О мифах ушедшего года и рынке систем информационной безопасности

Прошлый год ознаменовался целым рядом событий в борьбе с вредоносными кодами. Во-первых, антивирусные разработчики ввели в обиход термин «проактивность», а новые версии продуктов тут же обзавелись «проактивными» технологиями. Тем не менее конечному пользователю — как домашнему, так и корпоративному — очень трудно самостоятельно понять, что означает это антивирусное ноу-хау, и здесь есть повод попросить известных экспертов высказать свое мнение. Во-вторых, примерно то же самое можно отнести и к термину «шпионские коды» (Spyware). СМИ не упускают возможности лишний раз напомнить, насколько опасны эти компьютерные вредители, а разработчики уже выпускают специальные продукты для борьбы с ними. Однако подавляющему большинству пользователей по-прежнему неизвестно, чем шпионские коды отличаются от, например, троянцев, а также о том, действительно ли для борьбы с ними нужен отдельный продукт, и это еще один повод обратиться к компетентным лицам за разъяснениями. Среди других острых вопросов следует выделить появление вирусов для мобильных платформ (смартфонов и КПК), многоядерных антивирусных продуктов и возросшую криминализацию киберпреступников. Отметим также, что далеко не всегда системы информационной безопасности (Secure Content Management, SCM), рынок которых продолжает активно развиваться, способны эффективно решить вышеперечисленные задачи.
Рассказать обо всех этих проблемах мы попросили Евгения Касперского, руководителя антивирусных исследований «Лаборатории Касперского», и Андрея Никишина, начальника отдела стратегического развития и аналитических исследований этой компании.

КомпьютерПресс: Каковы перспективы развития технологий, используемых в современных системах информационной безопасности?

Андрей Никишин: Рынок самостоятельных продуктов для защиты от потенциально опасных программ (Spyware) постепенно сходит на нет. Во-первых, пользователи стали лучше понимать, что такое Spyware, и осознали, что методы защиты от них не слишком отличаются от методов защиты от вредоносных программ. Во-вторых, все основные игроки SCM-рынка имеют комплексные решения для защиты как от вредоносных, так и от потенциально опасных программ, причем цены этих решений обычно одинаковы. Естественно, пользователи не хотят платить лишних денег, да и многие консалтинговые организации призывают покупать именно комплексные решения, а не отдельно антивирус и отдельно anti-Spyware-продукт.

 

Андрей Никишин

Андрей Никишин

Перспективными являются комплексные решения для защиты от всех современных IT-угроз. Уже сегодня на рынке можно найти решения для защиты от нескольких угроз одновременно. Например, продукт для защиты почтового сервера защищает не только от вредоносных программ, но и от потенциально опасных программ, а также от спама. При этом цена подобного решения для конечного пользователя даже если и увеличивается, то весьма незначительно, и такая тенденция наблюдается во всех продуктах и для всех узлов сети. Особенно это заметно в продуктах для рабочих станций и для домашних пользователей. Сегодня нередко можно встретить решения, которые включают в свой состав антивирус, сетевой экран, модуль защиты от вторжений, антиспам, защиту от сетевого мошенничества (anti-Phishing) и многое другое.

К перспективным направлениям можно отнести и упрощение продуктов при сохранении их мощности и расширении функциональности. В настоящее время некоторые продукты позволяют совершенно неподготовленному и абсолютно неопытному пользователю ПК без проблем настраивать антивирус, правильно и без опасений реагировать на сообщения системы защиты. В дальнейшем будет все больше программ класса «поставил и забыл», которые работают в фоновом режиме и требуют к себе минимум внимания.

И последнее — по счету, но не по важности — направление — это проактивные методы обнаружения вредоносных программ. Причем хороший антивирус должен будет использовать как классические сигнатурные методы сканирования, так и некоторые проактивные технологии. Обе технологии по отдельности неоптимальны в плане обеспечиваемого ими уровня защиты, однако сочетание этих методов оказывается плодотворным, а пользователь получает необычайно эффективную защиту.

КП: В последнее время поставщики антивирусных решений все чаще подчеркивают, что их продукт является «проактивным». При этом складывается такое впечатление, что каждый разработчик вкладывает в этот термин собственный смысл. Вы не могли бы пояснить, что означает «проактивность» продукта и насколько она эффективна? Может, это всего лишь маркетинговый трюк?

