Защита от вредоносного ПО

  • Article

Одним из вопросов, обсуждаемых довольно часто в связи с Windows 8, является обеспечение того, что Windows — это безопасная и надежная вычислительная среда. Мы всегда предоставляли широкий спектр решений для достижения этих целей и тесно сотрудничали со многими производителями. Мы продолжаем улучшать эти возможности в Windows 8, предоставляя вам выбор и контроль над тем, как можно защитить ваш компьютер и управлять им. В Windows 8 мы расширяем возможности Защитника Windows для борьбы с более широким диапазоном потенциальных угроз. Джейсон Гармс, руководитель группы по обеспечению надежности и безопасности, написал эту статью, которая представляет работу нескольких групп разработчиков. --Стивен

Я счастлив тем, что могу поделиться с вами некоторыми нашими инвестициями в Windows 8 для обеспечения лучшей защиты от постоянно изменяющейся области вредоносного ПО. В этом блоге я расскажу об улучшениях функций предотвращения угроз, которые защищают компьютер от уязвимостей, используемых вредоносным ПО, об улучшениях Защитника Windows для обеспечения защиты в реальном времени от всех категорий вредоносного ПО и об использовании репутации URL-адресов и приложений для защиты от социотехники.

Представление текущей области

Атаки эволюционируют, а вредоносное ПО стало стандартным оружием против всех пользователей Интернета — как на традиционных, так и на мобильных устройствах, таких как планшетные ПК и телефоны. Вредоносные программы нацелены на все операционные системы и браузеры, а за последние годы число атак против приложений значительно выросло.

Преступники также используют социотехнику, чтобы обманом заставить вас выполнить действия, подвергающие вас риску. Все больше стратегий социотехники используют рекламные интернет-кампании, чтобы заманить вас на сайт, устанавливающий вредоносные программы на ваш компьютер.

Целая экономика развилась на основе создания надежных средств эксплуатации уязвимостей, используемых преступниками для распространения своих вредоносных программ. Злоумышленники зарабатывают на вредоносных программах, поэтому они инвестируют средства в их поддержку, например создают большее количество вредоносных программ, чаще их обновляют (например, несколько раз в день), увеличивают их размер и усложняют их. Некоторые вредоносные программы такие же сложные, как и коммерческие приложения.

Безопасная "от природы"

Мы используем Security Development Lifecycle (SDL) для создания Windows в соответствии с лучшими принципами безопасного проектирования, разработки и тестирования. Вот некоторые основные принципы:

  • Моделирование угроз и анализ безопасности. Во время процесса проектирования мы учитываем то, как преступники могут искать способы для атаки, и используем этот анализ в разработках.
  • Написание безопасного кода. Средства обучения и контроля качества кода позволяют предотвратить включение распространенных проблем в исходный код Windows.
  • Тесты на проникновение. Инженеры по безопасности учитывают точку зрения злоумышленника при изучении полного набора функций в сценарии.
  • Анализ безопасности кода. Инженеры безопасности проводят дополнительный анализ кода, ориентированный на безопасность, для критичных компонентов.
  • Средства обеспечения безопасности. Средства постоянно обновляются новейшими сведениями об уязвимостях, что позволяет получить масштабируемое решение для улучшения существующего кода.

Усложнение создания средства эксплуатации уязвимостей для Windows 8

С выходом Windows XP SP2 мы начали создавать средства защиты, называемые способами предотвращения атак, которые усложняют разработку средств эксплуатации уязвимостей безопасности. Каждая следующая версия Windows продолжала улучшать эти способы, так как один способ предотвращения атак может разрушить целый класс средств эксплуатации уязвимостей. В Windows 8 включены улучшенные средства предотвращения атак, которые уменьшают вероятность осуществления распространенных атак. Вот некоторые из этих улучшений:

