А вот другой пример: «Сразу после появления вируса антивирусная компания немедля выпускает вакцину, но вот незадача – червь начинает свою активную мутацию. Дело в том, что червь написан с помощью Visual Basic Script, т.е. распространяется в исходном текстовом варианте. Поэтому изменить такой текст, что-то добавить, а что-то убрать сможет любой новичок, который хоть немножко соображает в этом языке». Можно сделать вывод, что антивирусные программы не способны обнаружить абсолютно все появляющиеся вирусы и их модификации, несмотря на победы антивирусных компаний в различных конкурсах в номинациях типа «100% выявление неизвестных вирусов».

Собственно, производители антивирусных программ этого и не отрицают. Подтверждает это и тот факт, что на многих антивирусных серверах, а также вирусных описаниях – присутствует фраза: «В базу данных уже добавлена защита от этого вредоносного объекта». Следовательно, сигнатура добавляется только после выявления угрозы, а не до этого. Согласно математически доказанному факту, на сегодняшний день существует вероятность создания такого червя, который в течение пятнадцати минут, заразит все узлы во всемирной паутине (а это сотни миллионов). Пока разработчики будут ломать голову над изобретением противоядия, этот вирус успеет многократно обогнуть всю сеть.

Неоспоримым доказательством является и то, что если бы производитель предложил Вам антивирус со стопроцентной гарантией выявления всех неизвестных вирусов, то антивирусный рынок просто потерял бы свою актуальность и исчез за ненадобностью. Так что не стоит сильно доверять громким обещаниям компаний, рекламные материалы которых заверяют Вас в стопроцентной эффективности обнаружения неизвестных вирусов.

В книге суперэксперта в области антивирусных исследований Евгения Касперского, которая размещена на сайте http://www.viruslist.com, написано, что в сканерах используются алгоритмы «эвристического анализа». Другими словами – это проведение анализа последовательности команд в исследуемом объекте, а также набор статистики и принятия решений для проверяемых объектов («не заражён» или «возможно заражён»). Эвристическое сканирование относится к вероятному способу поиска вредоносных объектов поэтому, на его действия влияют законы теории вероятности. Соответственно, чем выше будет процент выявления вирусов, тем больше будет и ложных срабатываний. Из этого следует, что такие методы не могут обеспечить стопроцентное обнаружение вредоносных объектов.

Мнение о том, что антивирусные разработчики знают о всех существующих вирусах ошибочно. На самом деле, они знают лишь о тех вирусах, с которыми им приходилось работать т.е. которые попадались им в руки непосредственно - от заказчиков или с помощью анализа трафика, благодаря расставленным по интернету ловушкам. Также разработчики антивирусов получают информацию при обмене опытом с коллегами либо при изучении файлов, вызывающих подозрение, присланных заказчиками. Это всё хорошо, но что делать, если вирус ещё не появился в сети, а только создан и размещён на диске злобного создателя? Ясно, что разработчики антивирусов ничего об этом новеньком вредоносном объекте не знают и не ведают. В каком-то фантастическом бестселлере была описана удивительная система искусственного интеллекта в информационной безопасности. Принцип её действия заключался в одновременном нападении и защите т.е. система сама создаёт разнообразные вирусы, а затем самостоятельно ищет способы защиты от них, таким образом накапливая огромную базу эффективных решений. Но, к сожалению, на сегодняшний день ничего подобного ещё не придумали. Если бы антивирусная компания имела такую фантастическую систему, сразу решилась бы масса проблем. Но пока – это лишь мечты.

В основном наибольшее количество вредоносных программ стандартные антивирусы ловят при помощи уже известных сигнатур. Очень удобно конечно, но есть одно но! Выявить можно тот вирус, для которого существует написанная сигнатура, а пишется сигнатура лишь после тщательного изучения кода вируса. Получается, что антивирус начинает справляться с задачей, только после досконального изучения кем-то этого вредоносного объекта. Значит, пока вирус не исследован, антивирус остаётся абсолютно бессилен перед неизвестной угрозой. Все антивирусные разработчики обновляют свои продукты через несколько часов после начала эпидемии. Компания Cisco утверждает, что интервал времени между запуском вируса и написанием сигнатуры для него, в среднем, составляет, около шести часов. Один производитель может выпускать сигнатуру раньше, а другой немного позже. Выходит, что в течение этих шести часов пользователь Интернета остаётся абсолютно беззащитным перед новым видом вируса.

Если бы антивирусные компании не расставляли бы свои ловушки по всей сети, дела обстояли бы несколько хуже. К примеру, новый вирус начал своё путешествие где-то в Малайзии, а ближайшая антивирусная лаборатория находится в США. Вы только представьте себе, вирус может заразить Африку, Европу и Азию, пока антивирусные специалисты займутся своими прямыми обязанностями в Северной Америке. Поэтому, каждая серъёзная антивирусная компания типа Symantec, McAfee, Trend Micro расставляют свои ловушки, в которые и попадаются вирусы, по всем часовым поясам. Делается это для того, чтобы как можно больше уменьшить интервал времени между выходом вируса и написанием необходимой сигнатуры для него. Быстрая реакция при появлении новых вирусов и есть одна из основных задач современных антивирусных лабораторий.

