Куда направлен антивирусный вектор

Динамика угроз

Компания MessageLabs, проверив в прошлом году 12,6 млрд электронных писем, обнаружила вирус в каждом шестнадцатом письме – т. е. в два раза чаще по сравнению с 2003-м. По данным компании Sophos, новых вирусов в прошлом году стало больше на 51%, Symantec приводит цифру 64%. За первое полугодие 2005 г. Sophos обнаружила 7944 новых вида вирусов, червей и троянов – на 59% больше, чем за тот же период 2004 г. Отчет Forrester (от 25 марта 2005 г.) указывает, что вирусы и черви остаются главной угрозой (68%) для предприятий, опережая даже разного рода угрозы внутренние (49%).

Изменение вектора угроз отмечают в своем исследовании аналитики из “Лаборатории Касперского”. Исследование SANS Institute демонстрирует, что хакеры и вирусописатели сегодня нацеливаются на системы защиты корпоративных сетей и антивирусное ПО.

Еще одна заметная тенденция – объединение вирусных, хакерских и спамерских технологий, коммерциализация вирусов. Создание и целевое использование вирусов стало эффективным средством заработка. На первый план выходит извлечение прибыли на спаме и фишинге. Вредоносный код перехватывает управление зараженным компьютером и используется для зомбирования машин с целью рассылки спама, кражи личной информации или проведения DDoS-атак. Статистика компаний Symantec, “Лаборатория Касперского”, Eset и других производителей антивирусных средств все чаще фиксирует троянские программы, нацеленные на получение удаленного контроля над зараженным компьютером. Sophos также обращает внимание на все более организованный характер киберпреступности. Идет профессионализация создания злокачественного ПО и его смещение в сторону троянских программ, что позволяет делать деньги. Sophos считает, что за последние месяцы ситуация в сфере ИТ-безопасности изменилась в сторону более тесного сплетения банд, занимающихся кражей кредитных карт, созданием вирусов, спамерством и злостным хакерством. Одним из факторов, влияющих на этот процесс, стало принятие во многих странах законов против спама.

Сохраняется наметившаяся в начале прошлого года тенденция к росту смешанных угроз и сокращению времени от момента появления нового вируса до массового заражения им (по данным Sophos, незащищенный компьютер в течение 12 мин нахождения в Интернете с вероятностью 50% будет заражен вирусом или червем; в начале года это время составляло 20 мин). Самым уязвимым местом остается электронная почта – почтовые черви и вирусы совершенствуются.

Ожидается появление заразы для сотовых телефонов с поддержкой Bluetooth и Wi-Fi. Опасность заражения растет с ростом числа этих аппаратов. В марте появился первый вирус, распространяющийся через MMS, и в дальнейшем подобные программы будут совершенствоваться.

Растущая мобильность сотрудников и широкое распространение USB-устройств флэш-памяти расшатывают концепцию защиты сетевого периметра. Некоторые поставщики средств защиты и антивирусного ПО считают, что ситуацию может стабилизировать тотальная онлайновая аутентификация пользователей.

Антивирусы и рынок ИБ

Рынок антивирусного ПО растет примерно теми же темпами, что и рынок ИБ, или чуть быстрее. По оценкам Canalys, рынок корпоративной защиты в регионе EMEA за прошлый год вырос на 32%, а его российский сегмент – на 45%. Наибольшее ускорение этот рост получил в конце прошлого года, и данная тенденция сохранилась. Компания “Информзащита” оценила объем российского рынка ИБ в прошлом году в 170 млн долл., прогноз на нынешний год – 230 млн долл.

По данным исследования IDC Russia Security Software 2005-2009 Forecast and 2004 Vendor Shares, в 2004 г. российские пользователи потратили почти 42 млн долл. на ПО для систем информационной безопасности – на 32,7% больше, чем в 2003-м (подчеркнем, что речь идет только о ПО, чем и объясняется столь большое расхождение с данными “Информзащиты”).

Наиболее бурный рост IDC отметила в сегментах интегрированных решений и систем 3А (аутентификация, авторизация, администрирование), объемы которых увеличились на 58 и 83% соответственно. Однако основные затраты пользователей (почти 40%), как и в предыдущие годы, пришлись на сегмент управления безопасностью информации. Хотя темпы его роста будут почти вдвое ниже по сравнению с интегрированными решениями и системами 3А, он останется самым крупным сегментом рынка ПО для систем безопасности, считает IDC.

