Тенденції розвитку антивірусного ринку h2>
Михайло Савельєв p>
Сьогодні
навряд чи хто буде сперечатися про те, що захищатися від вірусів треба. Це
демонструють дані щорічного звіту Ernst & Young. Залежно від
зовнішніх умов змінюються і антивірусні технології. Розуміння прийдешніх
змін необхідно для того, щоб сьогодні зробити правильні інвестиції в
забезпечення безпеки. Темі подальшого розвитку антивірусних засобів і
присвячений цей огляд. p>
Не
так давно основною вимогою до антивірусне програмне забезпечення було
кількість уловлюваних вірусів. Потім увага стала приділятися швидкості
оновлення бази вірусних сигнатур, що, безсумнівно, і зараз є одним з
найважливіших критеріїв оцінки ефективності того чи іншого антивірусного
продукту. Однак умови змінюються, і ті антивірусні компанії, які за
старому дотримуються даного підходу і будують стратегію розвитку виходячи з
принципу «швидше за всіх спіймаємо будь-який вірус», все частіше зазнають фіаско. Аналіз
причин ситуації, що склалася, мабуть, варто почати з того, що зараз
шкідливий код - це не тільки традиційні віруси та хробаки, а й такі
«Непрохані гості», як всякого роду шкідливе програмне забезпечення:
шпигунське та рекламне, «троянські програми», фішингові атаки і т. д. Не варто
забувати і про «набівшем оскому» спам. Крім того, сьогодні все частіше доводиться
стикатися з комбінованими погрозами, як за способами розповсюдження (через
файли або по мережі, експлуатуючи уразливості ПЗ), так і по впливу на
атакується систему (від залучення обчислювальних ресурсів до крадіжки або
знищення інформації). p>
Сьогодні
вірусні загрози відрізняють вражаючі швидкості розповсюдження, особливо
сучасних комп'ютерних черв'яків. Наприклад, епідемія хробака Sasser в 2004 р. в
Протягом тижня з моменту виникнення охопила 80 млн комп'ютерів. За
теоретичним прогнозами, розповсюдження «зарази» по всій мережі Інтернет сьогодні
може відбутися мінімум за 15 хвилин, максимум - за кілька годин. p>
Скорочується
і час, що витрачається зловмисниками на розробку таких шкідливих
програм. Інтервал між анонсуванням уразливості і запуском нового вірусу
складає в середньому 5 днів. Саме стільки часу знадобилося хакерам для
створення хробака Zotob в серпні 2005 р. Для порівняння, на створення того ж
Sasser'a рік тому пішло 18 днів. Так що «прогрес» у наявності. Що стосується атак
DayZero, то тут взагалі не доводиться говорити про будь-який інтервалі, бо для
таких атак використовуються виявлені хакерами, але поки не анонсовані
уразливості. Стало бути, і сигнатурні методи виявлення шкідливої активності
вже не рятують. Те, що було ефективно ще пару років тому, за сучасних
швидкостях поширення «епідемій» стає абсолютно неефективним.
