Облачная защита от вирусов

Обновлено: 18.04.2024

Microsoft заявляет, что Windows 10 требуется до 10 секунд для анализа и блокировки неизвестных видов угроз. Облачная технология защищает не только пользователя, который отправил образец анализ, но и других пользователей Защитника Windows

Защитник Windows претерпел серьезные изменения в последних версиях Windows 10. Хотя сторонние вендоры пытаются различными способами указать на слабость системного антивируса, в Microsoft находят все новые поводы для демонстрации преимуществ собственной антивирусной технологии. На этот раз Редмонд опубликовал детальный анализ, который демонстрирует, как происходит блокировка неизвестных вредоносных программ.

Microsoft заявляет, что Windows 10 требуется до 10 секунд для анализа и блокировки файлов, которые могут представлять собой неизвестные виды вредоносного ПО. Облачная технология защиты помогает защитить не только пользователя, который отправил образец на детальное исследование, но и других пользователей Защитника Windows.

Технологический гигант подчеркивает, что облачные методы обнаружения позволяют Защитнику Windows очень быстро и эффективно реагировать на неизвестные вредоносные программы и во время анализа предотвращать возможные вредоносные сценарии на целевых системах.

10-секундный анализ

10-секундный анализ

Как показано на инфографике, когда обнаруживаются подозрительные файлы, они могут быть отправлены на облачный анализ для детальной проверки. Если файл окажется неизвестным, образец будет запрошен для дальнейшего, более глубокого анализа. Клиент, хранящий файл, автоматически загружает этот образец, а облачные системы Microsoft обрабатывают его и проверяют классификаторы машинного обучения.

Затем облако генерирует сигнатуру и отправляет ее клиенту, при этом система Windows 10 блокирует файл и сообщает об этом в облаке, чтобы защитить всех остальных пользователей.

Весь процесс занимает не более 10 секунд, а полная защита предоставляется после включения функций "Облачная защита" и "Автоматическая отправка образцов" в меню "Параметры защиты от вирусов и других угроз" приложения Центр безопасности Защитника Windows.

Параметры защиты от вирусов и других угроз

Когда эти параметры включены, Защитник Windows по умолчанию блокирует подозрительный файл в течение 10 секунд, в это время как отправляет запрос в службу облачной защиты. Администраторы могут настроить Защитник Windows таким образом, чтобы продлить период таймаута до одной минуты, чтобы дать время выполнить более глубокий анализ и применить дополнительные методы для обнаружения новых вредоносных программ.

Данные функции безопасности доступны только в Windows 10 Creators Update. Еще больше улучшений ожидается в сентябре с выходом Fall Creators Update.

Воспользуйтесь полным набором приложений для защиты ваших компьютеров и мобильных устройств от хакерских атак, вредоносных и шпионских программ. Выберите те решения, которые подходят именно вам, – от антивируса до инструментов защиты конфиденциальности и повышения производительности. Вам доступны уникальные возможности:


Нажмите здесь, чтобы ознакомиться с условиями ценообразования, сведениями о раскрытии информации и подробностями предложения.

Награды и достижения

По-настоящему индивидуальная защита

Инструменты защиты конфиденциальности, которые всегда под рукой



Уникальные возможности Kaspersky Security Cloud

Если у хакеров есть адрес вашей электронной почты, они могут добраться до ваших учетных записей Netflix, Facebook и на других сайтах.
Введите в приложении электронный адрес, чтобы проверить, не взломаны ли привязанные к нему аккаунты. Система сообщит, если это так, и выдаст практические рекомендации по решению проблемы.


Если к вашей домашней сети Wi-Fi подключится новое устройство, вы сразу же получите уведомление и сможете заблокировать непрошеного гостя.
Решение можно использовать для контроля устройств умного дома, например термостата, духовки или дверного звонка.


Ведите круглосуточный мониторинг внутренних и внешних жестких дисков, анализируйте отчеты об их производительности, состоянии и температуре.
Если на жестких дисках будут обнаружены проблемы, вы сразу же получите уведомление и сможете скопировать файлы, данные и фотографии."


Приложение покажет, где находится ваш ребенок: определите безопасный периметр и получайте уведомления, если дети его покидают.

GPS tracking & alerts

GPS tracking

Блокируйте доступ к материалам для взрослых и управляйте списком сайтов, которые дети могут посещать только с вашего разрешения.*

alerts

Ограничивайте ежедневное время пользования устройствами и контролируйте доступ детей к играм и приложениям.*

alerts

GPS tracking & alerts

GPS tracking

alerts

alerts

Мнения экспертов


GPS tracking

Используйте одну лицензию, в том числе на отдельные приложения, для защиты до 9 пользователей. **Только в Kaspersky Security Cloud – Family

alerts


GPS tracking

alerts

Часто задаваемые вопросы

Kaspersky Security Cloud – это комплексная защита всех ваших устройств. Решение совместимо с основными операционными системами, в том числе Windows, iOS, macOS и Android, и обеспечивает круглосуточную защиту благодаря продвинутым инструментам безопасности и технологиям, которые мгновенно адаптируются к вашей системе.

