредоносные IP и блокировка доменов

Сетевая защита компании Symantec также включает в себя возможность блокировки вредоносных доменов и IP-адресов, при этом останавливая вредоносно ПО и трафик от известных вредоносных сайтов. Благодаря тщательному анализу и обновлению базы веб-сайтов отделом STAR, Symantec предоставляет защиту от постоянно меняющихся угроз в режиме реального времени.

Улучшенное сопротивление к Уклонению

Была добавлена поддержка дополнительных кодировок, чтобы улучшить эффективность детекта атак при помощи техник шифрования, таких как base64 и gzip.

Обнаружение сетевого аудита для применения политик использования и идентификации утечки данных

Сетевой IPS может быть использован для идентификации приложений и инструментов, которые могут нарушить корпоративную политику использования , или для предотвращения утечки данных через сеть. Является возможным обнаружить, предупредить или предотвратить трафик на подобии IM, P2P, социальных медиа, или другого «интересного» вида трафика.

STAR Intelligence Communication Protocol

Технология сетевой защиты сама по себе не работает. Движок обменивается данными с другими сервисами защиты при помощи протокола STAR Intelligence Communication (STAR ICB). Движок Network IPS соединяется с движком Symantec Sonar, а затем с движком Внутренней Репутации (Insight Reputation). Это позволяет предоставить более информативную и точную защиту.

[Ссылки могут видеть только зарегистрированные пользователи. ]


  • Владелец сайта
  • Гл. Администратор
  • *****
  • ru

<---Информация--->

  • Сообщений: 53901
  • Регистрация: 29-03-2010
  • Возраст: 53
  • Расположение: Крым
  • Спасибо за пост:
  • -Сказал(а) спасибо: 43878
  • -Поблагодарили: 87344
  • Награды За 50 000 сообщений За искрометный юмор Тем, кто привел пользователей на наш форум За активность в разделе Кулинария За активность в разделе Музыка За активность в разделах Книги и Аудио-книги За активность в разделе Киноиндустрия За активность в разделе Софт За активность в разделе Игры Ключнику форума Новостнику форума Главному Админу
    • Награды
Re: 5 уровней защиты решений от Symantec
« Ответ #3 : 30-11-2013, 17:51 »
SONAR - защита на основе поведения

SONAR - это решение, обеспечивающее защиту от угроз, которая основывается на поведении угроз, а не на их «внешнем виде». SONAR является основным движком защиты на основе поведения антивирусных решений компании Symantec


Продолжение статьи 5 уровней защиты решений от Symantec.
Миллионы пользователей обманом открывают вредоносные программы, маскирующиеся под видеоплееры или антивирусные продукты, которые не предлагают заявленных возможностей, но заражают компьютер пользователя и заставляют его платить за несуществующие функции.

Загрузки методом «Drive-by» и распространенные веб-атаки незаметно заражают пользователей, посещающих популярные сайты. Некоторые программы устанавливают руткиты или внедряют вредоносный код в системные процессы. Современное вредоносное ПО может с легкостью обходить, уже недостаточную для защиты конечного пользователя, файловую защиту.

Почему именно защита на основе поведения?

В 2010 году, Symantec обнаружила более 286 миллионов вариантов вредоносных программ и заблокировала более 3 миллиардов атак. В условиях продолжающегося роста вредоносного ПО и его вариантов, Symantec увидела необходимость в создании инновационного подхода, который позволит предотвратить вредоносные инфекции- автоматически и бесшумно, вне зависимости от того, чем занят пользователь и каким образом вирус проник в его систему. Insight Reputation Technology и поведенческая технология Symantec Online Network for Advanced Response (SONAR) компании Symantec, являются двумя из таких подходов.

Защита на основе поведения является более рентабельной по сравнению с файловой эвристикой, поскольку она одновременно может оценивать большие масштабы программ как опасных, так и не представляющих угрозы.