  • Технология Address Space Layout Randomization (ASLR). Технология ASLR была впервые представлена в Windows Vista, принцип ее работы заключается в случайном перемещении большинства кода и данных в памяти, чтобы они не размещались по одному адресу на всех компьютерах. В Windows 8 мы расширили защиту ASLR для большего числа компонентов Windows и ввели улучшения, такие как большая случайность, позволяющая обойти многие известные способы противодействия ASLR.
  • Ядро Windows. В Windows 8 мы встроили множество способов предотвращения атак в ядро Windows, которые ранее применялись только к пользовательским приложениям. Это улучшает защиту от большинства распространенных типов угроз. Например, теперь мы не позволяем пользовательским процессам выделять нижние 64 КБ памяти процесса, что устраняет возможность эксплуатации целого класса уязвимостей, связанных с разыменованием пустых ссылок. Мы также добавили проверку целостности при выделении памяти пула ядра для предотвращения атак с повреждением пула ядра.
  • Куча Windows. Приложения получают динамически выделяемую память из пользовательской кучи Windows. Значительные изменения кучи Windows 8 улучшают защиту системы за счет новой проверки подлинности, обеспечивающей защиту от многих способов эксплуатации уязвимостей. Кроме того, теперь куча Windows случайным образом меняет порядок выделений, поэтому средства эксплуатации уязвимостей не могут зависеть от предсказуемого расположения объектов (тот же принцип, из-за которого технология ASLR имеет успех). Мы также добавили охранные страницы для определенных типов выделений кучи, что позволяет предотвратить атаки, связанные с переполнением кучи.
  • Internet Explorer. Уязвимости "используйте после бесплатной установки" представляли почти 75 % уязвимостей, зарегистрированных в Internet Explorer за последние два года. Для Windows 8 мы реализовали средства защиты в Internet Explorer для предотвращения создания злоумышленником недопустимой виртуальной таблицы функций, что усложняет реализацию таких атак. Internet Explorer также использует все преимущества технологии ASLR в Windows 8.

Предотвращение попадания вредоносного ПО на компьютер

Эффективная защита от вредоносного ПО важна для любого устройства, подключенного к Интернету, и практически каждый компьютер Windows сейчас оснащен традиционным решением для защиты от вредоносного ПО, хотя часто оно ограничено по времени или является ознакомительной версией.

Через какое-то время после выхода Windows 7 в октябре 2009 г. наши телеметрические данные показали, что почти на всех компьютерах с Windows 7 было установлено современное ПО для защиты от вредоносного ПО. Однако через несколько месяцев тенденция стала спадать от месяца к месяцу, что, скорее всего, указывало на окончание срока действия ознакомительных версий. Через год на 24 % компьютерах с Windows 7 не были установлены обновленные средства защиты от вредоносного ПО. Наши данные также показали, что компьютеры, оказавшиеся без защиты, остаются в таком состоянии в течение длительного времени. А если ПО для защиты от вредоносных программ устарело хотя бы на одну неделю, возможность защиты от новых вредоносных программ значительно ухудшается.

Мы считаем, что все пользователи Windows 8 должны быть защищены традиционным ПО защиты от вредоносных программ, которое обеспечивает эффективный, признанный в отрасли уровень защиты. Существует множество решений для защиты от вредоносных программ, которые будут обновлены для защиты компьютеров с Windows 8, и мы считаем, что большинство производителей персональных компьютеров продолжат поставлять эти компьютеры с установленными решениями для защиты.

Защитник Windows

Если у вас не установлено другое решение, Windows 8 обеспечит вам защиту с помощью значительно улучшенной версии Защитника Windows.

Улучшенная защита от всех видов вредоносных программ. Эти улучшения Защитника Windows помогут вам защититься от всех видов вредоносных программ, в том числе вирусов, червей, ботов и руткитов, с помощью полного набора сигнатур вредоносных программ от Центра Майкрософт по защите от вредоносных программ, регулярно загружаемых Центром обновления Windows с последним модулем защиты от вредоносного ПО Майкрософт. Этот расширенный набор сигнатур значительно улучшен по сравнению с предыдущими версиями, которые содержали только сигнатуры для шпионских программ, программ для показа рекламы и потенциально нежелательного ПО.

