Антивіруси: життя після життя

На думку аналітиків, антивірусні системи та засоби боротьби з шпигунськими програмами поступово зникнуть як окремі продукти – вони набудуть більш широкі функції або увійдуть до складу комплексних систем безпеки.

"Віруси, віруси … Прибиральниця –
ось сила! Один удар шваброю
по серверу – і полконтори на годину
без роботи ".

Народний фольклор


За даними IDC, світовий ринок антивірусного ПЗ розвивається стійкими темпами. 80% продажів доводиться на трьох найбільших виробників – Symantec, McAfee і Trend Micro (див. Малюнок 1). Оборот антивірусного ПЗ для приватного застосування оцінюється в 2,1 млрд доларів, а корпоративних антивірусних продуктів – в 3,1 млрд доларів. Очікується, що до 2010 р. ці сегменти зростуть, відповідно, до 3 і 4500 млн доларів. За даними звіту CSI / FBI "Computer Crime and Security Survey" за 2006 р. протягом чотирьох років збитки від вірусних атак знизилися майже вдвічі. Тим не менш, саме вони стають причиною більшої частини збитку.


IDC констатує, що фінансові втрати від вірусних атак з 2004 р. знижуються: атаки здійснюються в основному з метою отримання грошової вигоди і зачіпають лише ті організації, проти яких спрямовані. Однак цей висновок не скасовує необхідність антивірусного захисту. Навпаки, за словами Маркуса Ренума, провідного світового експерта з ІБ і винахідника комерційного міжмережевого екрану, атаки стають все витонченішими, зростає небезпека їх швидкого розповсюдження, ймовірність використання методів тунелювання і багатомодових атак, застосування комбінації методів (наприклад, вірусів або "черв'яків" у поєднанні з соціальною інженерією), а усувати наслідки таких атак стає все дорожче.


За даними Yankee Group, кількість комбінованих загроз за останні п'ять років виросло на порядок. Антивірусні компанії вже не справляються з напливом нових варіантів вірусів – бази сигнатур доводиться оновлювати занадто часто. З цієї причини, а також через появу нових вірусів і варіантів шпигунських програм традиційні сигнатурні методи виявлення виявляються нездатні забезпечити адекватний захист. Однак провідні світові виробники антивірусних рішень не мають наміру відмовлятися від сигнатурного аналізу, оскільки він має найвищу точність виявлення вірусів. Аналітики Yankee Group вважають, що на зміну антивірусам прийдуть продукти, в яких для захисту системи від шкідливих програм застосовуються комбіновані методи. Хоча сигнатурні антивіруси не ефективні як єдине рішення, вони будуть продовжувати використовуватися в складі інших засобів захисту.


Експерти IDC очікують, що антивірусні системи та засоби боротьби з шпигунськими програмами поступово зникнуть як окремі продукти. Вони набудуть більш широкі функції або стануть інтегрованими компонентами комплексних систем безпеки, хоча і збережуться як бренди. Та й саме поділ коштів ІБ по продуктах стає умовним: зараз воно виробляється швидше за точками входу в корпоративну мережу. За думку Михайла Кондрашина, керівника центру компетенції Trend Micro в Росії і СНД, захист мережі від шкідливого коду –
комплексне завдання, не обмежуючись установкою антивіруса. Вона передбачає заходи боротьби з потенційними загрозами, примусове впровадження політики безпеки, використання засобів протидії загрозам і автоматичного очищення від вірусів, організацію єдиної точки контролю та застосування спеціальних інструментів для захисту від невідомих загроз.


АНТИВІРУСИ знаходить нові ЯКОСТІ


Ряд галузевих аналітиків вважає, що традиційні сигнатурні методи виявлення та вилучення з системи вірусів, троянів, іншого шкідливого ПЗ і шпигунських програм підуть у минуле, а для захисту серверів і робочих станцій більше ефективні такі методи, як аналіз поведінки або дозвіл на виконання тільки зареєстрованих додатків ("білий список"). Відповідні продукти вже випустили SecureWave (ПО Sanctuary), Bit9, Savant, AppSense і CA. Антивірус Trend Micro відстежує потенційно небезпечні зміни в системі і попереджає про них користувачів. Тим самим галузь намагається перейти від "реактивного" до "проактивного" підходу. Приблизно ті ж принципи реалізовані в Windows Vista для контролю виконання додатків і компонентів ОС.


