Hello, world!
В начале августа 2022 года мы представили облачный сервис Dr.Web FixIt! широкой публике. Он предназначен для дистанционного анализа вирусозависимых компьютерных инцидентов (ВКО) на платформе Windows и устранения их последствий. В основе FixIt! лежит обширная база знаний с информацией о различных типах заражений операционной системы, способах обнаружения признаков компрометации, а также набор алгоритмов выявления и лечения угроз. Сервис задумывался как отдельное многофункциональное средство борьбы с киберугрозами, которое дополняет существующие на рынке антивирусные инструменты. Однако это также и мощное диагностическое решение, помогающее оценивать состояние компьютеров и выявлять всевозможные неполадки системы и установленного в ней ПО.
В чем особенность Dr.Web FixIt!
Традиционные антивирусные комплексы для обнаружения вредоносных приложений используют сигнатурные и несигнатурные вирусные базы, эвристический и поведенческий анализ, а также другие методики, которые так или иначе базируются на заранее известных шаблонах и алгоритмах работы вредоносного ПО. Dr.Web FixIt! действует иначе. Он формирует подробный отчет о состоянии проверяемой системы, который с применением широкого спектра фильтров может быть проанализирован оператором. Фильтры позволяют выполнять диагностику для выявления аномалий и потенциальных заражений, поиска следов проникновения злоумышленников, возможных уязвимостей и других угроз безопасности (например, отсутствия важных патчей и обновлений ОС). Таким образом, сервис помогает изучать целевую систему по целому ряду параметров и выявлять в ней наличие самых разных проблем. В том числе — присутствие новейшего вредоносного ПО, включая программы, используемые для целевых атак и не обнаруживаемые никакими иными инструментами.
Dr.Web FixIt! в некотором смысле можно сравнить с работой целой команды Digital Forensics-специалистов, которые шаг за шагом, по крупицам собирают улики киберпреступления и анализируют вектор заражения. Здесь же сбор сведений происходит автоматически, а благодаря фильтрам на анализ полученных данных затрачивается меньше ресурсов и человеко-часов.
В то же время, диагностика — это лишь часть функциональности сервиса. По завершении диагностики Dr.Web FixIt! позволяет производить лечение заражений, а также исправлять другие выявленные недочеты. Например, корректировать настройки системы или вносить изменения в реестр Windows.
Принцип работы сервиса
Стандартный алгоритм действий при работе с Dr.Web FixIt! следующий:
Первичная диагностика компьютера и сбор данных.
Применение нужных, по мнению операторов, фильтров, с помощью которых создается срез данных для анализа.
Лечение компьютера.
Для первичной оценки состояния проверяемого компьютера (например, следов присутствия в ней неизвестных вредоносных программ или иных признаков компрометации) специалист генерирует диагностическую утилиту Dr.Web FixIt!. Пользователю исследуемой машины лишь необходимо запустить этот модуль — он автоматически сформирует отчет со всей необходимой диагностической информацией.
Полученный отчет передается в сервис, где оператор, ответственный за разбор инцидента, применяет необходимые фильтры для получения среза интересующих его данных. Существует возможность использования как предустановленных фильтров, так и создания собственных.
По окончании анализа отчета оператор отмечает выявленные проблемы и выбирает действия и команды, необходимые для лечения целевого компьютера. На этом этапе формируется уникальный экземпляр лечащей утилиты Dr.Web FixIt!. В процессе работы она внесет исправления, необходимые именно той конкретной машине, на которой проводилась первичная диагностика. Пользователю останется запустить ее, а все действия по исправлению проблем она выполнит сама — в соответствии с заданным скриптом (сценарием) лечения.
После того, как лечащая утилита заканчивает работу, она готовит новый отчет, который также загружается в сервис. Оператор применяет к новому отчету нужные фильтры и проверяет данные. Если проблемы устранены, задача закрывается. В противном случае формируется новая лечащая утилита, в которую при необходимости добавляются новые команды. Этот процесс повторяется до тех пор, пока инцидент не будет решен успешно.
Утилита Dr.Web FixIt! не требует установки, поэтому ее использование не приведет к конфликту с уже установленными сторонними антивирусами.
Кому может быть полезен Dr.Web FixIt!
В первую очередь, Dr.Web FixIt! предназначен для специалистов, в чьи обязанности входит мониторинг безопасности компьютерной инфраструктуры и разбор ИБ-инцидентов. То есть, специалистам SOC-центров (Security Operation Center). Особенно сервис актуален в случаях, когда к исследуемой машине нет физического доступа технического персонала соответствующей квалификации. Например, если она расположена в удаленном филиале организации, и выполнить качественный и всесторонний анализ целевой системы на месте не представляется возможным.