Кроме того, теперь Защитник Windows обеспечивает обнаружение вредоносных программ и защиту от них в реальном времени с помощью фильтра файловой системы и взаимодействует с Windows через безопасную загрузку, еще одну новую функцию защиты Windows 8.

При использовании компьютера, поддерживающего безопасную загрузку на основе UEFI (определенную в спецификации UEFI 2.3.1), безопасная загрузка Windows обеспечивает безопасность микропрограммного обеспечения и всех обновлений, а также проверяет, не был ли изменен путь загрузки Windows до драйвера защиты от вредоносных программ. Это происходит за счет загрузки только подписанного и проверенного кода в пути загрузки. Так система гарантирует, что вредоносный код не загружается во время запуска системы или возобновления работы, и позволяет защититься от вирусов, записываемых в загрузочный сектор и системный загрузчик, а также от программ типа "буткит" и "руткит", которые пытаются загрузиться как драйверы.

Такие же интерфейсы безопасной загрузки, используемые Защитником Windows, а также все интерфейсы API, используемые Защитником Windows, доступны нашим партнерам, создателям ПО для защиты от вредоносных программ, что позволяет обеспечить дополнительную защиту пользователей Windows.

  • Улучшенное взаимодействие с пользователями. Мы разработали Защитник Windows так, чтобы он был ненавязчивым при повседневном использовании, и вы заметите его, только когда вам нужно будет выполнить действие или появится важная информация, требующая вашего внимания. Защитник Windows также будет использовать новый планировщик обслуживания Windows 8 для ограничения прерываний в работе.
  • Улучшенная производительность. Традиционныетехнологии защиты от вредоносного ПО ухудшают производительность системы. Часто можно увидеть, что запуск ПО для защиты от вредоносных программ удваивает время, необходимое для базовых сценариев, таких как копирование файлов и загрузка. Как вы прочитали в записи блога на последней неделе, многие из нас работают над улучшением производительности системы, а Защитник Windows значительно улучшает производительность всех ключевых сценариев по сравнению с популярными решениями для защиты от вредоносного ПО в Windows 7, при этом обеспечивая надежную защиту. Например, Защитник Windows с полной защитой добавляет всего 4 % к времени загрузки, значительно сокращая время использования процессора на 75 % во время загрузки, объем дисковых операций ввода-вывода до 50 МБ и пиковую нагрузку до 100 МБ.

Те же улучшения обеспечивают экономичное использование электроэнергии, т. е. Защитник Windows потребляет меньше энергии и продлевает срок работы аккумулятора.

Мы продолжаем работать с партнерами, которые являются производителями решений для защиты от вредоносного ПО, во время разработки Windows 8, поэтому вы получаете наилучшую производительность на компьютере с Windows независимо от того, какое решение защиты вы используете. Мы предоставляем им ресурсы, такие как технические детали об архитектуре улучшений производительности Защитника Windows, чтобы они могли также улучшить свои продукты.

Microsoft SmartScreen для Internet Explorer и теперь для Windows тоже

Традиционное ПО для защиты от вредоносных программ играет важную роль в защите от атак и их устранении. Однако технологии на основе репутации могут обеспечить эффективную защиту от атак социотехники до того, как сигнатуры от подобных угроз станут доступны, особенно от вредоносных программ, притворяющихся легитимными программными продуктами.

Windows 8 защищает вас с помощью технологий на основе репутации при запуске приложений, а также при просмотре сайтов в Internet Explorer.

