Microsoft: Cигнатуры malware будут добавлены в online-обновления

На конференции для бизнес-клиентов, прошедшей недавно в Лос-Анджелесе, старший вице-президент отдела Microsoft по серверам и инструментальным средствам Боб Маглиа (Bob Muglia) рассказал, что в качестве одной из составляющих обновления для Systems Management Server, который станет "Systems Center Configuration Manager", компания начнет развертывание сигнатур malware - которые основываются на их обнаружении - как часть своих online-обновлений и патчей, рассылаемых пользователям.

Это нововведение было приурочено к анонсу компанией двух своих новых линеек продуктов: Forefront для ориентированных на клиентов из сферы бизнеса инструментов безопасности, и System Center, который будет поддерживать не только уже старый SMS, но и Microsoft Operations Manager. MOM, который является уже довольно известным продуктом, теперь будет называться System Center Operations Manager; и через эту единую консоль, как продемонстрировал программный менеджер Калин Барадваж (Kuleen Bharadwaj), администраторы смогут обращаться в сеть поддержки Microsoft Forefront настолько часто, насколько это позволяют настройки безопасности, и не для получения патчей, но и по поводу информации о вирусах, сигнатурах malware и т.п.

Важным последствием начала этого процесса является то, что под управлением Forefront system администрирование распределения сигнатур станет более централизованным. На многих предприятиях, где развернуто антивирусное и другое анти-malware программное обеспечение, пользователям клиентских операционных систем было поручено единожды делать некоторый постоянно обновляемый файл с их сигнатурами. Под управлением новой системы эти пользователи будут избавлены от необходимости постоянно обновлять их защиту, отдав эту функцию новому System Center Configuration Manager, от которого операционная система получает образы в новом формате WIM.

Но новые файлы сигнатур от Microsoft существенно отличаются от тех, что мы раньше видели у других фирм, производящих программное обеспечение для защиты. Как начал свое выступление Маглиа, Microsoft вложила сотни миллионов долларов в то, что мы называем "Dynamic Systems Initiative", которую компания описывает как "долгосрочный нацеленный подход Microsoft, направленный на формирование инфраструктуры, которая будет представлять собой новое поколение программ безопасности и управления".

Возможно, в этой фразе была использована некоторая дефляция. По существу же Маглиа сказал, что Microsoft принимает свою собственную внутреннюю политику по аудиту программного обеспечения безопасности, использованию инструментальных средств, которые она затем собирается выставить на продажу, включая и инструменты программной линейки Forefront.

Среди этих инструментальных средств может быть нечто - точно определение тому до сих пор не дано - использующее сигнатуры различными способами: не только для того, чтобы помогать идентифицировать malware, но и чтобы помочь символизировать поведение malware в отношении операционной системы и других приложений. Для того чтобы это все работало, как подразумевает Маглиа, нужно чтобы сторонние производители этих приложении согласились сотрудничать.

Выражаясь столь же неясно, Маглиа упомянул об "управляющей моделью технологии, фиксирующей сущность приложения и прослеживающей полный жизненный цикл этого приложения от ранней стадии разработки идеи проекта и ее развития до его развертывания и последующих обновлений. Как мы можем зафиксировать эти данные в моделях для упрощения процесса управления ими?" Далее спросил у аудитории как расположить некую "инфраструктуру" на любой операционной системе, включая Windows, чтобы она фиксировала все компоненты приложений их взаимодействия между собой. "Такой инфраструктуры не существует", - сказал он. Она "не может быть частью инфраструктуры ядра в Linux, Unix, мейнфреймах, Windows - ни на одной из этих платформ этого нет".

Инфраструктура как часть инфраструктуры? Маглиа хотел этим сказать, что одной из проблем Microsoft и других компаний в их стремлении обеспечить лучшую эффективность сигнатур для плохого программного обеспечения является отсутствие четкой структуры классификации в том, что считать хорошим софтом. На самом деле, Windows несколько лет назад, возможно, была наиболее близка к такой структуре со своей Component Object Model, но она отошла от такой системы вместе с архитектурой .Net из-за потребности создать более защищенную и управляемую программную среду.

Так что будущее Маглиа видит себе так, что в нем действия хорошего программного обеспечения легко определяются посредством моделирования. Взгляните на логику такого подхода: Вместо того, чтобы делать поведенческие модели для плохого программного обеспечения, которые должны будут появляться каждый месяц, или каждый вторник, или вообще постоянно, и затем применять этим модели в выполняющейся среде, не лучше ли сделать постоянные поведенческие модели для хорошего программного обеспечения, и затем уже обеспечивать систему инструментальными средствами, исключающими действия, которые не соответствуют стандартам?

"За последние несколько лет мы сделали множество инвестиций в Operations Manager" - сказал Маглиа аудитории - "делая его ведущим инструментом для понимания устройства и здоровья машин в организации. И в новом релизе Operations Manager мы сосредоточили наше внимание на сервисах в целом: управление на уровне сервиса против управления на уровне машины. Мы сделали это с использованием моделей. Модели являются его основой. Без них мы не смогли бы обеспечить понимание всех компонентов сервиса и объединить их".

Информация, опубликованная Microsoft за прошедшие несколько недель, также указывает на планируемое обновление способностей управляющих инструментальных средств, типа нового SCOM, которое даст им возможность отключать сетевые подключения между компьютерами, если они посчитают их "нездоровыми". Здесь Microsoft имеет ввиду те клиентские сети, чьи оценки локальной защиты показывают, что они не получали самых последних обновлений.

Политика безопасности в новых сетях Windows Server с установленным System Center может быть настроена так, чтобы переводить необновленные системы в своего рода ограниченный режим, блокируя их доступ к другим машинам сети кроме установленного сервера обновлений. Как только обновления будут установлены, будет заново проведена проверка, и такие системы будут опять возвращены в сеть.

Как пояснила прошедшая на конференции демонстрация, сигнатуры malware, также как и поведенческие сигнатуры, могут оказаться среди тех элементов, наличие которых будет обязательным требованием сетевой политики безопасности для местных проверок.

В ответ на эти выступления представитель Symantec опубликовал информацию, напоминающую предполагаемым клиентам о том, что новые инструментальные средства Forefront от Microsoft, по их мнению, используют ту же самую антивирусную технологию защиты, что и OneCare, служба безопасности клиентского уровня компании; и при этом OneCare провалил тест VB100 из Virus Bulletin.

Там же говорилось о том, что Symantec обещает в будущем выпустить сервис безопасности уровня предприятий, носящий кодовое название "Hamlet", который "объединит в себе защиту, основанную на сигнатурах, и проактивную защиту с нулевым уровнем угроз за день в одном отдельно взятом клиенте". При этом Symantec не стала продолжать говорить о том, что отличает их продукт от того, что продемонстрировала недавно Microsoft.


Источник: http://www.betanews.com
Перевод: Dazila