eScan - новинка на антивирусном рынкеАвтор: Михаил Брод
Опубликовано: 27.10.2009
Источник: SoftKey.info  На проходившей недавно выставке по информационной безопасности компанией MicroWorld было представлено новое решение в области защиты данных от вирусов, нежелательных программ, спама. Сводное решение позволяло проверять и защищать и файлы, и почту, и интернет-трафик. Ориентировано это решение на малый и средний бизнес, хотя существует решение и для домашнего пользования.
Это уже не первое решение, в котором в качестве ядра по обнаружению вирусов используется разработка компании "Лаборатория Касперского". Но только ядро, все остальное - собственно обработка данных, оболочка, дополнительные возможности - собственность компании MicroWorld. Возможностей программа предоставляет много, посмотрим, насколько она удобна в использовании.
Вначале была установка. Во время этого процесса промелькнула цифра требуемого дискового пространства. И оно было полностью "выбрано". Но затем началась первоначальная проверка системы, во время которой свободное место на загрузочном диске стало резко и быстро сокращаться. В результате оказалось занято свыше 350 мегабайт вместо 160 обещанных. Поэтому будьте внимательны при установке и обращайте внимание на то, сколько у вас есть на диске свободного места.
Программа eScan существует в двух вариантах: как антивирусная программа и как система для защиты компьютера от различного вида атак - eScan Internet Security Suite, в которую антивирус входит как составная часть. Какие же еще элементы входят в это решение? Кроме антивируса в состав решения входят подсистема AntiSpam, система контекстной защиты (защищающая от троянов, руткитов и иных нежелательных программ), файрвол, система ограничения доступа и система защиты персональных данных. В программе используется технология MicroWorld Winsock Layer (MWL), которая обеспечивает обнаружение угроз безопасности в информационных каналах еще до того, как эта угроза достигнет уровня приложений. Также в программу включена подсистема поведенческого анализа, позволяющая противостоять так называемым "угрозам нулевого дня". При использовании программы для защиты компьютеров в организации администратору сети предоставляется специальное приложение для удаленного администрирования.
Проверке на вирусы подлежат все файлы, к которым обращается пользователь (при проверке в режиме реального времени). Сканер вирусов разработан с использованием технологии кеширования, что увеличивает его производительность (но вот места на диске занимает очень много). Сканированию подвергаются не только отдельные файлы, но и архивы, включая самораспаковывающиеся. Впрочем, пользователь может выполнить более тонкую настройку организации защиты. В настройках можно указать, какие носители должны проверяться, надо ли проверять архивы и иные сложные объекты (такую проверку можно исключить полностью), отключить проверку отдельных разделов или отдельных типов файлов, определить действия, которые требуется предпринять в случае обнаружения зараженного файла.
Кроме того что проверка файлов выполняется в режиме реального времени, имеется возможность запустить такую проверку дополнительно. Можно определить области, которые будут проверяться (к примеру, проверка реестра, памяти и системных разделов), можно проверить отдельные диски (например, проверить флешку прежде, чем начать с ней работать), создать собственные настройки для выполнения проверки и выполнить их.
При проактивном сканировании используется и так называемый "белый лист" файлов. Например, в него включаются типы файлов, подписанных цифровой подписью (к примеру, от Verisign). Программа использует специальные алгоритмы, которые позволяют обнаруживать неизвестные вредоносные программы и блокировать любую неизвестную активность. Также выполняется мониторинг реестра о возможности его изменения при попадании нежелательных программ или вирусов в систему.
Отдельной проверке подлежат почтовые сообщения. Здесь, пожалуй, сложности больше, чем при проверке файлов. При проверке почты проверяется не только наличие зараженных вирусами файлов или недозволенных вложений, но и выполняется проверка на нежелательную почту, спам.
Вначале о проверке на вирусы. Такой проверке подвергается вся входящая почта - как по протоколу POP3, так и по IMAP. Имеется возможность проверки и исходящей почты, чтобы случайно не стать инициатором заражения компьютеров своих знакомых и коллег. В настройках этого типа проверки можно указать, какие имена и расширения вложений являются подозрительными и какие требуется проверять в обязательном порядке. Но есть типы вложений, которые можно вообще запретить принимать, удаляя их из письма сразу при обнаружении. Например, это могут быть html-вложения со скриптами.