Возможности Kaspersky Security Cloud включают защиту от вирусов и программ-вымогателей, менеджер паролей, безопасное соединение, обнаружение утечек данных, мониторинг домашней сети Wi-Fi, проверку жестких дисков и родительский контроль. Вы можете быть уверены, что ваши данные и активность в Сети останутся конфиденциальными.

Вы будете в реальном времени получать уведомления в случае подключения неавторизованных устройств к вашей сети или утечки данных ваших учетных записей. Модель подписки означает, что решение привязано к вашей учетной записи, через которую вы можете менять настройки, где бы вы ни находились.

Kaspersky Security Cloud – это адаптивное решение, которое подстраивается под ваши предпочтения и действия в Сети и обеспечивает круглосуточную персонализированную защиту. В состав решения входят современные технологии защиты:

  • Удостоенный наград антивирус
  • Защита от программ-вымогателей
  • Безопасность мобильных устройств
  • Kaspersky Password Manager
  • Kaspersky Secure Connection (защита до 500 МБ трафика в день)
  • Kaspersky Safe Kids

В чем преимущества Kaspersky Security Cloud – Family? Будут ли члены семьи знать о действиях друг друга в Сети?

Приобретая Kaspersky Security Cloud – Family, вы становитесь владельцем лицензии и можете подключить к своей учетной записи членов семьи и друзей. В этом случае для каждого пользователя создается отдельная учетная запись My Kaspersky, и решение будет подстраиваться уже под их индивидуальные привычки и предпочтения.

Как владелец лицензии вы можете подключить к решению или его отдельным функциям до 9 человек. Члены семьи не могут следить за действиями друг друга, и данные их учетных записей My Kaspersky остаются конфиденциальными.

Выберите защиту, подходящую именно вам

Мы объединили все наши технологии защиты для Android в одном приложении – Kaspersky Internet Security для Android. Это приложение также доступно для пользователей, имеющих лицензию Kaspersky Security Cloud. Все функции Kaspersky Security Cloud для Android теперь доступны в приложении Kaspersky Internet Security для Android. Внимание: Kaspersky Security Cloud для Android больше не поддерживается.

При этом традиционные политики безопасности требуют от нас, чтобы антивирус был запущен на каждой ВМ. Однако ни одно антивирусное решение не обеспечивает 100% защиту. А значит, его тоже можно отключить или не устанавливать вовсе?

Ландшафт: облачная и традиционная инфраструктура

С другой стороны, такая ВМ смотрит в интернет, достаточно кислотную и опасную среду. Рано или поздно блуждающие по нему вредоносы найдут какую-то необновленную библиотеку, незакрытую уязвимость и через эту машину проникнут на другие ВМ, во внутрь корпоративной инфраструктуры. И далеко не во всех случаях движок потеряет свою рабочую функциональность — мы можем просто не заметить его выход из нормального рабочего состояния.

Нужен ли контроль виртуальной машины?

Виртуальные машины подвержены практически полному спектру угроз, от которых могли бы пострадать и традиционные решения. Однако, в отличие от старой парадигмы установки приложений на серверы, сегодня мы можем легко и быстро удалить зараженную ВМ и затем восстановить ее из бэкапа. Такой подход делает виртуальные машины практически неуязвимыми в глазах ряда специалистов.

Давайте разберемся, можно ли полагаться на эту концепцию, — и для этого рассмотрим ряд сценариев.

Вирусы не запустятся в виртуальной среде

Любой современный зловред действительно будет проверять, в какой среде он оказался — на виртуальной машине или реальной железке.

Существует множество способов обнаружения виртуальных машин:

  • VMware and Hyper-V VMs have a (default) MAC address starting with 00-05-69, 00-0c-29, 00-1c-14 or 00-15-5D
  • Записи реестра содержат “VMware” or “esx”
  • Communications bus with embedded “secret” such as “VMXh”
  • Hyper-V: CPUID leaves 0x40000000 — 0x40000006
  • VMware BIOS серийный номер начинается на “VMware-” или “VMW
  • Memory locations of data structures в IDT и ACPI таблицах
  • Benchmarking: discontinuities between ICMP and TCP timestamps, IP ID header values
  • Вспомогательные инструменты: Red Pill, ScoopyNG, VMDetect, virt-what, metasploit/check-vm

Уже давно можно смело говорить об интеллектуальных функциях вирусов. Например, в 2013 году аналитиками Лаборатории Касперского был обнаружен вредонос, который анализировал среду и самостоятельно решал, что запускать — майнер или шифровальщик.

Безусловно, виртуальную машину можно просто развернуть из бэкапа или шаблона — у хорошего администратора всегда есть целые каталоги готовых образов. Однако неграмотная работа с золотыми образами способна подвергнуть опасности всю ИТ-инфраструктуру. Например, если при поднятии ВМ по шаблону задается стандартный логин и пароль, его компрометация (не важно, по какой причине — простой перебор, вредоносный код или утечка) — это угроза всей инфраструктуре. После компрометации одной ВМ почти гарантирована компрометация всех машин в сети, созданных из этого образа. Кстати, это касается и машин, и модных сейчас контейнеров.