Рынок ПО для систем безопасности и далее будет расти значительно быстрее, чем рынок ПО в целом, и в 2009 г. его объем составит 127 млн долл.

“Такие высокие темпы свидетельствуют о том, что рынок еще далек от насыщения. В России затраты на ИБ составляют всего 0,5% от общих расходов на ИТ – в два раза меньше, чем в мире, – говорит Тимур Фарукшин, руководитель исследовательского направления IDC Russia. – Пока во многих случаях обеспечение ИБ сводится к противостоянию конкретным угрозам, а не к принятию общей стратегии обеспечения безопасности, основанной на оценке рисков”.

Рынок ИБ – это большей частью корпоративный рынок. Антивирусное решение присутствует в каждой корпоративной сети, но как средство обеспечения безопасности антивирусы более демократичны, чем, например, межсетевые экраны или IDS; нередко они оказываются единственной системой защиты предприятия в сегментах SOHO и SMB. За счет этих сегментов в минувшем году усилили свои позиции небольшие растущие компании, предлагающие решения информационной безопасности массовым потребителям.

Крупнейшие мировые игроки на рынке антивирусного ПО, такие, как Symantec, Trend Micro, McAfee, имеют долю в 70-80% рынка. Львиная доля продаж приходится на США и Европу. В регионе ЕМЕА на антивирусном рынке велика доля Symantec, CA, Trend Micro (позиции этой компании усиливает альянс с Cisco), McAfee. Что касается российского рынка, даже публичные компании – Symantec, Trend Micro, McAfee, Panda – не называют для него абсолютных цифр, но все, в том числе и частные фирмы (Eset, “Лаборатория Касперского”), охотно говорят об успехах и быстром росте.

Пять мировых антивирусных вендоров имеют представительства в России: Symantec
(http://www.symantec.ru), Trend Micro (http://www.trendmicro.com),
функции представительства которой выполняет эксклюзивный дистрибьютор “Прикладная
Логистика” (http://www.apl.ru), Panda (http://www.viruslab.ru)
в Екатеринбурге, McAfee (http://www.mcafee.ru),
охотно работающая с корпоративными заказчиками, и Eset Software (http://www.esetnod32.ru).

В российском секторе SMB и SOHO велика доля рынка у “Лаборатории Касперского”
(http://www.kaspersky.ru), хорошо известен
продукт Dr. Web (http://www.drweb.ru), на
эти же сегменты нацеливается новый игрок – Eset Software. Присутствие Symantec
и Trend Micro прежде всего ощущается в корпоративном сегменте (благодаря исчерпывающему
спектру решений для защиты ИС предприятий и усилиям крупных российских интеграторов).

Много антивирусного ПО продается через специализированных софтверных дистрибьюторов – таких, как Mont, CPS, “1C-дистрибуция”. По всем продуктам и дистрибьюторы, и реселлеры работают с довольно высокой маржей (около 30%), что свидетельствует о наличии незадействованных ресурсов в канале.

Серьезным конкурентом нынешним антивирусным лидерам может стать Microsoft, которая сейчас встраивает в свои решения технологии вирусного сканирования Sybari, технологии купленной в 2003 г. румынской компании GeCAD и антишпионские разработки Giant Company Software, поглощенной в декабре 2004 г. В середине мая этого года Microsoft представила продукт для обеспечения безопасности под названием Windows OneCare, включающий защиту от вирусов и шпионского ПО, межсетевой экран и инструменты настройки ПК. Пилотная версия обещана в конце года.

Новый игрок на российском рынке антивирусов, компания Eset Software, недавно представила русифицированный антивирус Eset NOD32, основанный на эвристическом механизме расшифровки и анализа исполняемого кода. Этот механизм идентифицирует поведение вредоносных программ и борется с ними еще до появления вирусных сигнатур, хотя в продукте работают и традиционные сигнатурные методы детектирования. Готовы версии и для 64-разрядных ОС.

Технологии защиты

Поскольку защита – это реакция на угрозы, то тенденции развития угроз отражаются в антивирусных продуктах. Так, смешанные угрозы вызвали к жизни интегрированные пакеты защиты – их предлагают все вендоры. “Лаборатория Касперского” концентрируется на интегрированных решениях для SMB; продукт Eset NOD32 предлагает защиту от шпионских программ, нежелательной рекламы, опасных невирусных приложений (riskware), фишинга; в новую версию Dr.Web включена поддержка дополнительных баз для шпионских, спамерских и потенциально опасных программ.

