Показать сообщение отдельно

Re: IT-безопасность-свежие новости.
Старый 22.09.2010, 10:15   #142
Вячеслав
 
Аватар для stalk

 
Регистрация: 05.07.2010
Адрес: Крым. Евпатория.
Возраст: 48
Сообщений: 3 141

stalk вне форума

IT-безопасность-свежие новости.


Кто они, «комбайнеры» антивирусного фронта?


Эксперт в области компьютерной безопасности и коммерческий директор компании Agnitum Виталий Янко рассказал читателям «Руформатора», какими бывают современные решения, обеспечивающие компплексную безопасность компьютера, и как выбрать нужный продукт из всего их многообразия.

На сегодняшний день становится очевидным, что компании-лидеры рынка безопасности стараются сделать свои продукты универсальными и «фаршируют» их все большим количеством сходных функций. История цивилизации говорит о том, что потребители стремятся к упрощению быта. Как в домашнем хозяйстве посудомойки и стиральные машины стали «must have», так и средства защиты ПК представляют собой насущную необходимость, поскольку с развитием Интернета и общей компьютеризацией за монитором компьютера появляется все больше неспециалистов и просто неопытных пользователей. Рассмотрим основных игроков, представленных на рынках России и Украины, и варианты комбинированной защиты, которые предлагают зарекомендовавшие себя компании.

Мы рассматриваем рынок решений для защиты персональных компьютеров под управлением ОС Windows — системы, которая по-прежнему является мировым лидером по числу эксплуатируемых уязвимостей. Сейчас на рынке представлено несколько десятков антивирусных вендоров, из которых 15 контролируют более 90% рынка (по отчету OPSWAT).

Итак, как выбрать себе «комбайн» для защиты все еще нужного нам ПК — домашнего ПК, ноутбука или нетбука?

1. Эволюция комплексов антивирусной защиты

Для начала отметим несколько исторических фактов. Технологическая основа у современных комплексных антивирусных продуктов неодинакова и зависит от их «корней». Откуда же «растут ноги» продуктов технологических лидеров?

Антивирусы. Посмотрим, во-первых, на известных в России производителей Kaspersky Lab, Symantec (бренд Norton), а также их основных мировых конкурентов McAfee, Trend Micro, Panda Software (ныне Panda Security). Как известно, они начинали с файловых антивирусов еще в конце 80-ых – начале 90-ых. Затем «антивирусники» добавили к своим продуктам защиту от вредоносных и нежелательных посланий файлов в почте – почтовые антивирус и антиспам (во многих случаях – путем присоединения компаний или разработчиков).

Так «антивирусники-консерваторы» вывели свои продукты на уровень «Защита файлов и почты» (Antivirus Pro/Plus/+Antispam). Затем пришла пора «подтянуться» и в плане защиты от шпионского ПО, что уже делали нишевые компании (Spybot Search & Destroy, Lavasoft с их Ad-Aware и Agnitum с их Tauscan – все они успешно работали на рынке ПО к началу нынешнего века).

Не будем останавливаться на классических антивирусных сканерах вышеуказанных продуктов, все они включают в себя сканеры почты, файлов и USB. Антивирусы опираются в основном на точное соответствие известным злонамеренным программам, сигнатуры которых хранятся в базе данных. Впрочем, иногда они «ловят» и новые вирусы, которых в базе нет, используя эвристические алгоритмы, а с 2009 года еще и «уходят в облако» – облачные вычисления позволяют вычислить вирус по распространенности на ПК пользователей продукта. (Строго говоря, слово «эвристический» здесь означает возможность идентифицировать неизвестный вирус на основании неких характерных признаков, например, кода, использующего известную «дыру» в операционной системе или приложении. На практике в эвристических алгоритмах поиска вирусов используются различные «нечеткие» схемы распознавания новых модификаций уже известных вирусов с использованием их общих признаков – например, зная признаки вируса Netsky.gen, можно «отловить» его новые варианты вроде Netsky.R.)

Брандмауэры. Во-вторых, на «полюсе сопротивления» угрозам безопасности ПК – продукты ZoneAlarm и Outpost, достаточно популярные в среде неравнодушных к сетевой безопасности пользователей. Продукты компаний ZoneLabs и Agnitum, которые появились в 1999 году, стали известны к 2001-2003 годам. Основой их продуктов стали firewall и anti-spyware (антишпион), затем усиленные HIPS (системой предотвращения вторжения, одним из столпов современной проактивной защиты). Наличие антишпиона в firewall-решениях в то время стало прорывом, т.к. антивирусные компании долгое время не обращали внимания на spyware и adware (шпионское и рекламное ПО), борясь против инфицирования и повреждения в первую очередь файлов и почты пользователя. Эти же компании использовали такой вариант продвижения, как выпуск бесплатных решений класса Firewall Free, которые неплохо увеличили базу пользователей и узнаваемость марок компаний.

