Развитие угроз и средств защиты повторяет путь совершенствования снаряда и брони

    

Динамика угроз

Компания MessageLabs проверила в прошлом году 12,6 млрд. электронных писем и обнаружила вирус в каждом шестнадцатом письме - это в два раза чаще по сравнению с 2003-м. По данным компании Sophos, новых вирусов в прошлом году стало больше на 51%, Symantec приводит цифру в 64%. За первое полугодие 2005-го Sophos обнаружила 7944 новых вирусов, червей и троянов - на 59% больше, чем за тот же период 2004-го. Отчет Forrester (25 марта 2005 г.) указывает, что вирусы и черви остаются главной угрозой (68%) для предприятий, опережая даже разного рода угрозы внутренние (49%).

Изменение вектора угроз отмечают в своем исследовании аналитики из "Лаборатории Касперского" (подробнее об этом см. статью Максима Букина на с. 36). Исследование SANS Institute демонстрирует, что хакеры и вирусописатели сегодня нацеливаются на системы защиты корпоративных сетей и антивирусное ПО.

Еще одна заметная тенденция - объединение вирусных, хакерских и спамерских технологий, коммерциализация вирусов. Создание и целевое использование вирусов стало эффективным средством заработка. На первый план выходит извлечение прибыли на спаме и фишинге. Вредоносный код перехватывает управление зараженным компьютером и служит для зомбирования машин с целью рассылки спама, кражи личной информации или проведения DDoS-атак. Статистика Symantec, Kaspersky, Eset и других антивирусных вендоров все чаще фиксирует троянские программы, нацеленные на получение удаленного контроля над зараженным компьютером. Sophos также обращает внимание на все более организованный характер киберпреступности. Происходит профессионализация создания злокачественного ПО и его смещение к троянам, чтобы делать деньги. Sophos считает, что за последние месяцы ситуация в сфере ИТ-безопасности изменилась в сторону более тесного сплетения банд, занимающихся кражей кредитных карт, созданием вирусов, спамерством и злостным хакерством. Одним из факторов, влияющих на этот процесс, стало принятие во многих странах законов против спама.

Сохраняется наметившаяся в начале прошлого года тенденция к росту смешанных угроз и сокращению времени от момента появления нового вируса до массового заражения. (По данным Sophos, незащищенный компьютер в течение 12 мин нахождения в Интернете с вероятностью 50% будет заражен вирусом или червем; в начале года это время составляло 20 мин.) Самым уязвимым местом остается электронная почта - почтовые черви и вирусы совершенствуются.

Ожидается появление заразы для сотовых телефонов с поддержкой Bluetooth и Wi-Fi. Опасность заражения растет с числом этих аппаратов. В марте появился первый вирус, распространяющийся через MMS. В дальнейшем подобные программы также будут совершенствоваться.

Растущая мобильность сотрудников и широкое распространение USB-флешек расшатывают концепцию защиты сетевого периметра. Некоторые поставщики средств защиты и антивирусного ПО считают, что ситуацию может стабилизировать тотальная онлайновая аутентификация пользователей.

Антивирусы и рынок ИБ

Рынок антивирусов растет примерно теми же темпами, что и рынок ИБ, или чуть быстрее. По оценкам Canalys, рынок корпоративной защиты в EMEA за прошлый год вырос на 32%, а его российский сегмент - на 45%. Наибольшее ускорение данный рост получил в конце прошлого года, и эта тенденция сохранилась. Компания "Информзащита" оценила объем прошлогоднего российского рынка ИБ в 170 млн. долл., прогноз на нынешний год - 230 млн.

По данным исследования IDC "Russia Security Software 2005-2009 Forecast and 2004 Vendor Shares", в 2004 г. российские пользователи затратили почти 42 млн. долл. на ПО для систем информационной безопасности, что на 32,7% больше, чем в 2003-м. (Подчеркнем, что речь идет только о ПО, чем и объясняется столь большая разница с данными "Информзащиты".) Наиболее бурный рост IDC отметила в сегментах интегрированных решений и систем 3А (аутентификация, авторизация, администрирование), объемы которых увеличились на 58 и 83% соответственно. Однако основные затраты пользователей (почти 40%), как и в предыдущие годы, пришлись на сегмент управления безопасностью информации. Хотя темпы его роста будут почти вдвое ниже по сравнению с интегрированными решениями и системами 3А, он останется самым крупным сегментом рынка ПО для систем безопасности, считает IDC.

