Важно Описание технологии V.I.P.O. и Принципа работы

Тема в разделе "SafenSoft", создана пользователем SNS-amigo, 23 авг 2010.

Статус темы:
Закрыта.
  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    В основе всех решений SafenSoft (Safe’n’Sec) лежит технология V.I.P.O.

    Технология V.I.P.O. (Valid Inside Permitted Operations) является собственной разработкой компании SafenSoft (Safe’n’Sec).
    Она основана на гибком разграничении системных привилегий при работе компьютера:

    • сканирование системы и создание профиля всех приложений информационной системы;
    • формирование списка доверенных приложений;
    • функционирование системы в соответствии с установленными привилегиями;
    • предотвращение выполнения потенциально опасных приложений;
    • запрет запуска новых приложений без разрешения пользователя.


    Подробное описание технологии V.I.P.O.

    SafenSoft (Safe’n’Sec) V.I.P.O. является системой предотвращения вторжений. Это собственная разработка компании. Задача системы защиты – предотвращение заражения компьютера вредоносным кодом и сохранение первоначальной целостности операционной системы и всех ее компонентов, включая установленные пользователем.

    Любое изменение целостности компонентов ОС может быть инициировано только пользователем.

    Во время установки системы защиты все компоненты операционной системы включаются в БД. Целостность системы гарантируется устойчивым алгоритмом хеширования SHA-256. Загрузка каждого исполняемого модуля в системе допускается только, когда он прошел проверку хеш-суммы по БД.

    Запуск и работа неизвестного приложения, не включенного в БД на момент установки возможны только в текущей сессии работы операционной системы, только при условии, что такой запуск инициировал сам пользователь.

    И только пользователь может принять решение о включении нового приложения в качестве компонента его системы.

    Поскольку SafenSoft (Safe’n’Sec) V.I.P.O. разрешает загрузку только тех исполняемых модулей, хеш-суммы которых включены в БД - дополнительные модули не смогут выполниться. Не смогут выполниться и модифицированные компоненты системы.

    Их загрузка будет предотвращена, и пользователь получит информационное сообщение об этом. Запуск неизвестного процесса будет предотвращен до того, пока пользователь не обозначит степень доверия к нему.

    Если же пользователь самостоятельно решил выполнить или установить новую программу - система защиты уведомляет его о запуске неизвестного приложения.

    Далее сценарий может развиваться 3-мя путями:

    1. Запуск приложения. Приложение запускается и может загружать дополнительные модули, не прошедшие контроль целостности по БД. Даже если такое приложение является вредоносным и выполнит инсталляцию каких-либо дополнительных компонентов в систему пользователя, все они могут выполняться только до следующей перезагрузки ОС, поскольку они не включены в БД и их следующая загрузка будет предотвращена.

    2. Запрет запуска приложения. Приложение будет заблокировано.

    3. Установка нового приложения. В этом случае система защиты включает в БД все новые компоненты устанавливаемого приложения. Загрузка приложения и его компонентов в дальнейшем будет разрешена.
    Перед установкой приложения пользователь может сохранить старую базу данных как бэкап, и если установленное приложение вызвало недоверие, – заблокировать запуск всех установленных им компонентов, вернув из бэкапа базу данных.

    Особенности работы
    Поскольку при формировании базы данных в нее включаются только одиночные модули, находящиеся на жестком диске, то в нее не попадут модули приложений, которые хранятся в ресурсах, архивах и т.п. Чтобы не нарушить работу таких приложений система защиты должна предоставлять возможность запуска таких приложений в режиме «слежения загрузки модулей» или так называемом «Особом режиме», что аналогично работе SafenSoft (Safe’n’Sec) V.I.P.O. при установке нового приложения.

    «Особый режим» необходимо применить один раз для того, чтобы при запуске проблемного приложения включить в базу данных модули, которые будут извлекаться из ресурсов, архивов и т.д. Последующие запуски могут проходить в нормальном режиме без дополнительных действий со стороны пользователя. «Особый режим» выбирается в контекстном меню при клике на проблемном приложении.

