Обзор подготовлен	При поддержке

Проактивная защита от вирусов

Современная киберпреступность приобретает все более организованный характер. Вирусные технологии часто объединяются с хакерскими и спамерскими, становясь эффективным способом заработка. По мере роста числа подобных смешанных угроз, сокращается временной промежуток с момента появления нового вируса до массового заражения. В этом контексте растет интерес рынка к проактивному методу защиты.

Статистика компании MessageLabs, проверившей в2004 г. 12,6млрд. электронных писем, показывает наличие вируса в каждом 16 письме. Это вдвое превышает результаты предыдущего года. При этом количество новых вирусов за минувший год увеличилось на 51%—по данным Sophos—или же, по версии Symantec, на 64%.

По оценкам Forrester, вирусы и черви продолжают оставаться главной угрозой (68%) для предприятий, опережая в том числе и разного рода внутренние угрозы (49%). Недавнее исследование SANS Institute демонстрирует, что хакеры и вирусописатели сегодня нацеливаются на продукты, предназначенные для защиты корпоративных сетей, и часто делают своей мишенью именно антивирусные программы.

Еще одна заметная тенденция — объединение вирусных, хакерских и спамерских технологий, в рамках своего рода коммерциализации вирусов. Написание вирусов иих использование стало эффективным способом заработка. На первый план выходит получение прибыли благодаря спаму ифишингу. Вредоносный код перехватывает управление зараженным компьютером и используется для зомбирования машин сцелью рассылки спама, кражи личной информации или проведения DDoS-атак. Статистика Symantec, Kaspersky, Eset идругих антивирусных вендоров все чаще фиксирует «троянские» программы, нацеленные на получение удаленного контроля над зараженным компьютером. Sophos также обращает внимание на все более организованный характер киберпреступности. Тот факт, что новых «троянцев» становится все больше, указывает на профессионализацию процесса создания вредоносного ПО.

Сохраняется наметившаяся в начале прошлого года тенденция к росту смешанных угроз, а также к сокращению временного отрезка с момента появления нового вируса до массового заражения (сейчас он составляет примерно 20 минут). Почтовые черви ивирусы совершенствуются иусложняются. Наиболее уязвимыми для них точками остаются электронная почта и сетевые пакеты данных. Именно таким способом на компьютеры до сих пор проникает почти 100% современных вредоносных программ.

Растущая мобильность сотрудников и широкое распространение USB-носителей расшатывает концепцию защиты сетевого периметра. Некоторые вендоры средств защиты считают, что ситуацию может стабилизировать только тотальная онлайновая аутентификация пользователей.

Средства и «защитники»

Антивирусные решения присутствуют сегодня в каждой корпоративной сети. Как средства обеспечения безопасности они гораздо более демократичны чем, например, брандмауэры или IDS. Нередко они оказываются, собственно, единственной защитой предприятий сектора SMB. Как раз за счет малого и среднего бизнеса за последний год заметно усилили свои позиции небольшие поставщики массовых средств защиты, «покусившиеся» на рыночные доли Cisco (- 10% за 2004 г.) и Symantec (- 4,2% за тот же период).

Крупнейшие мировые поставщики антивирусного ПО — Symantec, Trend Micro, McAfee — занимают до 70-80% этого рынка. Львиная доля их поставок приходится на США и Европу. В России сегодня имеют представительства пять мировых антивирусных вендоров — Symantec, Eset Software, Trend Micro (функции представительства выполняет эксклюзивный дистрибутор «Прикладная Логистика»), Panda и McAfee, ориентирующийся, в отличие от остальных, преимущественно на корпоративных заказчиков.

Лидирующие позиции в российском корпоративном секторе занимает, по мнению экспертов, Symantec, с которым работают многие крупные отечественные интеграторы. Trend Micro, помимо антивирусов, предлагает широкий спектр софтверных решений для защиты ИС предприятий, в том числе такие специфичные, как управление политикой безопасности и распределенные IPS. Новый для российского рынка игрок Eset Software развивает перспективные технологии эвристического детектирования угроз, и вероятнее всего, займет хорошие позиции в секторе СМБ. Пока что же на этом рынке безоговорочно лидирует «Лаборатория Касперского», а доля представленного здесь же антивируса Dr. Web, по экспертным оценкам, не превышает 5-7%.

Большая часть антивирусного ПО распространяется сегодня через софтверных дистрибьюторов — Mont, CPS, 1C и др. По всем продуктам и дистрибуторы, и реселлеры работают с довольно высокой маржой (около 30 — 40%), что свидетельствует о наличии незадействованных ресурсов в канале. По мере его развития в дальнейшем следует ожидать значительного падения маржи.

Серьезным конкурентом нынешним лидерам рынка антивирусного ПО может, предположительно, стать Microsoft. Ожидание его активности в этом секторе уже заставляет крупных игроков (Symantec, McAfee, CA) готовиться к противостоянию. Microsoft уже встраивает в свои продукты технологию вирусного сканирования Sybari, а также решения приобретенных компаний GeCAD (антивирусы) и Giant Company Software (антишпионское ПО). Пилотная версия Windows OneCare, включающей защиту от вирусов и шпионского ПО, брандмауэр и инструменты настройки ПК, должна появиться на рынке в конце 2005 г., и вероятно, внесет свои изменения в существующую ситуацию. Впрочем, каких-либо перемен предстоит ждать еще год-полтора, а защита нужна компаниям уже сейчас. В этой связи озвучивают другой сценарий, по которому Microsoft начнет предоставлять антивирусные интерфейсы и оболочку для работы любого антивирусного движка.

