Hello, world!

В начале августа 2022 года мы представили облачный сервис Dr.Web FixIt! широкой публике. Он предназначен для дистанционного анализа вирусозависимых компьютерных инцидентов (ВКО) на платформе Windows и устранения их последствий. В основе FixIt! лежит обширная база знаний с информацией о различных типах заражений операционной системы, способах обнаружения признаков компрометации, а также набор алгоритмов выявления и лечения угроз. Сервис задумывался как отдельное многофункциональное средство борьбы с киберугрозами, которое дополняет существующие на рынке антивирусные инструменты. Однако это также и мощное диагностическое решение, помогающее оценивать состояние компьютеров и выявлять всевозможные неполадки системы и установленного в ней ПО.

В чем особенность Dr.Web FixIt!

Традиционные антивирусные комплексы для обнаружения вредоносных приложений используют сигнатурные и несигнатурные вирусные базы, эвристический и поведенческий анализ, а также другие методики, которые так или иначе базируются на заранее известных шаблонах и алгоритмах работы вредоносного ПО. Dr.Web FixIt! действует иначе. Он формирует подробный отчет о состоянии проверяемой системы, который с применением широкого спектра фильтров может быть проанализирован оператором. Фильтры позволяют выполнять диагностику для выявления аномалий и потенциальных заражений, поиска следов проникновения злоумышленников, возможных уязвимостей и других угроз безопасности (например, отсутствия важных патчей и обновлений ОС). Таким образом, сервис помогает изучать целевую систему по целому ряду параметров и выявлять в ней наличие самых разных проблем. В том числе — присутствие новейшего вредоносного ПО, включая программы, используемые для целевых атак и не обнаруживаемые никакими иными инструментами.

Dr.Web FixIt! в некотором смысле можно сравнить с работой целой команды Digital Forensics-специалистов, которые шаг за шагом, по крупицам собирают улики киберпреступления и анализируют вектор заражения. Здесь же сбор сведений происходит автоматически, а благодаря фильтрам на анализ полученных данных затрачивается меньше ресурсов и человеко-часов.

В то же время, диагностика — это лишь часть функциональности сервиса. По завершении диагностики Dr.Web FixIt! позволяет производить лечение заражений, а также исправлять другие выявленные недочеты. Например, корректировать настройки системы или вносить изменения в реестр Windows.

Принцип работы сервиса

Стандартный алгоритм действий при работе с Dr.Web FixIt! следующий: 

  1. Первичная диагностика компьютера и сбор данных.

  2. Применение нужных, по мнению операторов, фильтров, с помощью которых создается срез данных для анализа. 

  3. Лечение компьютера.

Для первичной оценки состояния проверяемого компьютера (например, следов присутствия в ней неизвестных вредоносных программ или иных признаков компрометации) специалист генерирует диагностическую утилиту Dr.Web FixIt!. Пользователю исследуемой машины лишь необходимо запустить этот модуль — он автоматически сформирует отчет со всей необходимой диагностической информацией.

Рисунок 1. Создание диагностической утилиты Dr.Web FixIt!
Рисунок 1. Создание диагностической утилиты Dr.Web FixIt!
Рисунок 2. Главное окно диагностической утилиты
Рисунок 2. Главное окно диагностической утилиты
Рисунок 3. Процесс формирования отчета
Рисунок 3. Процесс формирования отчета

Полученный отчет передается в сервис, где оператор, ответственный за разбор инцидента, применяет необходимые фильтры для получения среза интересующих его данных. Существует возможность использования как предустановленных фильтров, так и создания собственных.

Рисунок 4. Применение фильтров при анализе отчета
Рисунок 4. Применение фильтров при анализе отчета

По окончании анализа отчета оператор отмечает выявленные проблемы и выбирает действия и команды, необходимые для лечения целевого компьютера. На этом этапе формируется уникальный экземпляр лечащей утилиты Dr.Web FixIt!. В процессе работы она внесет исправления, необходимые именно той конкретной машине, на которой проводилась первичная диагностика. Пользователю останется запустить ее, а все действия по исправлению проблем она выполнит сама — в соответствии с заданным скриптом (сценарием) лечения.

Рисунок 5. Создание лечащей утилиты Dr.Web FixIt! с применением необходимых команд
Рисунок 5. Создание лечащей утилиты Dr.Web FixIt! с применением необходимых команд

После того, как лечащая утилита заканчивает работу, она готовит новый отчет, который также загружается в сервис. Оператор применяет к новому отчету нужные фильтры и проверяет данные. Если проблемы устранены, задача закрывается. В противном случае формируется новая лечащая утилита, в которую при необходимости добавляются новые команды. Этот процесс повторяется до тех пор, пока инцидент не будет решен успешно.

Утилита Dr.Web FixIt! не требует установки, поэтому ее использование не приведет к конфликту с уже установленными сторонними антивирусами. 

Кому может быть полезен Dr.Web FixIt!