Поведенческий анализ. В-третьих, с изменением характера угроз, задачи сохранения целостности системы и установленных программ стали выходить на первый план, и в продукты, названные Firewall, практически первыми на рынке были внедрены модули проактивной (превентивной) защиты класса HIPS для анализа поведения ПО, зачастую требующие участия пользователя в предотвращении нелегитимных действий активных программ. Производители отдельных HIPS, кроме относительно свежего (2005 года выпуска) продукта Safe’n’Sec, популярности не снискали. А вот в варианте ZoneAlarm основная часть HIPS достаточно логично названа «OS firewall» (т.е. «Защита системы»). Последняя же версия Outpost именует подобный модуль еще логичнее – «Проактивной защитой». Функционал этого модуля, как ни странно, наиболее насыщен в случае Outpost – сейчас там присутствует и «Защита ОС», и «Защита приложений», и «Защита папок и реестра», и аналитические инструменты а-ля FlieMon/RegMon известного Марка Руссиновича.

«Веб-контролеры». В-третьих, средства защиты работы в Сети включили постепенно добавляемые модули: веб-антивирус (защиту от вредоносного кода на веб-страницах), защита онлайн-банкинга, блокировка сайтов и рекламы по «черным спискам» ключевых слов и адресов (особо любимую пользователями Outpost). Эти модули переросли в «родительский контроль» в большинстве современных защитных продуктов.

Другие функции, например, защита Интернет-канала (в локальной сети Ethernet или в беспроводной сети Wi-Fi/EDGE/GPRS/3G) от перехвата данных в результате атаки «человек посредине» (man-in-the-middle), были реализованы еще в Firewall-модулях.

«Комбайнеры». С изменением характера угроз на более поздних этапах в районе 2004-2006 гг. в продукты лидеров антивирусного направления были также включены брандмауэр (персональный сетевой экран, он же firewall), средства поведенческого анализа и защиты системы плюс «все в нагрузку» для защищенной работы в Интернете.

В итоге в 2005-2008 годах произошел переход основных производителей в этих нишах от концепции Antivirus Pro/Firewall Pro к выпуску комплексной защиты класса Internet Security Suite – они стали полноценными «комбайнами». Производителям Firewall-решений, имеющим на руках лишь свои anti-spyware и веб-антивирусы, пришлось лицензировать антивирусные модули у ведущих компаний – и вгрызаться в этот рынок, попутно поддерживая второстепенный продукт класса Antivirus. Но на интернет-комплексах защиты эволюция продуктов для безопасности ПК не остановилась. Началась гонка вооружений в новых областях повышенного внимания киберпреступников, таких, как борьба с неизвестными угрозами и виртуализация. Это привело к добавлению «полезняшек» для «бесшумной» защиты класса Total Security. Об этом – главы 3 и 4.

2. …среди бегущих первых нет… А отстающих?


Среди самых популярных антивирусов мира далеко не все те бренды, что были упомянуты в главе 1 (за исключением, разве что, Norton). Отдельно взглянем на эволюцию производителей «бесплатных антивирусов» – самых известных брендов антивирусного мира AVG (ранее Grisoft), Avast (ранее ALWIL Software), Avira (AntiVir) – компаний, имеющих более 15 лет истории разработки. Практически идентичны их бизнес-модели (Freemium – монетизация бесплатных продуктов), с той лишь разницей, что AVG единственная из этой тройки покупает чужие технологии и не лицензирует свой антивирусный механизм сторонним разработчикам.

При этом схема монетизации «бесплатников» проста: из решения Antivirus Free, бесплатного и доступного лишь для использования дома, перевести пользователя на платную версию для дома или доступную только за деньги версию для офисного ПК или сервера, а с появлением Internet Security Suite – предложить переход на продукт этого класса.

Тем не менее, эти компании лишь к 2007-2008 году доросли до выпуска первых продуктов класса Internet Security Suite. Но «большая тройка» АВ-«халявы» до сих пор достигла лишь весьма сомнительных успехов в отношении«неосновных» компонентов защиты. К сожалению, данные решения не достигают высот в тестах самозащиты продуктов и не включают в себя HIPS – компонент, фактически ставший отраслевым стандартом. И это несмотря на то, что их продукты класса Internet Security выпускаются уже давно.