Кроме разработки вакцины нужно организовать ещё и доставку каждому пользователю антивируса, всем антивирусным агентам. Для этой цели разработаны специальные программы, к примеру, Incident Control System компании Cisco, которая отвечает за автономную доставку сигнатур к каждому средству защиты, тем самым, снимая эту заботу с пользователей. Чёткая работа такой инфраструктуры позволяет оперативно обновить все средства защиты, примерно через 10-15 минут после старта вредоносной программы.

Существует ли замена эвристике?

По данным отчёта исследовательского центра IBM им. Томаса Ватсона, становится ясно, что алгоритма способного обнаружить абсолютно все компьютерные вирусы не существует, а это значит, что альтернатива эвристике всё таки есть. Только скомбинировав различные методы можно достичь более эффективного отражения и обнаружения вредоносных программ. Сигнатурные и эвристические являются именно такими комбинациями. Достаточно эффективный метод своевременного обнаружения вирусов, который к тому же не зависит от сигнатур и их обновлений, заключается в применении механизмов контролирующих поведение и обнаружение аномалий.

Во время обучения, которое проводится в тестовой лаборатории разработчика, обучают исследовать стандартное поведение известных программ, а также разрабатываются шаблоны. Именно на соответствие этим шаблонам и проверяются действия программ на защищённом компьютере. При использовании поведенческих методов, к сожалению, обнаруживаются далеко не все вирусы. На сегодняшний день, производителями всё также активно применяются сигнатурные методы.

Примерно через пол года или год, на рынке появятся программы, позволяющие проводить анализ приходящего на защищаемый узел трафика, отмечать подозрительную активность, а также создавать для него сигнатуры в автоматическом режиме. Таким образом, появится возможность не зависеть от антивирусного разработчика.

А достаточно ли ежедневного обновления антивируса?

Как известно, большинство пользователей привыкли обновлять свою антивирусную базу, один раз в день и, как правило, утром при включении компьютера. А достаточно ли этого для надёжной защиты вашего ПК? Можно однозначно сказать – «Нет»! Каждый день во всемирной паутине появляется от тридцати до пятидесяти новых вирусов, которые с молниеносной скоростью начинают находить и заражать ни в чём не повинные жертвы. Суточный промежуток между обновлениями вашего антивируса значительно увеличивают шанс инфицирования компьютера. Ведь вредоносная программа распространяется по интернету очень и очень быстро. Особенно велика вероятность схватить вирус во время эпидемии, так как существует возможность заражения всего интернета за каких-то пятнадцать минут. И прежде, чем его поймают «антивирусные сторожа», он сможет четыре раза облететь всю сеть, несмотря на ежечасное обновление.

Обновлять антивирус один раз в день, было актуально, когда интернет был в диковинку, а автономные компьютеры никак не связаны между собой, считались основной базой вычислительной техники. Вредоносные объекты распространялись в основном на дисках и дискетах. Эпидемией считалось обычное размножение вируса по автономным компьютерам. Естественно, что в такой ситуации ежедневное обновление антивируса должно было свести возможность заражения к нулю.

Много времени прошло с тех пор, компьютеры стали объединять не только в локальные сети, но и в глобальную. Значительно выросла скорость обмена информацией. А вот привычка пользователя обновлять антивирус один раз в день существует до сих пор. К примеру, человеку во время болезни или для профилактики во время эпидемии необходимо принимать лекарства по два три раза в день, а то и больше. Для компьютерного «организма», нужно проводить абсолютно аналогичные действия. Старайтесь обновлять свою антивирусную базу как можно чаще, тем самым улучшая сопротивляемость вашего компьютера к различным вирусным инфекциям. Правда бывает и такое, что производитель антивируса выпускает обновления для своего продукта всего лишь один раз в день. В таком случае, не стоит трать своё время и ресурсы на попытки бесполезного обновления.

Интеграция в инфраструктуру

Все системы защиты (и антивирусные программы не исключение) не должны работать сами по себе, а должны учитывать особенности и нюансы других средств безопасности, используемых на предприятии. Следовательно, антивирусные системы должны иметь возможность интегрироваться в единое целое инфраструктуры защиты. Но на сегодня, к сожалению, очень много антивирусов, которые не сочетаются с другими средствами защиты, а иногда даже могут с некоторыми из них конфликтовать. К примеру, с системами предотвращения атак, а также с персональными межсетевыми экранами.

Пользуется набольшим спросом вариант интеграции, который объединяет в одном устройстве одновременно несколько защитных средств – антивирус, антиспам, VPN, межсетевой экран, контроль URL, систему предотвращения атак, защиту от шпионского ПО. В результате получается Unified Threat Management - достаточно многофункциональное устройство, которое способно обеспечивать высокий уровень защиты при помощи тесной интеграции разнообразных технологий, а кроме того, позволяющее значительно уменьшить затраты. Необходимо, чтобы антивирус мог нормально взаимодействовать с сетевой инфраструктурой, а также имел возможность поддерживать действующие на предприятии сервисы и протоколы. Таким образом можно будет проводить анализ различных видов трафика, который циркулирует в сети не только корпоративной, но и в сети оператора.

