Антивирусные вендоры ищут выход из технологического тупика

Сергей Ильин

  Каждый из нас ежедневно сталкивается в сети с различными вредоносными и нежелательными программами, которых становится все больше и больше. Целью злоумышленников может быть кража ваших финансовых данных, паролей к различным интернет-сервисам и другой персональной информации; вымогательство, или банальное использование вычислительных ресурсов вашего компьютера в криминальных целях.

  Любой антивирусный эксперт скажет вам, что количество регистрируемых в его лаборатории вредоносных программ растет в геометрической прогрессии. Говоря проще, их количество каждый год увеличивается в разы. Уже несколько лет назад многие забили тревогу - настанет время и вирлабы всего мира просто захлебнуться в потоке вредоносного кода. Его невозможно будет полностью выделить и проанализировать.

  Если ничего не менять, то со старыми реактивными (сигнатурными) и старыми проактивными технологиями (расширенные сигнатуры, эвристика, поведенческий анализ и т.п.) антивирусы с каждым годом будут пропускать все больше и больше, и в какой-то момент использовать их станет вовсе бессмысленно. Вам нужна будет защита, пропускающая на компьютер каждую вторую вредоносную программу (50%) или того меньше?

  Отмечу, что такие "эффективные антивирусы" есть уже сейчас. Достаточно посмотреть любой мало-мальски значимый антивирусный тест, чтобы их увидеть, например, здесь. Это не лжеантивирусы, под видом которых злоумышленники установят вам все те же вредоносные программы, это нормальные легальные антивирусы, но их эффективность в силу ряда причин очень низкая.

  Давайте разбемся почему. Там сидят плохие и неумные эксперты? Ушлые бизнесмены гонят на рынок низкокачественные антивирусные поделки, режа косты и не заботясь об эффективности продукта? В ряде случаев оно может быть так, но есть одна большая причина - масштаб угроз и весь ИТ-рынок менются. А меняться вместе с ним, видеть большие движения рынка могут не все. Итак пойдем по порядку.

Быстрый рост количества вредоносных программ

  Обратимся к числам и статистике, а именно к количеству регистрируемых вредоносных программ в год. Далеко не все вендоры включают такие данные в свои регулярные отчеты по угрозам. Публикуемые же данные часто сильно разнятся (иногда в разы), но методологии подсчета нас в данном случае не интересует, важен тренд. Ниже представлены данные вирусных лабораторий Symantec и McAfee.

  Графики выше наглядно демонстрируют экспоненциальный рост количества вредоносных программ, даже абсолютные цифры очень близки (~1.5 млн. новых образцов в 2008 году), даже удивительно. Если представить статистику немного по-другому, то в течение 2008 года ведущие вирусные лаборатории в среднем регистрировали около 4 тысяч новых образцов вредоносных программ в сутки.

  Если обратиться к данным "Лаборатории Касперского", то цифры будут еще выше - уже в 2007 году в глобальной сети было зарегистрировано 2 227 415 новых вредоносных программ.

  В итоге для обеспечения своих пользователей эффективной защитой антивирусным вендорам приходится находить, анализировать и обеспечивать детект порядка 10 тысяч новых вредоносных программ в сутки!

  Любому дилетанту понятно, что обрабатывать такое количество образцов руками просто невозможно даже с очень большим штатом аналитиков. Романтика начала 90х антивирусной индустрии далеко позади, когда самплы с интересом искали и изучали поштучно. Теперь это рутина все больше с применением "оружия массового поражения" ("автодятлы", боты и другая автоматизация).

Что нас ждет дальше?

  Отталкиваясь от данных статистики, приведенной выше, я построил экспоненциальную функцию тренда и вычислил ее значения на ближайшие 5 лет, см. рисунок ниже.

  Как вы видим, если никаких глобальных изменений не произойдет, а к этому никаких предпосылок нет (киберпреступность никуда не денется, очень уж это прибыльно), то в 2013 году будет выпущено порядка 50 млн. новых вредоносных программ, т.е. 136 тыс. ежедневно. Если посмотреть еще дальше, то в 2015 году количество новых вредоносных программ может стать и вовсе заоблачным и превысить 200 млн.