Евгений Касперский: Действительно, у производителей антивирусных программ периодически возникает желание придумать какую-нибудь совершенно новую технологию, которая разом решит все вирусные проблемы — разработать этакую супертаблетку, которая раз и навсегда защитит ото всех компьютерных болезней. Защищать проактивно — значит, имеет возможность определить вирус и удалить его еще до момента создания и появления в сети, и так со всеми вновь появляющимися вредоносными программами. Но, увы, так не получится. Универсальные средства годятся против тех напастей, которые действуют по каким-либо устоявшимся законам. Компьютерные же вирусы никаким законам не подчиняются, поскольку являются не творением природы, а созданием извращенного хакерского ума, то есть законы, которым подчиняются вирусы, постоянно меняются в зависимости от целей и желаний компьютерного андеграунда.

 

Евгений Касперский

Евгений Касперский

Для примера можно рассмотреть поведенческий блокиратор в качестве конкурента традиционным антивирусным решениям, основанным на вирусных сигнатурах. Это два разных, но не взаимоисключающих подхода к проверке на вирусы. Сигнатура — это небольшой кусок вирусного кода, который антивирус прикладывает к файлам и смотрит, подходит сигнатура или нет. Поведенческий блокиратор следит за действиями программ при их запуске и прекращает работу программы в случае ее подозрительных или явно вредоносных действий (для этого у него есть специальный набор правил). У обоих методов есть как достоинства, так и недостатки.

Достоинства сигнатурных сканеров — гарантированный отлов таких «зверей», которых они «знают в лицо». Недостаток — свободный вход для тех, которые им пока неизвестны. Также к недостаткам можно отнести большой объем и значительную ресурсоемкость антивирусных баз. Достоинство поведенческого блокиратора — детектирование даже неизвестных вредоносных программ. Недостаток — возможность ложных срабатываний, ведь поведение современных вирусов и троянских программ настолько разнообразно, что охватить их все единым набором правил просто нереально. То есть поведенческий блокиратор будет непременно пропускать что-то вредное и периодически блокировать работу чего-то весьма полезного.

Есть у поведенческого блокиратора и другой (к сожалению, врожденный) недостаток, а именно — неспособность бороться с принципиально новыми «зловредами». Представьте себе, что некая компания разработала поведенческий антивирус AVX, который ловит 100% современной компьютерной фауны. Что сделают хакеры? Правильно: придумают принципиально новые методы «зловредства». И антивирусу AVX срочно потребуются обновления поведенческих правил. Потом снова и снова будут требоваться обновления, поскольку хакеры и вирусописатели не дремлют. И в результате мы придем к тому же сигнатурному сканеру, только сигнатуры будут уже «поведенческими», а не «кусками кода».

Это справедливо и в отношении другого проактивного метода защиты — эвристического анализатора. Когда подобные антивирусные технологии начинают мешать хакерским атакам, сразу же появляются новые вирусные технологии, позволяющие обходить проактивные методы защиты. Как только продукт с продвинутыми эвристиками и/или с поведенческим блокиратором становится достаточно популярным, эти технологии тут же перестают работать.

Таким образом, вновь изобретенные проактивные технологии «живут» довольно короткое время. Если хакерам-дилетантам потребуется несколько недель или месяцев для преодоления проактивной обороны, то для хакеров-профессионалов это работа на один-два дня, а порой всего на несколько часов, а может, и минут. Получается, что поведенческий блокиратор или эвристический анализатор, каким бы эффективным он ни был, требует постоянных доработок и соответственно обновлений. При этом следует учесть, что добавление новой записи в базы сигнатурного антивируса — дело нескольких минут, а доводка и тестирование проактивных методов защиты занимает гораздо более длительное время. В итоге оказывается, что во многих случаях обновления для сигнатурных антивирусов появляются во много раз быстрее, чем адекватные решения от проактивных технологий. И это доказано на практике — эпидемиями новых почтовых и сетевых червей, принципиально новых шпионских «агентов» и прочего компьютерного «зловредства».

Все вышесказанное, конечно же, не означает, что проактивные методы защиты бесполезны. Они прекрасно справляются со своей частью работы и могут остановить какое-то количество компьютерной заразы, разработанной не особо умелыми хакерами-программистами. И по этой причине они являются неплохим дополнением к традиционным сигнатурным сканерам, однако на них невозможно полагаться целиком и полностью.

КП: Западные журналисты и сами антивирусные разработчики всеми силами стараются раздуть общественный ажиотаж вокруг проблемы шпионских кодов. В прессе в последнее время пишут именно о программах-шпионах, а не о вирусах, не о червях и не о троянцах, а некоторые крупнейшие поставщики выпустили отдельные решения, предназначенные для борьбы именно со шпионскими кодами. Чем программы-шпионы отличаются от обычных вредоносных кодов (вирусов, червей, троянцев)? Действительно ли нужны отдельные средства для борьбы с ними? Не являются ли, на ваш взгляд, все разговоры вокруг шпионских кодов надуманными?