Тому зараз основні розробники активно впроваджують технології поведінкового
аналізу, спрямовані на виявлення аномалій в поведінці програм і процесів,
атак, що використовують ще невідомі уразливості, а також шкідливого коду, для
якого поки не розроблено жодних сигнатур (або вони не доставлені до всіх
користувачів антивіруса). p>
Слід
також зазначити, що захист, реалізована тільки на серверах і робочих
станціях, вже не є гарантовано ефективною. При такому підході боротися
з «інфекцією» доводиться вже всередині мережі, що збільшує розмір збитку від
зараження і ускладнює відновлення системи. Вихід у цьому випадку один - організація
антивірусної оборони по периметру мережі - на шлюзах та мережевих пристроях. p>
Антивірусні
продукти для захисту робочих станцій і серверів до цих пір займають левову частку
в загальному обсязі продажів антивірусних компаній, і до недавнього часу продукти
провідних світових вендорів відрізнялися головним чином функціональністю в області
управління та створення звітів. Але ситуація починає змінюватися - розширюються
функціональні можливості антивірусних програм для робочих станцій, світові
вендори взялися за доповнення своїх рішень персональними міжмережевим екранами
і антишпигунських модулями. Багатьом антивірусним компаніям уже вдалося
реалізувати (хоча б частково) ці принципи захисту в своїх продуктах. Так,
наприклад, засоби виявлення шпигунського ПЗ застосовують такі виробники, як
Trend Micro, McAfee і Symantec. P>
Яким
представляється антивірусне рішення в майбутньому? Логічно припустити, що
першими на ринку з'являться рішення того постачальника, хто зуміє грамотно і
повністю реалізувати вимоги, пропоновані до антивірусного ПЗ власниками
великих мереж. p>
Чого хочуть від антивірусів великі компанії? h2>
Корпорації
хочуть бачити у себе антивірусне рішення, яке б захищало мережу від усього
спектра загроз, об'єднаних під загальною назвою «шкідливий код».
Використання самостійних рішень по захисту від спаму, шпигунського та іншого
шкідливого ПЗ незручно з кількох причин. Основна - це самостійна
консоль управління для кожного з таких продуктів, що не завжди добре навіть у
рамках мережі невеликого підприємства, а у великій мережі і зовсім позбавлене сенсу.
Безліч центрів управління різними продуктами знижує ефективність
реагування на інциденти і може викликати додаткові проблеми при боротьбі з
комбінованими погрозами. p>
Крім
того, що антивірусне рішення стає комплексним, воно має забезпечувати
відповідний рівень захисту від усіх видів шкідливого коду. Якщо з
виявленням вірусів ситуація в цілому досить стабільна, то з фільтрацією
спаму, шпигунського ПЗ і т. д. справи йдуть далеко не так добре. Важливим чинником
тут є і те, що різні продукти від різних постачальників - це збільшення
витрат на підтримку і експлуатацію, що, природно, приводить до підвищення ТСО
(сукупної вартості володіння). p>
Що реалізовано і які недоліки? h2>
Проблеми шпигунського та рекламного ПЗ h2>
За
результатами звіту дослідницької групи Gartner (Antivirus Vendors Strike
Back With Anti-Spyware Products, ID G00129655) від 20 до 40% звернень
користувачів до служби підтримки компанії пов'язаний саме з проблемою отримання
такого роду шкідливого програмного забезпечення. До недавнього часу
існувало декілька самостійних антішпіонскіх рішень (наприклад, Giant
Company Software і Intermute, куплені зараз компаніями Microsoft і
TrendMicro), але жодна з них не належало провідним розробникам в області
інформаційної безпеки. Як і в багатьох інших сферах, масштабування і
централізована система управління засобами захисту є критично
важливим чинником, на який звертають увагу великі компанії, що,
власне, і відрізняє вимоги до рішень з інформаційної безпеки
великих корпорацій від запитів невеликих компаній. У цьому досить добре
досягли успіху антивірусні компанії. p>
Системи
управління засобами захисту (компаній McAffee, Trend Micro, Computer