Можно поручить программе проверять и архивные файлы во входящих сообщениях, но эта проверка опциональна. А кроме проверки почтовых сообщений программа может создавать их архив, а также архив вложений (архивировать можно не все вложения подряд, имеется возможность исключения из процесса архивирования вложений с определенными расширениями). Ну а в случае обнаружения вируса или удаления вложений программа может направить либо владельцу почтового ящика, либо отправителю сообщения, соответствующее уведомление. Поэтому отправитель сможет повторить отправку, зная, что первое сообщение получатель получил не в полном объеме.
Отдельный разговор - о проверке на спам и проверке контента сообщений. Для этого в программе реализована и используется специальная обучающаяся технология Non Intrusive Learning Pattern (NILP). Эта технология работает по принципу искусственного интеллекта, создавая и адаптируя механизмы распознавания спама и фишинга. Эта технология анализирует каждое письмо в соответствии с поведенческой моделью, позволяет как обучаться на своем "опыте", так и получать уже сформированные правила с сервера компании MicroWorld.
Пользователь может и сам вести список слов и фраз, по вхождению которых в заголовок или тело сообщения программа будет распознавать его как спам. Фильтр спама использует и обычные технологии его обнаружения - правила X-Spam, политики Sender Policy Framework (SPF), "черные" списки (RBL). Как проверенные и "допущенные" письма, так и сообщения, квалифицированные как спам или фишинг, могут быть помечены специальными кодами как в теле письма, так и в заголовке, в следствие чего их легче будет обработать вашим обычным почтовым клиентом.
Но защита от вирусов, спама, фишинга - это еще далеко не все, что умеет программа eScan. В нее включены и иные возможности. Первая из них - контроль веб-контента и родительский контроль. Программа позволяет блокировать доступ к сайтам, не относящимся к тому, чем должны заниматься в рабочее время служащие компании, блокировать доступ и к таким сайтам, информация на которых может быть оскорбительной. Блокировка осуществляется на основе анализа контента открываемой страницы. Подобная же технология используется и для ограничения доступа в Сеть детям - имеются три уровня ограничения доступа, предварительно настроенных на детей разных возрастных групп.
Блокировка сайтов может выполняться и по вхождению их в ту или иную неразрешенную группу. Например, это могут быть игровые сайты, чаты, ресурсы, посвященные алкоголю или наркотикам. Можно применить для определения нежелательных сайтов один из трех рейтингов - ICRA, SafeSurf или RSACi. Можно запретить доступ к сайтам не только по их названию или типу, но и по их сетевым (IP) адресам.
Кроме блокирования доступа к сайтам программа может использоваться и для блокировки всплывающих окон, запуска апплетов, запрещать загрузку изображений, музыкальных или видеофайлов. Эти запреты могут применяться в течение всего времени работы за компьютером. Но можно установить и периоды времени, когда данные ограничения снимаются, - например, можно разрешить доступ к некоторым сайтам во внерабочее время.
Встроенный файрвол выполняет мониторинг всех входящих и исходящих соединений и защищает от возможных сетевых атак. В его работе применяются различные наборы правил, таких как правила для приложений, зональные, доверенные адреса и так далее. На закладках этого модуля отображаются активные и установленные соединения. Для всех них могут быть показаны используемые процессы, протоколы, локальные и удаленные адреса.
С одной стороны, контроль за подключением к веб-ресурсам. А с другой - в программе имеется система автоматического удаления всей информации о вашем сетевом серфинге. Эта система автоматически определяет наличие любых браузеров, установленных на вашем компьютере, и позволяет удалять любую персональную информацию, которую браузеры, как правило, сохраняют для дальнейшего использования. Система защиты очищает информацию из кеша, поисковые запросы, списки открывавшихся сайтов, cookies, историю посещений. Более детальная настройка - что надо удалять, а что можно и оставить - выполняется через страницу настроек персонального контроля.
И, наконец, еще один уровень защиты - от возможности хищения информации или заражения компьютера через съемные устройства (флешки, дополнительные диски). Для обеспечения защиты программа будет запрашивать у вас пароль в случае подключения внешнего носителя. Для деактивации парольной защиты вы можете составить "белый" список разрешенных устройств (для этого используется серийный номер устройства). Если же устройство не включено в список, без знания пароля доступ к нему будет запрещен. Последнее, о чем можно сказать, - это защита от запуска приложений. К примеру, можно запретить запускать игровые программы, программы мгновенных сообщений и так далее.
Как видите, возможности программы очень широки. Вот только пробиться на рынок, который уже занят значительно более известными программами, к тому же либо разработанными в России, либо локализованными для России, будет невероятно трудно. Пока же на репутацию программы положительное влияние оказывает тот факт, что она попадает в ТОП антивирусных программ, составляемый различными независимыми лабораториями.
|
