Рынок антивирусов и средств защиты от вредоносного кода насыщен, но эволюция угроз и бизнеса требует все больших инноваций.
Начнем с небольшого экскурса в историю. 1983 год, Фред Коэн на одной из конференций рассказывает о концепции компьютерных вирусов, которые могут заражать вычислительную технику подобно тому, как это происходит с человеческим организмом. Концепция вызывает интерес, но первые вредоносные вирусы, в «диком» виде, появляются лишь спустя некоторое время. Активный интерес со стороны программистов, увы! приводит к резкому росту числа вирусов. В 1988 г. начинается первая эпидемия, спровоцированная ошибкой в системе защиты, которую разрабатывал Роберт Моррис, студент одного из американских университетов. Небольшая программа была направлена на поиск «дыр» в сетевых Unix-сервисах, чтобы показать их уязвимость системным администраторам. Но критическая программная ошибка привела к тому, что «джин» вырвался на свободу и стал заражать компьютеры, подключенные к Интернету (в то время она была не такой большой, как сейчас). После того как через несколько дней «творение» Морриса было локализовано и подсчитаны убытки, оказалось, что «червь» заразил около 10% всех узлов Сети. Этот момент стал переломным в зарождающейся антивирусной индустрии. Примерно в тот же период начал свою историю и российский антивирусный рынок.
С развитием вирусов совершенствовались и антивирусы. В начале ХХI в. многие эксперты поняли, что разделять вирусы, относящиеся к «компетенции» антивирусов, и «червей» вместе с «троянскими конями», бывшие прерогативой средств обнаружения атак, не совсем корректно. И те и другие применяли схожие методы распространения и заражения, а значит, логично объединить в одном продукте функции защиты от этого вредоносного кода. Антивирусы даже перехватили часть функций средств обнаружения атак и стали активно пропагандироваться именно как средства борьбы с «червями» и «троянцами».
Пару лет спустя «активизировалось» ПО шпионское (spyware) и для навязывания рекламы (adware), затем появились атаки типа «фишинг» (fishing), вновь обнаружились перехватчики ввода с клавиатуры (keylogger) и т. п. Чтобы не выделять какой-то из видов вредоносного ПО, был введен термин malware (от англ. malicious software), который сегодня активно используется многими производителями. Сейчас уже трудно перечислить, что подразумевается под ним. Помимо названных типов вредоносного ПО, это и программы дозвона на платные телефонные номера, так называемые системы удаленного управления (самая известная из них – BackOrifice), и rootkit-ы, и многое другое. Можно предположить, что такая ситуация будет развиваться и дальше – все новые типы вредоносного ПО будут пополнять ряды malware, а последующие версии антивирусов будут с ними бороться.
Как ни стремятся антивирусные производители ограничиться только поддержкой новых угроз, им приходится учитывать требования, которые предъявляют современные предприятия к средствам защиты. И если раньше антивирусы представляли собой сегмент рынка информационной безопасности, стоящий особняком от всех остальных, то постепенная консолидация всех защитных решений заставляет производителей средств борьбы с вредоносным ПО оснащать свои продукты все новыми и новыми возможностями.
Как обнаружить то, что неизвестно
Большинство средств отражения malware построено на сигнатурных принципах и реализует реактивный подход, позволяющий разрабатывать и использовать шаблон уже известного «червя» или вируса. До недавнего времени для производителей это был единственный метод, старт которому дали антивирусные вендоры. Но то, что было эффективно 15 лет назад, перестало отвечать требованиям нынешнего дня. В исследовательской лаборатории Hewlett-Packard было доказано, что сигнатурная модель имеет фундаментальные слабости и не может использоваться в современных системах в качестве основного метода обнаружения несанкционированной активности. На сцене появился второй метод – контроль поведения и идентификация аномального поведения процессов и приложений. Этот подход позволяет обнаруживать и пока неизвестные вредоносные программы, для которых еще не написаны сигнатуры. О таких разработках уже заявили многие «защитные» компании, в том числе российские (например, Лаборатория Касперского или Star’n’Force).
Обнаружить неизвестное или ускорить обновление?
Другим способом решения проблемы вирусной угрозы является сокращение интервала между появлением новой вредоносной программы и сигнатуры для нее. На заре развития рынка считалось нормальным обновлять антивирус 1–2 раза в месяц. Постепенно ситуация менялась, новые вирусы и «черви» возникали ежедневно, с такой же периодичностью требовалось обновлять средства защиты. Сейчас среднее время разработки сигнатуры составляет около 6 часов. Но… Недостаточно сигнатуру разработать, ее необходимо доставить всем заказчикам, а от них донести до всех средств защиты. Этот процесс может занимать несколько дней, за которые эпидемия успеет поразить всю сеть. Несмотря на стремление к «нулевому» интервалу, достичь его невозможно, поэтому многие производители работают в обоих направлениях: предлагают системы ускоренной автоматической доставки новых сигнатур, параллельно внедряя в свои решения методы контроля поведения.
