Антивирусные вендоры ищут выход из технологического тупика

Антивирусные вендоры ищут выход из технологического тупика

Киберпреступность давно стала одним из самых успешных видов бизнеса и количество всевозможных вредоносных программ увеличивается ужасающими темпами. Старые антивирусные технологии теряют эффективность, им на смену приходят новые и более перспективные.

Большие изменения в конечном итоге ведут в переделу рынка, а значит, ряды бойцов антивирусного фронта могут в будущем серьезно порядеть. В данной статье мы попробовали разобраться в причинах этого процесса.

Каждый из нас ежедневно сталкивается в сети с различными вредоносными и нежелательными программами, которых становится все больше и больше. Целью злоумышленников может быть кража ваших финансовых данных, паролей к различным интернет-сервисам и другой персональной информации; вымогательство, или банальное использование вычислительных ресурсов вашего компьютера в криминальных целях.

Любой антивирусный эксперт скажет вам, что количество регистрируемых в его лаборатории вредоносных программ растет в геометрической прогрессии. Говоря проще, их количество каждый год увеличивается в разы. Уже несколько лет назад многие забили тревогу - настанет время и вирлабы всего мира просто захлебнуться в потоке вредоносного кода. Его невозможно будет полностью выделить и проанализировать.

Если ничего не менять, то со старыми реактивными (сигнатурными) и старыми проактивными технологиями (расширенные сигнатуры, эвристика, поведенческий анализ и т.п.) антивирусы с каждым годом будут пропускать все больше и больше, и в какой-то момент использовать их станет вовсе бессмысленно. Вам нужна будет защита, пропускающая на компьютер каждую вторую вредоносную программу (50%) или того меньше?

Отмечу, что такие "эффективные антивирусы" есть уже сейчас. Достаточно посмотреть любой мало-мальски значимый антивирусный тест, чтобы их увидеть, например, здесь или здесь. Это не лжеантивирусы, под видом которых злоумышленники установят вам все те же вредоносные программы, это нормальные легальные антивирусы, но их эффективность в силу ряда причин очень низкая.

Давайте разбемся почему. Там сидят плохие и неумные эксперты? Ушлые бизнесмены гонят на рынок низкокачественные антивирусные поделки, режа косты и не заботясь об эффективности продукта? В ряде случаев оно может быть так, но есть одна большая причина - масштаб угроз и весь ИТ-рынок менются. А меняться вместе с ним, видеть большие движения рынка могут не все. Итак пойдем по порядку.

 

Быстрый рост количества вредоносных программ

Обратимся к числам и статистике, а именно к количеству регистрируемых вредоносных программ в год. Далеко не все вендоры включают такие данные в свои регулярные отчеты по угрозам. Публикуемые же данные часто сильно разнятся (иногда в разы), но методологии подсчета нас в данном случае не интересует, важен тренд. Ниже представлены данные вирусных лабораторий Symantec и McAfee.

 

Рисунок 1: Рост общего количества вредоносных программ по данным Symantec

Рост количества вредоносных программ Symantec

Symantec Internet Security Threat Report Volume XIV: April, 2009

 

Рисунок 2: Рост общего количества вредоносных программ по данным McAfee

Рост количества вредоносных программ McAfee

McAfee Labs Blogs: "Malware Is Their Business…and Business Is Good!"

 

Графики выше наглядно демонстрируют экспоненциальный рост количества вредоносных программ, даже абсолютные цифры очень близки (~1.5 млн. новых образцов в 2008 году), даже удивительно. Если представить статистику немного по-другому, то в течение 2008 года ведущие вирусные лаборатории в среднем регистрировали около 4 тысяч новых образцов вредоносных программ в сутки.

Если обратиться к данным "Лаборатории Касперского", то цифры будут еще выше - уже в 2007 году в глобальной сети было зарегистрировано 2 227 415 новых вредоносных программ. 

В итоге для обеспечения своих пользователей эффективной защитой антивирусным вендорам приходится находить, анализировать и обеспечивать детект порядка 10 тысяч новых вредоносных программ в сутки!

Любому дилетанту понятно, что обрабатывать такое количество образцов руками просто невозможно даже с очень большим штатом аналитиков. Романтика начала 90х антивирусной индустрии далеко позади, когда самплы с интересом искали и изучали поштучно. Теперь это рутина все больше с применением "оружия массового поражения" ("автодятлы", боты и другая автоматизация). 