Вопрос безопасности золотых образов относится не только к паролям по умолчанию, но и к обновленности используемых библиотек и приложений. Нередки случаи, когда из каталога (или даже из бэкапа) поднимается машина с устаревшими библиотеками и модулями. Ведь на тот момент, когда образ создавался, администратор мог и не знать о каких-то угрозах, а необходимых обновлений просто не существовало. Но при запуске такой ВМ сегодня старая необновленная библиотека с уязвимостями может стать серьезной проблемой.

Важно не забывать обновлять и актуализировать используемые шаблоны, причем делать это заранее. Обновление ВМ в рабочей среде не дает гарантии, что какой-то вирус еще не успел скомпрометировать машину. Устанавливайте обновления своевременно — просто восстановления из бэкапа в большинстве случаев недостаточно.

Не могу обойти вниманием популярные сегодня виртуальные десктопы и VDI. Обычно такой рабочий стол создается автоматически из заранее сконфигурированного шаблона. Как правило, администратор закладывает стандартный пароль для встроенной учетной записи, и все это раскатывается на рабочие места сотрудников. Неприятности в таком золотом образе ведут к поражению целого парка запущенных виртуальных рабочих столов, что автоматически приводит к эпидемии во всей корпоративной среде.

К тому же, пользуясь такой практикой, администраторы не всегда помнят, что также необходимо предотвратить последствия произошедшего, даже если зараженная ВМ была удалена: например, поменять пароли, которые мог угнать вирус, или заблокировать учетную запись.

Одна зараженная ВМ — это не страшно

Пользователи облаков часто надеются, что изолирование процессов сможет защитить их инфраструктуру: например, есть миф, что вредонос не сможет мигрировать с одной виртуальной машины на соседнюю из-за изоляции процессов, памяти и прочего. И этим стереотипом нередко пользуются злоумышленники.

  • Escape to Host
  • Escape to VM
  • Escape to vNet
  • Cloudburst: эксплойт с повреждением памяти, который позволяет гостевой виртуальной машине выполнять вредоносный код на базовом хосте SubVirt, BluePill
  • VMcat, VMChat, VM Drag-n-Sploit
  • VENOM (CVE-2015-3456): уязвимость в коде виртуального дисковода гибких дисков позволяет злоумышленнику убежать от гостевой виртуальной машины и потенциально получить доступ к хосту с выполнение кода
  • SNAFU (XSA-135): выход через ошибки в эмулируемом сетевом адаптере pcnet QEMU.
  • ПО: функции, установленные для облегчения работы между виртуальной машиной и хостом, такие как буфер обмена и общий доступ к файлам.
  • HW: скрытые и боковые каналы благодаря архитектуре процессора. Например. использование скрытых каналов кэш-памяти L2 для кражи небольшого количества данных с совместно установленной виртуальной машины.

Было бы прекрасно, если бы это было правдой.

На демонстрации в режиме реального времени, показанная еще на BlackHat 2017 в Азии, была продемонстрирована атака на облако, включая интерактивные сеансы SSH и потоковое видео между двумя виртуальными машинами.

Исследователи создали высокопроизводительный скрытый канал, который может поддерживать скорость передачи более 45 Кбит/с на Amazon EC2, и даже зашифровали его: этот метод устанавливает сеть TCP внутри кеша и передает данные с использованием SSH.


Помимо самих ВМ, есть ряд уязвимостей у самой среды виртуализации:

  • VMM имеет большую и сложную кодовую базу и, таким образом, обладает потенциально широкой поверхностью атаки.
  • Между 2012-2018 было обнаружено ~170 уязвимостей высокой степени опасности* (CVSS score >7) в Xen (74), KVM (47), VMware ESXi (33), Hyper-V (46) и XenServer (26).
  • Наиболее распространенным источником триггера для атак является Пользовательское пространство гостевой VM, но существуют и другие типы, такие как атаки канала управления (например, API VMM).

Идеальный антивирус: волки целы, овцы сыты

Иными словами, для защиты наших ВМ в облаке нам необходимо специализированное решение, которое:

  • оптимизировано для работы в виртуальных средах;
  • защищает от наиболее актуальных облачных угроз;
  • эффективно расходует ресурсы внутри среды виртуализации и не мешает ее работе;
  • может кастомизироваться под разные политики;
  • учитывает сетевое окружение.

Пару лет назад мы уже описывали наши подходы к выбору антивирусного сервиса для облачных сред. Не будем повторяться и рекомендуем обратиться к этой статье.