Associates та ін) виконані на досить високому рівні, чого саме не
вистачає продуктів незалежних постачальників антішпіонскіх рішень. Однак не в
користь самостійних розробників таких рішень свідчить той факт, що
корпорацій вважають за краще не ускладнювати існуючу структуру своєї мережі і тим
більше її захист, без особливої на те необхідності. Крім того, антивірусні
продукти і антишпигунські системи вирішують приблизно одне завдання: так чи інакше вони
призначені для боротьби з шкідливим ПЗ, і наявність двох скануючих систем не
має особливого сенсу, до того ж при цьому не виключені конфлікти ресурсів і
проблеми з поданням даних (як для ефективного управління, так і для
аналізу). p>
Що
ж пропонують провідні світові постачальники в області антишпигунського ПО? Почнемо з
того, що можливості цих рішень з виявлення відомих вірусів складають
приблизно 99%. Відсоток виявлення шпигунського ПЗ значно нижче. На жаль,
в даний час не існує достовірних незалежних тестів. За деякими
досліджень та даними аналітичних звітів (наприклад, Gartner), відсоток
«Вилову» шпигунських програм досягає 75%. P>
Цьому
є, принаймні дві причини: p>
--
швидкість створення, наприклад рекламного ПЗ, значно вище, ніж більшості
вірусів; p>
--
відсутність співпраці між дослідними лабораторіями, які займаються
антішпіонскіх ПЗ, ускладнює створення єдиної бази даних зразків коду. p>
Тим
не менше роботу з інтеграції антишпигунського функціонала в «Пошуку» антивірусів
йде повним ходом. Поки що жоден з впроваджених антішпіонскіх модулів не отримав
високої оцінки, але, з огляду на ті зусилля, які докладають виробники
антивірусів в даному напрямку, можна чекати, що їм вдасться обійти
постачальників незалежних антішпіонскіх рішень. Найближчим часом антивірусні
компанії повинні будуть розширити свої рішення з виявлення шпигунського ПЗ
додатковими можливостями щодо виявлення різного роду схожих з ним
шкідливих програм. p>
До
сьогоднішнього дня є серйозні проблеми у сфері захисту від шпигунського ПЗ в
реальному режимі часу і коштів видалення такого роду програм із системи
(особливо це стосується рекламного ПО, що становить до 90% шпигунського). p>
Антивірусний захист мобільних пристроїв h2>
Ми
живемо в час, коли засоби комунікації досягли того рівня розвитку, про
якому, мабуть, ще півсотні років тому мріяли лише письменники-фантасти. Ми не
замислюємося над тим, яку відстань долаємо, набираючи номер мобільного
телефону людини, що знаходиться за тисячі кілометрів від нас. Думаю, ніхто не
буде сперечатися з тим, що зручність використання мобільного телефону в якості
записника, поштової скриньки і засоби доступу до Інтернету значно
економить наш час і полегшує ведення справ. p>
Смартфони
(як і інші кишенькові пристрої, наприклад, PDA) тільки завойовують
популярність в Росії, тоді як у західному бізнес-співтоваристві ці кошти не
використовує хіба що ледачий. Хакерські співтовариство, в свою чергу, потирає
руки - яке неоране поле для створення та вдосконалення нового виду загроз!
Вірусописьменники не сплять і вже запускають свої «творіння» в життя. Так, у 2004 р.
побачив світ вірус для мобільних телефонів - Cabir, здатний вражати не тільки
самі мобільні телефони, але й інші електронні пристрої, оснащені
технологією Bluetooth (наприклад, комп'ютерні системи автомобільної
автоматичної навігації). p>
Таким
чином, грунт для широкого розповсюдження шкідливої коди для мобільних
пристроїв вже підготовлена. За оцінкою аналітиків Gartner, «інфікування» в
масштабах глобальної епідемії можливо, якщо не менше 50% всіх пристроїв будуть
працювати під однією операційною системою. Сьогодні близько 80% смартфонів
працюють з ОС Symbian, 45% PDA - на основі Microsoft Windows РЄ, так що можна
вважати цю умову вже реалізованим. p>
Як
ж боротися з такого роду «інфекцією»? На сьогоднішній день у більшості
стільникових операторів не існує антивірусних програм, що входять в пакет
