Часть 1: Описание комплекса защиты (читать неопытным пользователям)
Safe’n’Sec - комплексная защита данных и приложений пользователя от угроз и уязвимостей. Программа разработана на основе превентивной технологии (ПТ), в основе которой лежит анализ активности на компьютере пользователя: действий любых приложений, служб операционной системы, действий пользователя, активности извне и т.д. В отличие от реактивных технологий, на которых построены антивирусы и персональные сетевые экраны, ПТ анализируют не код объекта, а действия приложений на предмет потенциальной опасности. Эта технология обеспечивает дополнительный уровень защиты компьютера от ранее неизвестных угроз, таких как новые вирусы, хакерские атаки и уязвимости. Примером вредоносных действий может
быть попытка удалить системные файлы, открыть сетевое соединение для доступа к системному реестру и т.д.
Основная задача программы Safe’n’Sec – защищать данные пользователя от угроз и уязвимостей, от которых не существует защиты традиционными средствами ввиду новизны этих угроз. Причём делается это одинаково эффективно не зависимо от того, находится ли компьютер пользователя в локальной сети или нет. Многоцелевая защита от новых угроз и уязвимостей включает в себя несколько этапов. При старте операционной системы System Interceptor загружается одним из первых как модуль расширения ядра и встраивается в цепочку вызовов системных функций. Это позволяет перехватывать все системные вызовы любых приложений и, при необходимости, блокировать доступ к системным ресурсам. Если System Interceptor
получает команду, что доступ разрешен, то вызов передается ядру операционной системы для дальнейшего выполнения.
Для анализа и принятия решения System Interceptor направляет полную информацию о системном вызове и приложении в модуль идентификации приложений iTrust Engine. Правильная идентификация необходима для того, чтобы отличать активность вредоносных приложений от активности обычных приложений пользователя. Идентификация происходит по уникальным свойствам приложения (расположение на диске, действующий цифровой сертификат, состав модулей и т.д.) и не зависит от версии приложения или операционной системы. Список легальных приложений содержит перечень самых распространенных приложений (MS Office, системные утилиты и сервисы Windows, графические пакеты и т.д.), которые были однозначно
идентифицированы. Технология iTrust позволяет значительно снизить долю ложных срабатывания при работе Safe’n’Sec. Например, программа автоматического обновления Windows скачивает очередное обновление во временный каталог, запускает установку обновления, переписывает некоторые системный файлы и изменяет системный реестр. Действия в такой последовательности очень похожи на активность вируса. Однако Safe’n’Sec не блокирует такую активность, т.к. имеет идентификационные данные этой программы. Другая программа, которая маскируется под программу обновления Windows, используя то же имя модуля, расположение на диске и т.д., будет заблокирована.
Далее, запрос обрабатывается модулем управления правилами. В базе правил и политик задаются потенциально опасные действия приложений (удаление системных файлов, несанкционированный доступ к данным пользователя, изменение настроек операционной среды и т.д.). Набор таких правил и действия над ними (заблокировать/разрешить/ спросить пользователя и т.д.) составляют политику контроля активности. Политик контроля активности может быть несколько, в зависимости от потребностей пользователя. Если запрос соответствует одному из правил, то выносится заключение о действии, которое должно быть применено согласно установленной политики, и запрос передается дальше для принятия окончательного решения.
Поступающие в модуль принятия решения данные анализируются с учетом истории активности приложения. Последовательность действий, их количество, периодичность и повторяемость помогают Intelligent Decision Maker принять правильное решение. Intelligent Decision Maker собирает данные об активности приложения от других компонентов Safe’n’Sec: информацию об идентификации приложения от iTrust Engine, заключение о выполняемом действии приложения от Rules Engine, историю активности приложения от Activity History. По этой информации делается окончательный вывод – разрешить или запретить выполнение запроса. Затем System Interceptor блокирует запрещенные запросы или передает к выполнению разрешенные
запросы на системном уровне.
Safe’n’Sec поставляется в следующих комплектациях:
1. Стандартная комплектация: Safe’n’Sec Personal, обеспечивающий проактивную защиту компьютера. Отсутствует поиск известного вредоносного кода с использованием лицензируемых антивирусных баз, удаление найденного вредоносного кода, обновления, удаленная работа в локальной сети и т.д.
2. Расширенная комплектация: комплект Safe’n’Sec Personal с дополнительными модулями поиска и удаления вирусов/программ-шпионов. Дополнительные модули позволяют пользователю проверить его компьютер на наличие известных вредоносных кодов, присутствующих на компьютере в пассивном состоянии.
А. Safe'n'Sec Personal + Antivirus – комплексное решение, включающее проактивную защиту Safe'n'Sec и модуль антивирусной проверки данных. В эту версию продукта интегрированы регулярно обновляемые антивирусные базы данных BitDefender. Встроенный антивирусный модуль-сканер позволяет обнаруживать файлы заражённые известными на данный момент вирусами и удалять либо перемещать их в особую папку по запросу пользователя. Отсутствует: защита настроек продукта от изменения, режим работы без пользовательского интерфейса.