Сегодня, как и тогда, при всем богатстве выбора антивирусных решений на нашем рынке есть два вендора, которые имеют в своей линейке специализированные решения для виртуальных сред — TrendMicro и Лаборатория Касперского. Мы как провайдер выбрали решение от Лаборатории Касперского. Причины этого выбора описаны в статье по ссылке выше. Мы понимаем, что кто-то может быть не согласен с нашим мнением — в этом случае рекомендуем рассмотреть альтернативный вариант.

Наш опыт использования антивируса

Сейчас у Лаборатории Касперского есть два специализированных решения — безагентский антивирус и решение на базе легкого агента. Эти решения отличаются по функциональности и принципу работы.


Безагентское решение предназначено только для VMware — у VMware есть специализированный API, который он предоставляет сторонним вендорам. Через этот API в ВМ, где стоит драйвер-перехватчик, передаются файлы для анализа, а программа сама решает, какие из них блокировать. Это решение не требует установки внутрь ВМ какого-либо специфичного софта, что снимает вопрос инсталляции и долгих тестирований на совместимость. Однако такой подход влияет на работу самого антивирусного решения, потому что у него просто связаны руки. Безагентский антивирус может получать данные, анализировать и отдавать вердикт, но не имеет возможности проводить исследования внутри ВМ и применять современные логики. Очевидно, ограниченность функционала сильно перевешивает его плюсы, поэтому он нам не подходит.

В наших облаках мы используем решение для виртуальных сред на базе легкого агента. В этом случае внутрь каждой ВМ устанавливается легкий агент, а вычислительные операции выносятся на специальную машину, которая содержит антивирусный движок. Такая ВМ называется SVM. Легкие агенты внутри ВМ на Linux или Windows служат транспортом, позволяя перехватить файловую операцию, запрос пользователя на доступ к сети или подключаемые им устройства — например, флэш-накопитель — а затем передать эту информацию для анализа на выделенную ВМ.


Объекты анализируются всего на одной ВМ (SVM). Это экономит ресурсы каждой машины, в том числе на проверку золотых образов или других идентичных файлов. Единожды проверив такой золотой образ или файл в рамках всего гипервизора или кластера, повторно тратить ресурсы на эту операцию решение уже не будет, а сразу даст вердикт. Это увеличивает скорость и одновременно с этим сокращает потребление ресурсов. При этом уровень защиты только растет.


Решение работает на базе нескольких компонентов.

Общий и локальный кэш
Общий кэш хранится на SVM. Буквально это таблица с хэшами файлов и их вердиктами. Каждая запись общего кэша представляет уникальный файл. Легкие агенты также используют локальный кэш, который хранится в оперативной памяти VM и содержит записи для каждого отдельного файла. Сочетание этих методов значительно улучшает и оптимизирует тяжелую задачу сканирования файлов.


Сервис, построенный на базе решения от Лаборатории Касперского с легким агентом, позволяет каждому нашему клиенту иметь свои собственные настройки, политики, выделенный карантин и управлять набором ВМ с расставленными легкими агентами выбранным для них способом. Клиент может кастомизировать такие параметры, как глубина сканирования файлов, расположение карантина и прочее.

Благодаря своей функциональности решение:

Не антивирусом единым

Если у вас некорректные настройки и вы сам себе злобный Буратино, антивирус большой пользы не принесет. Поэтому надо помнить, что кроме него существует и ряд best practices, которым мы советуем неукоснительно следовать.

Изоляция от других ВМ
Мы знаем, что интернет — это небезопасная среда, в которую мы погружаем наши ВМ. Стоит сразу предположить, что внутренняя сеть, в которой мы запускаем машины, также небезопасна.
Иными словами, если мы организуем те или иные сетевые связности между нашими ВМ, открываем порты или интерфейсы, надо реально оценивать, насколько это вообще необходимо. В любом случае, откройте только нужные порты и интерфейсы, все остальное лучше закрыть. Так вы минимизируете риск перемещения зловредов внутри виртуальной среды и возникновения эпидемии. При тщательной изоляции ресурсов поражение какой-то одной ВМ не будет источником неприятностей для других.

Бэкап никто не отменял
Регулярное резервное копирование ваших ВМ жизненно необходимо. Это позволит восстановиться не только в случае вирусной эпидемии, но и при обычных технических сбоях. Но стоит помнить, что поднимая машину из бэкапа, нужно проверить актуальность настроек, применяемых политик и наличие последних обновлений.

И напоследок небольшой чек-лист. Первые два пункта не актуальны для клиентов облака, но мы как провайдер всегда их выполняем, поэтому не можем обойти вниманием. Заказчикам рекомендуем начать сразу с третьего.

Информация занимает одно из важнейших мест в жизни нашего общества, поэтому защита информации является неотъемлемой частью ее использования.

Защита информации чаще всего рассматривается в контексте защиты ее носителей. Защита носителей требует сложного и разнообразного программного и аппаратного обеспечения. При существовании множества архитектурных решений носителей, существует такое же множество их защит.

Методы защиты

Вредоносное ПО постоянно совершенствуется, в связи с этим производители антивирусов постоянно обновляют базу уже известных сигнатур (участков кода известного вирусного ПО, по которому это ПО детектируется) или вовсе запрещают модификацию и добавление ПО, а также файлов в критичных местах ЭВМ.

