Редкий пользователь в наши дни не предпринимает мер по защите своего компьютера. В первую очередь речь идет о защите от вирусов, а если компьютер подключен к Интернету, то большинство пользователей устанавливает какой-либо файрвол. Антивирусы и файрволы в первую очередь защищают вас от уже известных вредоносных кодов, не допуская ситуации, когда они могут вам навредить. Сложнее обстоит дело с новыми вирусами, шпионскими и иными программами. Далеко не всегда алгоритмы, используемые в названных программах, могут справиться с обнаружением новых напастей.
Если вы хотите обеспечить большую степень защиты компьютера от известных и в первую очередь от еще не известных вредоносных программ, вам, вероятно, могут потребоваться специальные решения, предназначенные для мониторинга активности программ, установленных на вашем компьютере. Одним из таких решений является программа Safe'n'Sec. Эта программа, предназначенная для защиты от неизвестных угроз и уязвимостей, использует новейшие технологии обнаружения вредоносного кода — превентивные технологии. Эти технологии выполняют анализ объектов не по коду, а по поведению.
В отличие от реактивных технологий превентивные технологии не требуют поражения данных для обнаружения новой угрозы. Она будет обнаружена при попытке выполнить вредоносное действие. Реактивные технологии основаны на использовании специальных баз данных, на чем основана работа большинства антивирусных программ и сетевых экранов.
Safe'n'Sec обеспечивает защиту от новых вирусов и хакерских атак за счет контроля любой активности на компьютере, где она установлена, и блокирования опасных действий; защиту от взлома и несанкционированного доступа (выполняется проверка изменений реестра и ограничений доступа); подробно информирует о своей работе. Если приобретается расширенная версия программы, то за счет использования антивирусных баз известных разработчиков антивирусов выполняются также поиск и обезвреживание известных вредоносных программ. Обновление программы выполняется через Интернет, что позволяет оперативно получать пакеты обновлений, выпускаемые разработчиками. Программа спокойно уживается с уже установленными на компьютере средствами защиты (в моем случае она установлена и работает параллельно с антивирусом AVG).
Основная функция программы — отслеживание ненормальной активности программ. Это могут быть попытки формирования или изменения записей в реестре, удаление или модифицирование системных файлов. Как правило, такие действия выполняются с разрешения пользователей, поэтому Safe'n'Sec будет приостанавливать подобные действия, даже если они выполняются вполне достойными, известными программами. Программе совершенно неважно, является ли это действие следствием нормального функционирования программы, или это работа вируса или иного вредоносного приложения. Но для системных программ и приложений Microsoft будет сделано исключение — все они будут автоматически восприниматься программой как доверенные.
В результате остановки подобного действия будет открыто окно, в котором представлена полная информация о том, какие изменения были приостановлены и по какой причине. Можно просмотреть и более подробную информацию, в которой будет показано и приложение, пытающееся выполнить несанкционированное действие. Пользователю остается принять решение — разрешить продолжение данного действия или прервать его. Причем и тот, и другой выбор имеют несколько вариантов. Можно разрешить (прервать) действие однократно, запомнить выбранное решение, всегда применять к данному действию принятое решение.
Safe'n'Sec начинает работать при старте системы и анализирует любую активность на компьютере: активность служб и приложений операционной системы, активность установленных на компьютере программ, использование уязвимостей в программном обеспечении, действия самого пользователя.
По умолчанию Safe'n'Sec контролирует активность следующих типов:
- файловая активность — операции создания, открытия, изменения и удаления файлов на компьютере пользователя;
- изменения в системном реестре — действия по добавлению, удалению и изменению существующих ключей системного реестра и их значений;
- взаимодействие процессов — операции по вызову одних процессов другими, завершению работы процессов, выполнение кода в адресном пространстве других приложений и так далее;
- сетевая активность — открытие сетевых соединений, прием и передача данных по сети;
- вызов системных функций.
Если ваш компьютер не подключен к сети, контроль сетевой активности вам явно не требуется и его можно отключить. Аналогично можно отключить контроль любого типа активности, что выполняется через настройки программы.
В любой момент вы можете просмотреть активные процессы. Все они разделены на три группы — настраиваемые, доверенные и запрещенные. В доверенные процессы включены основные программы операционной системы и те программы, для которых вы разрешили выполнение любых действий. В число запрещенных процессов вы можете занести любую программу, как из числа уже запущенных процессов, так и выбрав файл программы на диске. Такие программы будут блокироваться при любой попытке начать свою работу. Для настраиваемых процессов при их запуске будет открываться информационное окно с сообщением, что данный процесс начал свою работу.
