Антивирус мёртв. Что делать? Евгений Золотов
Антивирус мёртв. Что делать?
Евгений Золотов
Опубликовано 12 мая 2014
Борьба с компьютерными вирусами и цифровой заразой вообще — тема особая. Это непрекращающееся состязание меча и щита в его наивысшей технологической форме. Для широкой публики практически всё здесь — чёрная магия, отчего мнения специалистов всегда ценятся высоко. Вот почему люди слушают и не устают от регулярных апокалиптических пророчеств Касперского. Потому же бурную дискуссию вызвало признание одного из руководителей Symantec, сделанное на днях. Дословно: антивирус мёртв.
Symantec Corp. — фигура в антивирусной индустрии не случайная и даже не прибившаяся по ходу действия: входящая в список пятисот крупнейших бизнесов США, четверть века назад она стояла у истоков этой самой индустрии! Перебиваясь в 80-е случайными заработками, она заполучила Norton Antivirus, один из первых подобных продуктов для MS-DOS, и быстро перепрофилировалась на компьютерную безопасность, оказавшуюся золотой жилой. Так что, вопреки бытующему сегодня мнению, антивируса Symantec не изобретала, но в плане опыта способна дать фору многим.
И вот её-то старший вице-президент (Брайан Дай), давая интервью солидному журналу, изрекает: «антивирус более не является для нас приоритетным продуктом». По словам Дая, эффективность антивирусного софта непозволительно низка: он способен обнаружить лишь 45% атак. Компания, продающая security-продуктов и услуг на полтора миллиарда долларов в квартал, защищающая каждую десятую персоналку на планете, за глаза считающаяся отцом-основателем самого антивирусного сектора, более не верит в антивирусы?!
45%. На этой цифре стоит остановиться подробней. Дело в том, что у количественного показателя эффективности антивирусных продуктов существует минимум два варианта. Вариант первый — процент обнаруживаемых известных образчиков цифровой заразы — применяется самими вендорами, когда нужно антивирус продать: здесь речь всегда идёт о 95% и выше. Вариант второй — процент обнаруживаемых неизвестных образчиков заразы — применяется в основном независимыми исследователями, зарплата которых не зависит от продаж антивирусного софта: здесь речь идёт о 5% и ниже.
Что именно имел в виду Дай, когда говорил о 45%, непонятно, но можно предположить, что он желал умеренно «опустить» свой продукт в глазах слушателей, не втаптывая имя компании в грязь (для чего — станет ясно далее).
Впрочем, какие бы цели ни преследовались, это фактическое признание на самом высоком уровне бесполезности антивирусного ПО как инструмента. А значит, уместно задаться следующими вопросами. Во-первых, почему антивирусы более неэффективны? Во-вторых, способно ли что-то их заменить?
Что касается потери эффективности, ответ лежит на поверхности: вирусы одолели числом и качеством. Если вспомнить, какой ситуация была ещё пятнадцать лет назад, станет очевидно, что вредоносный софт изменил манеру поведения: раньше его задачей было уничтожить жертву, сегодня — предоставить её вычислительные ресурсы или данные в распоряжение злоумышленников. Это, в свою очередь, не только сделало вирусы менее заметными, но и породило коммерческую заинтересованность, а та спровоцировала взрыв разнообразия, зафиксированный во второй половине «нулевых» и продолжающийся поныне.
Количество векторов распространения инфекции и ежесуточно проявляющихся новых штаммов теперь рекордно велико, а способность среднестатистического антивирусного продукта самостоятельно (без помощи специалистов) обнаружить «неизвестный науке» штамм беспрецедентно низка: по результатам исследования, проведённого пару лет назад компанией Imperva, антивирусы ловят лишь каждый двадцатый новый (то есть не прописанный в их базах) вирус. От момента обнаружения нового штамма до момента внесения его в антивирусные базы проходит больше четырёх недель — и всё это время пользователи фактически беззащитны.
Однако мы не испытали ещё даже десятой части тех трудностей, которые обещает цифровая зараза в обозримом будущем. Акцент вирусостроения уже перенесён с персоналок на мобильные устройства. Вирусописатели активно пробуют и «интернет вещей» — страшный своей спецификой (уязвимости в «умных» вещах, предположительно, не будут патчить десятилетиями: см. «Слишком умные вещи»). Всё это, несмотря на обнадёживающие новые веяния — пришедшее к крупным разработчикам (начиная с Microsoft) понимание, что «дыры» нужно патчить быстро, и раз уж писать без ошибок невозможно, то следует максимально усложнить эксплуатацию уязвимостей, — позволяет предположить, что головные боли от «компьютерных» вирусов станут чаще и сильнее.
Увы, стопроцентной замены антивирусу — такой же удобной в обращении, понятной, функционально предсказуемой — пока не существует. Несмотря на то что дискуссии десять лет в обед (см. колонку «Синдром врождённого иммунодефицита» от 2005 года), к настоящему моменту уместно говорить лишь о достижении общего понимания задачи. От «реактивной» модели поведения, построенной на вере во всемогущество защитных средств («изучить новый вирус как можно скорее и разослать пользователям его сигнатуры»), индустрия переходит к модели «проактивной» (простите за этот американизм), предполагающей неприятное признание: в перспективе заражение неизбежно, а значит, следует подготовиться к нему — и затруднить кражу данных, минимизировать риск их потери, научиться распознавать атипичное поведение системы, чтобы поднять тревогу как можно раньше.
На этом новом направлении сегодня можно встретить и стартапы, и гигантов вроде IBM, FireEye, Juniper Networks, той же Symantec. Реализуемые ими методы различны — от анализа трафика в локальной сети на предмет аномалий (именно так FireEye обнаружила взлом карточных терминалов Target; её предупреждение, к сожалению, было проигнорировано) до расстановки фальшивых целей (в Argon Secure от Juniper используется полсотни методов обмана). Symantec намерена в течение года полностью переориентироваться на проактивную модель и помогать корпоративным клиентам предупреждать, обнаруживать, понимать и, возможно, разбирать последствия проникновения цифровых инфекций. Вот для чего ей критика антивирусов: она попросту делает рекламу своему новому предложению.
Проблема в том, что для домашних пользователей проактивная модель защиты (комплекс из программного обеспечения, дистанционного мониторинга, консалтинга) кажется чересчур накладной — как в смысле денег, так и в смысле вычислительных ресурсов. На что опереться им? Как ни крути, лучшим выбором остаётся переход на альтернативные платформы — Linux и отчасти OS X. По какой-то причине, которая многим уже кажется чудесной (точная формулировка Алана Соломона — автора некогда популярного антивируса), в Linux нет вирусов — и пользователю, соблюдающему минимальные правила цифровой гигиены, нечего бояться. По крайней мере пока.
В статье использована иллюстрация Luigi Rosa.
К оглавлению