Е.К.: Adware, наряду со Spyware, — сегодня самый модный термин в области IT-безопасности. В реальности же невозможно провести четкую границу между Adware (рекламными программами) и Malware (вредоносными программами), что заставляет скептически относиться к некоторым программным продуктам, предназначенным исключительно для поиска и удаления Adware и не занимающимся борьбой со всем спектром вредоносного программного обеспечения.

Начавшиеся несколько лет назад с простейших скриптов, автоматически открывавших множество дополнительных окон в браузере, сегодня подобные программы уже окончательно преодолели грань между нежелательным (но все-таки легальным) софтом и вредоносными программами. Ряд современных Adware-программ с успехом использует чисто вирусные технологии для проникновения и скрытого присутствия в системе — это уязвимости в браузерах, запись собственного кода в системные файлы или подмена собой системных приложений, изменение файлов на компьютере пользователя и т.п. Особенно часто используются rootkit-технологии, с помощью которых вредитель очень глубоко внедряется в операционную систему.

Целый ряд популярных современных антивирусов не имеет в своем арсенале методов обнаружения и удаления rootkit-паразитов в Windows-системах. Понятно, что подобными методами не обладают и появляющиеся как грибы после дождя многочисленные решения anti-Adware/Spyware. Для обнаружения rootkit-программ в системе необходимо многофункциональное антивирусное решение, способное работать с операционной системой на самых низких уровнях и контролирующее все системные функции.

КП: Известно, что вредители уже добрались до мобильных устройств — карманных компьютеров и смартфонов. Насколько опасно сложившееся положение дел? Когда ситуация ухудшится настолько, что буквально каждое устройство необходимо будет оснащать мобильным антивирусом?

Е.К.: Начну с компьютеров. Современную ситуацию в Сети иначе как криминогенной не назовешь. Подавляющее большинство вирусов, червей и троянцев создаются исключительно в корыстных целях. Конкретно имеется в виду извлечение нелегальной прибыли путем создания и распространения вредоносных программ, в частности:

  • хищение частной и корпоративной банковской информации (то есть получение доступа к банковским счетам персональных пользователей и организаций);
  • хищение номеров кредитных карт;
  • распределенные сетевые атаки (DDoS-атаки) с последующим требованием денежного выкупа за прекращение атаки (так сказать, современный компьютерный вариант обычного рэкета);
  • создание и коммерческое использование сетей троянских прокси-серверов для рассылки спама;
  • создание так называемых зомби-сетей для многофункционального использования;
  • создание программ, скачивающих и устанавливающих системы показа нежелательной рекламы;
  • внедрение в компьютеры троянских программ, постоянно звонящих на платные (и весьма дорогие) телефонные номера.

Возможна ли подобная преступная активность с использованием смартфонов? Безусловно! И примеров вредоносных программ для данных устройств уже больше сотни. Однако до сих пор проблема безопасности мобильных телефонов стоит не очень остро. Причина банальна — смартфонов сравнительно немного. Но поскольку цены на них постоянно снижаются и «умные телефоны» становятся все популярнее, то рано или поздно их количество достигнет некоторой критической массы, когда Интернет-преступники и мошенники обратят самое пристальное внимание на новый способ совершения преступлений — уже не только в компьютерной, но и в телефонной сети. И не исключено, что по своей значимости и сложности проблема смартфон-безопасности превзойдет проблему компьютерной безопасности. Наверное, это случится тогда, когда цена на смартфоны упадет настолько, что их будут покупать в массовом порядке.

КП: Особняком стоит проблема использования антивирусных решений с несколькими ядрами. Такие решения есть на рынке, но не совсем понятно, в каких случаях они требуются. При каких сценариях проявляется выгода от многоядерного подхода к антивирусной защите и в чем она состоит?

Е.К.: Это очень простой вопрос. Используя антивирусное решение, вы платите за его приобретение, а также несете расходы на его использование. Это прежде всего проявляется в снижении продуктивности защищенных систем, поскольку антивирусу тоже надо «кушать». Кроме того, вы будете использовать Интернет-трафик для скачивания регулярных апдейтов. И наконец, может произойти потеря данных и/или рабочего времени по причине ложных срабатываний антивирусного ядра. Каждое новое антивирусное ядро будет увеличивать данные накладные расходы, и от этого никуда не деться. Многоядерное решение — это как второй-третий замок на дверь квартиры. Уровень защиты от грабителей это повышает, но увеличивается и риск остаться на улице по причине потерянного ключа или вышедшего из строя замка.

КП: Сегодня много говорится о криминализации Интернета. Не могли бы вы привести примеры действий преступников? Известны ли случаи вымогательства в Интернете?

