Способен ли антивирус защитить от вирусов?

Алексей Лукацкий

Вирусы, троянцы и черви появляются каждый день. Согласно статистике компании TrendMicro, в 2004 году компании во всем мире ежемесячно сталкивались в среднем с 3 151 900 случаями заражений. Вред от них был различен, начиная с безобидной картинки, показанной на экране монитора, и заканчивая уничтожением всех файлов на компьютере. Даже, казалось бы, не наносящий никакого вреда вирус на самом деле таковым не является, так как занимает ресурсы компьютера (память, время процессора и т.д.) в ущерб более важным приложениям. К сожалению, вредоносные технологии день от дня совершенствуются. По мнению специалистов, хакерские методы качественно меняются дважды в год, и, к сожалению (как часто мне приходится упоминать эту фразу, говоря о современном состоянии дел в области информационной безопасности!), вредоносные программы хуже не становятся. Они только совершенствуются: повышается скорость их распространения, у них появляются новые деструктивные функции, они становятся невидимыми для многих средств защиты, могут распространяться сразу по нескольким каналам и т.д.

Бессилие современных антивирусов

К счастью, необходимость защиты от вирусов, червей и иных вредоносных программ, объединенных общим термином malware, доказывать не нужно. По прошествии с момента создания первого антивируса почти двадцати лет даже домохозяйки знают, что это такое, и понимают, что без него не обойтись. Пожалуй, антивирус — это единственное средство защиты, которое используется в каждой компании и почти на каждом компьютере. Об этом свидетельствует отчет «Global Information Security Survey 2004», подготовленный компанией Ernst&Young. Казалось бы, с вредоносными программами научились бороться. Однако есть ряд факторов, существенно осложняющих эту борьбу. Первый их них — скорость распространения. Уже сегодня теоретически доказана возможность создания червя, который способен заразить все (!) узлы в Интернете всего за 15 минут. Он называется активным червем Уорхолла (по имени американского художника Энди Уорхолла, в свое время заявившего: «В будущем каждый будет иметь 15 минут славы»). Только вдумайтесь — всего 15 минут, и сотни миллионов корпоративных и Интернет-узлов будут заражены! За столь малое время ни один производитель антивирусов не успеет разработать средство борьбы с червем. Но даже если предположить, что антивирусная вакцина появится сразу после начала эпидемии, то возникнет проблема с ее распределением по всем уязвимым компьютерам, так что ситуацию это все равно не изменит — до пользователей антивирус дойти не успеет. Нечто подобное происходит и с обычными некомпьютерными вирусами. Во время эпидемии гриппа врачи часто выступают по телевизору с заявлениями о том, что они были готовы к эпидемии и закупили вакцину (то же самое говорят и антивирусные производители!), однако заболевшим от этого не легче.

Примеры последних эпидемий показывают, что классические антивирусные технологии ограничены в отражении новых угроз, знания о которых пока отсутствуют в базах антивирусов и в межсетевых экранах. Классические — значит основанные на контроле сигнатур вредоносных программ: есть сигнатура — есть обнаружение, нет сигнатуры — вы беззащитны. Сигнатура — это последовательность байт, однозначно идентифицирующая вирус, червя и т.п. Заметим, что традиционные антивирусные производители — консерваторы, поскольку за последние 15-16 лет они практически не создали новых методов обнаружения вредоносной активности. Все их усилия концентрируются в области увеличения объема баз сигнатур. Базы «пухнут», производительность антивируса падает, эффективность снижается. В какой-то момент наступит предел, когда узел с установленным сигнатурным антивирусом все свои ресурсы отдаст на антивирусную проверку, ущемив таким образом все остальные приложения. И даже рост компьютерных мощностей не решит эту проблему.

