Тенденции розвитку антивірусного ринку

Тенденции розвитку антивірусного рынка

Михаил Савельев Сегодня навряд хто сперечатиметься у тому, що захищатися від вірусів треба. Це демонструють дані щорічного звіту Ernst & Young. Залежно від зовнішніх умов змінюються і антивірусні технології. Розуміння прийдешніх змін потрібно, щоб сьогодні зробити правильні інвестиції в забезпечення безпеки. Темі її подальшого розвитку антивірусних засобів і присвячений справжній обзор.

Не недавно основним вимогою до антивирусному програмному забезпеченню було кількість що вловлюються вірусів. Потім увагу стало приділятися швидкості відновлення бази вірусних сигнатур, що, безсумнівно, і є однією з найважливіших критеріїв оцінки ефективності тієї чи іншої антивірусного продукту. Проте умови змінюються, й ті антивірусні компанії, котрі за старому дотримуються такого підходу та будуються стратегію розвитку з принципу «найшвидше спіймаємо будь-який вірус», дедалі більше терплять фіаско. Аналіз причин цій ситуації, мабуть, слід з те, що зараз шкідливий код — це традиційні віруси і хробаки, але такі «незвані гості», як різного роду шкідливе програмне забезпечення: шпигунське і рекламне, «троянські програми», фишинговые атаки тощо. буд. Марно забувати і «набившем оскому» спаме. З іншого боку, сьогодні дедалі частіше доводиться мати справу з комбінованими погрозами, як у способам поширення (через файли чи з мережі, експлуатуючи уразливості ПО), і за впливом на атакуемую систему (від залучення обчислювальних ресурсів до крадіжки чи знищення информации).

Сегодня вірусні загрози відрізняють вражаючі швидкості поширення, особливо сучасних комп’ютерних хробаків. Наприклад, епідемія хробака Sasser 2004 року. в протягом тижня з виникнення охопила 80 млн комп’ютерів. По теоретичним прогнозам, поширення «зарази» у всій Інтернету сьогодні може відбутися мінімум за 15 хвилин, максимум, за кілька часов.

Сокращается та палестинці час, затрачуване зловмисниками розробці подібних шкідливих програм. Інтервал між анонсированием уразливості і запуском нового вірусу становить середньому 5 днів. Саме стільки часу знадобилося хакерам для створення хробака Zotob у серпні 2005 р. Порівняйте, створення тієї самої Sasser «a минулого року пішло 18 днів. Отож «прогрес» очевидна. Що ж до атак DayZero, то тут й казати якесь інтервалі, бо до таких атак використовуються виявлені хакерами, але що анонсовані уразливості. Отже, і сигнатурные методи виявлення шкідливої активності не рятують. Те, було ефективно кілька років тому за сучасних швидкостях поширення «епідемій» стає абсолютно неефективним. Тому сьогодні основні розробники активно впроваджують технології поведінкового аналізу, створені задля виявлення аномалій поведінці програм, тож процесів, атак, використовують ще невідомі уразливості, і навіть шкідливого коду, для якого поки що не розроблено ніяких сигнатур (або їх не доставлені до всіх користувачів антивируса).

Следует зазначити, що захист, реалізована лише з серверах і сотні робітників станціях, вже є гарантовано ефективної. За такого підходу боротися з «інфекцією» припадає вже всередині мережі, що підвищує розмір шкоди від зараження і утрудняє відновлення системи. Вихід у разі один — організація антивірусної оборони за периметром мережі - на шлюзи і мережевих устройствах.

Антивирусные продукти за захистом робочих станцій та серверів досі займають левову пайку наявних у загальному обсягу продажів антивірусних компаній, і по останнього часу продукти провідних світових вендорів відрізнялися переважно функціональністю у сфері управління і шляхом створення звітів. Але ситуація починає змінюватися — розширюються функціональні можливості антивірусних програм для робочих станцій, світові вендоры розпочали доповнення своїх рішень персональними міжмережними екранами і антишпионскими модулями. Багатьом антивірусним компаніям вже вдалося реалізувати (хоча б частково) цих принципів захисту у свої продукти. Так, наприклад, кошти виявлення шпигунського ПО застосовують такі виробники, як Trend Micro, McAfee і Symantec.

Каким представляється антивірусне рішення, у майбутньому? Логічно припустити, що першими над ринком з’являться рішення тієї постачальника, хто зуміє грамотне й повною мірою реалізувати вимоги, які пред’являються антивирусному ПО власниками великих сетей.

Чего жадають антивірусів великі компании?