Засоби аналізу поведінки стежать за діями виконуваних додатків і блокують підозрілі програми, орієнтуючись на кілька сотень характеристик. Однак помилкові спрацьовування все-таки можливі, тому оптимальним варіантом вважається додаткове антивірусне сканування. Аналітики Gartner вважають, що для настільних комп'ютерів антивіруси будуть як і раніше необхідні, але рекомендують доповнювати їх системами запобігання вторгнень (Intrusion Prevention System, IPS). Більшість постачальників антивірусних продуктів поряд з сигнатурними використовують евристичні та поведінкові методи. Наприклад, McAfee і Symantec планують доповнити сигнатурний аналіз поведінковим. У більшості сучасних антивірусів використовується комбінація сигнатурних і евристичних методів, причому сигнатурний підхід застосовується для видалення конкретного варіанту шкідливої програми.


В даний час Symantec вбудовує у свої продукти нові технології, зокрема, IPS. На думку експертів компанії, антивірусні продукти нового покоління будуть застосовувати більш розвинені методи захисту від складних загроз. Symantec щомісячно отримує зразки 200 тис. шкідливих програм. Як наголошується, число їх варіантів зростає, тому сигнатурний аналіз повинен доповнюватися новими методами виявлення загроз. Розробник планує представити нову версію антивірусного продукту корпоративного класу з технологією "білих списків" (whitelisting), що передбачає контроль додатків (аж до рівня компонентного ПЗ) на основі правил. Рішення повинне допомогти блокувати виконання шкідливого коду, виходячи з його поведінки.


У червні Symantec анонсувала нову версію корпоративного антивірусного продукту Symantec Endpoint Protection 11.0, де інтегровані міжмережевий екран (продукт Sygate Enterprise Protection), антивірус, засоби захисту від невідомих атак, а також засоби для контролю доступу до мережі Symantec Network Access Control 11.0. У ньому використовується технологія Symantec Online Network for Advanced Response (SONAR). Комерційна версія антивіруса повинна з'явитися в другій половині цього року. Symantec Endpoint Protection в компанії вважають найбільш значущим оновленням корпоративних антивірусів за останні роки.


Комплекс Kaspersky Open Space Security – ще один приклад еволюції антивірусних продуктів. Розробники позиціонують його як рішення для захисту будь-яких типів мережевих вузлів – від мобільних пристроїв до серверів. При цьому контролюються всі потоки даних на комп'ютері – електронна пошта, трафік Internet і мережеві взаємодії, для чого передбачаються потужні інструменти управління. Безпечне робоче середовище не обмежується стінами офісу, а охоплює і віддалених користувачів, включаючи співробітників, що перебувають у поїздках, – захисту підлягає не тільки периметр мережі, але і кожен вузол. Комплекс підтримує технологію Cisco Network Admission Control (NAC), що забезпечує додатковий захист внутрішньої корпоративної мережі за рахунок оцінки стану антивірусного захисту знову підключився комп'ютера, і передбачає спеціальну політику для мобільних ПК з правилами роботи за межами офісу (джерела оновлень, розклад перевірок, режим роботи персонального міжмережевого екрану та ін.)


У "Лабораторії Касперського" відзначають, що проактивний захист відрізняється від сигнатурного (реактивного) виявлення шкідливого ПЗ тим, що користувачеві не треба чекати, поки антивірусні аналітики додадуть запис про нову загрозу в антивірусні бази. Модуль проактивного захисту, робота якого заснована на постійному моніторингу дій всіх процесів в системі користувача, охороняє останнього від нових типів загроз і нових модифікацій існуючих шкідливих програм без оновлення баз. У результаті забезпечується захист від різних типів шкідливих програм, включаючи реєстратори введення з клавіатури і руткіти.


У не менш потужне рішення перетворився комплекс антивірусних продуктів від Panda Software. Його корпоративна версія включає в себе дюжину різних модулів з централізованим управлінням захистом за допомогою правил безпеки, що застосовуються всередині мережі. Передбачається захист поштових серверів Exchange і Notes / Domino, поширених поштових шлюзів SMTP, а також захист від смітної пошти для серверів Exchange. Комплексну систему ІБ, включаючи антивірус, антиспам, міжмережевий екран, засоби боротьби з шпигунським ПЗ і ряд інших модулів, пропонує у своїх рішеннях BitDefender. Ця компанія випускає продукти для всіх популярних платформ: для персональних і серверних ОС, а також поштових серверів і шлюзів Internet. BitDefender позиціонує їх як прості і надійні рішення, які дозволяють з мінімальними витратами забезпечити повний захист підприємств будь-якого розміру.