Б. Safe'n'Sec Personal + Anti-Spyware – комплексное решение, включающие Safe'n'Sec - проактивную надежную защиту персональных компьютеров от новых вирусов, троянов, вредоносных программ и модуль StarForce Anti-Spyware Module (антишпион), предназначенный для поиска и уничтожения программ-шпионов (spyware). Встроенный сканер StarForce Anti-Spyware Module (антишпион) позволяет обнаруживать уже известные программы-шпионы, отслеживающие действия пользователя за компьютером и отсылающие полученные данные в интернет без его ведома, и удаляет либо перемещает их в особую папку по запросу пользователя. Отсутствует: работа на удалённых компьютерах по сети.
3. Safe’n’Sec Business – комплекс защиты корпоративной сети. Есть, само собой, всё.
Часть 2: Один в поле не воин (читать на всю голову крякнутым хакерам)
Логотип программы – забавный роботизированный носорог, одним своим видом наводящий ужас на все вредоносные проги. Под носорогом скрывалась Safe'n'Sec Personal + Anti-Spyware – программа, выбранная в качестве теста. Тесты проводились на моём многострадальном компьютере, установленном в сети кишмя кишащей всем возможным шпионским софтом, где каждый второй комп – зомби, а каждый третий пользователь – хакер, с тремя исключениями из лучших вузов страны (впрочем, точно такой же зомби, как и его комп).
После установки программа первым делом сматерилась на антивирус:
затем начала матерится на все без исключения программы, так или иначе связанные с интернетом (после следующей перезагрузки я узнал, что Антишпион так же неровно дышит и ко многим другим вполне безобидным процессам, таким как например завершение зависшего приложения). При возникновение опасности прога первым делом предлагает запретить опасное приложение. Если пользователь однократно прикажет заблокировать текущие действия приложения, то уведомление не исчезнет: в течение пяти минут можно передумать. Если за это время другое решение не будет принято, то Safe'n'Sec закроет окно настройки и перед подозрительной утилитой будет опущен шлагбаум. Поэтому пользователю следует быть внимательнее,
чтобы случайно не осложнить себе жизнь.
Кстати говоря, наличие поведенческого анализатора в системе никоим образом не мешает работе других защитных инструментов - антивируса и файрволла. Естественно, они также будут находиться под неусыпным контролем, но не более того. Сама программа радует пользователя минимум настроек и приятным интерфейсом (особенно радует, что он русский). Консоль управления ограничивается Статусом, Статистикой и переходом к модулям Поиск, Обновление, Отчёты, Настройка. Взгляните:
Самое интересное находится в Настройках. Здесь мы можем задавать параметры взаимоотношений с вредоносным кодом (удалять, пропускать, в карантин), а так же выставлять политику контроля активности:
- Жесткая – политика, обеспечивающая полный контроль любой активности на компьютере пользователя. При такой политике контролю подвергаются все действия, даже действия пользователя. Рекомендуется устанавливать данную политику в период эпидемий вредоносных программ и хакерских атак.
- Строгая – политика, оптимальная по объему контролируемой активности и затрачиваемым на это ресурсам системы; она установлена для использования по умолчанию.
- Доверительная – наиболее мягкая политика. При использовании данной политики контролируется только потенциально опасная активность (например, запись в реестр системы, изменение системных файлов autoexec.bat, boot.ini и т.д.).
Вот собственно и всё. На вкладку обновлений даже не лезьте, программа работает с сигнатурами, а их можно обновить при выходе следующей версии, например, 2.1. По идее, остальное Антишпион делает за вас. И если у вас есть терпение – смело покупайте, он сделает. Терпения нет - берите Safe'n'Sec Personal + Antivirus. Хотя обратите внимание, что это не Антивирус в прямым смысле этого слово. Это система обнаружения таких вирусов, которые не обнаружат другие Антивирусы. Он их действительно обнаруживает. Например, Trojan.Win32.Agent.NAH. Наберите трояна в гугле и будете приятно удивлены. Вирусный лист Касперского, походу, составляют сами хакеры.
Конечно, комплекс Safe’n’Sec далеко не панацея, как заявляют его создатели, но он честно делает своё дело, и за это я говорю спасибо ему. Явный минус программы – её разделение на модули. Антивирус находит то, что не находит Антишпион и наоборот. Что касается Антивируса, то он всё-таки лучше Касперского, но не превосходит NOD 32. А вот Safe'n'Sec Personal + Anti-Spyware несмотря на некоторые заморочки оставил самые приятные впечатления. Это действительно тотальный контроль. Постоянная напуганность программы всем новым и неизвестным поначалу сильно раздражает, но сформировав политику правил (Internet Explorer хоть и тотальная угроза компьютеру, но пусть работает), вы сможете по настоящему
обезопасить свой компьютер. Однако опять таки я не рекомендую целиком и полностью доверяться Safe’n’Sec. Лучше сочетать его с тем же самым Касперским 6.0 или тем, что вам больше нравится. В этом случае вам даже не понадобится сторонний брендмауэр (в конце концов защита компьютера не должна превращаться в паранойю).