Для борьбы с новыми угрозами используют механизмы эвристического и сигнатурного анализа и проактивные (поведенческие) защиты, которые анализируют ПО в процессе работы и выявляют подозрительные действия. Также часто используется метод проверки контрольных сумм.

Новые методы маскировки

Сейчас начали появляться концептуально новые руткиты, основанные на работе вне операционной системы.

Один из таких методов используется в Boot-руткитах. Они переписывают загрузочную запись (MBR – главная загрузочная запись) и после загрузки BIOS выполняют вредоносный код, и только затем загружается операционная система.

Предыдущая операционная система будет все еще поддерживать существующие в ней ссылки на все устройства и файлы, но почти все, включая аппаратные прерывания, запросы данных и даже системное время будут перехватываться гипервизором, который будет отсылать фальшивые ответы.

Существующие методы защиты

Атаки по времени и по производительности основаны на искажении временных и скоростных характеристик ЭВМ при внедрении гипервизора.

Облачные вычисления и будущее антивирусных систем

С развитием телекоммуникационных систем многие антивирусные компании начали обращать внимание на облачные вычисления [3, 4, 5].


Концепция облачных вычислений заключается в предоставлении конечным пользователям удаленного динамического доступа к услугам, приложениям (включая ОС и различную инфраструктуру) и вычислительным ресурсам различной мощности [Рис. 1][6].

Рисунок 1 – Интернет облако и его пользователи

Облака услуг предоставляют лишь услуги. Обычно пользователи не имеют доступа к широким настройкам облака, данных и конфигураций. Антивирусные системы начинают активно использовать оба типа облаков.

Платформенные облака весьма специализированны и служат, обычно, большим вычислителем и накопителем статистики работы настольных антивирусных систем или базой данных новейших сигнатур. Облака услуг используются для предоставления пользователям возможности загрузки подозрительных файлов в облако и антивирусного анализа без потребления ресурсов ЭВМ пользователя [5].

Организация работы антивируса с облаком

  • Работа с метаданными и хеш-функциями исполняемых файлов. Их анализ в облаке экспертной системой [7];
  • Передача актуальных вирусных сигнатур частыми и маленькими порциями на ЭВМ пользователя [5];
  • Технология SONAR (выставление баллов опасности приложения, по выполняемым им операциям и анализ в облаке) [3].

Недостатки современных облачных антивирусных систем

Современные облачные антивирусы оперируют такими понятиями как метаданные, хеш-функции, рейтинговая система оценки опасности объектов. Все эти подходы не обеспечивают достойный отпор принципиально новому ПО. Они экстенсивно борются с угрозами, лишь наращивая мощность оборудования и ускоряя время реакции на новые эпидемии.


Также серьезной проблемой является работа антивирусных систем в незащищенных средах [Рис. 2.]. По этой причине многие антивирусные средства содержат механизмы защиты целостности, но и сегодня эта проблема является актуальной [8, 9].

Рисунок 2 – Проблемы работы в незащищенных средах

Облачные антивирусные системы сделали лишь маленький шаг в сторону освоения всех возможностей облачных вычислений. Эти шаги призваны снизить потребление пользовательских ресурсов, ускорить обновление вирусных сигнатур [7] и создать экспертную базу современных угроз. Такое решение не станет “серебряной пулей” [10]. Оно не привнесло новых методов борьбы с вредоносным ПО, а лишь модифицировало, и без того уже сильно устаревшие подходы.

Беззащитность перед руткитами с аппаратной виртуализацией

Все подходы, применяемые в работе современных антивирусных систем оказываются беспомощны против руткитов, выполняющихся вне ОС и принципиально нового вредоносного ПО [1, 11].

Вредоносные программы в виде тонкого гипервизора частично или вовсе не используют ресурсов ОС, не инфицируют ее файлы, работают с оборудованием ЭВМ без использования драйверов ОС, то они абсолютно невидимы для современных антивирусных систем, в том числе и облачных.

Облачные вычисления могут решить эту проблему, за счет переноса системы принятия решений об инфицировании в защищенную среду облака.

Облачный антивирус с защищенной средой исполнения

Облако применяется при серьезных вычислениях для снижения нагрузки на клиентов. В антивирусных системах оно служит быстрым каналом распространения новых антивирусных баз, а так же накопителем известных угроз.

Можно пойти дальше и сделать все облако одной большой антивирусной средой. В этом случае на ЭВМ пользователей будут располагаться лишь клиенты, работающие в роли датчиков. Они циклически будут снимать показания характеристик клиентских ЭВМ, и отсылать их в облако. В облаке будет проводиться статистический подсчет изменений характеристик пользовательских ЭВМ. В таком случае, при инфицировании пользователя новым вирусом, облако занесет искаженные показания характеристик ЭВМ в свою базу данных, а экспертная система сделает вывод о зараженности ЭВМ. Если же ЭВМ пользователя подключена к сети, но при этом отсутствует связь с клиентом антивирусной системы, то эта ЭВМ считается скомпрометированной, и следует принять меры по выявлению и обезвреживанию вредоносного ПО.