 

Что нас ждет дальше?

Отталкиваясь от данных статистики, приведенной выше, я построил экспоненциальную функцию тренда и вычислил ее значения на ближайшие 5 лет, см. рисунок ниже.

 

Рисунок 3: Прогноз увеличения количества вредоносных программ до 2013 года

Прогноз увеличения количества вредоносных программ 2002-2013

Как вы видим, если никаких глобальных изменений не произойдет, а к этому никаких предпосылок нет (киберпреступность никуда не денется, очень уж это прибыльно), то в 2013 году будет выпущено порядка 50 млн. новых вредоносных программ, т.е. 136 тыс. ежедневно. Если посмотреть еще дальше, то в 2015 году количество новых вредоносных программ может стать и вовсе заоблачным и превысить 200 млн.

Может показаться, что за этими цифрами не видно реальной угрозы, попробую ее показать. Как известно ни один антивирус не дает 100% защиты. Предположим, эффективность луших антивирусов составляет 99% (очень высокий показатель, почти нереальный). Тогда в 2008 году такой антивирус может не знать  1% от 1.6 млн. = 16 тыс. вредоносных программ. Уже много, правда?

В 2013 году незнание 1% будет означать недетектирование 500 тыс. вредоносных программ! Можно ли назвать такую защиту эффективной? Думаю, что нет. Мы уже даже не говорим про общее снижение общего уровня детектирования по индустрии в силу все тех же причин.

 

Что делать и где выход?

Из всего выше сказанного понятно одно - с технологиями и подходами 90х годов антивирус уже сейчас нельзя считать эффективным, а через несколько лет время окончательно все расставит на свои места.

Возникает извечный вопрос: "Что делать?". Для некоторых антивирусных вендоров проблема была очевидна уже пару лет назад, что подвигло их к разработке принципиально новых технологий защиты. Это дальнейшее развитие проактивных технологий (в первую очередь поведенческого анализа) с одной стороны, и репутационные "облачные" технологии (In-The-Cloud) с другой стороны.

Если говорить понятным языком, то при таком подходе любой файл проверяется сначала по белым спискам доверенных приложений (Whitelisting) и черным спискам вредоносных программ (Blacklisting), которые находятся на серверах вендора и обновляются в режиме реального времени.

Соответственно если файл доверенный, то ему дается зеленый свет, если вредоносный - блокируется. Если же файла нет ни в черном, ни в белом списке, то он проверяется при помощи поведенческого анализа и определяется его рейтинг опасности (репутация). При запуске такой программы, ее действия в системе могут быть ограничены до выяснения точного вердикта (безопасная изоляция или Sendbox).

При таком подходе выпуск классических сигнатур и разбор каждого сампла в большинстве случае уже не имеет смысла, ведь вредоносная программа блокируется до попадания на компьютер или установки в системе. Разбирать инцидент подробно в большинстве случаев не нужно, так как пользователю нет разницы, что именно там было заблокировано.

Конечно, все это не отменяет разбор и анализ новых вредоносных программ для пополнения черного списка файлов, создания процедур лечения или исследовательских целей. Но эффективность защиты антивируса напрямую от этого зависеть уже не будет.

Точно такой же репутационный подход реализуем для веб-адресов или сообщений электронной почты. Между базами репутации почтовых сообщений, веб-адресов и файлов могут автоматически выстраиваться коррелияции, что еще больше может способствовать увеличению скорости реакции на новые угрозы.

 

Примеры реализации нового подхода

В той или иной степени все ведущие мировые вендоры сейчас работают над новыми технологиями защиты, описанными выше. Среди них можно отметить такие компании как: Symantec, Trend Micro, "Лаборатория Касперского", McAfee и Panda Security. 

Компания Trend Micro уже запустила и активно совершенствует технологию и стоящую за ней инфраструктуру Smart Protection Network, с помощью которой можно в режиме реального времени оценивать степень опасности веб-сайтов, почтовых сообщений или загружаемых из сети файлов, основываясь на их репутации в базе данных TrendLabs. Репутация стоится на основе данных, получаемых из собственных источников компании и клиентов Trend Micro по всему миру, их автоматической корреляции и анализа.