Нещодавно створена компанія Robot Genius планує представити технологію фільтрації Spyberus, що працює на рівні драйверів і використовує журнал аудиту для моніторингу та контролю всіх файлів в системі. Вона виявляє шкідливі програми і при необхідності скасовує результати їх дій. Robot Genius збирається випустити безкоштовного клієнта Spyberus для Windows XP і 32-розрядних версій Vista, а також інтегрований модуль для браузера. Над аналогічними методами працюють McAfee, Symantec і Trend Micro. Robot Genius має намір пропонувати ліцензію на свою технологію виробникам антивірусного ПО і міжмережевих екранів. Розробники сподіваються, що з її допомогою вдасться блокувати шкідливі програми, що проникають в систему через невеликі додатки, поширювані в Web. У Trend Micro розробляють технологію, здатну виявляти шкідливі програми за характером трафіку між клієнтськими системами і серверами. Подібні засоби боротьби з шкідливими програмами здатні істотно змінити ринок антивірусного ПЗ.


Проблеми створення захищеного ПЗ та безпека технологій Web 2.0 викликають серйозну заклопотаність в галузі. За словами Маркуса Ренума, сучасні технології дозволяють навіть некваліфікованої користувачеві створювати власне програмне забезпечення. Ці "розробники" зазвичай не замислюються про безпеку, що в майбутньому може привести до дуже серйозних наслідків.


Як показують недавні дії Cisco і Microsoft (вихід на антивірусний ринок з рішеннями Cisco Anti-X і MS Forefront) тенденція щодо антивірусних рішень характерна для інформаційної безпеки в цілому: відбувається інтеграція засобів ІБ в інфраструктуру ІТ (мережеве обладнання та операційні системи). Спеціальний модуль Anti-X, що встановлюється в слот пристрою Cisco ASA, реалізує функції контролю вмісту – антивірус, антиспам, захист від шпигунського ПЗ та фішингу, а також контроль URL. Він розроблений спільно з Trend Micro.


За словами Володимира Мамикіна, директори з інформаційної безпеки Microsoft в Росії та СНД, компанія йде по шляху створення програмних платформ з вбудованими технологіями безпеки. Налаштування конфігурації системи ІБ на основі "утиліт-майстрів", простих та інтелектуальних сповіщень та звітів, управління безпекою на основі ролей і служб каталогів (Active Directory) допомагає звести до мінімуму складність адміністрування. Новий додаток Forefront Client Security (раніше Microsoft Client Protection) служить головною керуючою консоллю для забезпечення безпеки корпоративної середовища та налаштування її конфігурації, дозволяючи виявляти в мережі персональні комп'ютери, які потребують оновлення ПЗ або неправильно налаштовані.


ІБ перестає бути "післяплатою" на інфраструктуру сервісом, а все глибше інтегрується в інфраструктуру (ОС, мережеве обладнання, шлюзи), яка в результаті наділяється функціями самозахисту. З одного боку, це звільняє від проблем, пов'язаних зі зростаючою складністю управління системою ІБ, з іншого – забезпечує більш ефективний захист різноманітних "точок входу" в корпоративну мережу. На думку ряду експертів, оснащення засобами антивірусного захисту комутаторів або маршрутизаторів дозволяє обійтися без інших антивірусних продуктів, оскільки весь трафік буде піддаватися перевірці на рівні мережного обладнання. До того ж антивірусний захист клієнтських і серверних систем буде здійснюватися набагато оперативніше й ефективніше за допомогою сервісів, вбудованих в ОС, а не за рахунок зовнішніх програм. Однак поки що мало хто з користувачів готовий відмовитися від антивіруса.

Рішення Network Immunity (NI), анонсоване HP ProCurve Networking в квітні 2007 р., здійснює поведінковий аналіз усієї мережі за допомогою протоколу sFlow. У поєднанні з механізмами HP ProCurve Virus Throttling, що функціонують на окремих комутаторах і обмежують розповсюдження вірусів в мережі, і засобами захисту доступу воно націлене на комплексний захист мережі від різних загроз. Додаток управління безпекою ProCurve Network Immunity Manager забезпечує інтелектуальне управління безпекою і допомагає захиститися від вірусних атак провідного та бездротового інфраструктурі.


У Panda Software вважають появу на ринку нових гравців на антивірусному ринку закономірним і потрібним процесом, але вважають, що вони зуміють охопити лише невелику частину цього сегмента. Компанія розраховує, що наявність інтегрованих рішень для забезпечення "глобальної безпеки" і багаторічного досвіду захистить бізнес визнаних вендорів. В даний час вона пропонує спеціальні рішення для захисту різних елементів корпоративної мережі – від точки підключення до Internet до робочих станцій.


АНТИВІРУС на шлюзі: заміна або доповнення?