    Ещё о технологии: http://www.safensoft.com/promo/Docs/RUS/SafenSec_technology.pdf

    Наши продукты: http://www.safensoft.com/promo/Docs/RUS/SafenSec_products.pdf
     
    iskander-k, RuMax, Dragokas и 11 другим нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Технология проактивной защиты V.I.P.O. (Новейшее описание)

    В основе SysWatch лежит запатентованная технология контроля приложений V.I.P.O.®, которая объединяет в себе 3 уровня защиты:

    D.I.C. (Dynamic Integrity Control). Защищает все исполняемые приложения системы благодаря обнаружению попыток несанкционированного запуска процессов и блокировки их запуска до того, как процесс может нанести вред системе.
    D.S.E. (Dynamic Sandbox Execution). Специальная среда для запуска потенциально опасных приложений обеспечивает контроль системных привилегий для блокировки вредоносных действий.
    D.R.C. (Dynamic Resource Control). Контролирует доступ различных приложений к файловой системе, ключам реестра, а также доступ к внешним устройствам и сетевым ресурсам.

    [​IMG]

    Для контроля запуска и активности приложений используется перехват вызовов системных функций на уровне нулевого кольца безопасности ядра операционной системы. Драйвер SafenSoft (Safe’n’Sec) загружается до всех остальных приложений и позволяет перехватывать любые системные вызовы, и при необходимости блокировать их.

    Технология проактивной защиты V.I.P.O. использует устойчивые алгоритмы хеширования, контролирует файловую и реестровую активность для сохранения целостности системных файлов и установленных пользователем программ.

    Технология проактивной защиты V.I.P.O. позволяет исполняться только процессам, которые заведомо являются доверенными. Запуск неизвестного процесса будет предотвращен, пока пользователь не обозначит степень доверия к нему.

    Технология проактивной защиты V.I.P.O. контролирует и блокирует загрузку неизвестных исполняемых модулей, что позволяет предотвратить инфицирование системы, используя уязвимости доверенных приложений.

    Также существует возможность отключения выбранных привилегий процессов.
     
    Последнее редактирование: 5 авг 2015
    RuMax, Охотник, Turok и 3 другим нравится это.
  3. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Принцип работы SafenSoft (Safe’n’Sec) SysWatch

    Задача системы защиты SafenSoft (Safe’n’Sec) SysWatch — это сохранение первоначальной целостности ОС и всех её компонентов, включая ПО, установленное пользователем.
    После установки SafenSoft (Safe’n’Sec) SysWatch активируется простой режим работы, обеспечивающий контроль запуска неизвестных исполняемых компонентов. В основе этого режима лежит логика обнаружения новых исполняемых модулей в системе.

    Для снижения количества обращений к пользователю в случае ручного режима обработки событий и для более эффективной защиты, при первом запуске SafenSoft (Safe’n’Sec) SysWatch проводит автоматическую настройку, создающую профиль системы.

    По окончании сбора профиля активируется расширенный режим работы. При запуске неизвестного ПО (исполняемого компонента, не включенного в профиль системы), SafenSoft (Safe’n’Sec) SysWatch в зависимости от режима обработки событий назначает ему одну из зон выполнения в соответствии с решением пользователя (в ручном режиме) или внутренней логикой SafenSoft (Safe’n’Sec) SysWatch (в автоматическом режиме):

    - Доверенные, известные приложения: приложения, выполнение которых разрешено и на которые распространяются частные ограничения.
    - Ограниченные приложения: приложения, выполнение которых происходит в изолированной, замкнутой среде (без назначения учётной записи либо под учётной записью пользователя «V.I.P.O.» с ограниченными правами) и на которые распространяются также частные ограничения. Доверенные приложения, которые являются потенциально уязвимыми (браузеры, мессенджеры, P2P-клиенты и др.), также могут быть запущены в безопасной среде. В свойствах приложения пользователь может назначить запуск приложения под учётной записью пользователя с ограниченными правами.
    - Запрещенные приложения: приложения, запуск которых запрещён.
     
    RuMax, ScriptMakeR и Охотник нравится это.
  4. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Классификация событий, представляющих угрозу безопасности

    По классификации SafenSoft (Safe’n’Sec) SysWatch, виды событий, представляющих угрозу безопасности программной среды (инциденты), подразделяются на следующие основные категории:
    - запуск неизвестного приложения;
    - запуск неизвестной программы установки;
    - нарушение политики контроля.

