“Работу антивируса пора нацеливать на репутационный анализ”

Термин “антивирус” давно уже объединяет целый комплекс технологий и функций защиты вычислительных ресурсов от современных кибер-атак, а не только специализированное ПО, предотвращающее вирусные заражения и лечащее от них. Для массовых компьютерных пользователей антивирус стал первым шагом к пониманию задач информационной безопасности, ее синонимом. О том, что представляют собой современные антивирусы и каким видят перспективы их развития в компании Symantec, научному редактору PC Week/RE Валерию Васильеву рассказал руководитель отдела безопасности Symantec в России и СНГ Кирилл Керценбаум.

PC Week: Каким, на ваш взгляд, должен быть функционал современного корпоративного антивируса, устанавливаемого на рабочие места?

Кирилл Керценбаум: Прежде всего — сбалансированным. Антивирус не должен перегружать рабочую станцию, поскольку корпоративные приложения и без того дают существенную вычислительную нагрузку. Приоритет здесь не у средств защиты компьютера, а у бизнес-приложений, и антивирус не должен мешать комфортной работе с ними.

Антивирус должен работать практически в автоматическом режиме, не досаждая назойливыми обращениями. Ведь даже если у корпоративного пользователя есть достаточная квалификация, чтобы отвечать на все запросы антивируса, то времени на это у него уж точно нет. Не стоит слишком уповать и на централизованное управление антивирусом, поскольку администратор не всегда в курсе того, какие приложения потребуются на рабочей станции, скажем, через день, чтобы правильно поменять антивирусные настройки.

Выбор оптимального антивирусного функционала представляет непростую задачу для разработчиков. С одной стороны, в продукте не должно быть лишних функций, избыточно нагружающих компьютеры. С другой стороны, чтобы формировать (обоснованный состоянием угроз!) рыночный спрос, вендоры сегодня должны предлагать в своих антивирусах то, что будет востребовано только завтра. К примеру, в наших продуктах для защиты конечных точек именно так обстоят дела с функцией резервного копирования. Пока мы реализуем ее в виде отдельной программы, но при необходимости будем готовы интегрировать ее в состав единого решения.

PC Week: А если рабочее место мобильное?

К. К.: Ноутбуки и менее мощные мобильные рабочие места следует рассматривать по отдельности. Сейчас ноутбуки активно вытесняют в офисах настольные ПК. Практически при той же цене и обладая сравнимой мощностью, они вдобавок к этому дают пользователям комфорт мобильности рабочего места. Про смартфоны этого пока не скажешь. Из бизнес-приложений им сегодня можно доверить разве что электронную почту, еженедельник и телефонную связь, а этого явно мало. Функционал антивирусной защиты мобильного и настольного компьютеров должен быть в общем-то одинаковым, но возможности управления антивирусом на ноутбуке следует делать более полными, чтобы в автономном состоянии, когда к нему нет доступа у администратора, пользователь мог самостоятельно проводить необходимые настройки. Важно также, чтобы антивирус ноутбука сам умел определять, подключен компьютер к корпоративной сети или нет, — в продуктах Symantec эта функция называется Location Awareness (осведомленность о местоположении), чтобы автоматически менять должным образом уровень защищенности в зависимости от агрессивности рабочего окружения. Вне периметра сети, к примеру, межсетевой экран антивируса логично настроить на максимальную защиту, а при подключении к корпоративной сети все настройки агент Location Awareness приводит в соответствие с корпоративными политиками. Что касается смартфонов, то, по нашим данным, за год для них появляется от силы десяток вирусов. Связанные с этими устройствами угрозы пока направлены не на корпоративных, а на домашних пользователей. К тому же корпоративная защита смартфонов осложнена еще и тем, что в мировой практике сегодня редко используются корпоративные стандарты на телефонию, поэтому использование мобильного телефона в компании трудно контролировать.

PC Week: Как вы характеризуете специфику требований к антивирусной защите конечных точек со стороны крупных, средних и малых компаний?

К. К.: Для каждой компании независимо от ее размера важна надежность антивирусной защиты. Крупные организации (свыше тысячи компьютеров) имеют ресурсы (материальные и интеллектуальные) на разработку и поддержку корпоративных политик безопасности и в соответствии с ними сами настраивают свою антивирусную защиту. Они нуждаются в сложных продуктах с гибкими настройками и не любят фабричные предустановки.