За даними Point Topic, найбільшу стурбованість користувачів викликають комп'ютерні віруси (64%), можливість крадіжки персональних даних (61%) і шахрайство (53%). Аналітики Nucleus Research підрахували, що спам обходиться американським компаніям в 712 доларів щорічних збитків – на кожного співробітника. Як випливає зі згадуваного звіту CSI / FBI "Computer Crime and Security Survey 2006", міжмережеві екрани (98%), антивіруси (97%) і засоби боротьби з шпигунськими програмами (79%) залишаються найпопулярнішими засобами захисту. Ідея реалізувати їх на одній платформі видається очевидною, тим більше що рішення комплексного аналізу трафіку в одному місці володіють певними перевагами. Такі інтегровані системи, що поєднують кілька продуктів або функцій, отримали назву систем з уніфікованим управлінням захистом від загроз (Unified Threat Management, UTM). Спочатку вони включали міжмережевий екран (FW), систему запобігання вторгнень (IPS) і антивірус.


Сучасний пристрій UTM має виконувати функції відразу двох рішень: антивірусного фільтра (AV) та системи запобігання вторгнень і захисту від шпигунського ПЗ на рівні мережного шлюзу, а крім того, передбачати захист від спаму і небезпечних сайтів Web. На думку Володимира Мамикіна, настає епоха стандартизованої інтегрованої програмно-апаратного захисту інформації. Об'єднання в одному пристрої відразу декількох засобів ІБ стає поширеним варіантом такої інтеграції.


Серед вимог до UTM виділяють високу продуктивність (зокрема, за рахунок тісної інтеграції апаратного та програмного забезпечення, а також апаратного прискорення операцій), мінімальний вплив на пропускну здатність мережі, просту установку і настройку, централізоване управління захистом в одній консолі. Екран блокує несанкціоновані або невідомі з'єднання, задає правила для дозволеного вхідного і вихідного трафіку. Система VPN дозволяє отримати безпечний доступ до корпоративної мережі для тих, хто знаходиться вдома, в іншому офісі або в діловій поїздці. IPS контролює весь вхідний трафік для запобігання вторгнень. Антивірусний захист ліквідує відомі тематичні загрози, комбінуючи сигнатурні методи, евристичний і поведінковий аналіз для захисту від невідомих атак. Завдяки фільтрації вмісту можна задавати правила для блокування небезпечного контенту. Антиспам забезпечує високу продуктивність роботи, а фільтрація Web закриває доступ до потенційно небезпечного контенту.


Пристрої UTM відрізняє безпечне і просте адміністрування через інтуїтивно зрозумілий інтерфейс управління з можливістю виведення звітів і оповіщень, автоматичне оновлення сигнатур вторгнень і шкідливого коду, списків URL і правил фільтрації спаму. На думку Антона Разумова, консультанта Check Point в Росії і країнах СНД, мінімальний набір функцій UTM повинен включати в себе FW, AV і IDS / IPS. Крім того, в даний час затребувана підтримка SSL VPN, особливо в поєднанні з безпечним доступом (перевіркою клієнтських пристроїв): у невеликій компанії використовувати для неї окремий пристрій занадто дорого і неефективно. Безпека роботи з Web зазвичай відносять до додаткової функції, хоча можливість активувати її відповідно до вимог бізнесу – суттєвий плюс. У Panda Software вважають, що в UTM має сенс інтегрувати лише ті функції, які реально забезпечують безпеку. Додаткові кошти, не орієнтовані на захист комп'ютерів або мережі, виявляться марними і можуть представляти інтерес лише в цілях маркетингу.


Антивірусний захист на рівні шлюзу – не нова, але дуже актуальна ідея (див. Малюнок 4). Однак у ZyXEL вважають, що антивірус на шлюзі – це лише перша лінія оборони, що не відміняє необхідності застосування звичайних антивірусних продуктів. У "Лабораторії Касперського" теж вважають, що наявність антивіруса на шлюзі (із захистом трафіку електронної пошти та Internet) не виключає його використання на робочих станціях, а є ефективним доповненням, так як вірус можна отримати не тільки з мережі, але і з компакт-диска або іншого носія. Однак не можна бути абсолютно впевненим і в тому, що антивірус у користувача завжди включений, а бази сигнатур загроз регулярно оновлюються, тому установка рішень для шлюзів і робочих станцій (переважно від різних виробників) однаково необхідна.