Главным, и самым сложным, в таком подходе будет выявление характеристик ЭВМ, которые искажаются при внедрении вредоносного ПО в ЭВМ пользователя, и безопасная передача их в облачный вычислитель.

Такой подход позволит гораздо быстрее реагировать на новые угрозы, потому что существует всего один узел, принимающий решение. Это позволит избегать эпидемий, которые сейчас приобретают все более массовый характер.

Концепция создания защищенной среды исполнения

В жизни создание настоящей защищенной среды необходимо различным государственным и военным ведомствам. Особенно если они имеют дело с государственной тайной, от их работы зависит безопасность страны.
В остальных областях использования ЭВМ такой режим почти не используется в виду его дороговизны и пониженной гибкости.

Очень много аппаратных и программных решений на современном рынке не могут обеспечить защищенную среду выполнения, поэтому программы приобретают защитные механизмы: контроля целостности, антиотладочные приемы, упаковка и обсфукация (запись мусорного кода в исполняемый модуль, с целью усложнить изучение ПО).

Под защищенной средой следует понимать сбор информации, анализ и принятие решения об инфицировании клиентской ЭВМ в среде, которая находится вне зоны сбора информации. Эта среда имеет большую надежность и управляемость, по сравнению с клиентской ЭВМ, и не может быть скомпрометирована вследствие инфицирования клиентской ЭВМ.

Создание защищенной среды выполнения требует серьезных материальных и ресурсных затрат, а также серьезного усложнения программного обеспечения. Когда данные не являются государственной тайной, считается, что защита будет эффективной, если на ее преодоление потребуется больше средств, чем стоят сами данные. Поэтому всегда необходимо находить компромиссы, позволяющие за приемлемую стоимость получать достаточно надежные программные или аппаратные решения.

Оценка защищенности и эффективности предлагаемого решения

Клиентская ЭВМ может быть скомпрометирована, но облако останется в работающем состоянии, потому что от клиента облако получает только данные для ведения статистики и расчетов, обратно может отсылаться любая необходимая информация.

В таком случае из строя может выйти лишь клиентская часть, облачный вычислитель остается работоспособным в не зависимости от состояния клиентских ЭВМ.

  • По производительности. Все вычислительные операции переносятся в облако, тем самым снижая нагрузку на ЭВМ пользователя;
  • По латентности. Скорость обнаружения новых угроз и оповещения доступных клиентов о новой опасности увеличивается;
  • По защищенности. Облако не может быть скомпрометировано клиентом, поэтому база угроз будет всегда актуальна и цела;
  • По актуальности. Экспертная система при решении о заражении принимает во внимание все данные собранные с клиентских ЭВМ. Появляются более широкие возможности анализа, чем у подхода с выявлением сигнатур.
  • По внедрению новых решений. Новые методы обнаружения и обезвреживания вирусных угроз в первую очередь будут внедряться в облако, тем самым уменьшая влияние на принятие решений при устаревании ПО на ЭВМ клиента.

Выявление характеристик контроля

Актуальным методом обнаружения тонкого гипервизора можно считать контроль состава и характеристик оборудования. Работающий гипервизор, для полного контроля над пользовательской ЭВМ, должен полностью виртуализировать работу с работу ОС с оборудованием. Ввиду многообразия и различий в характеристиках оборудования, тонкий гипервизор должен обладать огромным набором подмодулей работы с оборудованием. При этом можно основываться на том же времени реакции и производительности отдельного оборудования при поиске гипервизора. Естественно весь анализ должен проводиться на безопасной ЭВМ или облаке.

Например, при проверке оперативной памяти пользовательской ЭВМ ее объем уменьшится при работе тонкого гипервизора. Некоторые эксперты по безопасности высказывали мнение, что при проверках подобного рода, гипервизор может выгрузить себя из памяти, тем самым скрыться от антивируса. При таких действиях гипервизора становятся доступны стандартные способы борьбы с вредоносным ПО: сканирование дисков, сигнатурный анализ, анализ загрузочных областей и пр.

Стоит обратить внимание на технологии динамического изменения производительности процессоров, шин, памяти и накопителей информации. В современных переносных ЭВМ существует множество технологий призванных экономить энергопотребление при работе от батарей, снижать шумность и нагрев оборудования. В большинстве случаев эти технологии динамически изменяют производительность ЭВМ для достижения нужного эффекта. В таких случаях интерпретация статистических данных, полученных от клиента, должна быть модифицирована с учетом изменяющейся производительности (ввод поправочных коэффициентов). В данной работе вопросы динамического изменения производительности ЭВМ не рассматриваются, потому что они никак не влияют на демонстрацию представленных подходов и алгоритмов.

