ЭКСПЕРТНОЕ МНЕНИЕ
На вопросы научного редактора PC Week/RE Александра Евангели отвечают директор компании Panda Software Константин Архипов, председатель совета директоров компании "ДиалогНаука" Сергей Антимонов и консультант по безопасности компании Sophos Кэрол Тьеро (Carole Theriault).
PC Week/RE: Сегодня в области антивирусной защиты мы наблюдаем баланс технологий реактивной и проактивной защиты с преобладанием реактивной, связанной с большей развитостью сигнатурного метода обнаружения антивирусов. Время от появления нового вируса до массового заражения неуклонно сокращается, что свидетельствует о необходимости смены подхода к защите. Каким вы видите этот новый подход к защите?
Константин Архипов: На сегодняшний день какая-то одна определенная технология не способна предоставить комплексную защиту от всего многообразия вредоносного ПО, представляющего угрозу безопасности компьютеров и корпоративной сети. Действительно, классический сигнатурный механизм до сих пор актуален, однако быстрое распространение кодов требует дополнительного применения и других, новых технологий проактивной защиты. Поэтому мы, например, во все решения Panda Software внедряем механизм TruPrevent, обнаруживающий неизвестные вирусы, основываясь на анализе поведения программ в системе. Он включает в себя несколько элементов, каждый из которых представляет собой специфическую защиту против различных вредоносных действий, выполняемых вирусами, червями, фишерами, ботами, спамом. Работая вместе с сигнатурным анализом, новые технологии обеспечивают полную защиту.
Константин Архипов
Таким образом, новый подход объединяет несколько элементов защиты для обеспечения полной комплексной безопасности. Традиционные антивирусные системы должны быть дополнены предупреждающими технологиями, только в этом случае можно быть уверенным в целостности защиты.
Сергей Антимонов: Сегодня эффективное противодействие компьютерным вирусам возможно только на основе комплексного подхода, который предполагает совместное применение как организационных, так и программно-технических мер защиты. Организационные меры предполагают разработку и использование нормативно-правовых документов, позволяющих формализовать и систематизировать применяемые средства защиты. Примерами таких документов являются концепция и политика антивирусной безопасности, регламенты, инструкции по защите от вирусов и др.
Сергей Антимонов
В дополнение к организационным мерам необходимо также применять комплекс программно-технических средств защиты, выполняющих следующие функции. Это прежде всего выявление и устранение уязвимостей, на основе которых реализуются вирусные угрозы. Примерами таких уязвимостей могут быть неустановленные модули обновления ПО - такие, как Service pack’и, hotfix’ы, неправильная конфигурация средств защиты, избыточные и потенциально опасные сетевые сервисы и т. д. Превентивные меры защиты этого типа обеспечивают возможность предотвращения вирусных атак путем удаления уязвимостей, являющихся причиной их возникновения.
Во-вторых, своевременное обнаружение и блокирование вирусных атак в процессе их реализации. При этом для более эффективной защиты от вирусов могут использоваться так называемые "многоядерные" программные комплексы, которые одновременно используют механизмы обнаружения вредоносного кода разных производителей. Примером таких комплексов являются программные продукты компании Sybari.
Наконец, выявление и ликвидация последствий вирусных угроз. Защитные меры этого класса направлены на минимизацию ущерба, нанесенного в результате воздействий компьютерных вирусов.
Кэрол Тьеро: Действительно, существует множество угроз для пользователей компьютеров, однако различные технологии защиты, созданные в последнее время, позволяют противостоять множеству вирусных атак. Еще десять лет назад вам приходилось каждую неделю или месяц обновлять антивирусную защиту, установленную на вашем компьютере. Конечно, защита зависела от сигнатуры - однако когда вы рассчитываете только на нее, то сталкиваетесь с неудобством: вам нужно сначала проанализировать угрозу и лишь потом создать подходящую сигнатуру. Сейчас защита куда более сложная, и основана она на сочетании сигнатур, генотипов, эвристик, блокировании определенных типов файлов - все это нужно, чтобы предотвратить даже неочевидные угрозы проникновения в систему.
