Новая технология антивирусной защиты
от ЗАО "НПП "Информационные технологии в бизнесе",
реализованная в КСЗИ "Панцирь-К" для ОС Windows 2000/XP/2003
Основу предлагаемой и апробированной технологии антивирусной защиты составляет использование механизмов защиты информации от несанкционированного доступа (НСД), в частности механизмов обеспечения замкнутости программной среды и доверительного контроля доступа к ресурсам (контроля доступа к ресурсам субъектов "ПРОЦЕСС").
Основной посыл технологии состоит в том, что именно процесс может нести в себе угрозу вирусной атаки, как следствие, задача антивирусного противодействия в основе своей сводится к задаче контроля запуска и действий процессов на защищаемом компьютере (т.е. к задаче контроля доступа к ресурсам). Это подтверждается соответствующей классификацией процессов, несущих в себе угрозу вирусной атаки:
Несанкционированные (сторонние) процессы. Это процессы, которые не требуются пользователю для выполнения своих служебных обязанностей и могут несанкционированно устанавливаться на компьютер (локально, либо удаленно) с различными целями (в том числе, это и, так называемые, шпионские программы). К этой группе относятся всевозможные троянские программы, черви и т.д.;
Критичные процессы. К ним мы относим те процессы, которые запускаются в системе с привилегированными правами, например, под учетной записью System или root, а также процессы, которые наиболее вероятно могут быть подвержены атакам, в первую очередь, это сетевые службы. Атаки на подобные процессы (как правило, сетевые атаки) наиболее критичны, что связано с возможностью расширения привилегий, в пределе - получения полного управления системой (т.к. ОС не обеспечивает возможности в необходимом объеме устанавливать разграничения прав доступа для пользователя System или root);
Скомпрометированные процессы - процессы, содержащие ошибки (уязвимости), ставшие известными, но еще не устраненные разработчиком, использование которых позволяет осуществить НСД к информации и к ресурсам компьютера;
Процессы, априори обладающие недекларированными (документально не описанными) свойствами. К этой группе мы отнесем процессы, являющиеся средой исполнения (прежде всего, это виртуальные машины, являющиеся средой исполнения для скриптов и апплетов, и офисные приложения, являющиеся средой исполнения для макросов).
Технология реализуется посредством трех механизмов защиты информации от НСД:
1. Обеспечение замкнутости программной среды (разрешается запуск программ только из заданных каталогов на жестком диске, при этом предотвращается какая-либо возможность их несанкционированной модификации). Обеспечивает полное противодействие запуску несанкционированных (сторонних) процессов.
2. Доверительный контроль доступа, в части разграничения прав доступа процессов к ресурсам (в первую очередь, к файловым объектам и к объектам реестра ОС). Позволяет для каждого процесса, который по каким-либо причинам может нести в себе угрозу вирусной атаки, установить собственные права доступа (совместно с правами пользователя, либо эксклюзивно). Обеспечивает:
Возможность запрета модификации системного диска и значимых ветвей реестра ОС всем системным пользователям (в частности, пользователю System), что в принципе предотвращает атаки на расширение привилегий;
Возможность установить собственные разграничения (как к системным ресурсам, так и к данным пользователей) для критичных и скомпрометированных процессов;
Возможность защитить хранящиеся на компьютере данные от действий процессов, априори обладающих недекларированными (документально не описанными) свойствами. Для этого достаточно запретить этим процессам возможность модификации файловых объектов, хранящихся на компьютере (разрешить обработку данных в отдельном файловом объекте, например, каталоге).
3. Доверительный контроль доступа, в части разграничения доступа к маркеру безопасности (SID). Позволяет контролировать процедуру олицетворения (заимствования прав) потоками (процессами) при доступе к ресурсам.
Выявление процесса, обладающего несанкционированными свойствами, а также документа, содержащего вирус, осуществляется с использованием средств аудита данных механизмов защиты.
Основным достоинством данной технологии является решение задачи антивирусной защиты в общем виде (не применительно к конкретным известным вирусам) и минимизация дополнительной загрузки вычислительного ресурса защищаемого компьютера.
Технология внедрена и апробирована в комплексной системе защиты информации (КСЗИ) "Панцирь-К" для ОС Windows 2000/XP/2003.