Защита на основе поведения обеспечивает эффективную и неинвазивную защиту от угроз "нулевого дня". SONAR - это решение, обеспечивающее защиту от угроз, которое основывается на поведении угроз, а не на их «внешний виде». SONAR является основным движком защиты на основе поведения компании Symantec: классифицирующий движок, сделанный на основе искусственного интеллекта, авторских поведенческих сигнатур и поведенческого механизма блокировки на основе политики. Все эти компоненты соединены в одно целое, и они обеспечивают лучшую в индустрии безопасности защиту от угроз.

Основными направлениями защиты, которые обеспечивает поведенческая технология Symantec, являются:
- Направленные атаки, включая Advanced Persistent Threats (APT), троянские программы, шпионское ПО, кейлоггеры и общие угрозы "нулевого дня";
- Загрузки методом drive-by, веб-атаки;
- Атаки типа «Социальной инженерии»: FakeAV (поддельные антивирусы), вредоносные генераторы ключей и кодеки;
- Боты и ботнеты:
- Non-Process and Injected Threats (NPTs)
- Угрозы "нулевого дня";
- Угрозы, пропущенные другими слоями защиты
- Угрозы, использующие технику руткитов.

В каких случаях осуществляется поведенческая защита?

Независимо от того, запускает ли пользователь вредоносное приложение умышленно, или же оно производит автоматическую попытку установки, SONAR блокирует программу в режиме реального времени, после того, как она была запущена и/или пытается внедрить себя в запущенные процессы (технология NPT). Обеспечивая защиту от Hydraq/Aurora, Stuxnet и вредоносного ПО, такого как Tidsrev и ZeroAccess, она зарекомендовала себя как одну из самых важных технологий защиты конечных точек.

Как это работает? Классификационный движок, основанный в области Искусственного Интеллекта

Symantec создала одну из самых больших баз данных поведенческих профилей во всем мире, имея около 1.2 миллиардов экземпляров приложений. Анализируя поведение хороших и плохих файлов, используя метод машинного обучения, Symantec способна создавать профили для приложений, которые еще не были созданы. Опираясь почти на 1400 различных поведенческих атрибутов и богатый контекст, которые компания получает от других компонентов, таких как Insight, IPS, AV-движок, классификация SONAR способна быстро обнаружить вредоносное поведение и принимать меры по остановке вредоносных приложений до того, как они нанесут ущерб. В 2011 году более 586 миллионов исполняемых DLL-файлов и приложений, были проанализированы с помощью технологии SONAR.

Non-process Based Threat Protection

Современные угрозы не всегда являются отдельными исполняемыми файлами. Зачастую, они пытаются скрыться при помощи инъекций в широко известные запущенные процессы, приложения или другие компоненты, тем самым скрывая свою вредоносную деятельность под видом доверенных процессов (к примеру, системных), или же доверенных приложений. В качестве примера, при выполнении вредоносного приложения, оно может внедрить вредоносный код в запущенные процессы, такие как explorer.exe (процесс оболочки Рабочего стола), Iexplorer.exe (браузер Internet Explorer) или зарегистрировать вредоносные компоненты в качестве расширений для подобных приложений. SONAR предотвращает выполнение кода, введенного в целевой процесс, путем классификации источника, пытающегося сделать инъекцию. Он также классифицирует, и при необходимости останавливает вредоносный код, загружаемый в целевой или доверенный процесс.

Политика Поведенческой блокировки

Загрузка методом «Drive-by» работает, используя уязвимости в браузерных плагинах, таких как Adobe Reader, Oracle Sun Java и Adobe Flash. После того, как уязвимость была обнаружена подобной загрузкой, она может использовать уязвимое приложение в своих целях, т.е. для запуска любого другого приложения. Создавая определение политики Поведенческой блокировки, Symantec может блокировать вредоносные поведения, такие как "Adobe Acrobat не должно создавать другие исполняемые файлы" или "этой DLL запрещена инъекция в процесс explorer.exe», тем самым защищая систему. Это может быть описано как блокировка поведения на основе политики и правил. Эти политики/определения SONAR создаются командой Symantec STAR и автоматически задействованы в блокирующем режиме и не требуют управления. Это предотвращает подозрительное поведение «хороших» приложений, и автоматически защищает пользователей.

