Некоторое вредоносное ПО, заражая систему, может начать выполнять свои функции спустя месяцы после самого заражения. Находясь на виртуальной машине, подобные зловреды при подключении к серверу могут распространиться по всему центру обработки данных и корпоративной сети. Именно для отражения подобных угроз Сitrix и Bitdefender разработали средство безопасности, которое запускается внутри гипервизора для обнаружения вредоносного ПО, запущенного в гостевых виртуальных машинах. В данном случае речь идет о сервере компании Citrix под названием XenServer, а сам защитный продукт называется Bitdefender Hypervisor Introspection (HVI).


Bitdefender HVI – первое решение, осуществляющее мониторинг гостевых виртуальных машин и низкоуровневое сканирование памяти в режиме реального времени. С его помощью можно отслеживать самые разнообразные зловреды, обнаруживать и блокировать их. Система может эффективно бороться с различными угрозами, включая таргетированные атаки по типу Carbanak, Turla, APT28 и NetTraveler.

В чем особенность

Если руткит или эксплойт, который находится внутри гостевой виртуальной машины, скрыл свои следы, даже продвинутые средства безопасности будут испытывать трудности при их поиске. Решение – просмотр этой виртуальной машины из вне, при возможности контролировать процессы внутри нее.



Средство, которое предлагает Bitdefender — это bare-metal гипервизор, который может проверять виртуальные машины, оставаясь в то же время изолированным от них. Таким образом он будет видеть все, что происходит в вашей инфраструктуре, при этом вредоносное ПО не сможет достичь его и воспрепятствовать работе. Подобный подход ранее не использовался при создании средств обеспечения безопасности.


Гипервизор изолирован от подключаемых виртуальных машин и не может быть атакован вредоносным ПО

Как работает

Гипервизор обеспечивает детальное низкоуровневое сканирование памяти, используемой каждой виртуальной машиной. Для реализации этой концепции, Citrix разработала новый API в XenServer. Он обрабатывает поступающие от гипервизора данные о всей памяти, используемой конкретной виртуальной машиной. Благодаря этому Hypervisor Introspection способен обнаруживать следы действий вредоносных программ на том уровне, где их скрыть просто невозможно.

Таким образом с помощью Bitdefender HVI можно обнаружить скрытые угрозы, которые могли не давать о себе знать месяцами. Это же касается и угроз нулевого дня. Bitdefender HVI обнаруживает угрозу по характерным действиям в памяти, которые не заметны на уровне операционной системы.

Конечно, существует традиционный вариант обеспечения безопасности — размещение в виртуальной ОС агента, который бы отслеживал изменения в системе и в случае обнаружения вредоносного ПО начинал бы с ним бороться. Но загвоздка в том, что когда виртуальных машин десятки и сотни, для выполнения такой задачи нужны очень большие ресурсы. В любом случае, в ИТ-инфраструктуре могут работать и другие решения безопасности. Они никак не конфликтуют с Bitdefender HVI и выполняют свои функции в штатном режиме.

Кстати, подобные традиционные средства защиты — с установкой агентов внтури виртуальных машин — есть и у Bitdefender. Они обеспечивают безопасность виртуальных сред на любой платформе: VMware, Citrix, Microsoft Hyper-V, KVM, Oracle и др., предоставляя возможности сканирования в режиме реального времени для файловых систем, процессов, памяти и реестра. Более подробно с этими средствами вы можете ознакомиться по ссылке.

При обнаружении действий вредоносного ПО в памяти на виртуальной машине, HVI предоставляет подробные отчеты о цепочке атаки, включая затронутые процессы, тип нарушения и временную шкалу атаки. Кроме этого, инструменты HVI могут внедрять устраняющие вредоносное ПО средства непосредственно в виртуальные машины при их подключении к системе. Все это позволяет сторонним средствам защити продолжать работать в штатном режиме, не обращая внимания на виртуальные машины, экономя время и ресурсы, и повышая надежность работы системы безопасности в целом.


Схема действия вредоносного ПО и отражения атаки

Отличный пример эффективности применяемых Bitdefender технологий (в том числе HVI, а также собственной модели машинного обучения) продемонстрировало недавнее массовое заражение шифровальщиком WannaCry. Ни одна конечная точка, на которой использовалась защита от Bitdefender, не подхватила эту заразу. Так, Hypervisor Introspection был способен нейтрализовать эксплойт EternalBlue с самого начала его появления, еще до того, как Microsoft выпустила заплатку.

Контроль действий

Контролировать и настраиваить работу Bitdefender Hypervisor Introspection можно при помощи интерфейса системы Bitdefender Gravity Zone. Там можно получить доступ к управлению политиками безопасности, защитой конкретных серверов и виртуальных машин, определить режим работы HVI для конкретных процессов и серверов в целом, настраивать firewall, инструменты antimalware, осуществлять контроль за устройствами, приложениями и контентом, получить подробную статистику об активности защитных инструментов и вредоносного ПО.













Более подробно об управлении HVI с помощью Gravity Zone вы можете узнать из видео.

Системные требования

Для работы Bitdefender HVI необходимы такие условия:

Хост

— Любой процессор Intel Sandy Bridge или выше с поддержкой Intel Virtualization Technology;
— Активированные в БИОСе расширения VT-x или VT-d;
— XenServer 7 или выше.

Гостевые операционные системы

Десктопные семейства Windows:

— Windows 10;
— Windows 8.1;
— Windows 8;
— Windows 7.

Серверные семейства Windows:

— Windows Server 2012 R2;
— Windows Server 2012;
— Windows Server 2008 R2.

Операционные системы семейства Linux

— Debian 8.2, 64-bit;
— Ubuntu 16.04 LTS, 64-bit;
— Ubuntu 15.04, 64-bit;
— Ubuntu 14.04 LTS 64-bit;
— CentOS 7, 64-bit;
— Red Hat Enterprise Linux 7, 64-bit.

Как видим, в настоящее время Bitdefender HVI работает только с XenServer, стеком виртуализации Citrix. Однако, нужно учесть, что XenServer основан на Xen, который имеет открытый исходный код и работает в некоторых крупных мировых облачных сервисах. Исходя из этого можно ожидать, что ситуация с «монопольным» положением XenServer изменится и Bitdefender HVI мы увидим и у других производителей. Тем более, что в Bitdefender заявляли о большом вкладе Intel и Linux Foundation в разработку данного инструмента.

Вместо послесловия

Bitdefender Hypervisor Introspection дает пользователям новый метод обнаружения и нейтрализации вредоносного ПО. Он весьма эфективный и уже доказал свою состоятельность на практике — в случае с противодействием эксплойту EternalBlue и шифровальщику WannaCry. На данный момент один из главных его минусов — заточенность под XenServer, ведь далеко не все используют именно его. Но так как HVI уже продемонстрировал свою высокую эффективность, можно ожидать, что он появится и под другие продукты. Во всем остальном же эта система существенно осложнит жизнь киберпреступникам и повысит безопасность вашей ИТ-инфраструктуры.
Поделиться с друзьями
-->

Комментарии (1)


  1. Web__Devel
    22.05.2017 19:06

    Сейчас придут умники и напишут, что настоящие прогеры не используют антивирусы