  Может показаться, что за этими цифрами не видно реальной угрозы, попробую ее показать. Как известно ни один антивирус не дает 100% защиты. Предположим, эффективность луших антивирусов составляет 99% (очень высокий показатель, почти нереальный). Тогда в 2008 году такой антивирус может не знать 1% от 1.6 млн. = 16 тыс. вредоносных программ. Уже много, правда?

  В 2013 году незнание 1% будет означать недетектирование 500 тыс. вредоносных программ! Можно ли назвать такую защиту эффективной? Думаю, что нет. Мы уже даже не говорим про общее снижение общего уровня детектирования по индустрии в силу все тех же причин.

Что делать и где выход?

  Из всего выше сказанного понятно одно - с технологиями и подходами 90х годов антивирус уже сейчас нельзя считать эффективным, а через несколько лет время окончательно все расставит на свои места.

  Возникает извечный вопрос: "Что делать?". Для некоторых антивирусных вендоров проблема была очевидна уже пару лет назад, что подвигло их к разработке принципиально новых технологий защиты. Это дальнейшее развитие проактивных технологий (в первую очередь поведенческого анализа) с одной стороны, и репутационные "облачные" технологии (In-The-Cloud) с другой стороны.

  Если говорить понятным языком, то при таком подходе любой файл проверяется сначала по белым спискам доверенных приложений (Whitelisting) и черным спискам вредоносных программ (Blacklisting), которые находятся на серверах вендора и обновляются в режиме реального времени.

  Соответственно если файл доверенный, то ему дается зеленый свет, если вредоносный - блокируется. Если же файла нет ни в черном, ни в белом списке, то он проверяется при помощи поведенческого анализа и определяется его рейтинг опасности (репутация). При запуске такой программы, ее действия в системе могут быть ограничены до выяснения точного вердикта (безопасная изоляция или Sendbox).

  При таком подходе выпуск классических сигнатур и разбор каждого сампла в большинстве случае уже не имеет смысла, ведь вредоносная программа блокируется до попадания на компьютер или установки в системе. Разбирать инцидент подробно в большинстве случаев не нужно, так как пользователю нет разницы, что именно там было заблокировано.

  Конечно, все это не отменяет разбор и анализ новых вредоносных программ для пополнения черного списка файлов, создания процедур лечения или исследовательских целей. Но эффективность защиты антивируса напрямую от этого зависеть уже не будет.

  Точно такой же репутационный подход реализуем для веб-адресов или сообщений электронной почты. Между базами репутации почтовых сообщений, веб-адресов и файлов могут автоматически выстраиваться коррелияции, что еще больше может способствовать увеличению скорости реакции на новые угрозы.

Примеры реализации нового подхода

Что ждет отстающих?

  Не хочется излишне сгущать краски и нагнетать напряжение, но сейчас уже совершенно очевидно, что те компании, которые в самое ближайшее время не обратят внимания на перспективные технологии и не станут активно перевооружаться, рискуют просто уйти с рынка.

  Первые сигналы уже есть. Наш недавний тест антивирусов на эффективность защиты от новейших вредоносных программ наглядно показал возникший значительный технологический разрыв между лидерами индустрии и отстающими игроками.

  В самое сложное положение попадают мелкие антивирусные вендоры. Даже если им удастся найти инвестиции на разработку новых технологий и соответствующую инфраструктуру (а она стоит очень недешево), то небольшая инсталляционная база при всех желании просто не позволит им стоить вести качественную статистику. Следовательно будет хромать эффективность и точность технологий.

  Из всего этого следует простой вывод: рост количества вредоносных программ и других видов угроз будет напрямую подталкивать процесс консолидации рынка. Крупные игроки уже делают все правильно и будут богатеть дальше, а мелкие просто не потянут масштабные войны и будут вынуждены продать бизнес или закрыться. Да, мир жесток, таковы законы рынка ...