Методы: сигнатурный vs проактивный

Защита по определению является реакцией на угрозы, поэтому все устойчивые тенденции в развитии вирусов получают свое отражение в антивирусных продуктах. Так, смешанные угрозы стимулировали разработку интегрированных пакетов защиты, которые предлагают сегодня все вендоры. «Лаборатория Касперского» концентрируется на интегрированных решениях для SMB; продукт Eset NOD32 предлагает защиту от шпионских программ, нежелательной рекламы, потенциально опасных невирусных приложений (riskware), фишинга; в новую версию Dr.Web включена поддержка дополнительных баз для шпионских, спамерских и потенциально опасных программ.

Большинство популярных антивирусных программ реализуют сигнатурный метод обнаружения угроз, в соответствие с которым код проверяется на предмет совпадения с шаблоном (сигнатурой) в базе описаний вирусов. Этот метод предполагает непрерывное отслеживание новых угроз, их описание и включение в сигнатурную базу, к которой обращаются клиентские программы за очередными обновлениями.

В течение многих лет сигнатурные антивирусы успешно боролись с угрозами, они и сейчас продолжают оставаться эффективными. Ведущие антивирусные вендоры создали распределенные по всему миру службы быстрой обработки информации по новым угрозам и выпуску обновлений сигнатурных баз. Одним из критериев оценки антивирусов в индустрии стало время реакции вендора на новый вирус. Другие компании, рассказывая о преимуществах своих продуктов, говорят о высокой частоте обновления антивирусных баз. «Лаборатория Касперского», например, обновляет антивирусные базы каждые два часа, при необходимости даже чаще.

Вместе с тем тенденции угроз и скорость появления новых вирусов легко экстраполируются в ту область, где сигнатурный подход обнаруживает свою тупиковость. Противодействие новым угрозам в рамках этого подхода связано с порождением новых сигнатур, что ведет к росту объемов сигнатурной базы, увеличению времени проверки и к необходимости частых обновлений антивирусного ПО. Антивирусная программа с каждым обновлением работает все медленнее и требует все больше ресурсов.

Независимо от частоты обновлений базы новые сигнатуры всегда появляются после вирусов — сигнатурная защита в принципе реактивна, и другой быть не может. Сигнатурный антивирус всегда опаздывает, и даже очень частое обновление баз может оказаться бесполезным. Новый вирус способен за 20 минут заразить миллионы компьютеров, поскольку сигнатурная защита может его не распознать и пропустить. В этом контексте становится понятен растущий интерес рынка к проактивной защите, реализуемой в рамках эвристического метода детектирования угроз.

Эвристический метод анализирует код и решает—несет ли вред данное ПО. Это позволяет обнаруживать новые угрозы, еще не отраженные в сигнатурной базе. Новые антивирусные пакеты совмещают оба метода. Очевидно, что если угроза детектируется эвристическим методом, то ее не нужно включать в сигнатурную базу. Соответственно, ускоряется работа антивируса и снижаются его требования к ресурсам. Различные продукты по-разному комбинируют эти методы.

В мире есть три специализированных агентства, которые оценивают эффективность защиты с помощью того или иного продукта: Virus Bulletin (www.virusbtn.com), West Coast Labs (www.westcoastlabs.org) и ICSA Labs (www.icsalabs.com). Они постоянно сертифицируют антивирусные продукты и выдают по результатам тестирований сертификаты. Результаты могут оказаться неожиданными для неспециалистов, поскольку фиксируют только технологический уровень продукта и никак не отражают его популярность у потребителей и позиции на рынке.

Отличный от других подход к антивирусной защите разработала со своей стороны корпорация НР. Он основан на выявление характерных особенностей в поведении процесса и не связан ни с сигнатурами, ни с эвристическим моделированием работы вируса. Черви или вирусы обычно устанавливают соединение одного и того же типа с необычно высокой частотой. Например, если за минуту процесс обращается к одному и тому же сокету на 1000 системах, то, скорее всего, это действует не пользователь и не легитимный процесс сервера. Чем быстрее вирус пытается распространяться, тем легче его отличить от обычных вычислительных задач. Обнаружив вирус с подобными характеристиками, программа замедляет этот процесс, не оказывая влияния на обычные процессы, и в итоге подавляет его полностью. НР ставит систему подавления вирусов на серверы ProLiant с Windows 2000 и 2003, а также на свои коммутаторы ProCurve. Пока неизвестно, когда появится версия для ПК.

Важной проблемой, которую в ближайшем будущем придется решать разработчикам средств антивирусной защиты, является создание антивирусов под 64-битную версию Windows. Большинство существующих 32-битных приложений (например, офисные приложения) могут выполняться в подсистеме операционной системы Windows x64 без каких-либо изменений, что позволит многим программам еще очень долго оставаться 32-битными. Но надежно защитить 32-битным антивирусом компьютер под управлением 64-битной ОС Windows невозможно: необходимо использовать ПО именно для 64-битных систем. На сегодняшний день далеко не все производители антивирусов готовы предложить решение данной проблемы. На данный момент соответствующие продукты для корпоративного сектора имеются у Eset, McAfee, Symantec и Trend Micro. В то время как у частного сектора выбор еще меньше — антивирусы от компаний Eset и Alwil. Учитывая, что Windows x64 уже в продаже, то отсутствие широкого распространения необходимых средств антивирусной защиты делает ее использование потенциально опасным.

Десять лет назад антивирусы обнаруживали не более 80% вирусов и почти «не замечали» новых. Сегодняшняя реальность заставляет разрабатывать более эффективные технологии противодействия угрозам. Баланс между сигнатурными и эвристическими методами детектирования вирусов будет все больше смещаться к эвристикам. С некоторой задержкой по этому пути будет следовать и потребительский рынок.

Алексей Коршунов / CNews Analytics