Рынок ПО для систем безопасности и далее будет расти значительно быстрее, чем рынок ПО в целом, и в 2009 г. его объем составит 127 млн. долл.

"Такие высокие темпы свидетельствуют о том, что рынок еще далек от насыщения. В России затраты на ИБ составляют всего 0,5% от общих расходов на ИТ - в два раза меньше, чем в мире, - говорит Тимур Фарукшин, руководитель исследовательского направления IDC. - Пока во многих случаях обеспечение ИБ сводится к противостоянию конкретным угрозам, а не к принятию общей стратегии обеспечения безопасности, основанной на оценке рисков".

Рынок ИБ - это в основном корпоративный рынок. Антивирусное решение присутствует в каждой корпоративной сети, но как средство обеспечения безопасности антивирусы более демократичны, чем, например, брандмауэры или IDS; нередко они оказываются единственной системой защиты предприятия в сегментах SoHo и SMB. За счет этих сегментов в минувшем году усилили свои позиции небольшие растущие компании, предлагающие решения по ИБ массовым потребителям.

Крупнейшие мировые игроки на рынке антивирусного ПО, такие, как Symantec, Trend Micro, McAfee, владеют 70-80% рынка. Львиная доля продаж приходится на США и Европу. В ЕМЕА на антивирусном рынке велика доля Symantec, CA, Trend Micro (позиции этой компании усиливает альянс с Cisco), McAfee. Даже публичные компании - Symantec, Trend Micro, McAfee, Panda - не называют абсолютные цифры по российскому рынку, но все, в том числе и частные фирмы (Eset, Kaspersky), охотно говорят об успехах и быстром росте. Растет Kaspersky, в частности за счет продаж через европейскую "дочку".

Пять мировых антивирусных вендоров имеют представительства в России: Symantec (www.symantec.ru), Trend Micro (www.trendmicro.com), функции представительства которой выполняет эксклюзивный дистрибьютор "Прикладная Логистика" (www.apl.ru), Panda (www.viruslab.ru) в Екатеринбурге, MCAfee (www.mcafee.ru), охотно работающая с корпоративными заказчиками, и Eset Software (www.esetnod32.ru).

В российском секторе SMB и SoHo велика доля рынка у Kaspersky, хорошо известен Dr. Web, на эти же сегменты нацеливается новый игрок - Eset Software. Присутствие Symantec и Trend Micro прежде всего ощущается в корпоративном сегменте (благодаря исчерпывающему спектру решений для защиты ИС предприятий и усилиям крупных российских интеграторов).

Много антивирусного ПО продается через софтверных дистрибьюторов - таких, как Mont, CPS, "1C-дистрибуция". По всем продуктам и дистрибьюторы, и реселлеры работают с довольно высокой маржой (около 30%), что свидетельствует о наличии незадействованных ресурсов в канале.

Серьезным конкурентом нынешним антивирусным лидерам может стать Microsoft, которая сейчас встраивает в свои решения технологии вирусного сканирования Sybari, технологии купленной в 2003 г. румынской компании GeCAD и антишпионские разработки Giant Company Software, поглощенной в декабре 2004 г. В мае 2005-го Microsoft представила продукт для обеспечения безопасности под названием Windows OneCare, включающий защиту от вирусов и шпионского ПО, брандмауэр и инструменты настройки ПК. Пилотная версия обещана в конце года.

Новый игрок на российском рынке антивирусов - компания Eset Software - недавно представила русифицированный антивирус Eset NOD32, основанный на эвристическом механизме расшифровки и анализа исполняемого кода. Этот механизм идентифицирует поведение вредоносных программ и борется с ними еще до появления вирусных сигнатур, хотя в продукте работают и традиционные сигнатурные методы детектирования. Готовы версии и для 64-разрядных ОС.

