Читаем Цифровой журнал «Компьютерра» № 225 полностью

Цифровой журнал «Компьютерра» № 225

Symantec Corp. — фигура в антивирусной индустрии не случайная и даже не прибившаяся по ходу действия: входящая в список пятисот крупнейших бизнесов США, четверть века назад она стояла у истоков этой самой индустрии! Перебиваясь в 80-е случайными заработками, она заполучила Norton Antivirus, один из первых подобных продуктов для MS-DOS, и быстро перепрофилировалась на компьютерную безопасность, оказавшуюся золотой жилой. Так что, вопреки бытующему сегодня мнению, антивируса Symantec не изобретала, но в плане опыта способна дать фору многим.

И вот её-то старший вице-президент (Брайан Дай), давая интервью солидному журналу, изрекает: «антивирус более не является для нас приоритетным продуктом». По словам Дая, эффективность антивирусного софта непозволительно низка: он способен обнаружить лишь 45% атак. Компания, продающая security-продуктов и услуг на полтора миллиарда долларов в квартал, защищающая каждую десятую персоналку на планете, за глаза считающаяся отцом-основателем самого антивирусного сектора, более не верит в антивирусы?!

45%. На этой цифре стоит остановиться подробней. Дело в том, что у количественного показателя эффективности антивирусных продуктов существует минимум два варианта. Вариант первый — процент обнаруживаемых известных образчиков цифровой заразы — применяется самими вендорами, когда нужно антивирус продать: здесь речь всегда идёт о 95% и выше. Вариант второй — процент обнаруживаемых неизвестных образчиков заразы — применяется в основном независимыми исследователями, зарплата которых не зависит от продаж антивирусного софта: здесь речь идёт о 5% и ниже

Что именно имел в виду Дай, когда говорил о 45%, непонятно, но можно предположить, что он желал умеренно «опустить» свой продукт в глазах слушателей, не втаптывая имя компании в грязь (для чего — станет ясно далее).

Впрочем, какие бы цели ни преследовались, это фактическое признание на самом высоком уровне бесполезности антивирусного ПО как инструмента. А значит, уместно задаться следующими вопросами. Во-первых, почему антивирусы более неэффективны? Во-вторых, способно ли что-то их заменить?

Что касается потери эффективности, ответ лежит на поверхности: вирусы одолели числом и качеством. Если вспомнить, какой ситуация была ещё пятнадцать лет назад, станет очевидно, что вредоносный софт изменил манеру поведения: раньше его задачей было уничтожить жертву, сегодня — предоставить её вычислительные ресурсы или данные в распоряжение злоумышленников. Это, в свою очередь, не только сделало вирусы менее заметными, но и породило коммерческую заинтересованность, а та спровоцировала взрыв разнообразия, зафиксированный во второй половине «нулевых» и продолжающийся поныне.

Количество векторов распространения инфекции и ежесуточно проявляющихся новых штаммов теперь рекордно велико, а способность среднестатистического антивирусного продукта самостоятельно (без помощи специалистов) обнаружить «неизвестный науке» штамм беспрецедентно низка: по результатам исследования, проведённого пару лет назад компанией Imperva, антивирусы ловят лишь каждый двадцатый новый (то есть не прописанный в их базах) вирус. От момента обнаружения нового штамма до момента внесения его в антивирусные базы проходит больше четырёх недель — и всё это время пользователи фактически беззащитны.

Однако мы не испытали ещё даже десятой части тех трудностей, которые обещает цифровая зараза в обозримом будущем. Акцент вирусостроения уже

перенесён с персоналок на мобильные устройства. Вирусописатели активно пробуют и «интернет вещей» — страшный своей спецификой (уязвимости в «умных» вещах, предположительно, не будут патчить десятилетиями: см. «Слишком умные вещи»). Всё это, несмотря на обнадёживающие новые веяния — пришедшее к крупным разработчикам (начиная с Microsoft) понимание, что «дыры» нужно патчить быстро, и раз уж писать без ошибок невозможно, то следует максимально усложнить эксплуатацию уязвимостей, — позволяет предположить, что головные боли от «компьютерных» вирусов станут чаще и сильнее.

Увы, стопроцентной замены антивирусу — такой же удобной в обращении, понятной, функционально предсказуемой — пока не существует. Несмотря на то что дискуссии десять лет в обед (см. колонку «Синдром врождённого иммунодефицита» от 2005 года), к настоящему моменту уместно говорить лишь о достижении общего понимания задачи. От «реактивной» модели поведения, построенной на вере во всемогущество защитных средств («изучить новый вирус как можно скорее и разослать пользователям его сигнатуры»), индустрия переходит к модели «проактивной» (простите за этот американизм), предполагающей неприятное признание: в перспективе заражение неизбежно, а значит, следует подготовиться к нему — и затруднить кражу данных, минимизировать риск их потери, научиться распознавать атипичное поведение системы, чтобы поднять тревогу как можно раньше.

Перейти на страницу: