Защита от файловых угроз

Kaspersky Security для контейнеров использует компонент Защита от файловых угроз для поиска и анализа потенциальных файловых угроз с целью защиты контейнеризированных файлов (в том числе файлов в архивах и электронной почте) от вредоносного ПО. При обнаружении вредоносного ПО решение может блокировать или удалять зараженный объект и завершать вредоносный процесс, запущенный из такого объекта. Результаты проверки отображаются решением вместе с результатами сканирования.

Вы можете включать и выключать защиту от файловых угроз, а также настраивать следующие параметры защиты:

• Выбирать режим работы файлового перехватчика (аудит или блокирование объектов).
• Выбирать режим проверки файлов (при открытии, при открытии и изменении).
• Включать и выключать проверку архивов, почтовых баз, сообщений электронной почты в текстовом формате.
• Временно исключать из повторной проверки файлы в текстовом формате.
• Ограничивать размер проверяемого объекта и продолжительность проверки объекта.
• Выбирать действия, которые решение будет выполнять над зараженными объектами.
• Настраивать области проверки. Решение будет проверять объекты в указанной области файловой системы.
• Настраивать использование эвристического анализатора и технологии iChecker во время проверки.
• Включать и выключать запись в журнал событий безопасности информации о проверенных незараженных объектах, о проверке объектов в составе архивов и о необработанных объектах.

Параметры компонента Защита от файловых угроз активируются в разделе Политики → Среда выполнения → Профили среды выполнения, настраиваются в окне настройки параметров компонента Защита от файловых угроз и применяются ко всем существующим политикам среды выполнения.

Если вы не хотите, чтобы компонент Защита от файловых угроз активировался при запуске конкретной политики среды безопасности, требуется отключить его в настройках политики с помощью переключателя Выключено / Включено. Также необходимо убедиться, что компонент Защита от файловых угроз не запущен в рамках другой применимой политики среды выполнения.

Настройка параметров компонента Защита от файловых угроз

Для настройки параметров компонента Защита от файловых угроз требуются права роли Администратор ИБ.

Чтобы настроить параметры компонента Защита от файловых угроз:

1. В разделе Политики → Среда выполнения → Профили среды выполнения нажмите на кнопку Параметры.

   Откроется окно настройки параметров компонента Защита от файловых угроз.

2. В блоке Режим файлового перехватчика выберите один из следующих режимов проверки объектов:
   • Аудит – решение проверяет и осуществляет учет содержимого объектов.
   • Блокирование – решение блокирует все объекты, которые не соответствуют установленным правилам и критериям.
3. В блоке Режим сканирования выберите одно из следующих значений режима Защиты от файловых угроз:
   • Интеллектуальный режим (значение по умолчанию) – проверять файл при попытке открытия и проверять его повторно при попытке закрытия, если файл был изменен. Если процесс в течение определенного времени многократно обращается к файлу и изменяет его, решение повторно проверяет файл только при последнем закрытии файла этим процессом.
   • При открытии и изменении – проверять файл при попытке открытия и проверять его повторно при попытке закрытия, если файл был изменен.
   • При открытии – проверять файл при попытке открытия на чтение, исполнение или изменение.
4. В блоке Действия с обнаруженными объектами в раскрывающихся списках выберите следующее:
   1. Первое действие, которое компонент Защита от файловых угроз будет выполнять над обнаруженным зараженным объектом:
      • Выполнять рекомендованное действие над объектом на основе данных об уровне критичности угрозы, обнаруженной в файле, и возможности его лечения (значение по умолчанию).

        Например, сразу удаляются троянские программы, так как они не заражают другие файлы и поэтому не предполагают лечения.

      • Лечить объект. Копия зараженного объекта будет помещена в резервное хранилище.
      • Блокировать доступ к объекту.
      • Удалять объект. Копия зараженного объекта будет помещена в резервное хранилище.
   2. Второе действие, которое компонент Защита от файловых угроз будет выполнять над обнаруженным зараженным объектом, если не удастся выполнить первое действие:
      • Выполнять рекомендованное действие над объектом на основе данных об уровне критичности угрозы, обнаруженной в файле, и возможности его лечения (значение по умолчанию).
      • Лечить объект. Копия зараженного объекта будет помещена в резервное хранилище.
      • Блокировать доступ к объекту.
      • Удалять объект. Копия зараженного объекта будет помещена в резервное хранилище.

   Рекомендуется указывать оба действия с обнаруженными объектами.