Інтеграцію функцій безпеки в рішеннях UTM в "Лабораторії Касперського" вважають цілком надійним підходом. Головне – правильно вибрати постачальника. Комплексне рішення, що дозволяє фільтрувати спам та віруси, дуже зручно для користувача. Воно може бути вигідним і з точки зору оптимізації продуктивності, проте рівень інтеграції в рішеннях ОЕМ занадто різниться – від дуже поверхневого до глибокого. Це залежить від типу рішення, платформи (x86, ARM, xScale і т.д.), а також архітектури системи. Більшість продуктів достатньо інтелектуально і працює на рівні об'єктів. Такий варіант дозволяє більш точно ідентифікувати загрози, шкідливі програми і небажану пошту, однак є рішення, які працюють на рівні пакетів IP, як наприклад ZyXEL ZyWall з інтегрованою технологією потокового сканування трафіку SafeStream від "Лабораторії Касперського". Основна їхня перевага – висока продуктивність і максимальна пропускна здатність.


Михайло Кондрашин зазначає, що в сучасних умовах захист потрібна для всіх точок, де може розповсюджуватися або перебувати шкідливий код (робочі станції, мобільні комп'ютери, портативні пристрої, поштові системи, портали тощо). Антивірус на шлюзі дозволяє проводити додаткову перевірку в одній точці. Така перевірка знаходиться під повним контролем адміністраторів системи, не залежить від дотримання політик безпеки користувачами і доповнює захист кінцевих пристроїв.


У Panda Software також вважають за необхідне забезпечити всебічну надійний захист корпоративної мережі. За наявності загрози не тільки з Internet, але і всередині компанії, повинні бути захищені та робочі станції. Крім того, методи виявлення шкідливого коду на шлюзах і антивірусах на робочих станціях розрізняються. Наприклад, шлюз Panda GateDefender не виконує аналіз файлів на поведінковій основі, але використовує інші технології, даремні на робочих станціях, наприклад, глибокий аналіз пакетів. Технологія Panda TruPrevent, використовувана в "класичних" антивірусних продуктах, застосовується і в шлюзах для виявлення потенційно небезпечного програмного коду. За допомогою отриманої інформації визначається, чи представляє даний зразок коду будь-яку небезпеку при виконанні на робочих станціях. Плюс до цього, на всіх платформах для всіх відомих шкідливих кодів Panda Software надає і сигнатурні методи.


У пристроях UTM WatchGuard одну з шести ліній оборони багаторівневого захисту становлять "служби зовнішньої безпеки", що взаємодіють з внутрішньої захистом мережі – антивірусами на робочих станціях. Як відзначають в Rainbow Technologies (офіційний дистриб'ютор WatchGuard Technologies), деякі великі організації воліють комбінувати антивірусні рішення: фільтрація вхідного трафіку поєднується з антивірусною перевіркою на шлюзах і установкою традиційних антивірусних продуктів на настільних системах. Check Point розглядає лінійку UTM лише як один з елементів повної інтегрованої інфраструктури безпеки, що включає в себе засоби захисту та шифрування даних, а також NAC, посилаючись на те, що, за даними аналітиків, мережеві вторгнення "ззовні" є причиною втрати корпоративних даних лише в 20% випадків.


На думку Костянтина Архипова, директора Panda Software Russia, кожне підприємство повинно самостійно приймати рішення про встановлення додаткового захисту на робочих станціях. Пристрої UTM – ідеальне рішення для малих і середніх компаній. При наявності хоча б десятка комп'ютерів антивірус на шлюзі має сенс. Це єдина точка доступу в Internet для всіх ПК, а значить, фільтрувати трафік зручно саме тут. Для невеликих і середніх мереж набагато простіше і вигідніше встановити комплексну систему, яка позбавить від необхідності вирішення всіх проблем, пов'язаних із забезпеченням повної безпеки мережі. Плюси від використання пристроїв UTM в малих і середніх мережах, як правило, значно переважують їхні недоліки, такі як поява "точки загального відмови" в результаті інтеграції систем безпеки на одній платформі.


Вибір конкретного рішення залежить від економічної доцільності. Наприклад, недороге молодше рішення лінійки шлюзів Panda GateDefender Integra 100 підійде малому бізнесу. Для його обслуговування не потрібно штатного адміністратора, який займався б налаштуванням, конфігурацією мережі, установкою і підтримкою різних рішень безпеки. У великих компаніях інші вимоги, і оптимальної для них може стати установка окремих спеціалізованих пристроїв, які мають вищою продуктивністю, причому на їх придбання підприємство готове виділити значні кошти. Для масштабних мереж більше підходить спеціалізоване антивірусне рішення, окремий міжмережевий екран, окрема служба VPN і т.д.


Як правило, UTM розгортають там, де корпоративна мережа з'єднується з Internet, в точці підключення до дочірніх офісів і перед ЦОД для захисту критичних інформаційних ресурсів. Їх можна використовувати не тільки на кордоні мережі, але і для фільтрації трафіку між її сегментами. Антивірус на шлюзі повинен бути здатний аналізувати різні типи трафіку, підтримуючи функціонуючі протоколи і сервіси. Віруси можуть передаватися не тільки через протоколи HTTP, FTP, SMTP і POP3, а й через WAP, SMS, MMS, ICQ і т. д. Останнім часом розробники приділяють увагу і захист трафіку VoIP.


