|
|
Проактивная защита от вирусовСовременная киберпреступность приобретает все более организованный характер. Вирусные технологии часто объединяются с хакерскими и спамерскими, становясь эффективным способом заработка. По мере роста числа подобных смешанных угроз, сокращается временной промежуток с момента появления нового вируса до массового заражения. В этом контексте растет интерес рынка к проактивному методу защиты. Статистика компании MessageLabs, проверившей в2004 г. 12,6млрд. электронных писем, показывает наличие вируса в каждом 16 письме. Это вдвое превышает результаты предыдущего года. При этом количество новых вирусов за минувший год увеличилось на 51%—по данным Sophos—или же, по версии Symantec, на 64%. По оценкам Forrester, вирусы и черви продолжают оставаться главной угрозой (68%) для предприятий, опережая в том числе и разного рода внутренние угрозы (49%). Недавнее исследование SANS Institute демонстрирует, что хакеры и вирусописатели сегодня нацеливаются на продукты, предназначенные для защиты корпоративных сетей, и часто делают своей мишенью именно антивирусные программы. Еще одна заметная тенденция — объединение вирусных, хакерских и спамерских технологий, в рамках своего рода коммерциализации вирусов. Написание вирусов иих использование стало эффективным способом заработка. На первый план выходит получение прибыли благодаря спаму ифишингу. Вредоносный код перехватывает управление зараженным компьютером и используется для зомбирования машин сцелью рассылки спама, кражи личной информации или проведения Сохраняется наметившаяся в начале прошлого года тенденция к росту смешанных угроз, а также к сокращению временного отрезка с момента появления нового вируса до массового заражения (сейчас он составляет примерно 20 минут). Почтовые черви ивирусы совершенствуются иусложняются. Наиболее уязвимыми для них точками остаются электронная почта и сетевые пакеты данных. Именно таким способом на компьютеры до сих пор проникает почти 100% современных вредоносных программ. Растущая мобильность сотрудников и широкое распространение Средства и «защитники» Антивирусные решения присутствуют сегодня в каждой корпоративной сети. Как средства обеспечения безопасности они гораздо более демократичны чем, например, брандмауэры или IDS. Нередко они оказываются, собственно, единственной защитой предприятий сектора SMB. Как раз за счет малого и среднего бизнеса за последний год заметно усилили свои позиции небольшие поставщики массовых средств защиты, «покусившиеся» на рыночные доли Cisco (- 10% за 2004 г.) и Symantec (- 4,2% за тот же период). Крупнейшие мировые поставщики антивирусного ПО — Symantec, Trend Micro, McAfee — занимают до Лидирующие позиции в российском корпоративном секторе занимает, по мнению экспертов, Symantec, с которым работают многие крупные отечественные интеграторы. Trend Micro, помимо антивирусов, предлагает широкий спектр софтверных решений для защиты ИС предприятий, в том числе такие специфичные, как управление политикой безопасности и распределенные IPS. Новый для российского рынка игрок Eset Software развивает перспективные технологии эвристического детектирования угроз, и вероятнее всего, займет хорошие позиции в секторе СМБ. Пока что же на этом рынке безоговорочно лидирует «Лаборатория Касперского», а доля представленного здесь же антивируса Dr. Web, по экспертным оценкам, не превышает 5-7%. Большая часть антивирусного ПО распространяется сегодня через софтверных дистрибьюторов — Mont, CPS, 1C и др. По всем продуктам и дистрибуторы, и реселлеры работают с довольно высокой маржой (около 30 — 40%), что свидетельствует о наличии незадействованных ресурсов в канале. По мере его развития в дальнейшем следует ожидать значительного падения маржи. Серьезным конкурентом нынешним лидерам рынка антивирусного ПО может, предположительно, стать Microsoft. Ожидание его активности в этом секторе уже заставляет крупных игроков (Symantec, McAfee, CA) готовиться к противостоянию. Microsoft уже встраивает в свои продукты технологию вирусного сканирования Sybari, а также решения приобретенных компаний GeCAD (антивирусы) и Giant Company Software (антишпионское ПО). Пилотная версия Windows OneCare, включающей защиту от вирусов и шпионского ПО, брандмауэр и инструменты настройки ПК, должна появиться на рынке в конце 2005 г., и вероятно, внесет свои изменения в существующую ситуацию. Впрочем, Методы: сигнатурный vs проактивный Защита по определению является реакцией на угрозы, поэтому все устойчивые тенденции в развитии вирусов получают свое отражение в антивирусных продуктах. Так, смешанные угрозы стимулировали разработку интегрированных пакетов защиты, которые предлагают сегодня все вендоры. «Лаборатория Касперского» концентрируется на интегрированных решениях для