Результат интеллектуальной деятельности: СПОСОБ ИСПОЛЬЗОВАНИЯ ВЫДЕЛЕННОГО СЕРВИСА КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ

Область техники

Изобретение относится к антивирусным технологиям, а более конкретно, к способам использования выделенного сервиса компьютерной безопасности.

Уровень техники

В настоящее время все большее распространение получают так называемые "облачные" (далее будем использовать этот термин без кавычек) технологии. Облачные технологии обеспечивают удаленный доступ к вычислительным ресурсам или данным без существенных затрат на информационную инфраструктуру компании (клиента сервиса облачных технологий). Как правило, все что требуется клиенту - это лишь иметь постоянное подключение к Интернету, чтобы получить доступ к облачному сервису. Выделяют несколько типов облачных сервисов - частный, публичный, гибридный. Частный облачный сервис предназначен для определенной компании или группы людей и по сути представляет выделенную сеть с ресурсами, в то время как публичный облачный сервис обеспечивает доступ к своим ресурсам всем подключенным клиентам. Гибридный облачный сервис сочетает оба указанных подхода и позволяет более гибко строить информационную инфраструктуру компании.

Неудивительно, что облачными технологиями также заинтересовались компании-производители антивирусного обеспечения, так как в связи с ростом количества вредоносных программ и методик их распространения возникла необходимость в новом подходе защиты пользователей, нежели постоянный выпуск антивирусных баз, который в свою очередь не застрахован от возможных ошибок, связанных с недостаточностью времени на тестирование, а также возможностью компаний-поставщиков антивирусных решений скрывать логику принятия решений в облачном сервисе.

Одним из примеров облачных технологий в области информационной безопасности является Kaspersky Security Network (KSN). Если говорить кратко, то алгоритм его работы такой - пользователь отправляет запрос в облачный сервис на проверку неизвестного файла или ссылки и получает ответ в виде вердикта "опасен" или "безопасен". Безусловно, технология гораздо более усложненная, чем предложенный вариант, ее варианты реализации описаны в патентах US 7640589 или US 8732836.

Однако облачные технологии могут иметь недостаток, связанный с тем, что в корпоративных сетях при их использовании могут быть задействованы данные (например, данные о неизвестном файле, такие как цифровая подпись, размер, название и т.д.), использование которых третьими лицами может быть запрещено, и администратор сети может запретить передачу таких данных или даже больше того - отказаться от использования подобной технологии, так как она может идти вразрез с существующими в организации политиками конфиденциальности, которые также называются политиками DLP (Data Leak Prevention).

Неудивительно, что в свете подобной проблемы начали предлагать решения по анонимизации данных или более гибкой настройки облачного сервиса. Например, заявка US 20120215898 раскрывает принципы анонимизации пересылаемых данных, при этом давая возможность настройки сервиса под конкретного пользователя. Тем не менее в заявке не раскрываются принципы фильтрации трафика и анонимизации за исключением использования уникального идентификатора пользователя.

Кроме того, для использования антивирусных облачных технологий, аналогичных KSN, в условиях корпоративных сетей с требованиями к проверке пересылаемых данных должен быть соблюден баланс между уровнем обнаружения вредоносных программ и атак (качеством предоставления антивирусных услуг) и уровнем соблюдения секретности (англ. privacy), связанным с проверкой пересылаемых данных.

Анализ предшествующего уровня техники позволяет сделать вывод о неэффективности и в некоторых случаях о невозможности применения предшествующих технологий, недостатки которых решаются настоящим изобретением, а именно способом использования выделенного сервиса компьютерной безопасности.

Раскрытие изобретения

Технический результат настоящего изобретения заключается в предотвращении передачи конфиденциальных данных компании-клиента, которая использует облачные сервисы безопасности компании-поставщика услуг компьютерной безопасности.

Другой технический результат настоящего изобретения в таком случае заключается в уменьшении объема передаваемых по сети Интернет данных компании-клиента, которая использует облачные сервисы безопасности компании-поставщика услуг компьютерной безопасности.