Кроме того, Dr.Web FixIt! будет полезен и таким компаниям, где квалификация системных администраторов не позволяет грамотно анализировать компьютерные инциденты, связанные с действием вредоносных программ и атаками киберпреступников. Использование этого решения даст бизнесу возможность оптимизировать расходы на содержание технического персонала. Сервисом могут воспользоваться и частные специалисты в области информационной безопасности.
Вместе с тем, Dr.Web FixIt! может применяться и для общей диагностики компьютеров по широкому спектру критериев. Это и поиск потенциального конфликта между установленным ПО, поиск ошибок в работе штатных антивирусных продуктов Dr.Web, установленных на целевой машине, и многие другие сценарии. Все зависит от того, какая именно информация интересует специалиста в данный момент.
Итак, если резюмировать, то целевая аудитория Dr.Web FixIt! - это:
Сотрудники подразделений, занимающиеся мониторингом работы систем защиты информации и реагирующих на инциденты ИБ (SOC).
Сотрудники отделов ИБ компаний и организаций.
Системные администраторы.
Эксперты и исследователи в сфере информационной безопасности.
Особенности лицензирования и экспертного сопровождения
Сервис Dr.Web FixIt! лицензируется по числу задач. Задача — это совокупность мероприятий, в рамках которых выполняется анализ и лечение компьютера. Задачи имеют ограниченный срок действия — 10 дней, по истечении которого все сформированные отчеты остаются доступны, но выполнение новых действий становится невозможным. Для того, чтобы продолжить лечение компьютера, потребуется открыть новую задачу, куда можно будет загрузить созданные ранее отчеты. В настоящее время существует возможность приобрести пакеты по 1, 10, 20, 50 или 100 задач. При этом срок лицензии Dr.Web FixIt! — 1 год.
В случае необходимости специалисты компании «Доктор Веб» помогут проанализировать полученные диагностические данные и подскажут, как устранить последствия атаки или других выявленных проблем. Чтобы воспользоваться этой услугой, необходимо приобрести сертификат экспертного сопровождения через личный кабинет бизнес-пользователя. В отличие от стандартных, задачи с экспертным сопровождением не имеют ограничений жизненного цикла — они становятся бессрочными.
Когда может потребоваться экспертное сопровождение задачи?
Если необходимо проанализировать данные, полученные с помощью Dr.Web FixIt!.
Если нужна помощь в устранении последствий заражения.
Если необходимо определить потенциальные масштабы ущерба на основе анализа обнаруженных вредоносных файлов.
Если необходима консультация по мерам минимизации потерь и исключению повторения атак.
Важно отметить, что поступающая в рамках работы сервиса в компанию «Доктор Веб» информация пользователей регламентируется политикой в области конфиденциальности. Компания обрабатывает ее в соответствии с законами Российской Федерации и прилагает все возможные усилия для ее защиты. Ознакомиться с политикой можно на нашем сайте по ссылке: https://company.drweb.ru/policy/.
Заключение
Облачный сервис Dr.Web FixIt! для удалённой диагностики инцидентов ИБ и устранения их последствий позволяет не только решать вопросы поиска и нейтрализации киберугроз на компьютерах под управлением Windows, но и улучшить ИБ-защищенность предприятий. Это функциональный инструмент, в основе которого — российские технологии и собственная, многолетняя экспертиза компании «Доктор Веб». В данном материале мы рассмотрели лишь базовые возможности сервиса. Для более детального знакомства с ним вы можете запросить демо-доступ, после чего самостоятельно принять решение о том, подходит ли он для решения ваших задач.
Комментарии (2)
tbp2k5
04.10.2022 21:39+1IMHO Вам-бы штаб-квартиру перенести куда-нибуть за пределы РФ. У вас в целом неплохие продукты (давно использую) но понимание что на вас легко надавить российским спец-службам сильно усложняет использование ваших инструментов сейчас (меры по изоляции и контролю коммуникаций) и ставит под серьезный вопрос обновление лицензии в будущем.
Сильно сомневаюсь что текущая «ситуация» разрешиться приемлемо в обозримом будущем. Будет жаль если придется отказаться от ваших продуктов.
kolabaister
Было бы интересно посмотреть, но по моему вы несколько перестарались со сбором данных для демо. Все контакты, инн, и только при наличии разрешения на спам, которое завязано на согласие на обработку перс. данных.