Багато розроблювачів антивірусних шлюзів укладають партнерські угоди з виробниками антивірусного ПЗ або іншими постачальниками засобів фільтрації контента, що дозволяє їм доповнювати свої системи відсутніми раніше функціями. Наприклад, Cisco і Secure Computing (виробник UTM Sidewinder G2) співробітничають у цій галузі з Trend Micro, а SonicWall – з McAfee. ESoft використовує власний антивірус в InstaGate UTM, але застосовує рішення Aluria і Secure Computing для боротьби зі шпигунськими програмами та фільтрації Web. Компанія Crossbeam Systems об'єднала на своїй платформі Check Point FireWall-1 UTM із засобами фільтрації вмісту від Trend Micro, Aladdin і Websense. Окремі функції, наприклад фільтрація спаму, вимагають досить потужних пристроїв UTM. Деякі виробники вважають, що високоточну фільтрацію спаму з переміщенням підозрілих повідомлень в карантин має сенс здійснювати на окремому шлюзі, відокремивши її від міжмережевого екрану.


У Check Point VPN-1 UTM (див. Малюнок 5) трафік Web і електронна пошта (POP3 і SMTP) перевіряються антивірусом Check Point VStream, шкідливе вкладення видаляється з додаванням коментаря в тему листа і повідомлення. ZyXEL у пристрої ZyWall застосовує "Антивірус Касперського". Як і в пристрої Check Point, з його допомогою виконується антивірусна перевірка трафіку Web і електронної пошти для різних портів. Заражені файли видаляються. У Sidewinder G2 510D для антивірусного захисту служить ПО Sophos, передбачається антиспам і захист від шпигунського ПЗ. Panda Software подбала про можливість застосування своїх технологій в системах сторонніх розробників для різних продуктів – від ноутбуків до шлюзів, причому з таким же функціоналом, як в продуктах Panda. Серед відомих в Росії рішень технології Panda інтегровані, зокрема, в продукт Traffic Inspector від SmartSoft.


За даними Symantec, в другому півріччі 2006 р. на спам доводилося 59% трафіку електронної пошти, а за інформацією "Лабораторії Касперського", в Росії рівень спаму стабілізувався на позначці 70-80% електронної пошти. Зазвичай для відповідної перевірки використовуються сторонні служби (Cobion, Blue Coat) або власні служби постачальників UTM, що пропонують від 30 до 70 категорій фільтрації спаму. Адміністратору досить вибрати і відзначити блокуються категорії.


Крім того, за інформацією Web Application Security Consortium, все частіше виявляються уразливості серверів Web, внаслідок чого зростають пов'язані з ними ризики. Одна з найбільш поширених вразливостей – міжсайтового виконання сценаріїв (Cross-Site Scripting, XSS) – виявлена більш ніж у 85% всіх сайтів. Сучасні UTM, зокрема Check Point VPN-1 UTM, передбачають захист від такої загрози. Компонент Check Point Web Intelligence розширює функції безпеки Application Intelligence на захист від атак, властивих оточенню Web. За словами Антона Разумова, він може активуватися на шлюзах (у тому числі UTM і UTM-1), а крім того, входить до спеціалізований шлюз SSL VPN серії Connectra.


Trend Micro, що вважається піонером антивірусів на шлюзі, випустила перший подібний продукт в 1996 р. Компанія завжди робила ставку на технології, здатні функціонувати не тільки на кінцевій робочої станції, але і на шлюзі чи поштовому сервері, які можуть мати відмінну від Wintel архітектуру, наприклад SPARC / Solaris. Варіанти інтеграції антивірусів з мережевими пристроями різноманітні, і далеко не всі з них можна віднести до UTM. Крім того, за словами Михайла Кондрашина, багато технологій захисту від ще не відомих атак, такі як попередження переповнення буфера і поведінковий блокіратор, можуть бути реалізовані тільки на робочій станції, але не на пристрої UTM. У UTM Cisco ASA застосовується антивірусний модуль Trend Micro, що виконує потоковий аналіз основних протоколів. Crossbeam встановлює в свої пристрої корпоративні програмні продукти Trend Micro; це дозволяє їй говорити про UTM, але слід мати на увазі, що прозора інтеграція в корпоративну мережу не забезпечується.