   При выборе действий с обнаруженными объектами необходимо учитывать следующее:

   • Если в качестве первого действия выбрано Блокировать или Удалять, то второе действие указывать не нужно.
   • Если второе действие не выбрано, по умолчанию выполняется действие Блокировать.
   • Если в применимой политике среды выполнения выбран режим применения Аудит, действия с обнаруженными объектами не выполняются.
5. В блоке Области проверки с помощью установки флажков определите области проверки, содержащие файлы и директории для сканирования. Если флажок установлен, решение проверяет выбранные объекты. Вы можете выбрать одну или несколько областей проверки из следующего списка:
   • Проверять архивы – флажок включает или выключает проверку архивов. По умолчанию флажок снят, и решение не проверяет архивы.

     Решение проверяет архивы в таких форматах как .ZIP, .7Z*, .7-Z, .RAR, .ISO, .CAB, .JAR, .BZ, .BZ2, .TBZ, .TBZ2, .GZ, .TGZ, .ARJ, а также самораспаковывающиеся архивы в формате .SFX. Список поддерживаемых форматов архивов зависит от используемых баз.

     Если проверка архивов включена, а в качестве первого действия с обнаруженным объектом установлено Выполнять рекомендованное действие, то в зависимости от типа архива решение удаляет зараженный объект или весь архив, содержащий угрозу.

     Вы можете определить охват проверки архивов, указав Самораспаковывающиеся архивы или Все архивы. Если вы выбираете проверку самораспаковывающихся архивов, решение проверяет только архивы, которые имеют в своем составе исполняемый модуль-распаковщик.

     Для проверки решению сначала требуется распаковать архив, что может замедлить проверку. Вы можете сократить продолжительность проверки архивов, включив и настроив параметры Пропускать файл, если его проверка длится более (сек.) и Пропускать файл, если его размер более (МБ).

   • Проверять почтовые базы – флажок включает или выключает проверку почтовых баз приложений Microsoft Outlook, Outlook Express, The Bat! и других почтовых клиентов. По умолчанию флажок снят, и решение не проверяет файлы почтовых баз.
   • Проверять файлы почтовых форматов – флажок включает или выключает проверку файлов сообщений электронной почты в текстовом формате. По умолчанию флажок снят, и решение не проверяет сообщения в текстовом формате.
   • Пропускать текстовые файлы – флажок включает или временно выключает проверку файлов в текстовом формате, если они повторно используются тем же процессом в течение 10 минут после последней проверки. Параметр позволяет оптимизировать проверку журналов работы приложений. По умолчанию флажок снят, и решение не проверяет текстовые файлы.
   • Пропускать объект, если его размер более (МБ) – флажок включает или выключает проверку объектов с установленным максимальным размером (в мегабайтах). Если размер проверяемого объекта превышает указанное значение, решение пропускает объект при проверке.

     Доступные значения: 0–999999. Если установлено значение 0, решение проверяет файлы любого размера.

     Значение по умолчанию: 0.

   • Пропускать объект, если его проверка длится более (сек.) – флажок включает или выключает проверку объектов с установленным максимальным временем проверки файла в секундах. После истечения указанного времени решение прекращает проверку файла.

     Доступные значения: 0–9999. Если указано значение 0, время проверки не ограничено.

     Значение по умолчанию: 60.

6. В блоке Технологии с помощью установки флажков определите технологию, которую решение будет использовать для проверки объектов. Вы можете выбрать один из следующих вариантов:
   • Использовать технологию iChecker – флажок включает или выключает проверку только новых файлов и файлов, измененных с момента последней проверки. iChecker представляет собой способ сканирования, который уменьшает общее время выполнения сканирования за счет частичного пропуска сканирования ранее просканированных файлов, которые не изменялись после проведенной проверки.

     Если флажок установлен, решение проверяет только новые и измененные с момента последней проверки файлы. Если флажок снят, решение проверяет файлы, не учитывая даты создания и изменения.

     По умолчанию флажок установлен.

   • Использовать эвристический анализ – флажок включает или выключает использование эвристического анализа при проверке объектов. Эвристический анализ позволяет решению распознавать угрозы безопасности до того, как они станут известны аналитикам вредоносного ПО.

     По умолчанию флажок установлен.

     Если флажок Использовать эвристический анализ установлен, вы можете выбрать уровень эвристического анализа. Установленный уровень эвристического анализа обеспечивает баланс между тщательностью поиска угроз безопасности, степенью загрузки ресурсов операционной системы и длительностью проверки. Чем выше установленный уровень эвристического анализа, тем больше ресурсов потребует проверка и больше времени займет. Вы можете выбрать один из следующих вариантов:

     • Рекомендованный (значение по умолчанию) – оптимальный уровень, рекомендуемый специалистами "Лаборатории Касперского". Он обеспечивает оптимальное сочетание качества защиты и влияния на производительность защищаемых серверов.
     • Поверхностный – наименее детализированная проверка, минимальная нагрузка на систему.
     • Средний – средняя детализация при проверке, сбалансированная нагрузка на систему.
     • Глубокий – наиболее детализированная проверка, максимальная нагрузка на систему.
7. В блоке Регистрация событий с помощью установки флажков определите необходимость записи события в журнал событий безопасности. Вы можете выбрать один или несколько вариантов регистрации событий:
   • Сообщать о незараженных объектах – флажок включает или выключает запись информации о проверенных объектах, которые решение признало незараженными.
   • Сообщать о необработанных объектах – флажок включает или выключает запись информации о проверенных объектах, которые об объектах по какой-либо причине не были обработаны.
   • Сообщать об упакованных объектах – флажок включает или выключает запись информации о проверенных объектах, которые являются частью составных объектов, например архивов.