    Возможные действия для каждой категории инцидентов

    1. Запуск неизвестного приложения >>>
    - Запуск в режиме установки:
    Приложение выполняется, при этом все модули приложения попадают в доверенную зону.
    - Запуск в ограниченной среде:
    Приложение выполняется в изолированной среде ("песочнице") без назначения учётной записи либо под учётной записью пользователя «V.I.P.O.» с ограниченными правами. Приложение может загружать дополнительные модули, не вошедшие в профиль системы. Даже если такое приложение является вредоносным и выполнит установку каких-либо дополнительных компонентов в системе, все они могут выполняться только до перезагрузки ОС, поскольку они не включены в профиль системы и их последующая загрузка будет предотвращена.
    - Запрет запуска (по умолчанию):
    Запуск приложения полностью блокируется.

    2. Запуск неизвестной программы установки >>>
    - Запуск в режиме установки:
    Установщик запускается, все модули приложения после установки попадают в доверенную зону.
    - Запуск в ограниченной среде:
    Установщик запускается в изолированной среде ("песочнице") без назначения учётной записи либо под учётной записью пользователя «V.I.P.O.» с ограниченными правами. Все модули приложения после установки попадают в ограниченную зону.
    - Запрет запуска (по умолчанию):
    Запуск установщика полностью блокируется.

    3. Нарушение политики контроля >>>
    - Разрешение запуска однократно / на сессию;
    - Разрешение запуска после проверки однократно / на сессию;
    - Запрет запуска однократно (по умолчанию) / на сессию;
    - Запрет запуска и завершение однократно / на сессию.
     
    RuMax, ScriptMakeR и Охотник нравится это.
  5. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Элементарно о технологии программных продуктов Safe’n’Sec

    У них...
    • Классические антивирусные программы основываются на сигнатурных методах обнаружения вредоносных программ и требуют постоянного и оперативного обновления антивирусных баз.
    • В настоящее время совершенно очевидно, что традиционный сигнатурный подход к защите компьютера от вредоносных программ уже не столь эффективен в силу ежедневного появления тысяч новых вредоносных образцов и их модификаций.
    • Как бы часто не обновлялись антивирусные базы, скорость распространения вредоносного ПО все равно выше скорости распространения антивирусных обновлений. К тому же на анализ нового вируса всегда требуется время.
    • Таким образом, на период от обнаружения новой вредоносной программы до появления антивирусного обновления пользователи компьютера остаются беззащитными.
    virus_circulation.jpg

    У нас...

    • В современных условиях наиболее эффективным способом защиты от растущего числа новых кибер-угроз является применение технологий класса Host Intrusion Prevention Systems (HIPS), более известных как проактивные системы защиты ПК.
    • Программные продукты Safe’n’Sec объединяют в себе две инновационные проактивные технологии - Поведенческий анализ и решение V.I.P.O.® (Valid Inside Permitted Operations), обеспечивающие высокий уровень информационной защищенности пользователя при работе на компьютере.
    sns.png

    Поведенческий анализатор Safe'n'Sec
    ...Поведенческий анализатор Safe'n'Sec контролирует поведение приложений в реальном времени и блокирует любые подозрительные действия, не опираясь на сигнатуры известных угроз, а также отслеживает все попытки несанкционированных действий в системе и предотвращает их.
    ...Таким образом, пользователь компьютера становится независимым от обновлений списков возможных образцов вредоносного кода и получает оперативно реагирующую защиту своего ПК.

    Технология V.I.P.O.
    ...После установки программа проводит анализ текущего состояния операционной системы и автоматическую настройку профиля. После создания профиля операционной системы технология V.I.P.O. разрешает запуск только заведомо безопасных приложений.
    ...Таким образом, любая программа, пытающаяся самостоятельно установиться на компьютере пользователя будет заблокирована. Даже в случае, если пользователь ошибочно разрешит запуск вредоносной программы, при следующей загрузке компьютера она уже не сможет запуститься и нанести какой-либо вред информации.
     
    RuMax, Wolf_fr, Охотник и 2 другим нравится это.
  6. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Основные возможности Safe'n'Sec SysWatch (расширенное описание)

    Safe'n'Sec (SafenSoft) SysWatch это проактивное средство защиты, относящееся к классу систем предотвращения вторжений - Host Intrusion Prevention System (HIPS).

    SysWatch анализирует активность приложений и блокирует все опасные действия, которые могут привести к неработоспособности системы или порче/потере конфиденциальной информации пользователя, обеспечивает защиту от различных видов вредоносного ПО, уязвимостей "нулевого дня" и других действий злоумышленников.