Деякі технології здатні блокувати невідомі загрози ще при перевірці на рівні шлюзу чи поштової системи. Мова йде не тільки про широко поширених узагальнених сигнатурах, що дозволяють виявити родинні модифікації шкідливого коду. Технологія Trend Micro IntelliTrap здатна, як стверджується, виявити шкідливий код, закодований або запакований різними невідомими антивірусним аналітикам методами. Новітня розробка Trend Micro – технологія "Web-репутації", що блокує доступ користувачів до сайтів зловмисників. Вона доповнює технологію мережевий репутації від Trend Micro, яка використовується для боротьби з шкідливими повідомленнями електронної пошти.


За рамки АНТИВІРУСИ


Насправді подібними з UTM функціями сьогодні володіють навіть програмні продукти споживчого класу, такі як McAfee Total Protection або Symantec Norton 360. Останній включає в себе міжмережевий екран, антивірус, засоби боротьби з шпигунськими програмами та руткитами, антіфішингові функції, програмні засоби Symantec Online Network for Advance Response (Symantec SONAR) для моніторингу поведінки ПЗ та інструмент оцінки вразливості, а також кошти резервного копіювання і налаштування системи. Таким чином, купувати відразу декілька продуктів і управляти ними не обов'язково. Таке комплексне рішення "Все в одному" захищає комп'ютери і зберігається на них інформацію від загроз і ризиків Internet, дозволяючи запобігти втраті даних.


Корпоративне рішення Kaspersky Work Space Security призначений для централізованого захисту робочих станцій від вірусів, шпигунських програм, хакерських атак, фішингу і спаму, проактивного захисту від шкідливого ПЗ. Воно містить персональний міжмережевий екран з IDS / IPS, а також передбачає можливість скасування змін в системі, викликаних шкідливими програмами. Більшість виробників антивірусів доповнюють їх міжмережевими екранами з більш розвиненими функціями, ніж вбудований брандмауер в Windows. Так, Client Server Security for SMB 3.5 від Trend Micro охороняє корпоративні сервери і ПК від вірусів і шпигунських програм, має систему оцінки вразливості, IPS і персональний брандмауер, доповнює ці функції засобами протидії фішингу, антиспаму, фільтрації вмісту; продукт здатний захищати сервери Microsoft Exchange і Small Business. Ці поставляються з лютого рішення побудовані на принципах автоматичного захисту і "нульового адміністрування".


Деякий час тому Panda Software також стала пропонувати повністю інтегровані рішення. На думку Костянтина Архипова, найкращим рішенням безпеки для комп'ютерів є персональна система запобігання вторгнень (PIPS), до складу якої входить антивірус, міжмережевий екран, засоби протидії шпигунським програмам і системи виявлення невідомих кодів. У майбутньому рішення безпеки збережуть подібну схему, але будуть включати й інші модулі (наприклад, резервне копіювання), хоча ядро залишиться тим самим.


У компанії "Доктор Веб" розробили сервіс AV-Desk, заснований на продукті Enterprise Suite (ES). Він розширює функціональність ES і призначений для провайдерів різних послуг (ISP, ASP, зберігання даних в Web та ін.) Антивірусний пакет передає на антивірусний сервер інформацію про вірусні події та інші необхідні відомості про захищається комп'ютері: на сервері зберігаються дистрибутиви антивірусних пакетів для різних ОС, оновлення вірусних баз, антивірусних пакетів і антивірусних агентів, призначені для користувача ключі і налаштування пакетів, ведеться єдиний журнал подій антивірусної мережі. Зв'язок агента з сервером здійснюється через Internet або локальну мережу. Консоль Dr.Web AV-Desk дозволяє легко управляти динамічно змінюється і складної середовищем антивірусної мережі, автоматизувати робочі процеси, змінювати ключові параметри антивірусних серверів і захищених об'єктів, адаптувати настройки і запускати завдання на виконання.


За словами Михайла Кондрашина, одне з оформились напрямків – інтеграція засобів безпеки, що працюють на прикладному (антивіруси, антиспам) і мережному (міжмережеві екрани, IDS) рівні. Це не тільки пристрою UTM, але абсолютно інші види інтеграції. Наприклад, системи примусового застосування правил, як у Cisco NAC. При використанні даної технології підключення до мережі допускається тільки для пристроїв, відповідних політиці безпеки компанії (наявність актуальної та активної антивірусного захисту з останніми оновленнями). Інший приклад – технології "репутації" з блокуванням потенційно небезпечного ресурсу на мережевому рівні без перевірки контенту в момент доступу. При такому підході скорочується обсяг трафіку і блокуються ще невідомі образи шкідливого коду.


