Искусственный интеллект спасёт от ransomware

в 7:04, , рубрики: acronis, ransomware, true image, Блог компании Acronis, Inc, информационная безопасность

Acronis True Image — это надежное решение в области защиты данных пользователей. В Acronis True Image 2017 и Acronis True Image 2017 New Generation мы задали очень высокую планку во всем, что касается надежности, простоты и удобства работы. В эти продукты были внедрены резервное копирование и восстановление данных профилей социальной сети Facebook, система проактивной защиты от программ-вымогателей Acronis Active Protection, основанная на технологии Blockchain функция нотаризации данных Acronis Notary и цифровая подпись электронных документов с помощью Acronis ASign. Кроме того, в версию программы для macOS мы добавили поддержку NAS и возможность беспроводного резервного копирования мобильных устройств.

Искусственный интеллект спасёт от ransomware - 1

С каждым годом количество угроз продолжает расти, они становятся сложнее и опаснее. Согласно данным Лаборатории Касперского, во втором квартале 2017 года было обнаружено 15663 новых модификаций программ-вымогателей (для сравнения за тот же период 2016 года новых вредоносов было почти на 70% меньше — 9226) и зафиксировано 268284 атак.

Искусственный интеллект спасёт от ransomware - 2
Рисунок 1. Количество новых модификаций программ-вымогателей согласно данным Лаборатории Касперского

Две самые масштабные атаки произошли в этом году. Сначала в мае программа-вымогатель WannaCry атаковала телефонные компании, больницы, заводы и сотни других организаций в более чем 100 странах, а затем, в июне, шифровальщик NotPetya заставил тысячи пользователей  по всему миру пожалеть об отсутствии резервных копий своих данных.

Искусственный интеллект спасёт от ransomware - 3
Рисунок 2. Количество атак программ-вымогателей согласно данным Лаборатории Касперского

Сегодня про эти кибератаки  говорят крупнейшие мировые СМИ, поэтому пользователи  начинают лучше представлять масштаб угрозы. Согласно данным нашего глобального исследования на тему защиты данных, о программах-вымогателях знают почти 50% респондентов, против 35% в прошлом Исследование прошло в августе этого года, в нем приняли участие пользователи из США, Великобритании, Австралии, Японии, Германии, Франции и Испании.

Однако пока еще низкая осведомленность пользователей и постоянное усложнение кода программ-вымогателей не оставляет сомнений, что количество атак будет расти, а значит и решения по защите данных тоже должны совершенствоваться.

Поэтому одним из основных нововведений Acronis True Image 2018 стала технология Acronis Active Protection 2.0, которая и призвана «отбивать атаки». В основе представленной в начале года технологии Acronis Active Protection лежат поведенческие эвристики, которые помогают выявить подозрительную активность и предотвратить атаки программ-вымогателей. Такой подход к защите прекрасно работал и работает для большинства существующих зловредов, однако, их современные версии настолько продвинуты, что могут «обмануть» систему. Представьте себе вредоносца, который внедряется в MS Word, и, шифруя все документы целиком, оставляет заголовки нетронутыми. В этом случае поведенческая эвристика не относит это процесс к опасному, и зловред успевает «частично зашифровать» почти все файлы до того, как вы успеете что-то предпринять.

Для того, чтобы противостоять и таким атакам, в Acronis Active Protection 2.0 был внедрен ML(machine learning) Engine, который анализирует работу как зараженных и незараженных программ, формирует на основе их сравнения характерные паттерны и, в случае их последующего обнаружения, останавливает подозрительные процессы.  

В Санкт-Петербурге и Москве у нас уже развернуто более 20 физических ферм, а также работает виртуальное облако Microsoft Azure, на котором в автоматическом режиме производится загрузка и анализ процессов в различных ОС и программах в чистом виде и при заражении программами-вымогателями. Алгоритм «учится», чем различаются эти процессы и какие показатели могут сигнализировать о заражении.

Наши внутренние тесты показали, что даже если атака не была зафиксирована на основе поведенческой эвристики, ML Engine Acronis Active Protection 2.0 замечал ее и блокировал. В дополнение к этому, машинное обучение помогло нам найти и сформулировать новые правила для эвристической составляющей. К уже имеющимся правилам «робот» нашел еще 100. Самые внимательные и придирчивые могли уже задаться вопросом:  сколько места на жестком диске и в памяти требует такой алгоритм? Ответ вас немного удивит: система занимает менее 14 мб! Если говорить о загрузке памяти, то и тут беспокоиться не о чем: ML Engine работает в фоновом режиме и включается лишь раз в 30 секунд, не занимая много памяти.

