13 октября, 2021
«Не думай о секундах свысока» (с). Особенно при защите от шифровальщиков!
Разработка киберзащиты – работа сложная, которая «на первый взгляд, как будто не видна» (с).
Здесь неспроста использованы слова из известного гимна: наши продукты ловят зловредов, блокируют хакерские атаки, обновляют легитимные программы, режут назойливые рекламные баннеры, защищают приватность и многое, МНОГОЕ другое… и всё это происходит незаметно, в фоновом режиме и в бешеном ритме. За секунду KIS на вашем компьютере или умнофоне может проверять тысячи объектов, да так, что при этом можно ставить мировые рекорды по скоростной игре в новый Doom!
За этим бешеным ритмом стоит титаническая работа сотен разработчиков, тысячи(!) человеко-лет исследований и разработки. Даже миллисекунда задержки здесь, там и сям в конце концов снижает общее быстродействие компьютера. А с другой стороны, нужно работать настолько тщательно, чтобы ни одна кибер-тварь не пролезла :)
Недавно я рассказывал о том, как мы порвали всех конкурентов в тестировании 11 популярных продуктов против рансомвары (шифровальщиков) – на сегодня, пожалуй, самой опасной разновидности кибер-зловредства. Как нам удаётся занимать высшие места по качеству защиты и скорости работы? Конечно, высокие технологии, завёрнутые в бескомпромиссность детекта и помноженные на чудеса оптимизации :)
Сейчас мы убедимся в этом на одном показательном примере – оригинальной технологии обнаружения неизвестной рансомвары с помощью умной модели машинного обучения (патентная заявка RU2020128090).
Лучшая защита от кибератак – многоуровневая. Не просто пользоваться разными инструментами защиты от разных разработчиков, но и на разных этапах активности зловреда: проникновения, развёртывания, взаимодействия с командным центром, запуска вредоносной нагрузки. Таким образом мы обнаруживаем самые незаметные аномалии в системе, анализ которых приводит к выявлению принципиально новых кибератак. Это как заблаговременно устроить засаду у банка, который по оперативным данным собираются ограбить.
В борьбе с рансомварой защитные продукты традиционно недооценивают последний этап – этап шифрования данных. Вы спросите – а «не поздно ли пить Боржоми»? Как показал тест (ссылка выше) – поздно для всех продуктов, у которых нет функции отката вредоносной активности. А она есть только у нас и ещё одного жёлтого конкурента :) Обнаружение попытки шифрования – последний шанс схватить зловреда с поличным, выкорчевать его с корнем и вернуть систему в оригинальное состояние!
ОК, а как понять, что происходит рансомварная возня шифрование? Ведь это надо делать очень точно и очень быстро, пока не случилось «мучительно больно».
На самом деле у этого типа шифрования есть отличительные особенности: модифицируется сразу множество файлов, файлы получают специфические имена, используются нестандартные методы доступа к файлам, файлы имеют малую длину строк с последовательностью неслучайных символов и т.д. Наш модуль System Watcher (тот самый, что проактивно защитил наших пользователей от WannaCry и многих других кибератак) отслеживает все файловые изменения на компьютере (что-то вроде истории болезни) и передаёт их характеристики для анализа в математическую модель. В лучших традициях концепции Humachine Intelligence модель проходит нон-стоп дрессировку обучение на выборках характеристик вредоносных и легитимных изменений, что позволяет ей с высокой вероятностью распознать активность неизвестной рансомвары. А зашифрованные файлы будут восстановлены, поскольку для файлов с изменениями от недоверенных процессов создаются резервные копии.
Вот как выглядит сравнение выводов для прототипа системы на (i) чистых файлах и (ii) зашифрованных шифровальщиком Sodin:
У этой технологии есть полезный бонус.
При включении в область проверки доверенных процессов (в том числе системных) мы сможем эффективно защищать и от неизвестной «бестелесной» рансомвары (остальную «бестелесную» малвару мы уже давно ловим). Эти зверьки используют легитимные утилиты (например, PowerShell) для выполнения своих команд. При этом вредоносный код содержится только в оперативной памяти (ни следа на диске!) и тем самым избегает стандартных средств обнаружения «обычных антивирусов».
Вот так, абсолютно не зная «в лицо» рансомвару, сугубо по её вредоносной нагрузке, мы спасаем ваши нервы и бесценные файлы. И как эта непростая технология сказывается на скорости защиты? А никак! Замеры показали, производительность систем не отличается на сколько-нибудь значимую величину.
Сейчас технология проходит тестирование в нашей внутренней инфраструктуре и в следующем году будет готова заступить на боевое дежурство в продуктах.
В общем, не думайте о секундах свысока, потому что наступило время самим понять, что мгновенья раздают кому бесславие, а кому бессмертие, потому что кто-то рядом с вами просто помнит долг. И делает по-настоящему высокотехнологическую продукцию, которая помогает в реальной жизни :)