Smart Protection Network используется в персональных продуктах Trend Micro Internet Security (Pro) 2010 и более ранней версии 2009, а также новом корпоративном продукте Trend Micro OfficeScan 10.

 


 

Аналогичным путем идет и корпорация Symantec. Год назад в ее персональных продуктах под маркой Norton появилась возможность создавать списки доверенных приложений (Norton Insight). А новые версии Norton Antivirus 2010, Norton Internet Security 2010 и Norton 360 4.0 получили также и технологию Quorum, которая позволяет оценивать репутация файлов на основе таких атрибутов, как время создания, источник загрузки, цифровая подпись и распространенность файла среди миллионов  участников сообщества Norton Community Watch. Дополняется все это технологией поведенческого анализа SONAR 2 (Symantec Online Network for Advanced Response, версия 2), которая производит мониторинг и анализ подозрительных действий программ в системе.

Для оценки репутация веб-сайтов Symantec использует технологию Norton Safe Web, позволяющую дополнить результаты поиска в Google, Yahoo! рейтингом безопасности для выводимых в результате поиска сайтов.

 


 

Из российских антивирусных вендоров в развитии новых технологий пока преуспела только "Лаборатория Касперского", которая в своих персональных продуктах, начиная с версии 2009, внедрила целый ряд перспективных технологий.

Благодаря продвинутой технологии поведенческого анализа (Host Intrusion Prevention System - HIPS) Kaspersky Internet Security 2010 может вычислять для приложений специальный рейтинг безопасности, определять доверенные приложения (на основании белых списков) и ограничивать действия в системе подозрительных программ.

Кроме этого в арсенале Kaspersky Internet Security 2010 появилась технология быстрого реагирования на новые угрозы (Urgent Detection System - UDS) и эмуляционная эвристика (Behavior Stream Signature - BSS, обновляемые поведенческие сигнатуры, которыми можно заменить тысячи обычных сигнатур), а также улучшенный поведенческий анализатор (PDM2). Также в продукт впервые включен Sandbox (песочница или "Безопасная среда"), представляющей собой изолированное виртуальное пространство, которое позволяет пользователю посещать подозрительные веб-сайты или запускать неизвестные программы, не боясь заразить свой компьютер. При работе в безопасной среде потенциально опасные программы не имеют доступа к ресурсам материнской системы и каким-либо данным пользователя. 

 


 

Компания McAfee одной из первых применила в своих корпоративных продуктах технологию Artemis, которая построена на все тех самых облачных (In-The-Cloud) принципах. В ее основе лежат белые и черные списки приложений, которые обновляются в режиме реального времени на основании данных лаборатории McAfee Avert и получаемых от сообщества пользователей продуктов McAfee по всему миру.

Тем же путем идет и испанская антивирусная компания Panda Security, но в отличие от конкурентов она поступила более агрессивно, не только внедрив подобную технологию в Panda Antivirus Pro 2009 и более старших версиях, но и выпустив полность "облачный" бесплатный антивирус Panda Cloud Antivirus.

Ни в коем случае не стоит списывать со счетов и других вендоров, многие из которых ведут активные разработки новых технологий защиты.

 

Что ждет отстающих? 

Не хочется излишне сгущать краски и нагнетать напряжение, но сейчас уже совершенно очевидно, что те компании, которые в самое ближайшее время не обратят внимания на перспективные технологии и не станут активно перевооружаться, рискуют просто уйти с рынка.

Первые сигналы уже есть. Наш недавний тест антивирусов на эффективность защиты от новейших вредоносных программ наглядно показал возникший значительный технологический разрыв между лидерами индустрии и отстающими игроками.

В самое сложное положение попадают мелкие антивирусные вендоры. Даже если им удастся найти инвестиции на разработку новых технологий и соответствующую инфраструктуру (а она стоит очень недешево), то  небольшая инсталляционная база при всех желании просто не позволит им стоить вести качественную статистику. Следовательно будет хромать эффективность и точность технологий.

Из всего этого следует простой вывод: рост количества вредоносных программ и других видов угроз будет напрямую подталкивать процесс консолидации рынка. Крупные игроки уже делают все правильно и будут богатеть дальше, а мелкие просто не потянут масштабные войны и будут вынуждены продать бизнес или закрыться. Да, мир жесток, таковы законы рынка ...

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru