Új védelmi technológiát vet be a kártevők ellen a Symantec

Rengeteg a fenyegetés

Az online bűnözők stratégiája teljesen megváltozott az utóbbi években. A 2000-es évek elején, az internet robbanásával párhuzamosan még elég volt viszonylag kevés számú kártevőt létrehozniuk, és azokat nagy számban terjeszteni – mindenki emlékszik még a Nimda, Code Red, Storm fenyegetésére, amelyek még a napilapokat és tévés hírműsorokat is foglalkoztatták, ahogy végigsöpörtek a világon, számos intézményt és szolgáltatást megbénítva.

Mára a tömeges támadások helyét  a célzott fenyegetések váltották fel, egy-egy kártevőnek akár ezernyi különféle változata is lehet, amelyek csak tucatnyi vagy annál is kevesebb felhasználót fertőznek meg -  tavaly csak a Symantec 240 millió fenyegetést azonosított, ezek közül néhány csak egy gépen volt megtalálható. Ebben a helyzetben az évtizedek óta használt, szignatúra-alapú védelem a kártevők mennyisége és a frissítések terítésének viszonylagos lassúsága miatt nem segít, de a fekete-fehér listázás is csak részleges megoldást ad, mint ahogy a heurisztikus keresés is.

Megosztott tudás

Már a 2010-es Norton-termékekben is megtalálható volt a Quorum, ennek továbbfejlesztésével jött létre a Ubiquity, amelyet kedden jelentett be a Symantec. A Ubiquity a Quorumhoz hasonlóan a felhasználók százmilliói által szolgáltatott adatokat használja fel arra, hogy megállapítsa egy állományról, veszélyes-e vagy sem. Egy vadonatúj, sehol máshol még nem előforduló szoftver biztosan gyanús: a legvalószínűbb, hogy egy kártevő mutációjáról van szó.

A Symantec elképzelése szerint a biztonsági termékeit használó több százmillió felhasználónál felhalmozott tapasztalatokat egyesítve egy közös tudásbázis jön létre, amelybe folyamatosan bekerülnek a legújabb fájlokkal kapcsolatos információk. A Ubiquity egy hatalmas, folyamatosan frissülő adatbázison alapul, amelyben a fájlok számtalan paramétere szerepel, sokkal több mint a Quorumban: honnan származnak, milyen régiek, ki hozta létre őket, a telepítésükhöz kell-e adminisztrátori jogosultság, alá vannak-e írva, mit csinálnak, gyanúsan viselkednek-e, hozzá akarnak-e férni rendszerfájlokhoz, lelassítják-e a gépet, a forrásuk kapcsolatba hozható-e spammerekkel vagy botnettel, hasonlítanak-e fertőző fájlokhoz, hány gépen találhatók meg, olyan gépeken fordulnak-e elő amely korábban már fertőzött volt, stb.

Hello, itt az idei SYSADMINDAY! Szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt. Melós hónapok után ez egy jó lehetőség, hogy találkozzunk barátokkal, kollégákkal.

A Ubiquity minden állományt "megismer", nem csak a kártevőket, hanem a legális alkalmazásokat is, így vállalati környezetben akár arra is használható, hogy segítségével programfuttatási szabályrendszereket alakítsanak ki és tartassanak be a cégek. A vállalat állítása szerint a Ubiquity segítségével a rendszerellenőrzés is felgyorsul, mivel az ismert, biztosan nem ártalmas állományokat nem kell leellenőrizni.

A Ubiquity nem csodafegyver és nem váltja le azokat a technológiákat és megoldásokat, amiket a Symantec és más cégek eddig is bevetettek a kártevők ellen, vagyis a szignatúra-alapú keresést, a viselkedés-elemzést vagy a heurisztikát. Arra azonban jó lehet a cég szerint, hogy megfékezze a 0-day támadásokat és az új, ismeretlen kártevőket. A Ubiquity technológia a 2011-es Norton védelmi szoftverekben debütált néhány hete, de hamarosan megtalálható lesz a cég több biztonsági megoldásában, köztük a Hosted Endpoint Protectionben és a Web Gatewayben is.