Новое поколение KAV и KIS

“Лаборатория Касперского” (ЛК) представила информацию о новых версиях своих коробочных продуктов “Антивирус Касперского 2010” (KAV 2010) и Kaspersky Internet Security 2010 (KIS 2010), содержащих ряд принципиальных усовершенствований.

Важным новшеством специалисты ЛК считают реализацию возможности запуска приложений в “песочнице” (Sandbox) — безопасной виртуальной среде с ограниченным доступом к системным ресурсам. В “песочнице” не имитируется, а на самом деле происходит исполнение программы в компьютерной системе, но при этом ее действия контролируются. Как следствие, запущенные в этом режиме приложения не могут причинить вреда другим приложениям и операционной системе. Метод Sandbox интегрирован с системой контроля приложений, имеющейся в продуктах ЛК, и имеет с ней единую технологическую базу. “Песочницу” рекомендуется использовать для запуска неизвестных программ, а также для защиты браузеров, загружающих потенциально опасные веб-страницы.

В версии 2010 домашних продуктов ЛК внедрена технология обновляемых поведенческих сигнатур (Behavior Stream Signature, BSS). Эта технология, как сообщил директор по исследованиям и разработке ЛК Николай Гребенников, призвана преодолеть недостатки эмуляционного эвристического подхода и отслеживающей поведение приложений проактивной защиты на основе драйверов, перехватывающих события в системе. Детектирование с помощью BSS по сути объединяет оба названных выше метода детектирования, оно основано на использовании шаблонов поведения, указывающих на вредоносность программы, и на оперативном обновлении фрагментов перехватывающих драйверов, специально для этого доработанных.

Поведенческие сигнатуры для метода BSS можно обновлять через Интернет, что даёт возможность быстро модифицировать их и пополнять их список. В результате технология BSS, которая является подсистемой модуля проактивной защиты (PDM2), предназначенной для обнаружения угроз на основе анализа их поведения, позволяет находить и блокировать новое вредоносное ПО, сигнатуры кода которого ещё не созданы или пока не добавлены в базы данных, которыми пользуется PDM2. Среди главных преимуществ подсистемы BSS Николай Гребенников выделяет адаптивность к новым угрозам, возможность создавать обобщенные и специфические шаблоны поведения вредоносного кода, поддержку анализа приложений в реальной среде и в режиме реального времени (что обеспечивает защищенность от применяемой вирусописателями технологии эмуляции поведения), использование асинхронных запросов к серверу ЛК (что не замедляет работу защищаемой системы).

В версии 2010 продуктов ЛК для домашних пользователей встроен компонент для детектирования опасных веб-скриптов — скриптовый эмулятор. Как сказал Николай Гребенников, он позволяет находить вредоносные скрипты, написанные на наиболее распространённых языках сценариев JavaScript и VBScript (в том числе с мутировавшими кодами) ещё до их загрузки в интернет-браузер, предотвращая тем самым выполнение нежелательных сценариев. Эмулятор имитирует исполнение кодов в специально созданной безопасной среде (отличной от “песочницы”), благодаря чему, как утверждается разработчиками, детектирование происходит без заметного снижения скорости загрузки веб-страниц. Решение о вредоносности кода принимается на основе анализа его поведения.

В состав KAV 2010 и KIS 2010 введена инструментальная панель, которую пользователи могут применять как подключаемый модуль к браузерам Internet Explorer и Mozilla Firefox. Расположенная на панели пара кнопок позволяют запускать виртуальную клавиатуру и включать режим проверки универсальных указателей интернет-ресурсов (URL) по репутационной базе данных URL. Если режим проверки URL включен, пользователь получает предупреждения при попытках посетить вредоносные и мошеннические сайты, зарегистрированные в репутационной базе. Виртуальная клавиатура блокирует возможность несанкционированного копирования содержания видеопамяти и записи в системный журнал событий, что защищает ввод критических данных (паролей, логинов, другой идентификационной информации) от клавиатурных шпионов и перехватчиков информации с дисплея.