Все больше пользователей выводят в публичное облако всю свою ИТ-инфраструктуру. Однако в случае недостаточности антивирусного контроля в инфраструктуре заказчика возникают серьезные кибер-риски. Практика показывает, что до 80% существующих вирусов отлично живут в виртуальной среде. В этом посте расскажем о том, как защитить ИТ-ресурсы в публичном облаке и почему традиционные антивирусы не совсем подходят для этих целей.


Для начала расскажем, как мы подошли к мысли о том, что для публичного облака не подходят привычные инструменты антивирусной защиты и требуются иные подходы к защите ресурсов.

Во-вторых, классический вариант борьбы с кибер-рисками подразумевает установку антивируса и средств управления им на каждую виртуальную машину. Однако при большом числе виртуальных машин такая практика может быть неэффективной и требовать значительных объемов вычислительных ресурсов, тем самым, дополнительно нагружая инфраструктуру заказчика и снижая общую производительность облака. Это стало ключевой предпосылкой для поиска новых подходов к построению эффективной антивирусной защиты виртуальных машин заказчиков.

Кроме того, большинство имеющихся на рынке антивирусных решений не адаптированы для решения задач защиты ИТ-ресурсов в публичной облачной среде. Как правило, они представляют собой тяжеловесные EPP-решения (Endpoint Protection Platforms), которые, к тому же, не дают возможности необходимой кастомизации на стороне клиентов облачного провайдера.

Становится очевидно, что традиционные антивирусные решения плохо подходят для работы в облаке, так как они серьезно нагружают виртуальную инфраструктуру во время обновлений и сканирования, также не имеют необходимых уровней ролевого управления и настроек. Далее подробно разберем, в силу каких причин облако нуждается в новых подходах по антивирусной защите.

Что должен уметь антивирус в публичном облаке

Итак, обратим внимание на специфику работы в виртуальной среде:

Индивидуальные политики безопасности. Каждый клиент в облаке — это отдельная компания, ИТ-отдел которой устанавливает свои политики безопасности. Например, администраторы определяют правила сканирования и расписание антивирусных проверок. Соответственно, каждая организация должна иметь свой центр управления для настройки политик антивируса. При этом задаваемые настройки не должны влиять на других клиентов облака, а провайдер должен иметь возможность удостовериться в том, что, например, обновления антивируса проходят в штатном режиме для всех виртуальных машин клиента.

Организация биллинга и лицензирование. Облачная модель характеризуется гибкостью и предполагает оплату только того объема ИТ-ресурсов, который был использован заказчиком. Если есть необходимость, например, в виду фактора сезонности, то объем ресурсов можно оперативно увеличивать или сокращать — все исходя из текущих потребностей в вычислительных мощностях. Традиционный антивирус не настолько гибок — как правило, клиент покупает лицензию на год на заранее определенное количество серверов или рабочих станций. Пользователи же облака регулярно отключают и подключают дополнительные виртуальные машины в зависимости от своих текущих потребностей — соответственно антивирусные лицензии должны поддерживать такую же модель.

Второй вопрос заключается в том, на что именно будет распространяться лицензия. Традиционный антивирус лицензируется по количеству серверов или рабочих станций. Лицензии по количеству защищаемых виртуальных машин не совсем подходят в рамках облачной модели. Клиент может из имеющихся ресурсов создать любое удобное ему число виртуальных машин, например, пять или десять машин. Это число у большинства клиентов не постоянно, отслеживать его изменение для нас, как провайдера, не представляется возможным. Лицензировать по CPU нет технической возможности: клиенты получают виртуальные процессоры (vCPU), по которым и должно осуществляться лицензирование. Таким образом, новая модель антивирусной защиты должна предполагать возможность определения заказчиком необходимого числа vCPU, на которые он будет получать антивирусные лицензии.

Мы рассмотрели те обязательные критерии, которым должна удовлетворять антивирусная защита в публичном облаке. Далее поделимся собственным опытом по адаптации антивирусного решения для работы в облаке провайдера.

Как можно подружить антивирус и облако

Оно включает в себя единую консоль Kaspersky Security Center. Легкий агент и виртуальные машины безопасности (SVM, Security Virtual Machine) и сервер интеграции KSC.

После того, как мы изучили архитектуру решения Kaspersky и провели первые тесты совместно с инженерами вендора, встал вопрос по интеграции сервиса в облако. Первое внедрение было выполнено совместными силами на московской площадке облака. И вот, что мы поняли.

Помимо вопросов с поднятием компонентов самого антивирусного решения перед нами встала задача по организации сетевого взаимодействия через создание дополнительных VxLAN. И хотя решение изначально было предназначено для enterprise-клиентов с частными облаками — с помощью инженерной смекалки и технологической гибкости NSX Edge нам удалось решить все задачи, связанные с разделением тенантов и лицензированием.