Большинство антивирусных программ реализует сигнатурный метод обнаружения угроз, в соответствии с которым код сравнивается с шаблоном (сигнатурой) в базе описаний вирусов. Этот метод предполагает непрерывное отслеживание новых угроз, их описание и включение в сигнатурную базу, к которой клиентские программы обращаются за очередными обновлениями. В течение многих лет сигнатурные антивирусы успешно борются с угрозами. Ведущие антивирусные вендоры создали распределенные по всему миру службы быстрой обработки информации о новых угрозах и выпуска обновлений сигнатурных баз. “Лаборатория Касперского”, например, обновляет антивирусные базы каждые два часа, а при необходимости и чаще. Symantec имеет самую обширную мировую сеть антивирусных лабораторий. Мировая антивирусная индустрия – это гигантский механизм, стоимость которого на порядки выше, чем у преступной индустрии хакерства.

Вместе с тем противодействие новым угрозам в рамках сигнатурного подхода связано с порождением новых сигнатур, что ведет к росту объемов сигнатурной базы и времени проверки; при этом необходимы частые обновления антивирусного ПО. Соответственно с каждым обновлением антивирусная программа работает все медленнее и требует все больше ресурсов.

Независимо от частоты обновлений базы новые сигнатуры всегда появляются после вирусов – сигнатурная защита в принципе реактивна, и другой она быть не может. Поскольку сигнатурный антивирус всегда опаздывает, даже очень частое обновление баз может оказаться бесполезным. Новый, только что появившийся вирус способен за 12 мин заразить миллионы компьютеров, поскольку сигнатурная защита может его не распознать и пропустить.

Из этих соображений становится понятен растущий интерес рынка к проактивной защите, реализуемой в рамках поведенческого анализа и эвристических методов детектирования угроз. Это позволяет обнаруживать новые угрозы, еще не отраженные в сигнатурной базе. Новые антивирусные пакеты совмещают оба метода. Очевидно, что если угрозу удается определить эвристическим методом, то ее не нужно включать в сигнатурную базу. Это ускорит работу антивируса и снизит его требования к ресурсам. Различные продукты по-разному комбинируют эти методы. Теоретически эвристические методы обнаружения угроз более перспективны, практически – сигнатурная защита эффективнее и надежнее.

В мире есть три специализированных агентства, которые оценивают эффективность
защиты: Virus Bulletin (http://www.virusbtn.com),
West Coast Labs (http://www.westcoastlabs.org)
и ICSA Labs (http://www.icsalabs.com).
Результаты фиксируют только технологический уровень продукта, не отражая его
популярность и позиции на рынке, и могут оказаться неожиданными для неспециалистов
(посмотреть результаты тестирований по продуктам всех производителей можно здесь:
http://www.virusbtn.com/vb100/archives/products.xml).

Альтернативный подход к антивирусной защите развивает корпорация НР (http://www.hp.com).
Он основан на выявлении характерных особенностей процесса и не связан ни с сигнатурами,
ни с эвристическим моделированием работы вируса. Черви или вирусы обычно устанавливают
соединение одного и того же типа с необычно высокой частотой. Например, если
за минуту процесс обращается к одному и тому же сокету на 1000 систем, то это,
скорее всего, действует не пользователь и не легитимный процесс сервера. Чем
быстрее вирус пытается распространяться, тем легче его отличить от обычных вычислительных
задач. Обнаружив вирус с подобными характеристиками, программа замедляет этот
процесс, не оказывая влияния на обычные процессы, и в итоге подавляет его полностью.
Эта технология – результат интенсивных исследований HP Labs, она защищена шестнадцатью
патентами. НР устанавливает систему подавления вирусов на серверы ProLiant с
Windows 2000 и Server 2003, а также на свои коммутаторы ProCurve. Пока неизвестно,
когда появится версия для ПК.

Десять лет назад антивирусы обнаруживали не более 80% вирусов и совсем не ловили новых. Сегодняшняя реальность порождает эффективные и разнообразные технологии противодействия угрозам, и все эти технологии с разным успехом присутствуют на рынке.