Антивирусы на основе "белого списка"

[sirocco]

Глядя, как раздуваются антивирусные базы, плюс развитие обфускаторов, появилась мысль (допускаю, что не новая).
Имеет ли смысл антивирусный монитор на основе "белого списка" файлов?

Знаю, что подобный список есть у Зайцева в AVZ. Но нужно бы нечто подобное с полноценным монитором. И в добавок с лечением действительно заражённых файлов (особенно .doc). Таких вирусов, думаю, не так много.

То, что не входит в список - в карантин для начала.
Ну и должно быть автоматическое пополнение "белого списка" доверенными апдейтерами - при апдейтах винды, браузеров и т.п.

В корпоративной среде, имхо, было бы разумно иметь такое.

Или такое уже есть, просто я не курсе?

[Зайцев Олег]

Глядя, как раздуваются антивирусные базы, плюс развитие обфускаторов, появилась мысль (допускаю, что не новая).
Имеет ли смысл антивирусный монитор на основе "белого списка" файлов?
...
Или такое уже есть, просто я не курсе?

Такое как раз сделано в KIS2009. Т.е. при запуске программы он смотрит, если ли она в белом списке, или подписана ли она ЭЦП того, кому по мнению ЛК можно доверять. Если да, то процесс попадает в доверенные и ему можно все (или почти все). Это позволяет меньше фолсить и долбать пользователя дурацкими вопросами типа "а можно до" или "резрешить это". Но это удобно как вспомогательная фича, не более того. Причины банальны:
1. невозможно описать все мыслимое ПО "базой белых"
2. Если приблизиться к решению проблемы 1, то получим базу, на порядки превышающую сигнатурную

В корп. среде такое решение давно и успешно применяется, причем без антивирусных мониторов. Просто админ ставит то, что считает нужным и доверенным (и для контроля может вести базу MD5, а может и не вести - не принципиально), делает это из-под админской учетной записи естетсвенно. А юзер работает соответственно с правами юзера, и ничего нового поставить не может, равно как не может подменить или пропатчить что-то уже установленное. Поэтому автомтом решаются проблемы контроля, блокировки и т.п.

[rav]

Имеет ли смысл антивирусный монитор на основе "белого списка" файлов? Или такое уже есть, просто я не курсе?

Такое уже есть, например, Anti-Executable, BIt9 Parity, но как отдельное решение работает не очень хорошо. Особенно для end-user'ов.

[sirocco]

1. невозможно описать все мыслимое ПО "базой белых"

1. Вы считаете, что "белый список" для корпоративной среды будет больше, чем текущие базы сигнатур?
2. Есть всякая гадость, садящаяся в локальный каталог пользователя. В том числе, кстати, и всякие КВиП-ы, зачастую несанкционированные админом.

ИМХО, достаточно сложным будет сделать прозрачное взаимодействие с тем же windows update.

[Зайцев Олег]

1. Вы считаете, что "белый список" для корпоративной среды будет больше, чем текущие базы сигнатур?
2. Есть всякая гадость, садящаяся в локальный каталог пользователя. В том числе, кстати, и всякие КВиП-ы, зачастую несанкционированные админом.

ИМХО, достаточно сложным будет сделать прозрачное взаимодействие с тем же windows update.

1. У меня такая штука в корп. среде работает в режиме мониторинга, самодельная. Можно страшно удивиться тому, сколько всего легитимного ставится и постоянно обновляется... начиная от драйверов и софта идущего с железом и заканчивая десятками вариаций .Net, уследить за этим крейне сложно. А ведь для поддержания такой системы нужно засейчь неопознанные EXE/DLL/SYS, произвести их экспертизу и занести в базу, причем оперативно занести - юзер недели ждать не будет. Прибавим тучу банк-клиентов, кучу самопальногопостоянно меняющегося ведомственного ПО и т.п., и окажется, что для управления такой фигней админ (точнее админы) должен непрерывно заниматься этой базой. Ближайший пример - наше ведомственное ПО местной разработки насчитывает в дистрибутиве 3296 файлов, из которых 320 - EXE файлы. И они постоянно меняются
2. В локальные каталоги пользователя разместится далего не каждый зловред. Не говоря уже про невозможность правок системных настроек, установки драйверов, патча компонент системы и т.п. Юзер может что-то принести, но это что-то очень просто отследить и прибить (имеется в виду убить ПО, самого пользователя, или их обоих ). Более того, есть политики безоопасности, позволяющие запретить запуск исполняемых файлов из папок юзера ... Плюс например QIP - он же обменивается с внешним миром, трафик характерный, если админ его не видит - он или не хочет это замечать, или такой он админ