Исследовательская лаборатория компании Hewlett-Packard в Бристоле недавно проводила исследования сигнатурных подходов, используемых в современных антивирусах (без привязки к конкретным продуктам), и пришла к неутешительным выводам: современные черви распространяются гораздо быстрее, чем антивирусные производители разрабатывают соответствующие сигнатуры и распределяют их по всем своим клиентам. Логично предположить, что аналогично обстоит дело и с традиционными системами обнаружения атак, которые оперируют теми же сигнатурами (но это требует отдельного разговора). В отчете HP так и написано: «Сигнатурная модель имеет фундаментальные недостатки».

Второй фактор, осложняющий борьбу с вирусами, заключается в том, что они используют дыры в программном обеспечении, которые производители уязвимого ПО просто не успевают залатать. Для таких атак появился даже специальный термин — Zero Day Attack — атаки, появляющиеся одновременно с обнародованием информации о той или иной программной слабости.

Ограничения реактивного подхода

Реактивный подход, используемый традиционными антивирусами и системами обнаружения атак, отличается большим количеством ограничений, препятствующих их дальнейшему развитию в современных условиях. Во-первых, лавинообразный рост числа уязвимостей в программно-аппаратном обеспечении приводит к необходимости разработки соответствующих сигнатур в той же прогрессии. А это очень сложно и требует больших ресурсов — как временных и финансовых, так и человеческих. В результате возрастает стоимость системы защиты, что сказывается на расходах заказчика. Во-вторых, необходимо распространить сигнатурные обновления на сотни и тысячи узлов корпоративной сети. Приняв во внимание качество каналов связи, удаленность множества узлов, разнородность поддерживаемых платформ и отсутствие квалифицированного персонала, можно предположить, что задача распределения таких обновлений станет камнем преткновения для множества крупных компаний. Логично сделать вывод, что нынешние антивирусы, использующие традиционные подходы, не могут остановить современных червей, троянцев, атаки Zero Day и другие вредоносные программы. Чтобы не быть голословным, сошлемся на мнение компаний, предлагающих услуги по аутсорсингу электронной почты: они прямо заявляют, что современные антивирусы не защищают от таких червей, как SQL Slammer и MS Blaster, и что они в принципе не способны этого сделать. Справедливости ради надо заметить, что производители антивирусов признают недостатки своих продуктов и предлагают заказчикам не полагаться только на антивирусы и использовать другие решения — системы мониторинга электронной почты, регулярную установку патчей и системы обнаружения и предотвращения атак. Но учтите, что эта рекомендация подходит всем, кроме домашних пользователей, которые зачастую и являются основным источником эпидемий. После заражения домашние пользователи начинают рассылать инфицированные письма, заполняющие Интернет бесполезным мусором, за который платят операторы связи и ни в чем не повинные пользователи, вынужденные читать весь этот хлам. Помимо зараженных писем, производительность сети снижается за счет веерного сканирования в поисках новых жертв, пересылки «тел» червей и т.д. Таким образом, все рекомендации антивирусных производителей касаются корпоративного рынка, который является лакомым куском для любого поставщика. Некоторые эксперты даже считают, что антивирусные производители не заинтересованы в абсолютной победе над вирусами. Скорее, наоборот — вирусные эпидемии только увеличивают рынок сбыта. Не будем комментировать данное мнение и перейдем к решению возникшей проблемы.

Оценка по поведению — 5!

«Если сигнатуры не помогают, то нельзя ли разработать противоядие заранее?» — спросите вы. Говоря профессиональным языком, не пора ли заменить реактивный метод реагирования на проактивный и превентивный? Такие методы уже существуют — это эвристический анализ, поведенческий контроль, обнаружение аномалий. Все они построены по одному принципу — отслеживание отклонений поведения программ, пользователей и процессов от нормального или эталонного. Эти методы позволяют не зависеть от частоты обновления антивирусных сигнатур и эффективно защищать компьютер в полностью автономном режиме. Другое коренное отличие «поведенческих» систем от сигнатурных — в возможности их гибкой настройки в соответствии с любыми требованиями пользователя. И эту настройку он может выполнить самостоятельно, не прибегая к дорогостоящим услугам специалистов по внедрению. Поскольку системы данного класса ориентированы на обнаружение аномалий, они позволяют выявлять и многие неизвестные атаки, для которых в традиционных антивирусах пока отсутствуют сигнатуры. К слову сказать, ни один современный антивирус не в состоянии был обнаружить таких червей, как Nimda, Code Red, Fizzer, Bugbear, Sobig, Sasser, SQL Slammer (Sapphire), MS Blaster или MyDoom, до момента проведения их анализа и разработки «вакцины». А поведенческие системы легко справляются с подобными угрозами, заранее ничего о них не зная. То же самое касается атак Zero Day.