В первую очередь, Dr.Web FixIt! предназначен для специалистов, в чьи обязанности входит мониторинг безопасности компьютерной инфраструктуры и разбор ИБ-инцидентов. То есть, специалистам SOC-центров (Security Operation Center). Особенно сервис актуален в случаях, когда к исследуемой машине нет физического доступа технического персонала соответствующей квалификации. Например, если она расположена в удаленном филиале организации, и выполнить качественный и всесторонний анализ целевой системы на месте не представляется возможным.

Кроме того, Dr.Web FixIt! будет полезен и таким компаниям, где квалификация системных администраторов не позволяет грамотно анализировать компьютерные инциденты, связанные с действием вредоносных программ и атаками киберпреступников. Использование этого решения даст бизнесу возможность оптимизировать расходы на  содержание технического персонала. Сервисом могут воспользоваться и частные специалисты в области информационной безопасности.

Вместе с тем, Dr.Web FixIt! может применяться и для общей диагностики компьютеров по широкому спектру критериев. Это и поиск потенциального конфликта между установленным ПО, поиск ошибок в работе штатных антивирусных продуктов Dr.Web, установленных на целевой машине, и многие другие сценарии. Все зависит от того, какая именно информация интересует специалиста в данный момент.

Итак, если резюмировать, то целевая аудитория Dr.Web FixIt! - это:

  • Сотрудники подразделений, занимающиеся мониторингом работы систем защиты информации и реагирующих на инциденты ИБ (SOC).

  • Сотрудники отделов ИБ компаний и организаций.

  • Системные администраторы.

  • Эксперты и исследователи в сфере информационной безопасности.

Особенности лицензирования и экспертного сопровождения

Сервис Dr.Web FixIt! лицензируется по числу задач. Задача — это совокупность мероприятий, в рамках которых выполняется анализ и лечение компьютера. Задачи имеют ограниченный срок действия — 10 дней, по истечении которого все сформированные отчеты остаются доступны, но выполнение новых действий становится невозможным. Для того, чтобы продолжить лечение компьютера, потребуется открыть новую задачу, куда можно будет загрузить созданные ранее отчеты. В настоящее время существует возможность приобрести пакеты по 1, 10, 20, 50 или 100 задач. При этом срок лицензии Dr.Web FixIt! — 1 год.

В случае необходимости специалисты компании «Доктор Веб» помогут проанализировать полученные диагностические данные и подскажут, как устранить последствия атаки или других выявленных проблем. Чтобы воспользоваться этой услугой, необходимо приобрести сертификат экспертного сопровождения через личный кабинет бизнес-пользователя. В отличие от стандартных, задачи с экспертным сопровождением не имеют ограничений жизненного цикла — они становятся бессрочными.

Когда может потребоваться экспертное сопровождение задачи?

  • Если необходимо проанализировать данные, полученные с помощью Dr.Web FixIt!.

  • Если нужна помощь в устранении последствий заражения.

  • Если необходимо определить потенциальные масштабы ущерба на основе анализа обнаруженных вредоносных файлов.

  • Если необходима консультация по мерам минимизации потерь и исключению повторения атак.

Важно отметить, что поступающая в рамках работы сервиса в компанию «Доктор Веб» информация пользователей регламентируется политикой в области конфиденциальности. Компания обрабатывает ее в соответствии с законами Российской Федерации и прилагает все возможные усилия для ее защиты. Ознакомиться с политикой можно на нашем сайте по ссылке: https://company.drweb.ru/policy/.

Заключение

Облачный сервис Dr.Web FixIt! для удалённой диагностики инцидентов ИБ и устранения их последствий позволяет не только решать вопросы поиска и нейтрализации киберугроз на компьютерах под управлением Windows, но и улучшить ИБ-защищенность предприятий. Это функциональный инструмент, в основе которого — российские технологии и собственная, многолетняя экспертиза компании «Доктор Веб». В данном материале мы рассмотрели лишь базовые возможности сервиса. Для более детального знакомства с ним вы можете запросить демо-доступ, после чего самостоятельно принять решение о том, подходит ли он для решения ваших задач.

Комментарии (2)


  1. kolabaister
    04.10.2022 18:58
    +3

    Было бы интересно посмотреть, но по моему вы несколько перестарались со сбором данных для демо. Все контакты, инн, и только при наличии разрешения на спам, которое завязано на согласие на обработку перс. данных.


  1. tbp2k5
    04.10.2022 21:39
    +1

    IMHO Вам-бы штаб-квартиру перенести куда-нибуть за пределы РФ. У вас в целом неплохие продукты (давно использую) но понимание что на вас легко надавить российским спец-службам сильно усложняет использование ваших инструментов сейчас (меры по изоляции и контролю коммуникаций) и ставит под серьезный вопрос обновление лицензии в будущем.
    Сильно сомневаюсь что текущая «ситуация» разрешиться приемлемо в обозримом будущем. Будет жаль если придется отказаться от ваших продуктов.