Корпорации хочуть бачити в себе антивірусне рішення, яке захищало б мережу від України всього спектра загроз, об'єднаних під загальним назвою «шкідливий код». Використання самостійних рішень щодо захисту спаму, шпигунського чи іншого шкідливого ПО незручно з кількох причин. Основна — це самостійна консоль самонаведення кожного з цих продуктів, що не добре навіть у рамках мережі невеликого підприємства, а великої сіті й зовсім втрачає сенс. Безліч центрів управління різними продуктами знижує ефективність реагування на інциденти і може викликати додаткові проблеми при боротьби з комбінованими угрозами.

Помимо те, що антивірусне рішення стає комплексним, він повинен забезпечувати на відповідний рівень захисту на всі види шкідливого коду. Якщо з виявленням вірусів ситуація загалом досить стабільна, те з фільтрацією спаму, шпигунського ПЗ проведено та т. буд. справи не така добре. Важливим чинником тут є і те, що різні продукти від різних постачальників — це кошти витрат за підтримку і експлуатацію, що, природно, приводить до підвищення ТСО (сукупної вартості владения).

Что реалізовано і які недостатки?

Проблемы шпигунського і рекламного ПО

По результатам звіту дослідницької групи Gartner (Antivirus Vendors Strike Back With Anti-Spyware Products, ID G00129655) від 20 до 40% звернень користувачів до служби підтримки компанії пов’язано саме з проблемою отримання що така шкідливого програмного забезпечення. Донедавна існувало кілька самостійних антишпионских рішень (наприклад, Giant Company Software і Intermute, куплені зараз компаніями Microsoft і TrendMicro), але й одне з яких не належало провідним розробникам у сфері інформаційну безпеку. Як у багатьох іншій системі, масштабируемая і централізована систему управління засобів захисту є критично важливий чинник, який звертають уваги великих компаній, що, власне, і вимоги до рішень по інформаційну безпеку великих корпорацій від запитів невеликих компаній. У цьому вся досить добре процвітали антивірусні компании.

Системы управління коштами захисту (компаній McAffee, Trend Micro, Computer Associates та інших.) виконані досить рівні, чого саме вистачає продуктам незалежних постачальників антишпионских рішень. Проте чи в користь самостійних розробників таких рішень свідчить те, що корпорації не збираються ускладнювати існуючу структуру своєї сіті й тим більш її оборону, без особливої те що необхідності. З іншого боку, антивірусні продукти і антишпионские системи вирішують приблизно одне завдання: однак вони призначені для боротьби з шкідливим ПО, та наявність двох скануючих систем не має особливого сенсу, при цьому у своїй не виключені конфлікти ресурсів немає і проблеми з наданням даних (як управління, так анализа).

Что ж пропонують провідні світові постачальники у сфері антишпионского ПО? Почати з те, що можливості цих рішень щодо виявлення відомих вірусів становлять приблизно 99%. Відсоток виявлення шпигунського ПО значно нижчі від. На жаль, нині немає достовірних незалежних тестів. За деякими дослідженням та даним аналітичних звітів (наприклад, Gartner), відсоток «вилову» шпигунських програм сягає 75%.

Этому є, по крайнього заходу дві причины:

— швидкість створення, наприклад рекламного ПО, значно вища, ніж більшості вирусов;

— відсутність співпраці між дослідницькими лабораторіями, що займаються антишпионским ПО, утрудняє утворення єдиної бази даних зразків кода.

Тем щонайменше робота з інтеграції антишпионского функціоналу в «движки» антивірусів йде на повну котушку. Поки що ні одне із впроваджених антишпионских модулів недоотримав високої оцінки, але, враховуючи ті зусилля, які докладають виробники антивірусів у напрямі, очікується, нібито їм удасться обійти постачальників незалежних антишпионских рішень. У найближчим часом антивірусні компанії мають розширити свої рішення з виявлення шпигунського ПО додатковими можливостями з виявлення різноманітних схожих з нею шкідливих программ.

До сьогодні є серйозні проблеми, у галузі захисту від шпигунського ПО в реальному режимі часу та коштів видалення що така програм із системи (особливо що це стосується рекламного ПО, що становить до 90% шпионского).

Антивирусная захист мобільних устройств

Мы живемо у XXI століття, коли кошти комунікації досягли від того рівня розвитку, про якому, мабуть, ще півсотні тому мріяли лише письменники-фантасти. Не задумуємося про тим, яке відстань долаємо, набираючи номер мобільного телефону людини, який би за тисячі км від нас. Гадаю, хто б сперечатиметься про те, що зручність використання мобільного телефону як записної книжки, поштової скриньки і кошти доступу до Інтернету значно заощаджує час і полегшує ведення дел.

Смартфоны (як та інші кишенькові устрою, наприклад, PDA) лише завойовують популярність у Росії, тоді як у західному бизнес-сообществе ці гроші не використовує хіба що ледачий. Хакерское співтовариство, своєю чергою, потирає руки — яке цілина до створення і удосконалення нового види загроз! Вирусописатели не дрімають і вже запускають свої «твори» у життя. Так було в 2004 р. побачило світ вірус для цих апаратів — Cabir, здатний вражати як самі мобільні телефони, а й інші електронні устрою, оснащені технологією Bluetooth (наприклад, комп’ютерні системи автомобільної автоматичної навигации).