Сигнатуры Behavioral Policy Enforcement (BPE - поведенческое применение политик)

Возможность развития в соответствии с непрерывно изменяющимися угрозами, является неотъемлемой частью технологий SONAR, поэтому защита продуктов компании Symantec имеет возможность ориентироваться на угрозы даже завтрашнего, еще не наступившего дня. Когда Symantec обнаруживает новое семейство угроз, такие как новые руткиты, трояны, FakeAV или другие типы вредоносных программ, она может создать новые поведенческие сигнатуры для обнаружения подобных семейств угроз, и доставить их вместе с обновлениями. Поэтому, компании совершенно не обязательно обновлять код самого продукта. Это так называемые поведенческие сигнатуры SONAR Enforcement Policy. Эти сигнатуры можно довольно быстро написать, протестировать и доставить пользователю, и именно они дают SONAR «гибкости» и «адаптивности», что позволяет ей дать ответ на некоторые классы возникающих угроз, имея при этом очень низкий уровень ложных срабатываний.

Так как же работают BPE-сигнатуры?

Давайте взглянем на приложение, которое запускается для выполнения.
1) Оно создает определенные компоненты в директории TEMP
2) Добавляет свои записи в реестр
3) Меняет hosts-файл
4) Оно не имеет интерфейса
5) Оно открывает связи на «высоких» портах

Любая из этих форм поведения сама по себе не может быть "плохой", но в целом ее поведенческий профиль расценивается, как плохой. STAR-аналитик создает правило, в котором указывает, что если имеется определенная последовательность поведения исполняемых файлов с определенными характеристиками Репутации Insight, то продукт должен остановить этот процесс и выполнить откат изменений. SONAR умеет создавать виртуальную песочницу вокруг зараженного, но вполне законного приложения и тем самым может предотвратить любые вредоносные действия зараженного приложения, которое способно нанести вред компьютеру пользователя. Это является совершенно новой парадигмой в сфере конечной защиты пользователя. Она работает за счет использования данных, которые показывают действия приложения, а не его внешний вид.

Автоматическое Восстановление вредоносных файлов с помощью песочницы

Защита на основе поведения в режиме реального времени отслеживает и помещает в песочницу приложения, процессы и события во время того, как они происходят. Системные изменения могут быть отменены с целью предотвращения вредоносной активности.

Мониторинг приложений и процессов в режиме реального времени

SONAR отслеживает и защищает более 1400 аспектов всех запущенных приложений, DLL-файлов и процессов, предоставляя защиту в режиме реального времени, по мере их выполнения.

STAR Intelligence Communication Bus

Технология защиты SONAR не работает сама по себе. Движок обменивается данными с другими сервисами защиты при помощи протокола STAR Intelligence Communication (STAR ICB). Движок Сетевой IPS, соединяется с движком Symantec Sonar, а затем с движком Внутренней Репутации (Insight Reputation). Это позволяет предоставить более информативную и точную защиту, какую не может предоставить практически ни один продукт.

[Ссылки могут видеть только зарегистрированные пользователи. ]


  • Владелец сайта
  • Гл. Администратор
  • *****
  • ru

<---Информация--->

  • Сообщений: 53901
  • Регистрация: 29-03-2010
  • Возраст: 53
  • Расположение: Крым
  • Спасибо за пост:
  • -Сказал(а) спасибо: 43878
  • -Поблагодарили: 87344
  • Награды За 50 000 сообщений За искрометный юмор Тем, кто привел пользователей на наш форум За активность в разделе Кулинария За активность в разделе Музыка За активность в разделах Книги и Аудио-книги За активность в разделе Киноиндустрия За активность в разделе Софт За активность в разделе Игры Ключнику форума Новостнику форума Главному Админу
    • Награды
Re: 5 уровней защиты решений от Symantec
« Ответ #4 : 30-11-2013, 17:54 »
Norton Reputation Service - репутационный сервис Symantec