На данный момент антивирусы поддерживают четыре типа протоколов: FTP, HTTP, POP3, SMPT. Но вирусы способны передаваться и в других протоколах и сервисах – ICQ, Instant Messenger, MMS, SMS, WAP и т.п. Кроме того, антивирусные программы не работают с некоторыми базами данных, для которых вполне могут быть написаны вредоносные программы, например, трояны. Сегодня разработчики антивирусов приходят к единому мнению, что эффективнее будет встраивать средства безопасности в общую инфраструктуру, а не устанавливать безопасность поверх какой-либо операционной системы или сегмента сети. Например, приобретённый маршрутизатор или коммутатор сможет сам бороться с наступающими вирусными эпидемиями. Весь трафик в любом случае будет проходить через сетевое оборудование, поэтому не придётся задействовать какие-либо другие антивирусные продукты. Конечно же, «заразу» можно занести и с других носителей - дисков или флэшек. В этом случае как никогда поможет встроенная в операционную систему защита. Она сработает намного эффективнее и быстрее, чем любая внешняя антивирусная защита в виде установленного приложения.

Не так давно на рынке появилась новая технологическая разработка – Network Access Control – контроль сетевого доступа, которая скоро станет достаточно востребованной. У разных производителей эта технология называется по-разному. У одних – это Network Access Control, а у других - Network Access Protection, но несмотря на отличие в названиях, эта система выполняет одну и ту же функцию – недопущение распространения эпидемии по операторской либо корпоративной сети.

Каким образом это происходит? На любой узел, независимо компьютер это, смартфон или КПК инсталлируется небольшая программа-агент, который может быть сразу встроенной в процессор или операционную систему. Это практикуют известнейшие компании разработчики - Cisco, Intel, Microsoft. Эта программа взаимодействует с локальной системой защиты и получает данные о том, насколько хорошо защищён узел («здоров», «заражён», «не соответствует политике безопасности» и т.д.). Каждый раз, когда начинается доступ узла к каким-то ресурсам, программа сразу же передаёт информацию сетевому оборудованию и если статус защищённости не соответствует необходимому, то доступ узла в сеть тотчас же блокируется, а сам узел перенаправляется на карантин для прохождения лечения.

Сегодня ведущие мировые компании активно предлагают использовать эту технологию. Кстати, российские антивирусные разработчики поддерживают новинку. Планируется, что эта технология позволит значительно повысить уровень защиты предприятия, при этом без огромных капиталовложений, потому как ОС и сетевое оборудование уже есть в наличии.

На проводимых мероприятиях по информационной безопасности, достаточно часто выдвигаются версии о том, что антивирусные разработчики не только работают над защитой от вредоносных программ, но и непосредственно изобретают вирусы. Может такое мнение в какой-то степени и логично, если антивирусная компания зарабатывает деньги на разработке антивирусных программ (и особенно если её продукты пользуются повышенным спросом тогда, когда в сети регулярно появляются всё новые и новые вирусы и происходят эпидемии). Если антивирусная компания может побороть возникший вирус, значит она может его и создать – в этом есть свой смысл. Может быть, антивирусный разработчик создаёт новый штамм вируса и выпускает его в сеть, тем самым, привлекая клиентов к своим продуктам?

Такое допустить вполне возможно, если не учитывать такой важный аспект, как бизнес.
Давайте разберёмся по порядку. Естественно клиенты нужны антивирусной компании как воздух. Но представьте себе хоть на минуту, что будет, если общественность узнает тот факт, что разработчик антивируса собственноручно выпускает вирус и отправляет его путешествовать по сети. Эта компания прекратит своё существование в течение нескольких дней – 100%. К провинившейся компании тут же возникнет огромное количество финансовых претензий и множество возбуждённых исков, с которыми придётся очень долго и дорого разбираться. Кроме того, продукцию такого антивирусного разработчика просто-напросто перестанут покупать. Репутация на рынке будет утеряна - а это, поверьте, дорогого стоит. В результате, деятельность такой компании будет прекращена.

Поэтому ни одна серьёзная антивирусная компания не станет прибегать к таким грязным методам для привлечения дополнительных клиентов, потому что дорожит своей репутацией и бизнесом в целом. Да и не факт, что клиенты пришли бы именно к этой компании, а не к какой-либо из её конкурентов. Так зачем же помогать конкуренту? Это касается всех антивирусных компаний, работающих на рынке. Уважающая компания не станет заниматься такими видами незаконной деятельности потому, что это может здорово навредить уже сформированному и хорошо функционирующему бизнесу.

Эпилог

Отказываться от антивируса, конечно же, не стоит. Стоит обратить пристальное внимание на его возможности. Понять, что он умеет делать, а что нет; что является обязательными требованиями, а что просто служит в качестве дополнительных опций. Антивирусная программ, в любом случае, должна быть продуктом, который относится к корпоративному классу.

Что же должен уметь хороший антивирус?

Это не весь перечень функций, которые могут потребоваться в недалёком будущем, но это достаточно пользователю на сегодняшний день.

Автор: Алексей Лукацкий