Вкусные особенности Norton 2010

Во всех больших городах мира преступление cовершается каждые три-четыре минуты. В сети преступление совершается каждые 3 секунды. Это примерно 25 тысяч угроз в день. И по информации Symantec 20% пользователей сети становятся их жертвами.

Средства защиты есть, но когда вы их сравниваете друг с другом, оказывается, что их эффективность примерно одинакова: 97-98% отловленных атак и угроз. Поэтому опасность сегодня заключается не в этих 97%, а в тех, что остались неопознанными. Эти 2-3% вредоносных файлов, которые не распознаются ни одним антивирусом, представляют главную проблему для систем защиты.

Во-первых, у их создателей есть доступ ко всем антивирусам, которые они устанавливают на разные машины, и, прогоняя свои файлы через них, видят, какие коды распознаются. А какие – нет.

Во-вторых, подправляя свой код, и прогоняя его повторно, они создают нераспознаваемый код, а процесс такого подбора можно автоматизировать.

И в результате складывается следующая ситуация: в мире есть много файлов, из них часть хороших и часть – точно известных вредоносных. Но проблема находится между ними – там, в этом тонком «хвосте», есть множество малораспространенных, редких файлов, о которых ничего не известно, часть из них хорошие, а часть – вредоносные.

Сначала при создании антивирусов применялась практика черных списков. Но потом плохих файлов стало больше, чем хороших, поэтому начали применять практику белых списков. Сейчас антивирусы работают как с белыми списками, так и с черными… но проблема с малораспространенными и малоизвестными файлами осталась. Как защищать пользователя от вредоносных программ из этого множества?

Существуют механизмы эвристического анализа, анализирующие поведение файла. Но для этого нужно больше информации. Symantec создала технологию, которую она назвала технологией оценки репутации (модуль Quorum).

Новая технология состоит в обмене информацией между членами онлайн сообщества. А когда вы устанавливаете Нортон, вам предлагают стать членом этого сообщества. Суть состоит в следующем: на серверах Symantec хранятся данные о всех файлах, которые скачивают клиенты Norton, собирается эта информация анонимно – нужна только статистка о файле, а  не о том, кто его скачал. Сейчас в сообществе 35 миллионов человек, каждый раз, когда человек хочет скачать файл, система обращается к серверу, и спрашивает – безопасен ли он для скачивания. Если система знает этот файл (его уже скачали, и он оказался хорошим), то она присваивает ему степень доверия. Самая высока степень доверия присваивается файлу вручную – когда появляется новый файл, который все активно скачивают, его скачивает работник Symantec и проверяет вручную.

Но если система не знает этого файла, она предупреждает пользователя, что он качает что-то неизвестное, и делает это на свой страх и риск. Так Symantec обернула против вирусописателей их собственное оружие – уникальность вредоносного кода. Информация о файлах на серверах Symantec пополняется ежесекундно и очень быстро информация о всех новых файлах оказывается в системе.  Технология Quorum входит во все продукты линейки Norton.

После успешного выпуска линейки продуктов Norton 2009 компания Symantec поставила перед собой цель: разрабатывать все более быстрые и легкие программные средства. При разработке продуктов Norton 2010 помимо добавления совершенно новой технологии защиты, было уделено особое внимание быстродействию. Независимая испытательная лаборатория PassMark Software провела оценку быстродействия продуктов Symantec и их основных конкурентов по нескольким ключевым показателям[1]. Вот какие преимущества при этом были выявлены:

• Быстрая установка — Norton Internet Security 2010 устанавливается примерно за одну минуту.
• Самое низкое потребление оперативной памяти — Norton Internet Security 2010 использует около 10 МБ.
• Самое быстрое сканирование — Norton Internet Security 2010 сканирует жесткий диск всего за 61 секунду, а твердотельный накопитель — за 31 секунду.

Кроме Quorum в новом Norton 2010 есть новые инструменты:

• Norton Download Insight. Упреждающая защита ПК на основании данных о репутации, полученных из онлайн-систем сбора информации. Модуль анализирует безопасность новых файлов и приложений, сообщая о результатах еще до начала их установки и работы с ними. Здесь показывается информация о файле, который пользователь собирается загрузить, и его репутация.

• Norton System Insight. Предоставление легко доступной для понимания системной информации для обеспечения высокой производительности ПК. Оптимизация приложений, выполняемая автоматически или по требованию, позитивно влияет на их производительность. Получателям предоставляются сведения о последних системных событиях и другая информация для анализа проблем, возникающих при работе ПК. Графики производительности наглядно показывают, по каким причинам замедляется работа компьютера.

• Norton Threat Insight. Детальная информация об угрозах, выявленных на компьютере, в том числе о том, с какого адреса в Интернете (URL) каждая из них поступает и когда она впервые была обнаружена.

• Norton Insight Network. Реализация уникального для Symantec подхода с использованием «облачных» вычислений. Технология Quorum, примененная здесь, расширяет принципы компьютерной безопасности, выводя ее за рамки традиционных черных и белых списков. В основе технологии — статистический анализ атрибутов файлов, данные для которого берутся с миллионов компьютеров. Именно так определяется степень доверия к тому или иному файлу. Традиционные методы защиты, в отличие от Norton, часто не способны установить степень опасности файла и поэтому назначают ему неопределенный уровень доверия.

Дополнительные ключевые технологии Norton 2010:

• SONAR 2. Современная технология безопасности второго поколения, основанная на анализе поведения. Выявляет совершенно новые угрозы по их подозрительным действиям, не прибегая к сравнению контрольных сумм. При классификации программы как потенциально опасной используются данные из облака репутаций, брандмауэра, системы предотвращения вторжений (IPS), а также около 400 атрибутов, в том числе таких как расположение на компьютере, информация об авторе и т.п.
• Новый Антиспам (только в Norton Internet Security). Мощный механизм блокирования спама масштабов предприятия. Позволяет избавиться от нежелательных сообщений электронной почты и связанных с этим мошеннических и вирусных угроз. Механизм работает на 20% эффективнее использовавшегося ранее и не требует дополнительного обучения.
• Norton Safe Web (только в Norton Internet Security). Служба рейтинга веб-сайтов, дополняющая результаты поиска в Google, Yahoo! и др. системах поиска, информацией о том, что тот или иной сайт может нанести вред компьютеру пользователя.  Ведется также рейтинг электронной коммерции, помогающий пользователям составить мнение о надежности Интернет-магазина, в котором совершаются покупки.