Одним из новейших дополнений к механизмам защиты является технология обнаружения угроз на основе репутации файлов, которая была разработана специальным подразделением Symantec - Security Technology and Response (STAR)



Продолжение статьи 5 уровней защиты решений от Symantec.
Используя данные около 130 миллионов пользователей система Norton Reputation Service узнает, какие приложения являются надежными, а какие подозрительными или даже опасными. Все данные собираются полностью анонимно и используются для автоматической классификации практически любого программного продукта. Эта информация используется всеми продуктами компании Symantec для блокировки вредоносных программ и для идентификации новых надежных приложений.

Проблема: постоянное развитие и изменение угроз

В предыдущие годы сравнительно небольшое число угроз распространялось на миллионы машин. Каждую вредоносную программу можно было ликвидировать антивирусом с соответствующей сигнатурой в базе. Понимая эту ситуацию, киберпреступники изменили технику, и в настоящее время использует различные методы обфускации кода для быстрого изменения вида создаваемых вредоносных программ. Сейчас стало обычным явлением, когда злоумышленники в режиме реального времени разрабатывают отдельный вариант угрозы для каждой жертвы или для группы жертв, что приводит к сотням миллионов новых видов вредоносного ПО каждый год.
Затем эти угрозы распространяются с помощью веб-атак и социальных сетей на целевые компьютеры. Данные Symantec показывают, что большинство современных угроз достигает менее 20 целевых машин. Таким образом, разработчики антивирусных решений не могут традиционным способом узнать о большинстве этих угроз, проанализировать образцы и создать сигнатуру. Когда каждый день появляется более 600000 новых видов угроз (Symantec в прошлом году получила 240 миллионов уникальных образцов вредоносного ПО от защищенных машин пользователей), невозможно создать, протестировать и распространять такой объем традиционных сигнатур для решения проблем.

Решение: защита на основе репутации

Традиционный метод создания сигнатуры подразумевает анализ каждого образца вредоносной программы для разработки защиты. Система репутации Symantec имеет совершенно другой подход. Она не фокусируется только на опасных файлах, а старается классифицировать абсолютно все программные решения: как хорошие, так и плохие. Методика основана на постоянной анонимной телеметрии, данные которой поступают в Symantec каждую секунду со всего мира. Отсылаемые данные помогают Symantec судить о:
- приложениях, установленных на пользовательским машинах (каждое приложение имеет свой уникальный идентификационный номер SHA2);
- какие приложения загружаются с Интернета и из каких источников;
- имеют ли программы цифровые подписи;
- какой возраст у приложений;
- набор других атрибутов;

К этим данным добавляется информация из сети Global Intelligence Network, собственной организации по компьютерной безопасности (Security Response organization), а также информация от вендоров и поставщиков ПО.

Эти данные организованы в крупномасштабную модель, структура которых состоят из ссылок между приложениями и анонимными пользователями. Таким образом, устанавливаются взаимосвязи между всеми приложениями и миллионной аудиторией анонимных пользователей. Затем эта связь «приложение-пользователь» анализируется для присвоения рейтинга безопасности для каждого отдельно взятого приложения. В настоящее время эта система отслеживает более 1,8 миллиарда хороших и плохих файлов, а каждую неделю появляется более 20 миллионов новых файлов.

Особенности

Клиентские и серверные продукты компании Symantec используют данные Norton Reputation Service для повышения эффективности защиты посредством 4-х аспектов:

Превосходная защита

Система репутации вычисляет высокоточные рейтинги для каждого отдельно взятого файла: опасного или надежного. Технология эффективна не только против распространенных вредоносных программ, она также может детектировать самые сложные угрозы – даже тех, которые нацелены на небольшую группу пользователей Интернета. Благодаря этому факту, увеличивается общий уровень обнаружения вредоносного ПО.