Можно выделить три типа контролируемого поведения с точки зрения информационной безопасности:

вредоносная активность. Яркий пример такого поведения — несанкционированное изменение реестра или удаление системных файлов. Эти действия являются опасными независимо от роли защищаемого узла, компании и используемых операционных систем. А следовательно, контроль такой активности может быть заложен в систему с самого начала и в дальнейшем не потребует практически никакой настройки и реконфигурации;
активность, нарушающая политику безопасности компании. Несанкционированность поведения определяется индивидуально для каждой компании. Например, в первом случае работа Интернет-пейджеров (ICQ, AOL и т.д.) запрещается, во втором — разрешается, а в третьем — возможна только передача текстовых сообщений, а передача файлов блокируется. Такой дифференцированный подход требует первичной настройки и в дальнейшем эффективно распространяется на все контролируемые узлы;
активность приложений. Отдельно можно выделить третий тип поведения — анализ действий, выполняемых приложениями. Поведенческие системы позволяют четко указать, какие действия являются для приложения разрешенными, а какие — запрещенными, привязав принятие решения к имени пользователя и месту его нахождения. Иными словами, можно не просто создать замкнутую программную среду со списком разрешенных/запрещенных приложений, но и четко сказать, какие пользователи, с какими приложениями и какие действия могут выполнять. Отметим, что такой подход лишен недостатков, присущих традиционным антивирусам. Системы контроля поведения не только берут на себя задачу по обнаружению и отражению современных червей, вирусов, троянцев и т.п., но и выполняют множество других задач — разграничение доступа к файлом и приложениям, защиту от шпионского и рекламного ПО, контроль целостности и т.д.

Заключение

Не претендуя на полноту изложения данной темы, хочу обратить внимание читателей на тот факт, что современные антивирусы постепенно сдают свои позиции. Это связано с фундаментальными слабостями сигнатурного подхода, которыми можно было пренебречь на заре развития информационных технологий, но которые нельзя сбрасывать со счетов в современных условиях. Поэтому, не призывая немедленно отказываться от этих решений, могу порекомендовать обратить внимание на технологии контроля поведения, которые постепенно вытесняют устаревшие методы защиты и скоро займут доминирующие позиции на рынке средств обеспечения информационной безопасности.

КомпьютерПресс 4'2005

1999	1	2	3	4	5	6	7	8	9	10	11	12
2000	1	2	3	4	5	6	7	8	9	10	11	12
2001	1	2	3	4	5	6	7	8	9	10	11	12
2002	1	2	3	4	5	6	7	8	9	10	11	12
2003	1	2	3	4	5	6	7	8	9	10	11	12
2004	1	2	3	4	5	6	7	8	9	10	11	12
2005	1	2	3	4	5	6	7	8	9	10	11	12
2006	1	2	3	4	5	6	7	8	9	10	11	12
2007	1	2	3	4	5	6	7	8	9	10	11	12
2008	1	2	3	4	5	6	7	8	9	10	11	12
2009	1	2	3	4	5	6	7	8	9	10	11	12
2010	1	2	3	4	5	6	7	8	9	10	11	12
2011	1	2	3	4	5	6	7	8	9	10	11	12
2012	1	2	3	4	5	6	7	8	9	10	11	12
2013	1	2	3	4	5	6	7	8	9	10	11	12