Нечасто случается увидеть нечто новое в области безопасности. Большинство новых продуктов, упоминаемых в собранных мною пресс-релизах, представляют собой вариации уже имевшегося ранее. Иногда появляются важные усовершенствования, иногда — новые интересные названия, но в большинстве случаев речь идет о незначительных улучшениях, не более того.
Поэтому я был настроен довольно скептически, наблюдая, как журналисты ведут допрос с пристрастием главного технолога компании Cylance во время основного заседания конференции Global Cloud Innovation Summit, проходившего 23 апреля в фешенебельном районе яхт-клуба Corinthian в г. Тибурон, шт. Калифорния. Гленн Чисхолм рассказывал о необходимости обеспечения подлинной безопасности оконечных точек в облачной среде. Хакеры, говорил он, могут добраться до облачного сервиса компании только через ее оконечные точки. Иными словами, через ее компьютеры. Поэтому, объяснял он, необходимо защищать оконечные точки.
Проблема защиты оконечных точек отнюдь не нова, хотя большинство организаций не слишком задумывается об этом. Но, возможно, следовало бы. Между тем главная особенность продукта компании Cylance, получившего название Protect, заключается не в том, что он защищает оконечные точки, а в том, как он это делает. По словам Чисхолма, компания строит математическую модель, как должно работать ПО, а затем не позволяет запускать ничего другого. Результатом является защищающая от вирусов и вредоносного кода программа, которой необходимо лишь 30 Мб дискового пространства и которая не нуждается в частых обновлениях. Нет огромной базы данных сигнатур вирусов для сверки и ничего такого, что может устареть.
«Мы предоставляем возможность решать, какое ПО оконечная точка исполняет, а какое нет, — сказал Чисхолм в последовавшей беседе. — Программа принимает решение, и если встречается что-то сомнительное, она не позволит это запустить».
Как же ПО Cylance Protect принимает решение? Отчасти формирует его на основе математической модели, отчасти использует машинное обучение, чтобы определять, что надлежит запускать, а что нет. Чисхолм сказал, что Cylance производит обновления, но только когда модель совершенствуется с целью повышения производительности.
Производительность, похоже, очень важна для инженеров Cylance. Вместо создания большой нагрузки на процессор при использовании антивируса (все мы сталкиваемся с этим) ПО Cylance не влияет на производительность оконечной точки. Обновления нужны в основном для того, чтобы ПО работало еще лучше.
В этом месте я должен добавить, что представление Cylance об оконечной точке несколько отличается от общепринятого. Для Cylance оконечная точка это практически любой компьютер в сети, включая рабочие станции и серверы.
Работа ПО заключается в изучении кода, в отношении которого предпринимаются попытки его запуска на компьютере (не важно, предпринимается такая попытка напрямую с компьютера или после загрузки кода из Интернета). ПО анализирует внутреннюю работу кода и проверяет, как он себя представляет. Это значит, по словам руководителя службы маркетинга Грега Фитцджеральда, что документ Word не должен содержать исполняемый код, что код, представляющий себя в качестве приложения, должен иметь интерфейс пользователя, а драйверы не должны быть исполняемыми файлами. «Если нечто имеет иконку, говорящую, что это файл Word, то это и должен быть файл Word», — сказал он.
Фитцджеральд отметил также, что ПО Cylance Protect может сосуществовать с другими программами для борьбы с вирусами и вредоносным кодом. Во многих случаях политика организации требует другого ПО или оно устанавливается по контракту и не может быть удалено, даже если в нем больше нет необходимости, сказал Фитцджеральд. После установки Protect, добавил он, практически прекращаются звонки в службу технической поддержки по поводу связанных с антивирусами проблем.
К сожалению, при в целом благополучной ситуации здесь есть и свои проблемы. Главная заключается в том, что не каждый может купить Cylance Protect. Фитцджеральд сообщил по электронной почте, что в настоящее время только крупные предприятия могут покупать ПО напрямую у Cylance, тогда как малый и средний бизнес должен обращаться к реселлерам. Частным лицам оно сейчас не продается.
Компания находится в процессе расширения зоны охвата и типов оборудования, на котором работает ее ПО, сказал Фитцджеральд. В настоящее время это оборудование включает компьютеры под управлением Windows и несколько устройств защиты. Но вскоре ПО появится на компьютерах с Apple OS X и Linux. Планируется также поддержка мобильных устройств с Android и Windows, сказал он. Но сейчас нет планов выпуска версии продукта для iOS.
Хорошая новость в том, что купившие ПО организации смогут, как утверждается, быстро и легко его установить. Фитцджеральд сказал, что для установки или управления им не требуется знать ИТ. Он отметил, что Protect предотвратит исполнение вредоносного кода, сопровождающего фишинговые атаки, и что ПО способно распознать такие вещи как вредоносный код Crypto Lock и не допустить его исполнения.
В некоторых отношениях Cylance Protect имеет сходство с другим ПО для борьбы с вредоносным кодом, таким как Malwarebytes, но есть и существенные отличия. В частности, Protect не требует обновления своей базы данных, поскольку не использует таковую. Это делает его идеальным для компьютеров, которые не могут или не должны получать частые обновления. К ним относятся многие машины, содержащие конфиденциальную информацию, риск утраты которой через подключение к Интернету слишком велик.
Но можно ли про данную технологию сказать, что за нею будущее безопасности оконечных точек? Увидим. Я запросил копию ПО, чтобы выяснить это. Тем временем Cylance проводит ряд демонстраций, в ходе которых ее инженеры сознательно загружают вредоносный код, чтобы посмотреть, сможет ли Protect его обнаружить. До сих пор получалось.