«Все в одном»
Как известно, методы обнаружения червей, вирусов, троянцев и других вредоносных программ примерно одинаковые, поэтому целесообразно объединить системы их отражения в один продукт. Это значительно облегчит жизнь пользователям, которые получат все «в одном флаконе». По такому пути пошли многие производители, и теперь потребитель избавлен от необходимости: платить за каждый продукт защиты отдельно, думать об интеграции, тратить время на установку нескольких продуктов и т. д. Данная тенденция наблюдается как в сегменте средств защиты для компьютеров, так и в сегменте средств сетевой безопасности. Компания Cisco Systems даже назвала одну из своих новых технологий защиты Anti-X, где X может означать практически любой из терминов, применяемых к вредоносному ПО, – virus, spyware, spam, fishing и др. Кстати, выход Cisco на рынок средств защиты от вредоносного ПО (включая отражение вирусов и спама) может существенно изменить положение основных игроков, которых до недавнего времени было всего 4 – Trend Micro, McAfee, Computer Associates и Symantec, совокупная доля которых на рынке составляла 78%. Примерно такой же эффект ожидается от действий другого ИТ-гиганта – Microsoft, который планирует включить в свою ОС бесплатное решение для борьбы с вредоносным ПО (Windows AntiSpyware Solution или Microsoft Malicious Software Removal Tool), обеспечивающее базовый уровень защиты. Учитывая мощь финансовой и маркетинговой машины, стоящей за Cisco и Microsoft, можно предположить, что остальным игрокам придется туго.
Интеграция в инфраструктуру
Кстати, действия Cisco и Microsoft демонстрируют еще одну тенденцию рынка информационной безопасности, применимую и к антивирусным решениям. Безопасность перестает быть «навесной» и устанавливаемой «поверх» какой-либо операционной системы или сегмента сети. Гораздо эффективнее встроить защитные возможности в инфраструктуру, наделив ее функциями самозащиты. Представьте, что купленный вами коммутатор или маршрутизатор по умолчанию может бороться с вирусными эпидемиями… Вам не понадобятся никакие другие антивирусные продукты, так как любой трафик обязательно будет проходить через сетевое оборудование. Если же компьютерная «зараза» занесена с каких-нибудь носителей (USB-флешка, CD, дискета и т. п.), встроенная внутрь операционной системы защита сработает более оперативно и эффективно, чем любое внешнее приложение (разумеется, при правильной реализации).
Технологией, которая будет активно востребована в ближайшее время, является контроль сетевого доступа (Network Access Control). Эта технология позволяет решить одну очень важную задачу – не допустить распространения эпидемий по корпоративной или операторской сети. На каждый узел (не обязательно компьютер, но и смартфон, КПК и т. д.) устанавливается небольшой агент (он может быть уже встроен в операционную систему или процессор, как например, это сделано у компаний Cisco, Microsoft или Intel), который, взаимодействуя с локальной системой защиты, получает информацию о состоянии защищенности узла («здоров», «заражен», «не соответствует политике безопасности» и т. д.). Эту информацию он передает сетевому оборудованию при любой попытке доступа узла к каким-либо ресурсам. Если статус защищенности отличается от заданного (например, зафиксировано заражение вирусом), доступ узла в сеть блокируется, а сам он перенаправляется в карантин, где и происходит лечение. Такая технология, предлагаемая сегодня многими ведущими компаниями, позволяет существенно повысить защищенность предприятия, не прибегая к серьезным инвестициям (ведь сетевое оборудование и операционные системы уже приобретены).
Техника и закон
Технические инновации, конечно, не помешают, но они напоминают бесконечную борьбу брони и снаряда. Поэтому многие компании, общественные организации и правительственные учреждения ведут работу и на других направлениях. Например, на законодательном поприще. В ряде стран активно внедряются различные законодательные акты и постановления, предусматривающие серьезное наказание за разработку и распространение вредоносных программ и спама. Например, в США принято сразу несколько законов, борющихся с этой опасностью: SPY Act, I-SPY Act, SPYBLOCK Act. CPACS Act и др. Аналогичные законы принимаются в Великобритании, Европейском Союзе и других странах.
Заключение
Мы рассмотрели основные тенденции развития рынка средств защиты от вредоносного ПО. Разумеется, это далеко не все, что ожидает нас в ближайшем будущем. Антивирусы для мобильных устройств (КПК и смартфонов), открытые стандарты, слияния и поглощения… Объем антивирусного рынка давно перевалил за миллиард, но признаков спада пока не заметно, что обусловлено повышением угрозы со стороны регулярно возникающих эпидемий. Однако тщательный анализ представленных на рынке решений показывает, что многие из них до сих пор не выросли из «детских штанишек» и не приспособлены для корпоративного применения – ведь разрабатывались они для домашнего применения. Только при условии нормальной интеграции с другими средствами защиты и системами (например, с HelpDesk), улучшении функций управления в крупных сетях, расширении аналитических возможностей и т. п. можно будет сказать, что рынок средств защиты от вредоносного ПО не только насытился, но и полностью удовлетворяет потребностям корпоративных пользователей.
Автор: Алексей Лукацкий
Источник: connect.ru