Наиболее заметный аспект улучшения защиты за счет внедрения системы репутации можно проследить с помощью функции Download Insight (DI) или компонента Download Advisor (DA), который присутствует в комплексных решениях вендора. DI/DA перехватывает каждый новый исполняемый файл во время скачивания из Интернета. Затем эти модули запрашивают рейтинг в системе Norton Reputation Service. Основываясь на полученной информации DI/DA выполняют одну из трех доступных опций:
- если файл имеет плохую репутацию, он сразу блокируется;
- если файл имеет хорошую репутацию, он может быть запущен;
- если файл еще не получил рейтинг и степень его опасности неизвестна, пользователю выводится оповещение, что безопасность файла не доказана.

Пользователь затем самостоятельно принимает решение, стоит ли использовать данный файл. При корпоративном использовании продуктов Symantec администратор дополнительно может применять различные разрешения для минимизации риска запуска вредоносного ПО.

Предотвращение ложных срабатываний

Два раздельных аспекта технологии способствуют дальнейшему снижению процента ложных срабатываний защиты продуктов Symantec на надежные программные решения.

Во-первых, система Norton Reputation Service формирует рейтинг исходя не из содержимого файла (как традиционная антивирусная технология), а на основе социального элемента «приложение-пользователь». Таким образом, система обеспечивает дополнительное решение, которое сопоставляется с эвристической защитой или поведенческим анализом. Если и эвристика, и система репутации сходятся во мнении, что файл является вредоносным, вероятность ложного срабатывания близка к нулю.

Во-вторых, т.к. система поддерживает накопление информации обо всех исполняемых файлах, эти данные могут быть использованы для формирования решения блокировки. Допустим, есть файл неоднозначного содержания, который присутствует только на двух компьютерах в глобальной сети. Этот файл принесет гораздо меньше вреда, чем другой файл, встречающийся на миллионах машин по всему миру. Применение этих данных при выработке решения приводит к правильным действиям и лучшей защите пользователей.
Улучшенная производительность

Типичная пользовательская машина имеет тысячи файлов, которые практически никогда не меняются и большинство из них, за редким исключением, абсолютно безопасны. Как бы то ни было, т.к. традиционные антивирусы используют сигнатурное обнаружение, они сканирует каждый файл на компьютере для сравнения с вирусными образцами в базе данных. Когда обнаружены новые вредоносные образцы, каждый файл на системе должен быть повторно проверен с обновленными базами сигнатур для исключения вероятности заражения новыми видами вредоносного ПО.

Все это становится очень неэффективным процессом. Защита на основе репутации имеет соответствующий рейтинг абсолютно для всех файлов – плохих и хороших. Значит, продукт с такой технологией может при сканировании находить надежные файлы и «отложить их в сторону», чтобы при повторной проверке они не анализировались, если их содержание не изменялось. Это концепция приводит к значительному сокращению влияния на производительность – до 90 процентов экономии системных ресурсов по сравнению с традиционным сканированием и защитой реального времени.

Применение персонализированных политик

Традиционные антивирусы блокируют известные вредоносные программы двумя путями. Все файлы, которые были признаны опасными удаляются с компьютера, а остальные файлы остаются без изменений. Многие уязвимости, благодаря которым вредоносная программа может остаться в системе остаются без внимания. Рассмотрим новейший образец вредоносного ПО, который был только что создан киберпреступником. Очень вероятно, что антивирусные сигнатуры не смогут обнаружить угрозу, т.к. у вендора еще не было шанса проанализировать содержимое. Вредоносная программа может обойти и другие техники защиты при использовании эксплойтов и определенных поведенческих факторов. Система репутации позволит пользователям и системным администраторам разрешить ситуацию и сделать более обоснованное решение о потенциально опасном содержимом.

Кроме сбора информации о потенциальной опасности файла Norton Reputation Service от Symantec накапливает дополнительные параметры, такие как распространенность и возраст. Эти атрибуты могут быть использованы для реализации соответствующих политик для контроля устанавливаемых программ системным администратором. Например, если в случае с новой угрозой файл не был помечен как вредоносный, но в то же время он был создан недавно, то его установка может быть заблокирована. Приведем еще один пример. Системный администратор может разрешить на компьютерах сотрудников финансового отдела выполнение программ с не менее, чем с 1000 сертифицированными пользователями и возрастом более 2-ух недель. Эти политики позволяют администраторам адаптировать свою защиту под нужды отдельных департаментов для минимизации рисков. Исследование Symantec показывают, что это очень эффективная мера снижения риска заражения вредоносным ПО на предприятии.