Согласно одному из вариантов реализации, предлагается способ перенаправления запроса с компьютера пользователя к публичному или частному облачному сервису, при этом компьютер пользователя находится в рамках сети компании, которая пользуется как публичным, так и частным облачным сервисом, сам способ содержит этапы, на которых перехватывают запрос с компьютера пользователя в облачный сервис, при этом облачный сервис включает как публичный, так и частный облачные сервисы; определяют параметры запроса с компьютера пользователя в облачный сервис, при этом параметры запроса включают по меньшей мере тип передаваемых в запросе данных; определяют политики выбора облачного сервиса, которые включают, по меньшей мере, параметры: дату последнего обновления частного облачного сервиса; типы подключенных сервисов в частном облачном сервисе; тип передаваемых в запросе данных; квоту по трафику; выбирают публичный облачный сервис в том случае, если определенные политики выбора облачного сервиса разрешают передачу данных за пределы компании, и выбирают частный облачный сервис в том случае, если определенные политики выбора облачного сервиса запрещают передачу данных за пределы компании; перенаправляют запрос с компьютера пользователя к выбранному облачному сервису

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:

Фиг. 1 иллюстрирует пример взаимодействия компьютера с публичным облачным сервисом компании-поставщика услуг компьютерной безопасности (антивирусной компании).

Фиг. 2 описывает вариант работы компьютера в сети с частным облачным сервисом компании-поставщика услуг компьютерной безопасности (антивирусной компании).

Фиг. 3 описывает вариант работы компьютера в сети как с частным, так и с публичным облачным сервисом компании-поставщика услуг компьютерной безопасности (антивирусной компании).

Фиг. 4 иллюстрирует примерный вариант типов подключенных сервисов.

Фиг. 5 иллюстрирует способ работы настоящего изобретения.

Фиг. 6 представляет пример компьютерной системы общего назначения, в рамках которой может быть реализовано настоящее изобретение.

Описание вариантов осуществления изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.

Введем несколько терминов для лучшего понимания материала заявки.

Компания-поставщик услуг компьютерной безопасности - антивирусная компания, которая предлагает доступ к своим облачным сервисам безопасности (в качестве примера можно привести ЗАО "Лаборатория Касперского" и сервис Kaspersky Security Network).

Компания-клиент - компания, которая использует облачные сервисы безопасности компании-поставщика услуг компьютерной безопасности.

Публичный облачный сервис - облачный сервис безопасности, который предоставляет компания-поставщик услуг компьютерной безопасности для компаний-клиентов (например, в качестве публичного облачного сервиса может выступать Kaspersky Security Network).

Фиг. 1 иллюстрирует пример взаимодействия компьютера (который находится в сети компании-клиента) с публичным облачным сервисом компании-поставщика услуг компьютерной безопасности (антивирусной компании). Антивирусное программное обеспечение (антивирусное ПО или просто антивирус) отправляет с компьютера 100 пользователя запрос на анализ неизвестного объекта (как правило, файла или ссылки) через сеть интернет 110 в публичный облачный сервис 120 антивирусной компании. Запрос анализируется с помощью внутренней логики работы облачного сервиса, в результате анализа выносится вердикт по объекту (как правило, является ли объект вредоносным или нет, но также вердикты могут определять логику работы контроля приложений, который ограничивает доступ программ к ресурсам компьютера), который отправляется на сторону компьютера 100, где антивирус использует полученный вердикт для дальнейших действий с объектом. Примером подобного сервиса является Kaspersky Security Network (https://securelist.ru/analysis/1422/antivirusny-j-prognoz-pogody-oblachno/). Как уже отмечалось, имплементация работы KSN описана в патентах US7640589 или US8732836.

Однако, как было отмечено в уровне техники, публичный облачный сервис 120 может использовать данные, которые представляют возможную коммерческую тайну или отсылку на нее, что требует других вариантов работы подобного сервиса.