SMB; продукт Eset NOD32 предлагает защиту от шпионских программ, нежелательной рекламы, потенциально опасных невирусных приложений (riskware), фишинга; в новую версию Dr.Web включена поддержка дополнительных баз для шпионских, спамерских и потенциально опасных программ. Большинство популярных антивирусных программ реализуют сигнатурный метод обнаружения угроз, в соответствие с которым код проверяется на предмет совпадения с шаблоном (сигнатурой) в базе описаний вирусов. Этот метод предполагает непрерывное отслеживание новых угроз, их описание и включение в сигнатурную базу, к которой обращаются клиентские программы за очередными обновлениями. В течение многих лет сигнатурные антивирусы успешно боролись с угрозами, они и сейчас продолжают оставаться эффективными. Ведущие антивирусные вендоры создали распределенные по всему миру службы быстрой обработки информации по новым угрозам и выпуску обновлений сигнатурных баз. Одним из критериев оценки антивирусов в индустрии стало время реакции вендора на новый вирус. Другие компании, рассказывая о преимуществах своих продуктов, говорят о высокой частоте обновления антивирусных баз. «Лаборатория Касперского», например, обновляет антивирусные базы каждые два часа, при необходимости даже чаще. Вместе с тем тенденции угроз и скорость появления новых вирусов легко экстраполируются в ту область, где сигнатурный подход обнаруживает свою тупиковость. Противодействие новым угрозам в рамках этого подхода связано с порождением новых сигнатур, что ведет к росту объемов сигнатурной базы, увеличению времени проверки и к необходимости частых обновлений антивирусного ПО. Антивирусная программа с каждым обновлением работает все медленнее и требует все больше ресурсов. Независимо от частоты обновлений базы новые сигнатуры всегда появляются после вирусов — сигнатурная защита в принципе реактивна, и другой быть не может. Сигнатурный антивирус всегда опаздывает, и даже очень частое обновление баз может оказаться бесполезным. Новый вирус способен за 20 минут заразить миллионы компьютеров, поскольку сигнатурная защита может его не распознать и пропустить. В этом контексте становится понятен растущий интерес рынка к проактивной защите, реализуемой в рамках эвристического метода детектирования угроз. Эвристический метод анализирует код и решает—несет ли вред данное ПО. Это позволяет обнаруживать новые угрозы, еще не отраженные в сигнатурной базе. Новые антивирусные пакеты совмещают оба метода. Очевидно, что если угроза детектируется эвристическим методом, то ее не нужно включать в сигнатурную базу. Соответственно, ускоряется работа антивируса и снижаются его требования к ресурсам. Различные продукты В мире есть три специализированных агентства, которые оценивают эффективность защиты с помощью того или иного продукта: Virus Bulletin (www.virusbtn.com), West Coast Labs (www.westcoastlabs.org) и ICSA Labs (www.icsalabs.com). Они постоянно сертифицируют антивирусные продукты и выдают по результатам тестирований сертификаты. Результаты могут оказаться неожиданными для неспециалистов, поскольку фиксируют только технологический уровень продукта и никак не отражают его популярность у потребителей и позиции на рынке. Отличный от других подход к антивирусной защите разработала со своей стороны корпорация НР. Он основан на выявление характерных особенностей в поведении процесса и не связан ни с сигнатурами, ни с эвристическим моделированием работы вируса. Черви или вирусы обычно устанавливают соединение одного и того же типа с необычно высокой частотой. Например, если за минуту процесс обращается к одному и тому же сокету на 1000 системах, то, скорее всего, это действует не пользователь и не легитимный процесс сервера. Чем быстрее вирус пытается распространяться, тем легче его отличить от обычных вычислительных задач. Обнаружив вирус с подобными характеристиками, программа замедляет этот процесс, не оказывая влияния на обычные процессы, и в итоге подавляет его полностью. НР ставит систему подавления вирусов на серверы ProLiant с Windows 2000 и 2003, а также на свои коммутаторы ProCurve. Пока неизвестно, когда появится версия для ПК. Важной проблемой, которую в ближайшем будущем придется решать разработчикам средств антивирусной защиты, является создание антивирусов под Десять лет назад антивирусы обнаруживали не более 80% вирусов и почти «не замечали» новых. Сегодняшняя реальность заставляет разрабатывать более эффективные технологии противодействия угрозам. Баланс между сигнатурными и эвристическими методами детектирования вирусов будет все больше смещаться к эвристикам. С некоторой задержкой по этому пути будет следовать и потребительский рынок. Алексей Коршунов / CNews Analytics |
Сообщить факт о Windows XP
Почему устарела Windows XP?
Сообщить цифры о Windows XP