Кэрол Тьеро
Уже стало нормой, что все компьютеры, подключенные к Интернету, автоматически получают антивирусные обновления. Межсетевой экран блокирует все неавторизованные соединения с вашим компьютером, и самый распространенный метод для обновления слабых мест вашего ПО (типа заплаток) - это просто получить все необходимые средства защиты от поставщиков программ.
Важно отметить, что все пользователи и владельцы компьютеров должны сами следить за всеми обновлениями в области их защиты - это поможет им самостоятельно предотвратить многие скрытые угрозы.
PC Week/RE: В каких случаях можно говорить о преимуществах эвристического метода защиты перед сигнатурным? Можно ли сказать, что сигнатурный метод исчерпал себя?
К. А.: Надо понимать, что эвристический метод защиты не является в полном смысле слова проактивным. Эта технология довольно долго присутствует в большинстве антивирусов и хорошо себя зарекомендовала. Но эвристический анализ все-таки базируется на сигнатурах, которые есть у антивирусной программы. Скорее можно говорить о том, что проактивный анализ может заменить традиционный сигнатурный метод обнаружения вирусов, и о его плюсах. Преимущество очевидно: практически теряет смысл такое понятие, как скорость реакции на вирусы. Предполагается, что если это правильная технология, то на любой вирус, который появится через неделю или через месяц, у клиента уже есть противоядие в виде его антивирусной программы. Безусловно, это хорошо, потому что, используя традиционные технологии, ни одна компания не угонится за скоростью распространения вирусов. Тем не менее я не думаю, что сигнатурный метод защиты полностью себя исчерпал. Но мы до сих пор параллельно с превентивной защитой используем традиционный поиск по сигнатурам. Дело в том, что на сегодняшнем этапе развития превентивная защита может защитить от вирусов и не допустить инфицирования компьютера, но если, скажем, получен нужный вам файл, зараженный вирусом, то она не допустит попадания этого файла на компьютер, однако вылечить его от вируса и выдать вам чистый файл не сможет. Это в состоянии сделать только сигнатурный механизм. Тем не менее мы работаем над развитием технологии. Предсказать же, когда проактивные технологии полностью заменят реактивные (и произойдет ли это вообще), думаю, не возьмется никто. Ведь это во многом будет зависеть и от того, какого характера угрозы будут преобладать. Могу лишь сказать, что превентивные технологии - это будущее антивирусной защиты и они безусловно будут развиваться очень активно.
С. А.: В настоящее время сигнатурные методы являются основными способами выявления компьютерных вирусов. Данный тип методов сопоставляет каждому вирусу сигнатуру, которая представляет собой определенный шаблон, заданный при помощи строки символов, семантического выражения или какой-либо другой конструкции. Основным преимуществом сигнатурных методов является высокая точность обнаружения известных типов вирусов. Для выявления новых вирусных угроз были дополнительно разработаны эвристические и поведенческие методы обнаружения.
Эвристические способы позволяют выявлять вирусы на основе общих закономерностей, характерных для определенного класса вирусов, что дает возможность обнаруживать не только известные вирусы, но и их различные модификации. Примером технологии, реализующей такой метод, является GenoType, реализованная в продуктах компании Sophos. Принцип использования поведенческих методов заключается в обнаружении несоответствия между текущим режимом функционирования системы и режимом штатной работы, который описывается при помощи определенных параметров. Любое такое несоответствие рассматривается в рамках поведенческого метода как попытка вирусного воздействия.
Однако важно отметить, что ни эвристические, ни поведенческие методы не могут полностью заменить сигнатурный подход, поскольку не они обеспечивают гарантированное обнаружение всех известных типов вирусов. Поэтому с нашей точки зрения в ближайшем будущем сохранится тенденция использования сигнатурных методов в комплексе с эвристическими и поведенческими способами.