Вже зараз продукти лідерів антивірусного ринку відносяться до класу Secure Content Management (SCM), тобто передбачають комплексне управління безпекою. Можлива не тільки блокування зловмисних коду і спаму, а й контроль за вмістом поштових повідомлень, а також рішення безлічі інших завдань забезпечення безпеки. Нерідко виробники засобів мережевої безпеки декларують наявність у своїх продуктах антивірусної перевірки, але, як правило, мова йде про базову функціональності, так як сучасний антивірус – це продукт, що використовує різноманітні унікальні розробки і вимагає безперервного сервісу у вигляді оновлень. Таку функціональність не можна реалізувати за короткий термін. З іншого боку, як зізнається Михайло Кондрашин, навіть включення в мережеві пристрої антивірусних технологій відомих вендорів не вирішує завдання забезпечення безпеки, оскільки залишається безліч лазівок для реалізації погроз.


У доступній для огляду перспективі неможливо обійтися без використання спеціалізованого антивіруса (системи SCM), що контролює всі крапки проникнення загроз. Тим не менш, антивірус в сучасних умовах лише мінімізує ймовірність шкоди, адже загрози, яким він не може протистояти самостійно, залишаються. Для забезпечення більшої безпеки потрібно детальне налаштування, як наприклад у випадку з правилами контролю переданої користувачами інформації з мережі.


Таким чином, незважаючи на очевидну тенденцію включення "антивіруса" в продукти, що забезпечують обробку або передачу "підозрілих" з точки зору наявності шкідливого коду даних, спостерігається й інша тенденція – розширення спектру загроз, від яких "антивіруси", наділені розширеними функціями, будуть захищати. Вже сьогодні список їх можливостей включає нейтралізацію та видалення вірусів і програм-шпигунів, блокування спаму, контроль за небажаним контентом і заборону відвідування сумнівних сайтів. У різних постачальників цей список відрізняється, але всі великі вендори намагаються зробити його максимально ємним, для чого здійснюють інвестиції в придбання необхідних технологій. Включення антивірусних засобів
в продукти класу UTM – це лише спосіб вирішення приватної завдання, а не тенденція, здатна знищити ринок антивірусних продуктів як клас, вважають в Trend Micro.


Як правило, поява додаткових засобів захисту не тягне за собою зниження попиту на антивірусне ПЗ, вважають і в "Лабораторії Касперського". Так, підвищення (в порівнянні з попередніми версіями) рівня захищеності ОС Windows Vista не усуває необхідності в адекватній антивірусного захисту. Зростаючу увагу до засобів захисту не веде до витіснення антивірусних продуктів, а навпаки, відводить їм певне місце в системі ІБ. Наочний приклад – інфраструктура контролю доступу до мережі Cisco NAC, яка дозволяє розмежувати доступ мережних пристроїв у залежності від результатів оцінки рівня їх безпеки для мережі. Основний критерій – стан антивіруса, тобто система захисту на рівні мережного обладнання покладається в своїй роботі на антивірусне ПЗ.


Фахівці "Лабораторії Касперського" підкреслюють, що їхні рішення перестали бути власне антивірусом: вже давно пропонуються додаткові функції фільтрації спаму, до яких буде додана фільтрація контенту. На рівні домашніх користувачів і малих компаній тісна інтеграція антивіруса і міжмережевого екрану виправдана: рішення "все в одному" дозволяють налаштувати просту конфігурацію з мінімумом витрат. Проте вже на рівні середніх підприємств обійтися одним рішенням важко: воно стає складним і недостатньо гнучким, тому для більш великих організацій переважніше модульний підхід. Як вважають в компанії, майбутнє – за багатокомпонентними системами безпеки, що складаються з великого числа спеціалізованих модулів, і проблема лише в тому, що повний список таких функцій може стати занадто великим і користувачеві буде непросто в ньому розібратися. Хоча "точкова" настройка залишиться, основним принципом управління системою ІБ виявиться вибір профілю безпеки з тими чи іншими сценаріями запуску окремих модулів. Захист від програм-шпигунів стане одним з таких компонентів, причому в більшості сценаріїв – обов'язковим. У своїй лінійці продуктів "Лабораторія Касперського" планує розвивати інтеграційне напрям, додаючи в неї те, що затребуване ринком і реально підвищує рівень безпеки користувача.


IDC очікує злиття рішень для управління безпекою, зберіганням даних і системами в єдині комплексні рішення (3S), поглинання багатьох окремих систем безпеки засобами управління мережним доступом (NAC), включення базових продуктів безпеки в операційні системи, перетворення аутентифікації користувачів в окремий бистроразвівающийся сегмент безпеки ІТ, конвергенції фізичної безпеки і безпеки ІТ на великих підприємствах.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*