Acronis Active Protection 2.0 также обзавелся дашбордом, который показывает график всех процессов в системе, в том числе подозрительных. Подозрительными считаются процессы без цифровой подписи (или с недействительной подписью) или если есть подозрение, что в процесс был внедрен код с помощью DLL Injection. Если такие процессы начинают изменять файлы пользователя, то эти файлы сохраняются в кэш. Если модифицируется слишком много файлов, то срабатывают наши эвристики, система приостанавливает работу процесса и сообщает пользователю, что это, скорее всего, программа-вымогатель и предлагает добавить эти процессы в черный список или разрешить им продолжить работу. Также на этом дашборде отображается информация о готовящихся обновлениях, статистика по количеству заблокированных Active Protection процессах, число восстановленных после атаки файлов, и новости из блога Acronis.

Искусственный интеллект спасёт от ransomware - 4

Среди других функций, которые мы обновили, можно отметить мастер создания загрузочных носителей. Теперь при создании загрузочного флэш-накопителя или CD/DVD-диска мы используем Windows Recovery Partition. Если раньше для этого нужно было скачивать специальный кит от Microsoft размером в зависимости от сборки от 4 до 6 Гб, то в Acronis True Image 2018 мы решили сделать все немного изящнее, не загружая лишнего. На современных Windows-системах есть Recovery-разделы, с которых мы можем брать собственно этот ADK (комплект средств для развертывания и оценки Windows) и на его основе мы делаем загрузочный носитель, не загружая специальных китов.

Искусственный интеллект спасёт от ransomware - 5

Также у нас появилась возможность конвертировать резервные копии в виртуальные диски в формате VHD(x). Этот виртуальный диск можно использовать по-разному: например, в качестве носителя данных (зайти, побраузить папки и файлы, какие-то из них можно восстановить простым копированием, не прибегая к помощи True Image). Можно загрузить как виртуальную машину Hyper-V (начиная с Windows 7, она доступна в PRO версиях), а можно загрузиться нативно как с WRP.

Полезным для наших пользователей станет ещё одно нововведение — система клонирования активных дисков Windows. Клонирование диска поможет, например, при переезде с HDD на SSD или же если есть подозрение, что диск может скоро прийти в негодность. Теперь чтобы скопировать системный диск не нужно перезагружаться – можно «на лету» подключить новое устройство к USB и клонировать на него.  

Одним из основных нововведений в UI стал интерфейс анализа данных в бэкапе — это способ визуализировать процесс бэкапа, показать пользователю, что происходит в процессе и какие данные мы сохраняем.

Acronis True Image 2018 показывает статистику по каждому бэкапу:  сразу под блоками, где изображено, что и куда бэкапим,  выводится диаграмма, показывающая  пропорционально сколько в архиве фотографий, сколько видео- и аудиофайлов, документов, сколько места занимают системные файлы (это файлы, находящиеся в системных папках Windows или macOS). Плюс, на вкладке активность показывается вся история операций с бэкапом вроде статусов или ошибок. Все это сделало процесс работы с бэкапами более наглядным и приятным для глаз.

Искусственный интеллект спасёт от ransomware - 6

Искусственный интеллект спасёт от ransomware - 7
Мы добавили в продукт еще несколько полезных фич. Во-первых, это возможность отложить бэкап, пока ноутбук не подключен к сети. Как известно, резервное копирование — это довольно энергоемкий процесс (много обращений к диску и операций копирования, особенно если бэкап выполняется редко и за раз копируется и передается много данных), и если он начнется, когда заряда батареи уже совсем чуть-чуть, это может сыграть злую шутку. Чтобы этого не произошло, есть возможность запретить приложению начинать любой  бэкап пока устройство не подключено к электросети. Второй фичей стал автоматический бэкап мобильных устройств по Wi-Fi сети на NAS. Если телефон находится в той же сети, что и NAS и у них настроен бэкап, то телефон  сразу начинает бэкапиться самостоятельно без участия пользователя — даже не нужно подключаться к компьютеру.

В Acronis True Image 2018 мы расширили поддержку бэкапа соцсетей. К Facebook, который стал поддерживаться с Acronis True Image 2017, мы добавили поддержку Instagram. В сентябре у пользователей по всему миру появится возможность бэкапить все свои фото, видео, информацию/статистику с профиля. К сожалению, из-за технических ограничений самого Instagram, пользователь, не может восстановить все данные, как это реализовано в Facebook, то есть  бэкапить больше 150 комментариев под одним постом, зато можно восстановить как отдельные так и все фото профиля одним кликом.

Что можно сказать в итоге: разработка Acronis True Image 2018 стала для нас настоящим вызовом. Мы серьезно расширили его функциональность и добавили востребованные фишки, как в программной части, так и в части UI. У нас есть основание полагать, что True Image 2018 установит новый стандарт для систем умного резервного копирования для домашних пользователей, защиты данных всей семьи и малого бизнеса.

Автор: Aelnor

Источник

Поделиться

* - обязательные к заполнению поля