К. Т.: Как я уже упоминала, лучший подход сегодня заключается в комбинировании разных методов. Сигнатурный анализ никогда не устареет - всегда может появиться кто-нибудь с новым типом угроз и атаковать компьютеры таким хитрым способом, который сейчас и представить себе сложно. В этом случае у нас должен быть опытный аналитик, способный разглядеть вредоносный код и структуру угрозы, чтобы предотвратить последующие вирусные атаки.
PC Week/RE: Как, по вашему мнению, действующие тенденции развития угроз влияют на рынок антивирусов? Как будет меняться рынок антивирусной защиты в ближайшем будущем?
К. А.: Несомненно, тенденции развития интернет-угроз влияют на антивирусный рынок. Как вы сами можете наблюдать, существующие решения безопасности уже представляют защиту от всех типов вредоносных кодов - это вирусы, спам, черви, программы-шпионы, троянцы, хакерские утилиты, фарминг. Пользователи ждут от антивирусных вендоров комплексной защиты от любой угрозы, и мы должны оправдывать их доверие. Поэтому наши технологии защиты должны соответствовать требованиям рынка, а для этого важно не только вовремя предоставлять "противоядие" от каждой угрозы, но и предугадывать тенденции развития будущих угроз информационной безопасности. И очевидно, что в этом направлении и движется весь антивирусный рынок.
С. А.: Рынок антивирусного ПО должен адекватно реагировать на новые угрозы безопасности. Это неминуемо приводит к расширению функциональных возможностей средств защиты. В частности, кроме выявления компьютерных вирусов антивирусные средства должны обеспечивать обнаружение троянских коней, spyware, adware и других типов вредоносных программ.
Можно ожидать появления более комплексных решений по защите, включающих в себя не только классические функции по выявлению компьютерных вирусов, но и функции обнаружения сетевых атак, фильтрации пакетов данных, защиты от спама и т. д.
К. Т.: Мы, разумеется, можем выделить некоторые тенденции в области создания вирусов. Очевидно, что наиболее сильная мотивация у хакеров - проскользнуть в систему и добыть информацию для игры на финансовом рынке. Это может быть логин, или пароль, или важная информация, за которую готова заплатить третья сторона либо заинтересованная компания. Однако антивирусный рынок вполне сложился, и действующие на нем игроки вполне могут противостоять угрозам. Что касается его изменений, то я бы хотела, чтобы как можно больше компаний в Азии, Африке и Южной Америке осознало необходимость защиты своих систем.
Постоянная вероятность угрозы требует взвешенных и продуманных решений, способных предотвратить сразу все возможные атаки. Разумеется, чтобы облегчить работу системного администратора, крайне желательно, чтобы каждый вид защиты был доступен через ограниченный набор инструментов управления - это сделает управление информационной защитой всего предприятия гораздо более удобным и легким.
PC Week/RE: Можно ли ждать появления новых игроков с новыми подходами к защите?
К. А.: Рынок защиты информации имеет большой потенциал, и многие компании в поиске нового источника прибыли будут пытаться занять на нем свою нишу. Как известно, Microsoft в скором времени выйдет на рынок со своим антивирусом. Но на наш взгляд, чем активнее конкуренция, тем лучше предлагаемые продукты. Новые участники только помогут усовершенствовать наши решения.
С. А.: Рынок информационной безопасности в целом и рынок антивирусной защиты в частности сегодня являются одной из самых динамично развивающихся отраслей. Это обусловлено постоянным развитием информационных технологий, появлением новых угроз безопасности и т. д. С учетом этого нельзя исключать вероятности появления новых высокотехнологичных компаний, которые предложат свои подходы по защите от компьютерных вирусов.
К. Т.: В области информационной безопасности - да, разумеется. Мы уже видим поток новых компаний, которые пытаются прорваться на рынок с предложениями по обнаружению рекламных или шпионских возможностей. Однако я бы сказала, что у этих фирм не много преимуществ перед теми, кто занят поиском комплексного подхода, который прост в управлении и не требует такого количества системных ресурсов. Более того, комплексное решение обеспечит действительно надежную защиту против уже известных или новых угроз.
