Symantec: újfajta védelem kell a cyberbűnözés ellen

Con Mallon, a Symantec fogyasztói termékekért felelős európai vezetője tartott ma előadást arról, miben másak a 2010-es Norton termékek, mint a korábbiak. A skót származású Mallon igyekezett megértetni hallgatóságával, milyen súlyos helyzetben is vagyunk így, az új évtized előtt: korábban sosem látott mértékben nő a webes fenyegetések száma, minősége. Ennek nagyságrendjét érzékelteti, hogy a Symantec 2008-ban a világon havi átlagban több mint 245 millió támadást hiúsított meg. Mallon szerint, míg New Yorkban átlagosan 3 és fél percenként történik bűncselekmény, addig az Interneten átlagosan mindössze 3 másodperc telik el egy újabb illegális tevékenység megkezdéséig.

A netes bűnözők hamis e-mailekkel, hazug webhelyekkel és reklámokkal szedik rá a gyanútlan áldozatokat, hogy kicsikarják a személyes adatokat, a bankkártya számát. Ráadásul komplett, a valós üzleti élet eszköztárát és módszereit használó iparág épült már rá a bűnözők tevékenységére – az úgynevezett feketegazdaságban értékesítők legjobbjainak „fizetése” megközelíti a legális keretek között dolgozó felsővezetők bérezését.

Quorum – hírnévvel a biztonságért
Miért nem működik már megfelelően az alkalmazások fekete- és a fehérlistás „szétválogatása”? Azért, mert míg a legismertebbek esetén mindkét oldalon egy viszonylag jól kézben tartható felsorolást kapunk, addig a két átmenet (lásd a lenti ábrát) már nem írható le könnyen. Egy ismeretlen, kevesek által használt alkalmazásról nehezen határozható meg pusztán ismertsége alapján, hogy az legitim vagy káros működési mechanizmussal rendelkezik. Jellemzően az új, ritkán használt szoftverek tartoznak ide – ám ezek jelentik a legnagyobb veszélyt, hiszen ezekre – amennyiben ártalmasnak bizonyulnak – nem létezik olyan szignatúra, ami alapján felismerhetőek.

A Norton Internet Security 2010 és a Norton AntiVirus 2010 éppen ezért egy új védelmi modellt, a Quorumot használja az új kártevők észlelésére. A hagyományos – jellemzőkre és magatartásra építő módszereknél – messze eredményesebb a megoldás. A kiberbűnözők annak reményében írják bőszen és írják át az egyedi kártevőket, hogy amíg lehet, átcsússzanak a kártevőjellemzők radarnyalábja alatt. A Quorumnál éppen a fájl egyedisége és megkülönböztető jelei azok, aminek a segítségével ezeket új kártevőként azonosíthatjuk.

A több mint három éven át készült Quorum a fájlokat, az alkalmazásokat és jellemzőik tucatjait (például a korukat, a letöltés forrását, digitális ismertető jegyeiket és elterjedtségüket) követi nyomon. Ezeket a jellemzőket bonyolult algoritmusokkal kombinálva határozzák meg, híres vagy hírhedt-e a fájl. Ha a fájl internetes terjesztése során megváltoznak e jellemzők, a Quorum frissíti a fájl hírnevét. Ez a hírnév különösen fontos, ha új a fájl, kártevőnek tűnik, de a hagyományos védelem valószínűleg nem észleli.

Az AV-Test.org független bevizsgáló laboratórium szerint a Norton 2010 béta „kiváló eredményt” nyújtott a hagyományos észlelési módszerek (heurisztika és a jellemzők), valamint a hagyományos módszerek általi észlelést általában elkerülő, ellenálló aznapi veszélyek dinamikus észlelésének legfrissebb vizsgálatában. Ezt annak köszönheti, hogy míg a régebbi, jól ismert fenyegetéseket szignatúra-alapú ellenőrzéssel ismeri fel, a legújabb, legfrissebb veszélyekre a hírnév-alapú technikát használja.