Технологии защиты

Поскольку защита - это реакция на угрозы, тенденции угроз отражаются в антивирусных продуктах. Так, смешанные угрозы вызвали к жизни интегрированные пакеты защиты - их предлагают все вендоры. Kaspersky концентрируется на интегрированных решениях для SMB; продукт Eset NOD32 предлагает защиту от шпионских программ, нежелательной рекламы, опасных невирусных приложений (riskware), фишинга; в новую версию Dr.Web включена поддержка дополнительных баз для шпионских, спамерских и потенциально опасных программ.

Большинство антивирусных программ реализует сигнатурный метод обнаружения угроз, в соответствии с которым код сравнивается с шаблоном (сигнатурой) в базе описаний вирусов. Этот метод предполагает непрерывное отслеживание новых угроз, их описание и включение в сигнатурную базу, к которой обращаются клиентские программы за очередными обновлениями. В течение многих лет сигнатурные антивирусы успешно борются с угрозами. Ведущие антивирусные вендоры создали распределенные по всему миру службы быстрой обработки информации по новым угрозам и выпуску обновлений сигнатурных баз. Kaspersky, например, обновляет антивирусные базы каждые два часа, а при необходимости и чаще. Symantec имеет самую обширную мировую сеть антивирусных лабораторий. Мировая антивирусная индустрия - это гигантский механизм, стоящий на порядки дороже, чем преступная индустрия хакерства.

Вместе с тем противодействие новым угрозам в рамках сигнатурного подхода связано с порождением новых сигнатур, что ведет к росту объемов сигнатурной базы и времени проверки; при этом необходимы частые обновления антивирусного ПО. С каждым обновлением антивирусная программа работает все медленнее и требует все больше ресурсов.

Независимо от частоты обновлений базы новые сигнатуры всегда появляются после вирусов - сигнатурная защита в принципе реактивна, и другой она быть не может. Сигнатурный антивирус всегда опаздывает. Даже очень частое обновление баз может оказаться бесполезным. Новый вирус способен за 12 мин заразить миллионы компьютеров, поскольку сигнатурная защита может его не распознать и пропустить.

Из этих соображений становится понятен растущий интерес рынка к проактивной защите, реализуемой в рамках поведенческого анализа и эвристических методов детектирования угроз. Это позволяет обнаруживать новые угрозы, еще не отраженные в сигнатурной базе. Новые антивирусные пакеты совмещают оба метода. Очевидно, что если угроза определяется эвристическим методом, то ее не нужно включать в сигнатурную базу. Это ускорит работу антивируса и снизит его требования к ресурсам. Различные продукты по-разному комбинируют эти методы. Теоретически эвристические методы в обнаружениях угроз более перспективны, практически - сигнатурная защита эффективнее и надежней.

В мире есть три специализированных агентства, которые оценивают эффективность защиты: Virus Bulletin (www.virusbtn.com), West Coast Labs (www.westcoastlabs.org) и ICSA Labs (www.icsalabs.com). Результаты фиксируют только технологический уровень продукта, не отражая его популярность и позиции на рынке, и могут оказаться неожиданными для неспециалистов. (Посмотреть результаты тестирований по всем вендорам можно здесь: www.virusbtn.com/vb100/archives/products.xml.) Альтернативный подход к антивирусной защите развивает корпорация НР. Он основан на выявлении характерных особенностей в поведении процесса и не связан ни с сигнатурами, ни с эвристическим моделированием работы вируса. Черви или вирусы обычно устанавливают соединение одного и того же типа с необычно высокой частотой. Например, если за минуту процесс обращается к одному и тому же сокету на 1000 систем, то скорее всего это действует не пользователь и не легитимный процесс сервера. Чем быстрее вирус пытается распространяться, тем легче его отличить от обычных вычислительных задач. Обнаружив вирус с подобными характеристиками, программа замедляет этот процесс, не оказывая влияния на обычные процессы, и в итоге подавляет его полностью. Данная технология - результат интенсивных исследований HP Labs, она защищена шестнадцатью патентами. НР ставит систему подавления вирусов на серверы ProLiant с Windows 2000 и 2003, а также на свои коммутаторы ProCurve. Пока неизвестно, когда появится версия для ПК.

Десять лет назад антивирусы обнаруживали не более 80% вирусов и совсем не ловили новых. Сегодняшняя реальность порождает эффективные и разнообразные технологии противодействия угрозам, и все эти технологии с разным успехом присутствуют на рынке.

Версия для печати