С момента своего выхода фильтр SmartScreen использовал репутацию URL-адресов для защиты пользователей Internet Explorer от более чем 1,5 миллиарда атак вредоносного ПО и 150 миллионов попыток фишинговых атак. Репутация приложений, новая функция, добавленная в SmartScreen в Internet Explorer 9, предоставляет дополнительный уровень защиты и помогает вам принять более безопасное решение, когда репутации URL-адреса и традиционного решения для защиты от вредоносного ПО недостаточно для предотвращения атаки. Телеметрические данные показывают, что 95 % пользователей Internet Explorer 9 удаляют или не запускают вредоносные программы при отображении предупреждения SmartScreen о репутации приложения.

Мы понимаем, что Internet Explorer — не единственный способ загрузки приложений из Интернета, поэтому теперь Windows использует SmartScreen для проверки репутации приложения при первом запуске приложений, загруженных из Интернета.

В Windows 7 при запуске этих приложений отображается следующее уведомление:

Предупреждение безопасности в Windows 7, сообщающее следующее: "Не удается проверить издателя. Вы действительно хотите запустить эту программу? Выполнить/Отмена; У этого файла отсутствует допустимая цифровая подпись, подтверждающая его издателя..." и т. д.

В Windows 8 фильтр SmartScreen уведомляет вас, только если вы запускаете приложение без известной репутации, представляющее более высокий риск:

Предупреждение безопасности в предварительной версии Windows 8 для разработчиков, сообщающее следующее: "Операционная система Windows защитила ваш компьютер; Windows SmartScreen предотвратил запуск нераспознанной программы. Выполнение этой программы может подвергнуть ваш компьютер риску". И две кнопки: "Запустить в любом случае" или "Не запускать".

Действия пользователя для приложений с известной репутацией просты и очевидны: вы просто нажимаете кнопку и запускаете приложение, убирая запрос, отображающийся в Windows 7.

SmartScreen использует маркер, размещаемый в файлах во время загрузки, для начала проверки репутации. Все основные браузеры и многие почтовые клиенты и службы обмена мгновенными сообщениями добавляют этот маркер, который называется "веб-отметкой", в загруженные файлы.

Мы ожидаем, что обычный пользователь будет видеть запрос SmartScreen в течение года в два раза реже, а когда он все-таки его увидит, это будет свидетельствовать о значительном риске для системы. Телеметрические данные показывают, что 92 % приложений, загруженных через Internet Explorer 9, уже обладают хорошей репутацией и не вызывают предупреждений. Те же данные показывают, что при отображении предупреждения о репутации риск заражения вредоносным ПО на 25-70 % меньше. SmartScreen предоставляет вам средства администрирования, позволяющие вам не позволить неумелым друзьям или детям игнорировать эти предупреждения.

Этот подход в Internet Explorer позволил получить прекрасные результаты, и мы рады расширить его для более широкого набора сценариев работы Windows.

Вот видео, показывающее Защитник Windows и проверку репутации URL-адресов и приложений фильтром SmartScreen в действии:

<:video poster="https://msdntnarchive.blob.core.windows.net/media/MSDNBlogsFS/prod.evol.blogs.msdn.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/01/29/43/5875.ProtectingYouFromMalware.jpg" original-url="https://blogs.msdn.com/cfs-file.ashx/__key/communityserver-blogs-components-weblogfiles/00-00-01-29-43/5875.ProtectingYouFromMalware.jpg" controls="controls" width="480" height="270">Ваш браузер не поддерживает HTML5-видео.
Загрузите это видео, чтобы просмотреть его в предпочитаемом мультимедиа-проигрывателе:
MP4, высокое качество | MP4, низкое качество

В заключение хотелось бы сказать, что мы использовали множество улучшений для повышения защиты от вредоносного ПО в Windows 8, в том числе использование процессов SDL для защиты во время проектирования, реализацию и обновление систем защиты от средств эксплуатации уязвимостей, применяемых вредоносным ПО, улучшения защитника Windows, обеспечивающие защиту в реальном времени от всех категорий вредоносных программ, и проверку репутации URL-адресов и приложений для защиты от атак социотехники.

Спасибо,

--Джейсон Гармс