Е.К.: Случаев таких очень и очень много. Достаточно зайти в любую поисковую систему и набрать «hacker arrested million dollars» — и вы найдете там массу историй про арестованных хакеров, которые успели (или только готовились) каким-либо образом незаконно присвоить или вымогать суммы, оценивающиеся в миллионы долларов. Самая громкая история, наверное, про неудачливого хакера из Израиля, который готовился к краже из лондонского отделения банка «Сумитомо» 423 млн. долл.

Оценить же весь размах деятельности современного преступного компьютерного сообщества довольно трудно. Как мне кажется, в компьютерном андеграунде активны десятки (если не сотни) хакерских группировок и хакеров-одиночек. Численность членов подобных группировок, видимо, можно исчислять тысячами, о чем говорят полицейские сводки практически во всех компьютеризированных странах мира. За последние два года было арестовано несколько десятков хакеров и членов хакерских групп, в которые суммарно входило несколько сотен человек. Однако это не оказало особого влияния на количество вновь появляющихся вирусов и троянских программ.

Оборот теневого компьютерного бизнеса тоже поддается только общим оценкам. По информации из открытых источников, хакеры в 2004-2005 годах украли или присвоили мошенническим образом несколько сотен миллионов долларов. Учитывая, что большая часть компьютерного криминала до сих пор остается на свободе, можно предположить, что, скорее всего, обороты компьютерного «теневого бизнеса» могут ежегодно измеряться миллиардами долларов.

КП: Говоря о криминализации Интернета, стоит задать вопрос и о средствах защиты от угроз, которые мы обсуждаем. Как развивался в ушедшем году рынок систем информационной безопасности?

А.Н.: Для начала давайте разберемся, что понимается под SCM-рынком. Во-первых, это средства защиты от вредоносных программ (то, что мы привыкли называть антивирусами); во-вторых, средства защиты от потенциально опасных программ (их часто и ошибочно с научной точки зрения называют Spyware), а в-третьих, это средства защиты от спама и другие средства контентной и Web-фильтрации. Часто в этот же сегмент включают системы защиты от вторжений (Intrusion Detection/Prevention Systems). Я специально использовал слово «средство», а не программа, так как, наряду с программными средствами защиты, используются программно-аппаратные комплексы (Appliances), услуги (Hosted Services), аутсорсинг проверки различного трафика, чаще всего почтового.

В 2004 году в России SCM-рынок показывал устойчивый и хороший рост — по нашим расчетам, не менее 40%. При этом объем самого рынка в том же году составлял 20-25 млн., а в 2005-м — 30-35 млн. долл. Это однозначно говорит о том, что рынок еще не насыщен. На динамику рынка также оказывает влияние уменьшение доли использования пиратских версий антивирусных программ. По нашим данным, доля легально использующих «Антивирус Касперского» среди домашних пользователей составляет около 13%, и это больше, чем в среднем по рынку программного обеспечения. Еще более позитивная картина наблюдается среди бизнес-пользователей: в небольших и средних компаниях более 30% установок «Антивируса Касперского» являются легальными.

Мировой рынок в целом рос не так быстро (что вполне естественно) — по данным IDC, рост составил около 20%. Объем мирового рынка SCM в 2004 году — около 4,5 млрд., а в 2005-м — примерно 5,5 млрд. долл. Однако по сравнению с показателями других сегментов IT-рынка (например, персональных компьютеров) можно говорить, что SCM-рынок является очень быстро растущим. Это объясняется довольно просто: количество и качество угроз растет, а корпоративные и домашние пользователи уже осознали всю опасность вредоносных программ, спама, фишинга и других IT-угроз и озаботились приобретением современных средств защиты.

КП: Что вы можете сказать о перспективах развития SCM-рынка?

А.Н.: Если говорить о рыночных перспективах, то в мировом масштабе рост замедлится до уровня 15-18% в год по рынку в целом. Если же взглянуть на отдельные сегменты рынка SCM, то самыми перспективными в этом смысле будут сегменты программно-аппаратных комплексов Аppliances (рост более 50% в год) и управляемых сервисов, в состав которых входит и аутсорсинг проверки почтового и IT-трафика (около 35-40%).

Российский рынок еще далек от насыщения, в том числе и средствами защиты от IT-угроз, поэтому рост в пределах 35-45% сохранится и в 2006 году. Полагаю, что объем рынка SCM в наступившем году составит не меньше 50 млн. долл.

КП: Большое спасибо, что уделили нам столько времени и так подробно ответили на все наши вопросы. Всего доброго вам лично и удачи вашей компании!

 

Интервью подготовили Алексей Доля и Александр Прохоров.

КомпьютерПресс 1'2006

Наш канал на Youtube

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
КомпьютерПресс использует