Дом Securitywatch Изменение способа борьбы с вредоносными программами

Изменение способа борьбы с вредоносными программами

Видео: Arachnidism (Medical Condition) (Ноябрь 2024)

Видео: Arachnidism (Medical Condition) (Ноябрь 2024)
Anonim

Microsoft сидит на абсолютном золотом прииске информации. Средство удаления вредоносных программ (MSRT), работающее на миллиардах компьютеров по всему миру, и каждый процесс обновления Windows отправляет тонну неличной телеметрии обратно в Microsoft Central. Эти данные могут помочь антивирусным компаниям и академическим исследователям разработать более эффективные способы борьбы с вредоносным ПО. В своей основной речи на 9-й Международной конференции IEEE по вредоносному и нежелательному программному обеспечению (Malware 2014 для краткости) Деннис Батчелдер из Microsoft объяснил, что именно планирует сделать софтверный гигант со всеми этими данными - и это не то, чего вы можете ожидать.

Делить это хорошо

На прошлогодней конференции Батчелдер, директор по исследованиям Центра защиты от вредоносных программ Microsoft, подробно рассказал о том, что Microsoft может определить по огромному кешу данных, поступающих из MSRT. Большая часть текущей деятельности его команды была вдохновлена ​​обсуждением, которое возникло из этой презентации.

Батчелдер углубился в тему, сосредоточившись на вредоносных и антивирусных экосистемах. Преступные синдикаты соревнуются за деньги и покупают технологии у квази-легальных поставщиков - используют наборы, бот-сети, что бы им ни понадобилось. Поставщики антивирусных программ имеют собственную поддержку от исследователей, групп по реагированию на компьютерные инциденты (CERT), правоохранительных органов и так далее.

Проблема, отметил Бэтчелдер, в том, что хорошие парни не работают вместе эффективно. Он подробно описал ряд проблем, а также проекты, разработанные Microsoft для повышения эффективности защиты от вредоносных программ.

Цифровой выхлоп

По словам Батчелдера, исследования показали, какие наркотики популярны в разных городах, путем анализа содержимого канализационных коллекторов. К счастью для нас, соответствующий проект Digital Exhaust не так отвратителен. Батчелдер предлагает расширить защиту и обнаружение, найдя партнеров, чьи усилия уже производят информацию о злонамеренных действиях как побочный эффект, и превращая эту информацию в нечто большее.

Одним из примеров партнера в этой инициативе может быть команда защиты от мошенничества в банке или финансовом учреждении. У этих групп уже есть тщательно продуманные алгоритмы, которые помогают им выяснить, действительно ли неожиданный платеж - это вы в отпуске или ваша учетная запись была взломана. Microsoft предлагает, чтобы группа по борьбе с мошенничеством поделилась своими выводами, а взамен вернула соответствующие данные с того золотого рудника телеметрии, о котором я упоминал. Среди партнеров, готовящихся к сотрудничеству с Microsoft, - Yahoo, Yandex, Facebook и Amazon.

Clean Software Alliance

Ваш антивирус когда-либо сообщал о "Потенциально нежелательной программе?" Microsoft отбросила слово «потенциально», поскольку практически для всех пользователей это действительно нежелательно. Самые большие виновники в распространении - это переупаковщики загрузки. Вы хотите скачать инструмент, возможно, WinZip. Но когда вы пытаетесь, вы получаете пять или шесть предложений для панели инструментов, плагина, кодека, чего-то другого, чем вы хотели.

Вместо того, чтобы писать подписи и уничтожать эти нежелательные программы, Microsoft Clean Software Alliance - это план, призванный побудить этих переупаковщиков очистить свою деятельность. Те, кто согласен прекратить добавлять сомнительное программное обеспечение, могут отображать логотип Clean Software Alliance. По словам Батчелдера, из 75 таких поставщиков, определенных Microsoft, с 47 связались, и 44 согласились участвовать.

Эта программа не является чем-то, что Microsoft может взять на себя, отметил Бэтчелдер. Компания нашла добровольного партнера в Организации по стандартам тестирования на вредоносное ПО (AMTSO). При поддержке Microsoft AMTSO теперь управляет инициативой CSA.

Скоординированное уничтожение вредоносных программ

Правоохранительные органы и крупные охранные организации отслеживают международные криминальные сети и ботнеты, которые затрагивают пользователей по всему миру. Иногда у них достаточно доказательств и ссылок, чтобы на деле убить плохих парней. И иногда они наступают друг на друга. Батчелдер указал на несколько смущающих случаев, когда успех Microsoft в уничтожении вредоносной сети наносил ущерб работе других групп.

Решение? Скоординированное уничтожение вредоносных программ. В настоящее время Microsoft и партнеры работают над несколькими скоординированными тейк-апами для различных сетей шпионажа и мошенничества. Batchelder с нетерпением ожидает запуска 10 или 15 таких проектов одновременно.

Изучение данных

Батчелдер объяснил, что он не заинтересован в том, чтобы сделать Microsoft самым большим, лучшим или единственным решением для защиты от вредоносных программ. Собственный анализ компании показывает, что лучший способ защиты от вредоносных программ - это разнообразные решения для обеспечения безопасности. «Моя задача не продвигать наш антивирус», - заключил Батчелдер. «Моя работа заключается в защите Windows и всех пользователей Windows».

Это благородное чувство, безусловно. И идея всех хороших ребят, работающих вместе для борьбы с вредоносными программами, безусловно, глоток свежего воздуха. Я наверняка буду следить за проектами «Цифровой выхлоп», «Чистый софт» и «Координированное уничтожение вредоносных программ». Что касается тех академических исследователей, которые присутствуют на этой и аналогичной конференции, они теперь могут получить доступ ко всей базе данных телеметрии Microsoft. Невозможно сказать, какие новые и полезные результаты они получат, передав эти данные через аналитический механизм.

Изменение способа борьбы с вредоносными программами