програмних засобів. Антивірусні вендори пропонують продукти для захисту
мобільних телефонів і КПК, що, однак, не є вирішенням проблеми в
глобальному масштабі. p>
Антивірусні
рішення для мобільних пристроїв, «зашиті» в самому пристрої, не можна назвати високоефективними
у боротьбі з такими загрозами: ніхто не в змозі змусити користувачів
своєчасно оновлювати відповідне програмне забезпечення, ніхто не
контролює, чи не було воно видалено, оскільки не дозволило отримати доступ до
якого-небудь сайту, і т. д. Крім того, ефективність подібного ПЗ в разі
вірусної епідемії є дуже низькою, тому що практично неможливо
організувати централізоване оновлення на великій кількості розрізнених
пристроїв, що належать різним людям. p>
Найбільш
ефективним може стати використання технології, що отримала назву in the
cloud, що не вимагає установки на мобільний телефон антивірусного ПЗ. Принцип її
роботи полягає у перевірці трафіку на шлюзах доступу в Інтернет, що
здійснюється централізовано і не потребує будь-яких спеціальних дій від
користувача. p>
Інтеграція антивірусних технологій з мережевим
обладнанням h2>
Найбільш
ймовірно, що наступною фазою еволюції антивірусних продуктів стане інтеграція
технологій боротьби з шкідливим кодом в мережеве устаткування. Для компаній
такі рішення цікаві в першу чергу тим, що дозволяють блокувати
поширення «інфекції» на етапі підключення зараженого пристрою до мережі,
незалежно від способу - через маршрутизатор, комутатор, точку бездротового
доступу і т. д. Це позбавить адміністраторів від головного болю, пов'язаного з
з'єднаннями вузлів, стан захищеності яких важко контролювати, - мобільних
користувачів (перш за все, представників замовників і партнерів),
співробітників і партнерів, що входять в мережу через VPN, і т. д. Кінцевий
користувач отримає можливість збереження інвестицій, якщо така технологія
вже підтримується обладнанням, на якому працює мережа. p>
Проблема спаму h2>
Спам
- Прикра проблема практично для кожного користувача, що працює з
електронною поштою. Хоча загроза спаму не є «в чистому вигляді» вірусної, за
багатьма ознаками її часто відносять саме до цієї категорії. Так, до «падіння»
поштового сервера може призвести перевищення обсягу спаму на ньому. Що вже
говорити про втрати, які зазнають компанії із-за того, що співробітники
змушені витрачати частину свого робочого часу на сортування пошти. p>
Інтернет-пейджери h2>
Одним
із засобів комунікації, що набули широкого поширення, стали служби
обміну миттєвими повідомленнями, або інтернет-пейджери. За останній час
з'явилося чимало програм, що атакують користувачів пейджерів, зокрема,
такі віруси для коханої в Росії «Аськи», як Bizex, Goner і Atlex. p>
З
великою часткою ймовірності можна припустити, що цей напрям
більш активно експлуатуватися хакерами і надалі. Пов'язано це з тим, що
вразливості в стандартних поштових програмах (наприклад, Microsoft Outlook)
виявляються все рідше, а обсяг інформаційних повідомлень через
інтернет-пейджери (в компаніях, де дозволено використання таких програм),
як правило, перевищує обсяг електронної пошти, що ведеться засобами
корпоративної поштової системи. p>
Висновок h2>
Антивірусне
ПО - єдиний продукт інформаційної безпеки, який використовується практично
в 100% компаній. Таким чином, всі «околоантівірусние» рішення з часом
будуть інтегровані в технології провідних антивірусних вендорів, щоб
забезпечити кінцевим замовникам можливість більш якісного захисту від даного
спектру загроз і єдине управління для цих продуктів. Звичайно, антивірусні
компанії не в змозі у стислі терміни представити на ринок власні
розробки додаткових засобів виявлення шкідливого ПЗ, які б конкурували
з незалежними розробками. Гравці ринку повинні серйозно зайнятися власними
розробками в області доповнюють рішень, щоб забезпечити компанії єдиними
інструментами управління цими засобами захисту. p>
Список літератури h2>
Журнал
«Connect!», № 11.2005 p>