Таким чином, підґрунтя великого поширення шкідливого коду для мобільних пристроїв підготовлена. За оцінкою аналітиків Gartner, «інфікування» в масштабах глобальної епідемії можливо, а то й менш 50% всіх пристроїв будуть працювати під однієї операційній системою. Сьогодні порядку 80% смартфонів працюють із ОС Symbian, 45% PDA — з урахуванням Microsoft Windows РЄ, тож решту можна вважати цю умова вже реализованным.

Как ж боротися з такої роду «інфекцією»? Сьогодні в багатьох стільникових операторів немає антивірусних програм, які входять у пакет програмних засобів. Антивірусні вендоры пропонують продукти за захистом цих апаратів і КПК, що, проте, перестав бути рішенням проблеми, у глобальному масштабе.

Антивирусные рішення мобільних пристроїв, «зашиті» у самому устрої, можна назвати високоефективними боротьби з такими погрозами: хто б може змусити користувачів своєчасно оновлювати відповідне програмне забезпечення, хто б контролює, був воно віддалене, оскільки дозволило одержати доступ якомусь сайту, тощо. буд. З іншого боку, ефективність подібного ПО у разі вірусної епідемії видається дуже низькою, оскільки неможливо організувати централізоване відновлення з великої кількості розрізнених пристроїв, що належать різним людям.

Наиболее ефективним може бути використання технології, що отримала назву in the cloud, яка потребує установки на мобільного телефона антивірусного ПО. Принцип її роботи залежить від перевірці трафіку на шлюзи доступу до Інтернету, який здійснюється централізовано і вимагає будь-яких спеціальних дій від пользователя.

Интеграция антивірусних технологій, з мережним оборудованием

Наиболее мабуть, що наступним фазою еволюції антивірусних продуктів стане інтеграція технологій боротьби з шкідливим кодом в мережне устаткування. Для компаній таке рішення цікаві насамперед тим, які дозволяють блокувати поширення «інфекції» на етапі підключення зараженого устрою до неї, незалежно від способу — через маршрутизатор, комутатор, точку бездротового доступу тощо. буд. Це позбавить адміністраторів головного болю, що з підключеннями вузлів, стан захищеності котрих тяжко контролювати, — мобільних користувачів (передусім, представників замовників і їхніх партнерів), співробітників і їхніх партнерів, які входять у мережу через VPN, тощо. буд. Кінцевий користувач зможе збереження інвестицій, якщо вона технологія вже підтримується устаткуванням, у якому працює сеть.

Проблема спама

Спам — прикра проблема практично кожному за користувача, котрий з електронною поштою. Хоча загроза спаму перестав бути «в чистому вигляді» вірусної, по багатьом ознаками її часто відносять саме до цієї категорії. Так, до «падіння» поштового серверу можуть призвести перевищення обсягу спаму у ньому. Що вже казати про втрати, які терплять компанії тому, що працівники змушені витрачати частину свого робочого дня на сортування почты.

Интернет-пейджеры

Одним із засобів комунікації, отримали стала вельми поширеною, стали служби обміну миттєвими повідомленнями, чи інтернет-пейджери. Останнім часом з’явилося чимало програм, атакуючих користувачів пейджерів, зокрема, такі віруси для улюбленої у Росії «Аськи», як Bizex, Goner і Atlex.

С високою ймовірністю можна припустити, що це напрям буде активніше експлуатуватися хакерами й надалі. Пов’язано це про те, що уразливості в стандартних поштових програмах (наприклад, Microsoft Outlook) виявляються дедалі рідше, а обсяг з повідомлень через інтернет-пейджери (в компаніях, де дозволено використання таких програм), зазвичай, перевищує обсяг електронної пошти, існуючої засобами корпоративної поштової системы.

Заключение

Антивирусное ПО — єдиний продукт інформаційну безпеку, використовуваний практично в 100% компаній. Отже, все «околоантивирусные» рішення з часом будуть інтегровані у технології провідних антивірусних вендорів, щоб забезпечити кінцевим замовникам можливість якісної захисту від цього спектра загроз і єдиний управління тих продуктів. Звісно, антивірусні компанії неспроможна протягом короткого терміну уявити ринку власні розробки додаткові засоби виявлення шкідливого ПО, які конкурували з незалежними розробками. Гравці ринку мають серйозно зайнятися власними розробками у сфері доповнюють рішень, щоб забезпечити компанії єдиними інструментами управління цими засобів захисту.

Список литературы

Журнал «Connect!», № 11.2005.