[Ссылки могут видеть только зарегистрированные пользователи. ]


  • Владелец сайта
  • Гл. Администратор
  • *****
  • ru

<---Информация--->

  • Сообщений: 53901
  • Регистрация: 29-03-2010
  • Возраст: 53
  • Расположение: Крым
  • Спасибо за пост:
  • -Сказал(а) спасибо: 43878
  • -Поблагодарили: 87344
  • Награды За 50 000 сообщений За искрометный юмор Тем, кто привел пользователей на наш форум За активность в разделе Кулинария За активность в разделе Музыка За активность в разделах Книги и Аудио-книги За активность в разделе Киноиндустрия За активность в разделе Софт За активность в разделе Игры Ключнику форума Новостнику форума Главному Админу
    • Награды
Re: 5 уровней защиты решений от Symantec
« Ответ #5 : 30-11-2013, 17:56 »
Восстановление зараженных компьютеров - пятый уровень защиты Symantec

Основной целью команды Symantec является - не допустить заражения пользовательской машины. Учитывая современную ситуацию с цифровой безопасностью, система все-таки может быть инфицирована


Продолжение статьи 5 уровней защиты решений от Symantec.
Это может произойти в следующих случаях:
- пользователь не установил антивирусное решение до заражения;
- пользователь с просроченной лицензией защиты;
- пользователи, подвергшиеся атакам «нулевого дня».

Технологии восстановления Symantec решают подобные ситуации, предоставляя возможности для очистки инфицированных машин. Основной набор этих технологии уже включен в линейку продуктов компании.
Совсем недавно специалисты вендора разработали коллекцию специализированных утилит для оказания помощи при агрессивном заражении. Эти инструменты включают Norton Power Eraser и Symantec Power Eraser (входящий в набор поддержки Symantec Endpoint).

Особенности данных решений:

Легкий и легко обновляемый движок

Поскольку вредоносные программы постоянно изменяются с целью обхода механизмов обнаружения, данные решения могут быть очень просто обновлены для противостояния угрозам «нулевого дня».

Очистка заражения в полном объеме

В настоящее время вирусы и вредоносные программы могут быть очень сложными и могут состоять из различных модулей (загрузчики, руктиты). Движок Power Eraser настроен для обнаружения и удаления вредоносных элементов путем анализа поведенческих факторов не только самой угрозы, но и загрузчика, с помощью которого она проникла в систему.

Агрессивные методы обнаружения

Движок Power Eraser использует несколько новых эвристических технологий и механизмов анализа данных для обнаружения самого широкого спектра угроз. Среди встроенных техник: эвристический анализ инсталлятора, экран производительности (влияние на системные ресурсы), проверка руткитов, поведенческий анализ, анализ распределения и монитор системных настроек.

[Ссылки могут видеть только зарегистрированные пользователи. ]



  • Супер-Модератор
  • ****
  • ru

<---Информация--->

  • Сообщений: 620
  • Регистрация: 05-01-2013
  • Возраст: 47
  • Расположение: Abatsk
  • Спасибо за пост:
  • -Сказал(а) спасибо: 1925
  • -Поблагодарили: 995
  • skype: machito_42
  • Награды За помощь форуму Новостнику форума Супермодер За 100 сообщений
    • Награды
Re: 5 уровней защиты решений от Symantec
« Ответ #6 : 02-12-2013, 20:05 »
Ооочень полезная инфа, спасибо alexsf  !!"!!

 


* Ваши права в разделе

  • Вы не можете создавать новые темы.
  • Вы не можете отвечать в темах.
  • Вы не можете прикреплять вложения.
  • Вы не можете изменять свои сообщения.