[NickGolovko]

Белый список имеет свое специфическое применение. Допустим, у меня есть ноутбук для личного пользования, на котором запускается и работает определенный круг программ. Я заношу в базу своей HIPS имеющиеся на компьютере приложения, записываю их в группу и разрешаю им запуск; затем создаю правило, запрещающее запуск любых приложений, и размещаю ниже правила, разрешающего запуск для известных приложений. Теперь, чтобы новое приложение могло запуститься, его нужно вручную внести в базу и записать в группу; в противном случае запуск будет запрещен.

[Зайцев Олег]

Я заношу в базу своей HIPS имеющиеся на компьютере приложения, записываю их в группу и разрешаю им запуск; затем создаю правило, запрещающее запуск любых приложений, и размещаю ниже правила, разрешающего запуск для известных приложений.

Стоит заметить, что подобная фича возможна и без HIPS - за счет тех-же политик. Там по умолчанию стоит политика "Неограниченный" (т.е. запускается все, при условии, что нет запретительного правила), а можно по умолчанию включить "Не разрешено", предварительно прописав разрешительные правила на все системные компоненты и на прикладное ПО, которое мы считаем легитимным. Если это аккуратно сделать + правильно прописать привилегии (дабы исключить возможность что-то поменять в системе), то ПК станет на 100% неуязвим против любого существующего зверя.

[Firza]

можно по умолчанию включить "Не разрешено", предварительно прописав разрешительные правила на все системные компоненты и на прикладное ПО, которое мы считаем легитимным.

Если в “Политике безопасности”, по умолчанию установить "Не разрешено", то без дополнительных настроек, пользователю будет разрешен запуск всех программ которые установлены в папках %SystemRoot% и %ProgramFiles%, все остальное запрещено. Но тут есть небольшая проблема, так как “Политика безопасности”, к исполняемым файлам относит и файлы LNK, то после установки "Не разрешено", пользователь не сможет запускать программы посредствам ярлыков на Desktop и Start Menu. Для устранении данной проблемы надо или удалить LNK файлы из списка исполняемых, или как-то настроить сами папки Desktop и Start Menu.
Данной защитой я пользуюсь примерно 2 года, и она действительно защищает на все 100%, без дополнительных программ (антивируса, продвинутого firewall). Например, часто критикуемый, встроенный Windows Firewall не пропускает ни один leak test, потому что я просто немого запускать ни одну из тестовых программ (тестовые программ, которые небыли бы EXE файлом я не встречал). Тоже самое относится и вирусам – большая проблема найти живого неEXE вируса, разве что документы MS Office c macros и сильно урезанной функциональностю..
Между прочем, в “Политике безопасности”, есть еще один, спрятанный пункт - “Basic User”. Его можно включить изменение одно ключа в Registry. Программы, у которых прописана правила “Basic User”, всегда будет запускаться с правами “Limited User”, независима от того, какими правами обладает пользователь.

[NickGolovko]

Стоит заметить, что подобная фича возможна и без HIPS - за счет тех-же политик.

Забыл добавить: на ноутбуке работает XP Home.

[Firza]

Забыл добавить: на ноутбуке работает XP Home.

Правила “Политике безопасности” обрабатывается и на Windows XP Home. Да, нет там нормальных средства для редактирование этих правил, но если нет необходимости в очень специфических правилах, то можно просто скопировать уже настроенные правила (HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Wi ndows\Safer\) с другого компьютера с Windows XP Professional.