    Основные возможности Safe'n'Sec (SafenSoft) SysWatch:

    1) Проактивная защита на базе запатентованной технологии контроля приложений V.I.P.O. включает в себя:
    - динамический контроль целостности - обнаружение попыток несанкционированного запуска процессов и блокировка их запуска до того, как процесс может нанести вред системе;
    - динамическая "песочница" - запуск потенциально опасного ПО в ограниченной изолированной среде;
    - динамический контроль ресурсов - контроль доступа к файловой системе, ключам и значениям ключей реестра, внешним устройствам (USB-накопители, CD/DVD-диски, LPT- и COM-порты) и сетевым ресурсам (функции брандмауэра) на уровне приложений.

    2) Автоматическая настройка (сбор профиля системы):
    - профилирование защищаемой системы с целью дальнейшего контроля целостности её исходного состояния;
    - профилирование защищаемой системы с целью удобного управления приложениями в ЗДП и ЗОП;
    - профилирование уже имеющихся и вновь устанавливаемых приложений;
    - запуск сбора профиля по требованию и обновление профиля.

    ЗДП - зона доверенных правил для приложений. ЗОП - зона ограниченных правил для приложений.

    3) Выбор режимов обработки событий безопасности:
    - классический (ручной) режим, позволяющий пользователю самому формировать политику активности, принимая решения по запуску и блокировке приложений вручную;
    - экспертный (автоматический) режим, в котором программа автоматически принимает решения относительно запуска и блокировки приложений на основе текущей политики активности и заданных настроек обработки.

    4) Гибкая настройка правил активности:
    - возможность задания частных правил для отдельных приложений (пользовательская обработка инцидентов);
    - возможность задания исключений по доступу к файловой системе, реестру и USB-накопителям ("белый список" USB-накопителей);
    - возможность задания временных интервалов действия правил доступа к файловой системе, реестру, сетевым ресурсам и USB-накопителям;
    - возможность задания учётных записей пользователей, на которые распространяется действие правил доступа к файловой системе, реестру, сетевым ресурсам и USB-накопителям.

    5) Ручная (пользовательская) настройка:
    - включение/отключение усиленного режима защиты;
    - включение/отключение белого списка сертификатов;
    - добавление приложений в профиль и удаление из профиля;
    - настройка политики контроля и взаимодействия;
    - включение/отключение и очистка отчетности;
    - включение/отключение оповещений (из списка);
    - включение/отключение проверки съемных носителей;
    - задание интервала отложенного запуска системной службы (в минутах);
    - и пр. пр. пр.

    6) Хранение истории активности приложений:
    - возможность просмотра истории активности отдельных приложений;
    - возможность сохранения резервных копий файлов, изменённых выбранным приложением, для их последующего восстановления в случае необходимости.

    7) Антивирусная проверка:
    - инструменты для антивирусной проверки системы и обезвреживания известного вредоносного ПО (вирусы, троянские программы, черви, программы-шпионы и т.д.) с использованием актуальных баз сигнатур;
    - автоматическая проверка съемных носителей при подключении (нужно включить);
    - сканирование по расписанию;
    - задание реакции на угрозу.

    8) Регистрация событий безопасности и статусов программы в отчёты:
    - сохранение детализированной информации о работе программы в файлы текстовых отчётов (сбор профиля, работа, инциденты, проверки, обновления);
    - настройка параметров сохранения отчетов;
    - включение, отключение регистрации событий в WMI.

    9) Самозащита программы:
    - возможность установки парольной защиты настроек и удаления программы;
    - возможность включения/выключения внешнего доступа к системной службе;
    - и пр. пр. пр.

    10) Сохранение и восстановление настроек программы:
    - возможность сохранения резервной копии настроек программы для их последующего восстановления;
    - использование зашифрованного конфигурационного файла.
     
    Охотник, Theriollaria и Dragokas нравится это.
  7. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894

    Алгоритм обработки неизвестного приложения

    Специально для SafeZone.cc нарисовал в Visio новую схему. :Hi:

    Схема1-2.png

    Во вложенном архиве неужатая форумом версия. Текст на табличках виднее.
     

    Вложения:

    Voldemar2007-72, Охотник, orderman и 4 другим нравится это.
Статус темы:
Закрыта.

Поделиться этой страницей