Актуальным расширением модуля контроля приложений в ЛК считают опцию защиты персональных данных. С ее помощью можно регулировать доступ для приложений к отдельным файлам и каталогам. К примеру, можно создать правило, по которому только текстовый редактор сможет получить возможность читать данные из определенного каталога, а результаты своей работы он будет помещать в другой каталог.

Специалисты ЛК обращают внимание компьютерных пользователей на то, что только антивирусной защиты компьютеров сегодня уже явно недостаточно, поэтому как современное средство комплексной защиты они рекомендуют использовать KIS, а KAV годен только как антивирусный компонент в тех системах, где уже установлены другие системы, такие как, защита интернет-каналов, электронной почты и т. д. Продукты ЛК в комплексе, по замыслу их разработчиков, образуют защиту информации от вредоносного кода на четырех стадиях: во время его проникновения в атакуемую систему, при попытках закрепления там, при его запуске и исполнении.

Пользователи продуктов ЛК поколения 2010 могут участвовать в реализованной по облачной технологии системе Kaspersky Security Network (KSN), объединяющей возможности непрерывного распределенного глобального мониторинга угроз, их централизованного анализа с помощью экспертных и технологических ресурсов ЛК, оперативной разработки и распространения средств защиты. KSN позволяет вести автоматизированный сбор информации о попытках заражений и подозрительных файлах, загружаемых и исполняемых на компьютерах участников системы KSN. На основе собираемой информации постоянно обновляется онлайновая база системы немедленного реагирования (UDS), доступная всем пользователям продуктов ЛК еще до создания необходимых сигнатур и обновления антивирусных баз на пользовательских компьютерах. В базе данных системы KSN также поддерживаются “белые” списки (Whitelisting) с информацией о безопасных программах. Они сокращают время проверки пользовательских систем и снижают уровень ложных срабатываний. В результате применения упомянутых выше технологий, по оценкам ЛК, от момента появления ранее неизвестной угрозы на компьютере какого-либо подключенного к KSN пользователя до возможности защититься от нее остальным пользователям бывает достаточно 40 с.

Повышая качество и скорость детектирования вредоносного ПО за счет переноса основной нагрузки на серверы и персонал ЛК, размещая в своих хранилищах основную часть антивирусных баз данных, система KSN снижает нагрузку на пользовательские вычислительные ресурсы. ЛК заявляет о соблюдении строгой конфиденциальности, обещая не собирать не оговоренную в лицензионном договоре и никуда не передавать полученную по договору персональную информацию с компьютеров членов системы KSN. Сообщается, что функцию сбора информации об угрозах со своей системы для KSN пользователь может отключить (и подключить) в любой момент в окне настройки продуктов ЛК.

Появившейся в KAV и KIS игровой пользовательский профиль позволяет при запуске компьютерной игры (или иного внесенного в профиль приложения), не углубляясь всякий раз в настройки этих продуктов и не отключая защиты, оградить работу того или иного приложения в полноэкранном режиме от запуска ресурсоемких задач и от мешающих запросов и уведомлений.

Сильной переработке был подвергнут пользовательский интерфейс продуктов ЛК. К его созданию были привлечены дизайнеры впервые созданной в ЛК специализированной группы по разработке программных интерфейсов. Согласно заявлению Олега Гудилина, руководителя отдела стратегического маркетинга в регионе EEMEA, в новом интерфейсе существенно улучшена эргономика. Отныне в KAV и KIS группируются не средства защиты, а защищаемые объекты. Информация о средствах, которыми защищается та или иная группа объектов, доступна по щелчку мыши, а состояние этих средств отображается в легко воспринимаемом семафорном режиме.

KAV 2010 и KIS 2010 совсем недавно поступили в продажу в Западной Европе (ознакомиться с результатами их первых тестов можно, например, на сайтах http://cascadialabs.com и http:/matousec.com). В России, как обещают менеджеры по продажам из ЛК, они станут доступны в последней декаде августа текущего года. Рекомендованные розничные цены на лицензию с возможностью установки на два компьютера составляют 1200 руб. для KAV и 1600 руб. для KIS.