Также предусмотрена возможность удаления процесса при перезагрузке компьютера. Целесообразно использовать эту функцию, когда пользователь уверен в том, что среди активных процессов он обнаружил вредоносное приложение, но попытка завершить его процесс не удалась. Рекомендуется с большой осторожностью удалять процессы при перезагрузке и только в том случае, когда во вредоносности приложения нет сомнений. Для того чтобы убедиться во вредоносности, пользователь может проверить процесс на присутствие вредоносного кода.
Проверка правомочности действий процессов и программ выполняется на основе правил. Правила — это условия, определяющие активность приложения, и действия, которые применяет Safe'n'Sec к приложению с активностью, удовлетворяющей условиям правила. Условия правила определяют тип активности приложения и детализируют ее, а действия Safe'n'Sec могут различаться в зависимости от установленной политики контроля.
Правила бывают общие и частные. Общие правила применяются к активности всех приложений, имеющихся на компьютере. Эти правила входят в стандартную поставку программы. При работе с ней пользователь может добавлять свои общие правила и отключать иные. Частные правила создаются для контроля активности конкретных приложений и обладают более высоким приоритетом, чем общие. Частные правила создаются пользователем.
При возникновении опасной активности Safe'n'Sec проходит по списку правил и определяет, существует ли правило для активности подобного рода. Программа просматривает список снизу вверх. Выполняется первое правило в списке, условия которого совпадают с параметрами опасной активности. Если для приложения существует несколько правил, приоритет применения правила зависит от его положения в списке правил: последнее правило обладает наибольшим приоритетом.
Для создания правил откройте окно "Политика контроля приложений". Выберите область контроля, приложение или логическую группу действий, которые вы собираетесь контролировать. Ряд правил, описывающих процедуру контроля, уже внесен, и вы их можете лишь отключить или подключить, но также можете создать и собственные правила, как для работы с логической областью (например, изменение системных файлов), так и для работы конкретной программы или области контроля. Если у вас есть несколько установок программы на разных компьютерах, вы можете выполнить настройку правил на одном из них, а уже сформированные правила перенести (выполнив экспорт и импорт) на другие компьютеры. Процесс настройки существенно ускорится.
Для отдельных программ, активность которых в Safe'n'Sec распознается как подозрительная, автоматически создаются и записываются правила, которые пользователь затем может проверить и изменить. Чтобы было удобнее разбираться, что же (и главное, в какой раздел правил) было записано, все действия Safe'n'Sec протоколируются, и вы всегда сможете посмотреть эти отчеты.
Существуют программы, о которых невозможно сразу сказать, являются ли они вредоносными, или их избыточная активность является необходимой для работы. Safe'n'Sec предлагает такие программы запускать в ограниченной зоне. Ограничения связаны с запретом запущенным в этой зоне приложениям доступа к системным ресурсам и конфиденциальным данным. И наоборот, в случае если существует опасность вирусного заражения, доверенные программы рекомендуется запускать в защищенной от внешних атак зоне. Обе зоны создаются программой Safe'n'Sec и находятся под ее постоянным контролем.
Вновь установленные программы (как те, что устанавливаются самим пользователем, так и те, что скачиваются из Интернета и устанавливаются самостоятельно), пока не будут внесены в список доверенных, будут запускаться в ограниченной зоне. И только подозрительная активность приложений, находящихся в этой области, будет блокироваться Safe'n'Sec и потребует вмешательства пользователя. Все остальные программы будут работать в нормальном режиме. Эта опция, как и опция по отношению к продуктам Microsoft, появится в релизе программы, который планируется выпустить в июне. Такое изменение в работе программы позволит снизить количество ложных срабатываний.
Для того чтобы пользователю было проще выполнять настройку программы, в нее включен постоянно пополняемый перечень доверенных приложений. Так, помимо стандартных приложений операционной системы в него уже включены такие программы, как Adobe Reader, Far, The Bat! и многие другие. Но вот "Яндекс.Бар", на котором я обычно проверяю работу программ защиты, в список доверенных приложений так и не включен, хотя аналогичная программа от Google в него включена.
Хочется отметить существенное улучшение программы с тех пор, когда довелось первый раз ее опробовать (это было почти четыре года назад). Реализовано протоколирование работы программы. Больше не разрушаются базы почтовой программы The Bat! после переноса их в карантин. Уже не говоря о существенной доработке интерфейса и повышении удобства работы с ним. Добавлен процесс обучения в процессе контроля, при котором происходит автоматическая регистрация приложений, не включенных в базу данных Safe'n'Sec.