У малых фирм (до 250 компьютеров) нет достаточных средств на должную поддержку ИБ. Поэтому для них важны сбалансированный вендором функционал и им же проведенные предварительные настройки, управление антивирусом должно быть максимально простым и по возможности автоматизированным, желательно, чтобы продукт у них эксплуатировался в режиме “установил и забыл”.

Средние предприятия (250—1000 компьютеров) склоняются к тому или другому варианту.

PC Week: Как за последнее время изменились требования к антивирусам?

К. К.: С малой долей преувеличения могу сказать, что вендоры, в том числе и Symantec, сами формируют новые требования к антивирусам. Так, до выхода Symantec Endpoint Protection (SEP) не было антивирусов с возможностью управления устройствами и приложениями — для этого существовали отдельные продукты. За два года существования SEP на рынке у заказчиков сформировалось четкое мнение, что стандартный антивирус должен содержать такие средства. Возможно, и средства резервного копирования тоже станут неотъемлемой частью корпоративного антивируса.

PC Week: Какими вы видите главные задачи (проблемы) Symantec в области разработки антивирусов в настоящее время?

К. К.: Экспоненциальный рост количества угроз ведет к росту потребления вычислительных ресурсов антивирусами (к примеру, размер файлов сигнатурной базы Symantec уже сейчас составляет около 90 Мб). Но бизнес-приложениям зачастую вполне хватает имеющихся компьютерных мощностей — корпоративный ПК с 512-Мб ОЗУ сегодня не редкость, и компании не хотят (а чаще не могут из-за ограниченных бюджетов) модернизировать свой компьютерный парк. Разработчики антивирусов обязаны учитывать эти противоречивые требования.

Рано или поздно объем “плохих” файлов настолько превысит объем “хороших”, что сигнатурная технология детектирования вирусов перестанет быть более-менее эффективной. Для борьбы с этой проблемой Symantec развивает относящуюся к “облачным” вычислениям технологию репутационного анализа. Она была впервые реализована в линейке наших потребительских продуктов, выпускаемых под брендом Norton (в продуктах Norton поколения 2010 эта технология называется Quorum). Со следующего года мы реализуем ее и в корпоративных продуктах по безопасности. Цель этой технологии — сформировать и поддерживать “белый” список файлов, чтобы передавать на вход антивирусного движка только файлы, подозреваемые в “неблагонадежности”.

Суть репутационного анализа сводится к тому, чтобы выявлять надежные файлы на пользовательских ПК и выносить “в облако” анализ последствий запуска тех файлов, репутация которых вызывает сомнения. Сегодня в базе данных репутаций Quorum около 63 млн. файлов, 10 млн. из них — опасные. Однако доверие к файлу вовсе не означает, что он не будет проконтролирован со стороны других технологий наших антивирусов: репутационный анализ — это всего лишь первых этап антивирусных проверок. Мы считаем, что пришла пора менять приоритеты: выявлять не “плохое”, а “хорошее”, и смещать фокус работы антивируса от сигнатурного анализа к репутационному — он проактивней, оперативней и надежней.

PC Week: Что отличает антивирусы Symantec от конкурирующих продуктов?

К. К.: Прежде всего целостность видения проблем ИБ. В разработке продуктов Symantec следует своей концепции, продуманной на много лет вперед. В офисе технического директора компании, куда входит организация Symantec Security Technology and Response, разрабатывающая “мозги” наших антивирусов — его движки, около двухсот специалистов занимаются научными исследованиями. Именно их работа и влияет прежде всего на формирование видения нашей компанией перспектив развития области ИБ. Разработкой Quorum, технологии, уходящей “в облака” (о которых заговорили год назад), в Symantec начали заниматься пять лет назад. Вот тогда нашим исследователям и стало понятно, что количество угроз будет расти такими темпами, что сигнатурный анализ перестанет справляться с ними. Когда же прогнозы наших специалистов воплотились в рыночную потребность, мы реализовали соответствующий функционал в своих продуктах.

PC Week: Благодарю за беседу.