Мы работали в плотной связке с инженерами Kaspersky. Так, в процессе анализа архитектуры решения в части сетевого взаимодействия между компонентами системы было установлено, что, помимо доступа от легких агентов к SVM, также необходима обратная связь – от SVM к легким агентам. Данная сетевая связанность невозможна в multitenant-среде ввиду возможности существования идентичных сетевых настроек виртуальных машин в разных тенантах облака. Поэтому по нашей просьбе коллегами из вендора был переработан механизм сетевого взаимодействия между легким агентом и SVM в части исключения необходимости сетевой связанности от SVM к легким агентам.

После того, как решение было развернуто и протестировано на московской площадке облака, мы растиражировали его на остальные площадки, включая аттестованный сегмент облака. Cейчас сервис доступен во всех регионах страны.

Архитектура ИБ-решения в рамках нового подхода

Общая схема работы антивирусного решения в публичной облачной среде выглядит следующим образом:

Опишем особенности работы отдельных элементов решения в облаке:

• Единая консоль, которая позволяет клиентам централизованно управлять системой защиты: запускать проверки, контролировать обновления и наблюдать за карантинными зонами. Есть возможность настраивать индивидуальные политики безопасности в рамках своего сегмента.

• Security Virtual Machine. Всеми ресурсоемкими задачами (обновлениями антивирусных баз, проверками по расписанию) занимается отдельная Security Virtual Machine (SVM). Она отвечает за работу полновесного антивирусного движка и баз к нему. ИТ-инфраструктура компании может включать несколько SVM. Такой подход повышает надежность системы — если какая-то машина выходит из строя и не отвечает на протяжении тридцати секунд, агенты автоматически начинают искать другую.

• Сервер интеграции KSC. Один из компонентов главного KSC, который назначает в соответствии с заданным в его настройках алгоритмом, легким агентам свои SVM, а также контролирует доступность SVM. Таким образом данный программный модуль обеспечивает балансировку нагрузки на все SVM облачной инфраструктуры.

Алгоритм работы в облаке: снижение нагрузки на инфраструктуру

В целом алгоритм работы антивируса можно представить следующим образом. Агент обращается к файлу на виртуальной машине и проверяет его. Результат проверки сохраняется в общей централизованной базе вердиктов SVM (она называется Shared Cache), каждая запись в которой идентифицирует уникальный образец файла. Такой подход позволяет следить, чтобы один и тот же файл не проверялся несколько раз подряд (например, если его открыли на разных виртуальных машинах). Файл сканируется повторно только в том случае, если в него внесли изменения или проверка была запущена вручную.



Реализация антивирусного решения в облаке провайдера

На изображении представлена общая схема реализации решения в облаке. В управляющей зоне облака развернут главный Kaspersky Security Center, а на каждом ESXi-хосте при помощи сервера интеграции KSC развернута индивидуальная SVM (к каждому ESXi-хосту специальными настройками на VMware vCenter Server привязан свой SVM). Клиенты работают в своих сегментах облака, где размещаются виртуальные машины с агентами. Управляются они через индивидуальные KSC-серверы, подчиненные главному KSC. В случае необходимости защиты небольшого количества виртуальных машин (до 5) клиенту может предоставляться доступ к виртуальной консоли специального выделенного сервера KSC. Сетевое взаимодействие между клиентскими KSС и главным KSC, а также легкими агентами и SVM осуществляется при помощи NAT через клиентские виртуальные маршрутизаторы EdgeGW.

По нашим оценкам и результатам тестов коллег в вендоре, Легкий агент снижает нагрузку на виртуальную инфраструктуру клиентов примерно на 25% (если сравнивать с системой, использующей традиционное антивирусное ПО). В частности, стандартный антивирус Kaspersky Endpoint Security (KES) для физических сред расходует почти в два раза больше процессорного времени сервера (2,95%), чем решение для виртуализации на базе легких агентов (1,67%).


График сравнения нагрузки на процессор

Похожая ситуация наблюдается с частотой обращений к диску по записи: для классического антивируса она составляет 1011 IOPS, для облачного антивируса — 671 IOPS.



График сравнения частоты обращений к диску

Выигрыш по производительности позволяет поддерживать стабильность инфраструктуры и эффективнее использовать вычислительные мощности. За счет адаптации для работы в публичной облачной среде решение не снижает производительности облака: оно осуществляет централизованную проверку файлов и загрузку обновлений, распределяя нагрузку. Это значит, что, с одной стороны, не будут пропущены актуальные для облачной инфраструктуры угрозы, с другой — в среднем на 25% снизятся требования к ресурсам виртуальных машин по сравнению с традиционным антивирусом.

По функциональности оба решения сильно напоминают друг друга: ниже приведена сравнительная таблица. Однако в облаке, как показывают приведенные выше результаты тестирований, все же оптимальнее использовать решение для виртуальных сред.


Про тарификацию в рамках нового подхода. Мы приняли решение использовать модель, которая позволяет получать лицензии по количеству vCPU. Это значит, что число лицензий будет равно числу vCPU. Антивирус можно протестировать, оставив заявку на сайте.

В следующем материале по облачной тематике мы расскажем об эволюции облачных WAF и том, что лучше выбрать: железо, ПО или облако.

Читайте также: