Обзор Средства защиты информации и бизнеса 2006	подготовлен	При поддержке

Антивирус будет услугой

Классические продуктовые  подходы к построению антивирусной защиты постепенно уступают место совершенно новым, в основе которых лежат услуги и сервисы. Налицо все факты того, что уже через пять лет антивирусы в современном понимании уйдут в прошлое.

Сразу надо отметить необходимость разделения мультивендорной и лоскутной защиты, когда используется несметное количество продуктов разных производителей. Последний подход даже сложно назвать стратегией защитой, и сегодня от него уже отказались практически все «думающие» компании. Таким образом, есть две основные стратегии защиты — одновендорная и мультивендорная. Хороши они или плохи — надо рассматривать в каждом конкретном случае. Основное правило — защита не должна быть дороже защищаемых данных, циркулирующих в сети компании, с одной стороны, и должна быть адекватной для защиты этих данных, с другой. Не стоит создавать суперсложную эшелонированную систему информационной безопасности для защиты домашней бухгалтерии и, в то же время, нельзя ограничиться межсетевым экраном (даже самым лучшим) для защиты банковской сети.

Одновендорную стратегию, когда для защиты предприятия используются продукты одной компании, исповедует, в первую очередь, компания Symantec. Это и понятно — в портфеле компании есть масса продуктов почти на все случаи жизни, которые подходят для предприятий любого размера и ИТ–инфраструктуры любой сложности. Полнота линейки позволяет продвигать одновендорую модель и McAfee, и Trend Micro и Sophos, но явных заявлений о предпочтении одновендорности от этих производителей замечено не было. Остальные же вендоры, хоть и не обладают широкой продуктовой линейкой для покрытия нужд компаний любого размера, но тоже предпочитают, чтобы заказчики использовали продукты только одного производителя.

Есть и другие, значительно менее распространенные подходы, и постоянно появляются новые. Например, «Лаборатория Касперского», готовит к выпуску специальный продукт для крупных клиентов, который будет обеспечивать антивирусную функциональность "по требованию" и не будет поддерживать постоянной защиты, а потому сможет работать на рабочих станциях с установленным антивирусом другого производителя.

Еще одним интересным исключением является Trend Micro Enterprise Protection Strategy. Согласно этой стратегии, проактивное управление жизненным циклом вирусной эпидемии  разделяется на несколько этапов:

Vulnerability Prevention (Vulnerability Assessment) — это набор средств и услуг по обнаружению уязвимостей в системах на базе Microsoft Windows, которые помогают клиентам устанавливать политики безопасности, блокировать несоответствующие им устройства от доступа к сети и устранять специфические, используемые вредоносными программами уязвимости для предотвращения атак.

Outbreak Prevention Services — сразу после обнаружения новой угрозы Trend Micro выпускает некие превентивные политики через Trend Micro Outbreak Prevention Services, тем самым, закрывая возможности проникновения для новой инфекции. Далее эти политики автоматически или вручную распространяются через систему управления продуктами Trend Micro по всей корпоративной сети. Далее в период до выхода обновления клиенты Trend Micro могут только предотвратить дальнейшее распространение инфекции, блокировать ее, но не ликвидировать ее полностью.

Virus Response Services — собственно выпуск обновлений для антивирусных средств.

Assessment and Restoration (Damage Cleanup Services) — это сервис, помогающий устранить в системе следы пребывания вредоносных программ и spyware, в том числе в памяти, которые обычно не обнаруживают антивирусные сканеры. Кроме этого, сервис способен восстанавливать/удалять записи в системном реестре и деактивировать оставшиеся вредоносные процессы в памяти, тем самым уменьшая время и затраты на устранение последствий эпидемии

В целом данная стратегия выглядит довольно привлекательно, особенно для тех корпоративных клиентов, которые могут понести большие финансовые потери вследствие вирусной эпидемии, но есть и недостатки. В первую очередь это касается критического этапа Outbreak Prevention, на котором новая угроза уже идентифицирована, но еще не добавлена соответствующая сигнатура в обновление антивируса.

Другой тенденцией последних нескольких лет стало появление комплексных средств защиты от нескольких ИТ-угроз.

Не только защита

Еще несколько лет назад на компьютерах пользователей или на серверах были установлены несколько программ для защиты от разных угроз, таких как вредоносные программы, потенциально опасные программы, сетевые атаки, утечки личных данных и другие. Довольно часто эти программы конфликтовали друг с другом и доставляли массу неудобств. Разумеется, что пользоваться одной программой, которая бы предоставляла защиту ото всех угроз, было бы удобнее. Ответом на это послужило появление программ типа Internet Security, которые предоставляют защиту от всех или почти всех ИТ-угроз (вредоносные и потенциально опасные программы, спам, сетевые атаки). Сейчас мы наблюдаем дельнейшее развитие этой тенденции. В самом ближайшем будущем мы увидим системы класса Total Care, которые будут не только защищать от угроз, но и предоставлять некоторые дополнительные функции, такие как резервное копирование (в том числе и на удаленное хранилище данных), оптимизация диска, проверка системы на наличие ошибочных настроек и т.д. Т.е. принцип «больше защиты за те же деньги» продолжает работать.

Разумеется, эта тенденция прослеживается не только в сегменте продуктов для домашних пользователей, но и в бизнес-сегменте. Например, сегодня во многих антивирусных продуктов для защиты почтовых серверов включена также защита и от спама.

С точки зрения пользователя, эта тенденция, в купе с упрощением настроек продуктов, не может не радовать, так как в выигрыше оказывается клиент, который приобретает больше защиты и меньше проблем с настройками и управлением продуктами за меньшие деньги.

Программы как сервис

Идея использования неких сервисов (услуг) вместо программного обеспечения, установленного на компьютере пользователя не нова и несет в себе много позитивных моментов. Для примера достаточно вспомнить Microsoft .Net My Services. Идея отличная, но 5 лет назад инфраструктура была просто не готова к таким инновациям. Не было ни высокоскоростных каналов, ни беспроводных сетей, что бы всегда оставаться подключенным к Сети.

Сегодня все это уже есть, и идея Software as a Service снова набирает популярность по всем направлениям. Примером Security сервисов для домашних пользователей является Microsoft Live OneCare, McAfee Falcon или Norton 360. Эти три сервиса предоставляют пользователю полный спектр инструментов для защиты от всех современных угроз и являются пионерами как сервисов, так и систем класса Total Care. Следующие версии этих продуктов (да и продуктов других вендоров) наверняка будут предоставлять еще больше Total Care и еще больше сервиса. В итоге, один продукт будет предоставлять все возможные функции так или иначе связанные с безопасностью и производительностью компьютера, и все это будет Web-based и подгружаться на компьютер пользователя по необходимости. Причем вне зависимости от того, какой это компьютер — домашний ноутбук, смартфон или компьютер в интернет-кафе (разумеется, что от того, где и на каком количестве компьютеров будет работать сервис, будет зависеть и стоимость услуг). Достаточно будет купить сервис и при подключении к серверу вся необходимая работа будет произведена автоматически. Скажем, в интернет-кафе антивирус мог бы предупреждать пользователя о том, что работать за этим компьютером не безопасно т.к. не установлены некоторые критически важные заплатки или не установлен сетевой экран. При возможности будут устанавливаться дополнительные модули безопасности, обеспечивающие желаемый пользователей уровень безопасности. Если же установка модулей не возможна, то уже предупреждения будет достаточно — «предупрежден — значит вооружен». Есть все основания полагать, что в дальнейшем сервисы будут доминировать над «классическими» продуктами.

Идея сервисов для защиты бизнес-пользователей нашла своих поклонников еще несколько лет назад. Первой услугой была услуга проверки почтового трафика (по сути — аутсорсинг системы защиты почтового трафика) и пионером этого направления стала британская компания MessageLabs. При этом клиент получал несколько очень важных преимуществ:  во-первых, не было необходимости приобретать программное и аппаратное обеспечение для установки антивирусного ПО внутри компании. Во-вторых, клиент перекладывал ответственность за проверку почтового трафика на третью сторону и мог заключить соглашение об уровне обслуживания, в котором бы гарантировалось качество обслуживания. Это особенно важно при нехватке собственных ресурсов. В-третьих, клиент сокращал свои расходы на ИТ-безопасность и ИТ-персонал мог использоваться с большей эффективностью. Проверкой почтового трафика всё не ограничилось и сегодня провайдеры проверяют и Web трафик и трафик от систем мгновенного обмена сообщениями (ICQ, AIM MSM Messenger).

Для защиты рабочих станций также возможно пользоваться аутсорсингом. Пример такого решения — McAfee Managed VirusScan. Продукт состоит из двух частей: серверной (центральное администрирование) и клиентской (агент). Клиентская часть это сканер и монитор. Агент автоматически устанавливается на компьютеры пользователей, автоматически обновляется без участия пользователя. Пользователь может запустить проверку различных объектов, кроме того, проверка может быть инициирована (в том числе и по расписанию) администратором с сервера.

Отчеты о состоянии системы защиты и обнаруженных на компьютерах пользователя угрозах также поступают на сервер Network Operations Center, доступ к которому осуществляется с использованием web-консоли. Пользуясь консолью, администратор может осуществлять установку агентов, создавать группы компьютеров с различной политикой безопасности (настройками защиты), запуск проверки на клиентских компьютерах, просмотр отчетов и т.д.

К сожалению, Россия была несколько в стороне от тенденции использования сервисных решений и лишь в этом году сервисы безопасности стали активно продвигаться в нашей стране.

Новые технологии

Сегодня появляются не менее 100 вредоносных программ ежедневно, несколько сотен различных спам-сообщений. Бороться старыми методами (т.е. выпуском обновлений) становится все сложнее и нужна катая-то технология, которая бы помогала обнаруживать угрозы, но при этом не требовала бы частых обновлений.

Последние пару лет активно обсуждается вопрос об эффективности различных проактивных технологий для защиты от ИТ-угроз. Не вдаваясь в подробности, все же стоит остановится на вопросе применимости проактивных технологий и их недостатках в целом.

Панацеи, которая бы защитила от всех угроз раз и навсегда, нет и быть не может. Проактивные технологии не могут гарантировать 100% защиту без побочных эффектов и любую их них можно обмануть. В некоторых случаях сделать это легко, в других — сложнее, но все же — обмануть можно любую программу. Причина тому проста — вредоносные программы пишут люди, и пишут они не искусства ради, а выгоды для. Поэтому они прикладывают определенные усилия для того, что бы обходить защиту. В ответ разработчики систем защиты усложняют свои методы проактивного детектирования и «гонка вооружений» делает очередной виток.

Несмотря на это, проактивные технологии обязаны использоваться в современном антивирусе именно для того, что бы ослабить нагрузку на антивирусных экспертов, у которых будет больше времени на анализ наиболее сложных вредоносных программ и выпуск обновлений. Все идет к тому, что в ближайшем будущем основной упор будет делаться именно на проактивные методы обнаружения угроз. Причем для рабочих станций акцент будет сделан на системых анализа поведения во время исполнения (т.н. поведенческие блокираторы), а для шлюзов - на IDS и эвристических анализаторах. Вполне вероятно, что в ближайшие несколько лет мы увидим эвристики третьего поколения, использующие виртуальные среды, основанные на аппаратной виртуализации современных и будущих процессоров (имеются ввиду технологии Intel VT и AMD Pacifica).

Антивирус 2010

Все указывает на то, что лет через пять антивирус будет представлять собой Web-based услугу, доступную в любой месте и на любом компьютере. Это будет монолитный продукт, который будет не только защищать от угроз, но и помогать настроить операционную систему и другое программное обеспечение (а значит повысить производительность), создать резервную копию, защитить электронные транзакции, обеспечить конфиденциальность при общении в Сети и повысить уровень защищенности в целом. С технологической точки зрения антивирус 2010 будет широко использовать комплексную защиту, основанную на проактивных методах обнаружения угроз, в первую очередь, на системах анализа поведения.

В то же время, серверные продукты вряд ли претерпят такие же колоссальные изменения. Это связано в первую очередь с тем, что круг задач, выполняемых сервером, и круг угроз в целом останутся прежними. Исключение будет только в более широком использовании аутсорсинга. Однако это будет связано не с угрозами или новыми возможностями интернета, а с изменениями, происходящими с ИТ–подразделениями, которые, в первую очередь, коснутся фокуса «айтишников». Если сейчас основная задача — это обслуживание и поддержание работоспособности техники, то уже в ближайшем будущем ИТ-подразделения сфокусируются на бизнес-информации, бизнес-процессах и бизнес-отношениях. Т.е. из вспомогательного подразделения ИТ-департамент станет драйвером бизнеса, и потребуется выводить в аутсорсинг те процессы, которые не являются основными для компании, в том числе и обслуживание системы информационной безопасности.

Андрей Никишин