Фиг. 2 описывает вариант работы компьютера в сети с частным облачным сервисом компании-поставщика услуг компьютерной безопасности (антивирусной компании). В рамках предложенного подхода по сравнению с Фиг. 1 добавляется частный облачный сервис 105, который выступает в роли замены публичного облачного сервиса 120 антивирусной компании. Таким образом, компания-поставщик услуг компьютерной безопасности предоставляет облачный сервис как в виде публичного облачного сервиса 120, так и в виде частного облачного сервиса 105. В таком случае все запросы с компьютера 100 идут не дальше частного облачного сервиса 105, который содержит всю (или самую необходимую для работы часть) внутреннюю логику работы публичного облачного сервиса 120. Безусловно, связь с публичным облачным сервисом 120 через интернет 110 все равно остается, так как существует необходимость постоянного обновления логики и данных для работы (например, антивирусных баз) частного облачного сервиса 105. Однако из-за проблемы с запаздыванием обновления (что связано с тестированием и распространением обновления) может случиться так, что частный облачный сервис 105 не будет обладать самой актуальной информацией по угрозам (как правило, это самое последнее обновление антивирусных баз) и существует риск пропуска неизвестной вредоносной программы или обнаружения исполняемого файла легитимного приложения в качестве вредоносного (ложное срабатывание). Таким образом, требуется использовать более гибкое решение, основанное на совмещении как частного, так и публичного облачного сервиса. Плюс использования частного облачного сервиса 105 заключается в удобстве его настройки и, как следствие, возможно, более дешевой стоимости использования.

Фиг. 3 описывает вариант работы компьютера в сети как с частным, так и с публичным облачным сервисом компании-поставщика услуг компьютерной безопасности (антивирусной компании). В отличие от Фиг. 2, на данном чертеже добавлен модуль принятия решений 125, который определяет куда направить запрос от компьютера 100 - либо к частному облачному сервису 105, либо к публичному облачному сервису 120. Основные критерии выбора того или иного облачного сервиса связаны со следующими параметрами (политиками выбора облачного сервиса):

- Дата последнего обновления частного облачного сервиса 105. Чем более устарелые антивирусные базы данных используются частным облачным сервисом 105, тем больше вероятность того, что будет пропущена неизвестная вредоносная программа либо допущено ложное срабатывание.

- Типы подключенных сервисов в частном облачном сервисе 105. Более подробно типы будут рассмотрены на Фиг. 4, в качестве примера можно привести необходимость перенаправления запроса в публичный облачный сервис 120 из-за того, что проверка объектов определенного типа (например, URL) не поддерживается в рамках частного облачного сервиса 105.

- Проверка типа передаваемых данных. Например, передача информации по файлам определенного формата (например, файлов формата PDF) может быть запрещена политикой конфиденциальности компании-клиента, использующей как частный облачный сервис 105, так и публичный облачный сервис 120, вследствие чего, запрос на проверку подобного файла будет перенаправлен в частный облачный сервис 105. Технический результат настоящего изобретения в таком случае заключается в предотвращении передачи конфиденциальных данных компании-клиента.

- Квота по трафику. В том случае, если существует ограничение на объем передаваемых данных публичному облачному сервису 120, при достижении данного ограничения все запросы будут перенаправляться на частный облачный сервис 105. В рамках других вариантов реализации существует возможность анализа каждого запроса со стороны компьютера 100 на предмет объема передаваемых данных, при превышении которого запрос перенаправляется на сторону частного облачного сервиса 105. Технический результат настоящего изобретения в таком случае заключается в уменьшении объема передаваемых по сети Интернет данных, так как в случае частного облачного сервиса 105 передача данных ведется только в рамках компании-клиента.

Также отметим, что модуль принятия решений 125 может быть реализован как в виде отдельного клиента на стороне компьютера 100, так и в виде прокси-сервера на стороне интернет-шлюза компании-клиента антивирусной компании.

Фиг. 4 иллюстрирует примерный вариант типов подключенных сервисов безопасности, которые используются как в публичном облачном сервисе 120, так и в частном облачном сервисе 105. В качестве примера подключенных сервисов безопасности можно привести:

- Сервис файловой репутации. Указанный сервис позволяет определить, является ли неизвестный файл вредоносным или нет. В одном из вариантов реализации сервис работает путем сравнения хеш-суммы неизвестного файлами с хеш-суммами известных вредоносных файлов. Дополнительно может определяться категория файла, в том случае, если он был определен как легитимный (например, файл может относится к категории браузеров).

- Сервис репутации ссылок. Данный сервис позволяет определить, является ли неизвестная ссылка (URL-адрес) вредоносной или нет. В одном из вариантов реализации, сервис работает путем сравнения хеш-суммы неизвестной ссылки с хеш-суммами известных вредоносных ссылок. В другом варианте реализации сравнивается, либо вся ссылка, либо ее нормализованное значение (например, адрес сайта или IP-адрес). Дополнительно может определяться категория ссылки в том случае, если она была определена как легитимная (например, ссылка может относится к категории онлайн-магазинов).

