На конференции Intel Developer Forum в Сан-Франциско специалисты McAfee представили первые достижения в области механизмов безопасности, внешних по отношению к операционной системе и использующих аппаратные особенности процессоров Intel. Благодаря новым технологиям система McAfee Endpoint Protection Software сможет эффективнее распознавать низкоуровневые вредоносные программы — руткиты.
Новый проект McAfee получил название DeepSafe. Как заявила старший вице-президент и генеральный менеджер McAfee Endpoint Security Кэндейс Уорли, DeepSafe представляет собой нечто принципиально новое для антивирусной отрасли: «Технологии безопасности, работающие на таком уровне, еще не создавались. Технологию DeepSafe мы разрабатываем совместно с Intel».
DeepSafe станет ответом McAfee на изощренные хакерские приемы, реализуемые в руткитах, чьи способности по незаметному внедрению вредоносных программ на компьютеры непрерывно совершенствуются.
«Большинство современных антивирусов работают на уровне операционной системы, — отмечает Уорли. — Между тем, многие из защитных средств такого рода попросту не способны заметить внедрение руткита».
Чтобы заметать следы своей деятельности, руткиты пользуются множеством всевозможных трюков: например, они могут модифицировать протоколы инструментов системного мониторинга таким образом, чтобы выглядело, будто система работает нормально.
В сущности, в индустрии безопасности общеизвестным «секретом» считают тот факт, что атакующие способны обходить антивирусную защиту практически без затруднений. Некоторые пользователи могут годами не быть в курсе, что их система инфицирована так называемыми «постоянно совершенствуемыми угрозами» (advanced persistent threat, APT), несмотря на регулярное обновление антивирусов. Зная о подобных случаях, разработчики ПО безопасности пытаются создать адекватные методы защиты.
По утверждению Уорли, DeepSafe разрабатывается в качестве технологической основы для будущих продуктов McAfee. Первые из таких продуктов будут предложены в качестве дополнений для McAfee Endpoint Protection, ориентированных на распознавание руткитов в корпоративных системах. Как утверждает Уорли, именно корпоративные заказчики сейчас больше всего заинтересованы в подобных технологиях. Данное дополнение, пока не имеющее названия, будет представлено в октябре на конференции McAfee Focus. Со временем в компании собираются предложить и его вариант для потребителей.
В McAfee пока не объясняют, как именно будет работать DeepSafe, но по утверждению Уорли, разработка технологии началась еще до того, как компанию приобрела Intel.
DeepSafe сразу сможет работать в виртуальных машинах VMware, а вот пользователям сред на основе инструментов виртуализации Microsoft и Citrix придется подождать реализации поддержки новой технологии дольше. «Мы еще разбираемся, как обеспечить работу DeepSafe в терминальных средах», — сообщила Уорли.
McAfee первым среди крупных разработчиков антивирусов выпускает технологию такого рода, но компания не единственная, кто ведет исследования в данном направлении, полагает Лоренс Пингри, директор по исследованиям Gartner: «Думаю, примеру McAfee последуют и другие производители программных средств безопасности».
По мнению Пингри, технология DeepSafe при всей ее новизне все же пока не оправдывает многомиллиардных вложений Intel в McAfee: «Аналитики по-прежнему ожидают, что в результате данного слияния появится некая 'непробиваемая' технология, заслуживающая звание по-настоящему инновационной».