   Если флажок установлен, решение записывает событие в журнал для всех объектов. Если флажок снят, событие не записывается в журнал. По умолчанию флажок снят.

8. Нажмите Сохранить.

Работа файлового перехватчика

При выполнении задач по проверке объектов компонент Защита от файловых угроз задействует перехватчик файловых операций. Для него устанавливается один из следующих режимов перехвата файлов (параметр InterceptorProtectionMode):

• Блокирование (значение по умолчанию) – блокировать файлы на время проверки задачей, использующей файловый перехватчик. Обращение к любому файлу ожидает результатов проверки. При обнаружении зараженных объектов решение выполняет действия, указанные в параметрах блока Действия с обнаруженными объектами.
• Аудит – не блокировать файлы на время проверки задачей, использующей файловый перехватчик. Обращение к любому файлу разрешается, проверка выполняется в асинхронном режиме. При обнаружении зараженных объектов решение только записывает событие в журнал событий. Действия, указанные в параметрах блока Действия с обнаруженными объектами, не выполняются.

  Если выбрано значение Аудит, решение включает информирующий режим работы компонентов Защита от файловых угроз.

Настроенные параметры компонента применяются, когда Защита от файловых угроз активирована в политиках среды выполнения. Эти настройки одинаковы для всех созданных политик среды выполнения. Если в применимой политике среды выполнения выбран режим аудита, а в компоненте Защита от файловых угроз для параметра InterceptorProtectionMode указано Блокирование, решение будет осуществлять блокирование файлов.

Обновление баз данных

Для обеспечения максимального уровня защиты контейнеризированных объектов от файловых угроз осуществляется обновление баз данных компонента Защита от файловых угроз. Обновление осуществляется автоматически с установленной периодичностью или по вашему запросу.

При развертывании нового агента решение обновляет и затем применяет обновленные базы данных компонента Защита от файловых угроз.

При развертывании решения в открытом контуре корпоративной сети обновление осуществляется непосредственно с сервера обновлений. При установке решения в закрытом контуре корпоративной сети обновленные базы данных для компонента Защита от файловых угроз добавляются в контейнер kcs-updates для последующего запуска и обновления.

Применение обновленных баз на работающем агенте не нарушает активную защиту узлов в среде выполнения. Обновление баз данных регистрируется в журнале событий.

Если в ходе обновления баз данных произошла какая-либо ошибка, решение отменяет обновления компонента Защита от файловых угроз и продолжает использовать ранее установленные базы данных. Возникшие в ходе обновления ошибки записываются в файл events.db, который находится в поде агента node-agent.

Файл events.db доступен, если для группы агентов включен параметр Защита от файловых угроз.

Принудительное отключение Защиты от файловых угроз

В Kaspersky Security для контейнеров 2.0 вы можете полностью отключить компонент Защита от файловых угроз. Необходимость в этом может появиться в случае возникновения проблем в работе компонента.

Принудительно отключить компонент Защита от файловых угроз можно двумя способами: с помощью изменения файла для развертывания агентов на кластере и с помощью изменения запущенных агентов.

Чтобы принудительно отключить Защиту от файловых угроз с помощью файла для развертывания агентов:

1. Откройте файл с инструкцией для развертывания агентов на кластере в формате .YAML, который вы скачали при развертывании агентов.
2. В блоке параметров DaemonSet для агента node-agent измените значение переменной окружения FILE_THREAT_PROTECTION_ENABLED на false.

   name: FILE_THREAT_PROTECTION_ENABLED

   value: false

3. Сохраните изменения в файле инструкции.
4. В консоли примените файл инструкции с помощью kubectl apply -f agents.yaml

   Оркестратор повторно развернет поды агента node-agent с отключенным компонентом Защита от файловых угроз.

Чтобы принудительно отключить Защиту от файловых угроз при запущенных агентах:

1. В консоли откройте запущенных агентов с помощью команды kubectl edit.
2. В блоке параметров DaemonSet для агента node-agent измените значение переменной окружения FILE_THREAT_PROTECTION_ENABLED на false.

   name: FILE_THREAT_PROTECTION_ENABLED

   value: false

3. Сохраните изменения.

   Оркестратор применит сохраненные изменения и отключит компонент Защита от файловых угроз.