- Сервис обнаружения по поведению. Предложенный сервис позволяет определить вредоносность уже запущенного файла на основании поведения запущенного из этого файла процесса. Упомянутый процесс делает вызовы системных API функций, журнал вызова которых может быть сравнен с журналом вызовов уже известных вредоносных процессов. Реализация такой технологии описана в патенте US 8566943.

- Сервис репутации сертификатов. Сервис, который обрабатывает сертификаты как сайтов, так и файлов на предмет того, что их используют злоумышленники. Реализация заключается в отправке сертификата и его метаданных на анализ на сторону компании-поставщика услуг компьютерной безопасности и подробно описана в патенте US 8732472.

- Сервис контроля ложных срабатываний. Данный сервис позволяет тестировать и отзывать антивирусные сигнатуры при ложном срабатывании. Более подробно технология описана в патенте US 8732836.

- Сервис передачи данных. Этот сервис занимается передачей файлов с использованием, например, таких технологий как р2р.

- Сервис фильтрации контента. Предложенный сервис отвечает за проверку почтовых сообщений на предмет наличия спама. Суть его работы заключается в создании хеш-суммы (или набора хеш-сумм) от письма (или его составных частей) для сравнения его с кластером подобных хем-сумм других писем, в то время как большой кластер одинаковых писем означает спам-рассылку. Технология может быть реализована аналогично тому, как описано в патенте US 8738721.

- Сервис родительского контроля. Этот сервис отвечает за проверку работы модуля родительского контроля.

- Сервис фишинга. Данный сервис позволяет обнаружить возможные фишинговые веб -страницы и ссылки (например, в браузере).

Предложенные сервисы оперируют различными данными (данными разных типов) - файлами, ссылками, хеш-суммами от различных объектов (таких как те же файлы или ссылки), а также различными метаданными от указанных объектов (размер, время создания, тип объекта и т.д.). Администратор сети, в которой находится компьютер 100, может накладывать различные ограничения на передачу указанных данных, что приводит к тому, что некоторые сервисы не будут работать из публичного облачного сервиса 120, а использовать частный облачный сервис 105.

Фиг. 5 иллюстрирует способ работы настоящего изобретения. На этапе 510 происходит запрос с компьютера 100 пользователя в облачный сервис. Стоит отметить, что на стороне компьютера 100 (точнее на стороне антивирусного приложения, установленного на компьютере 100) нет информации о том, к какому сервису он обращается в конкретный момент - к публичному 120 или к частному 105. На этапе 520 происходит перехват запроса модулем принятия решения 125. В одном из вариантов реализации модуль принятия решений 125 может быть реализован в виде прокси-сервера на стороне интернет-шлюза компании-клиента антивирусной компании. Еще один вариант реализации включает наличие модуля принятия решения 125 на компьютере 100, и в таком случае будет присутствовать логика по определению того, к какому сервису следует обращаться. Модуль принятия решения 125 производит определение параметров запроса на этапе 530 - к какому сервису безопасности он обращается, какие данные (точнее, их тип, например, файл, ссылка, хеш-сумма) передает и/или запрашивает и сверяет его с установленными политиками выбора облачного сервиса (более подробно политики описаны в рамках Фиг. 3). Если политики разрешают перенаправить запрос на сторону публичного облачного сервиса 120, то запрос перенаправляется в данном направлении на этапе 550, в противном случае запрос перенаправляется в частный облачный сервис 105 на этапе 540.

Приведем примеры перенаправления запроса в различные варианты сервисов.

Пример 1.

В запросе с компьютера 100 пользователя содержится тип передаваемых данных (формат анализируемого файла - pdf), который запрещен к передаче за пределы компании политиками выбора облачного сервиса. Будет выбран частный облачный сервис 105.

Пример 2.

Запрос с компьютера 100 пользователя превышает размер установленной квоты на передачу данных, определенную политиками выбора облачного сервиса. Будет выбран частный облачный сервис 105.

Пример 3.

Запрос с компьютера 100 пользователя содержит разрешенный тип передаваемых данных (информация об Интернет-ссылке), но обновление баз частного облачного сервиса 105 происходило более 12 часов назад. Будет выбран публичный облачный сервис 120.

Фиг. 6 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26 содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 6. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.