Кроме того, на текущий момент и достаточно популярные в русскоязычных регионах Eset Nod32 и Dr.Web, как это ни странно, не имеют полноценного «комбайна» в составе своих решений классов Internet Security Suite – их брандмауэры, несмотря на некоторый опыт внедрения в продукты Smart Security/Security Space (1-2 года), пока еще не доработаны в полной мере и слабы в сетевой защите, а HIPS-защита ПК от проникновения неизвестных угроз лишь декларируется в планах разработчиков. С другой стороны, некогда нишевые игроки рынков firewall и anti-spyware, соответственно, выпускают решение класса Internet Security – в одном неплохи HIPS и firewall, но с антивирусом, который пока не оправдал возлагаемых на него надежд; в другом, несмотря на название Internet Security, есть лишь антивирусные модули: антивирус + антишпион + антируткит.

Однако не стоит забывать, что в типичной ситуации на ПК изначально устанавливается бесплатный продукт – до первых значительных потерь и миграции на платный продукт (нередко меняется и операционная система). Мы рекомендуем исключить комплексные решения от вышеупомянутых производителей из рассмотрения до явных сигналов об улучшении их качества.

Где и как проверить (тесты): 1, 2, 3, 4.

3. «Выживают только параноики»

С момента выхода Windows Vista вирусы становятся все сложней, сочетают в себе различные способы распространения и заражения, используют анти-отладочные алгоритмы и шифрование, что требует нового подхода к лечению вирусов.

Технологическое покрытие файловых и системных операций ОС после выхода Windows Vista SP1 лидерами антивирусной отрасли к 2008 году достигло своего пика, и усиления функционала уже потребовал не столько сам технический характер угроз, сколько пользовательские предпочтения. Оказалось, что при необходимости бороться с руткитами и буткитами, которые внедряются глубоко в ядро системы (или даже в загрузочный сектор ОС), внедрение анти-руткита в основной защитный продукт класса Internet Security чревато проблемами для подавляющего большинства пользователей. Несмотря на этот риск, антируткиты частично были внедрены в продукты ряда вендоров в 2009 году.

С выходом Windows 7 основной акцент в безопасности ПК переносится с защиты гораздо ОС (которая теперь стала существенно надежнее) на защиту широко распространенных уязвимых приложений (браузеров Internet Explorer и Mozilla Firefox, проигрывателей Adobe Flash и Apple QuickTime, ;программ семейства Adobe Acrobat). По этой причине к 2010 году стал популярен вариант запуска сеансов Интернет-подключений в «песочницах» (sandbox) антивирусных продуктов, что сделало более безопасным интернет-серфинг, но не уберегло от добровольной отсылки данных в Интернет.

Сканеры уязвимостей ПО, до этого представленные отдельными продуктами, например, PCI от Secunia, были лицензированы и встроены в комбайны Internet Security.

4. Встречным курсом до Backup-а, данные – прочь от сатрапа?

Ну, а на фоне титанических усилий по борьбе с киберпреступностью маркетингу гораздо важнее оказалось внедрение функционала по защите данных от утраты и сохранения их приватности:

— резервное копирование (в основном в виде Online backup – синхронизации на интернет-серверы компании с бесплатной нормой около 2Gb на пользователя) – функция особенно популярна при вынесении серверов за юрисдикцию родной страны,

— блокировка доступа к файлам и папкам (например, в Outpost) и/или шифрование их содержимого (выпускаемое всеми вендорами в виде отдельной платной утилиты – например, Kaspersky CryptoStorage/ZoneAlarm DataLock),

— защита Интернет-переписки и личных идентификационных данных от доступа/кражи.

Последним ходом стали такие функции, как донастройка и обслуживание системы – проведение дефрагментации и управление автозапуском, все-таки имеющие отношение к безопасности данных... В итоге с 2008 года в этой нише обосновались продукты класса Total Security – Norton 360 (уже в 4-ой версии), McAfee Total Protection, в 2009 подтянулся ZoneAlarm Extreme Security, слабоватые на этом фоне Total/Global Security-решения от BitDefender и Panda. Лишь в 2010 году стартовали продажи Kaspersky CRYSTAL (на западе – PURE) и Trend Micro Maximum Security.

Немногие компании со смежных рынков ПО решились выйти на самый конкурентный антивирусный рынок. Но сегмент ПО для сохранности данных и настройки ПК в конце 2009 года показался слишком мал для компании Acronis, вышедшей с решениями Antivirus/Internet Security/Total Security от BitDefender под своей маркой.

5. Кому «вкалывать на комбайнах»?

В итоге можем дать рекомендации по выбору комплексной защиты: идеально, если в финале у вас останутся «на прицеле» 2-3 продукта. А далее – на выбор по типу и длительности лицензий: Panda Security предлагает лицензии от 1 месяца до 2 лет (разумеется, цена 1-месячного использования коротких лицензий при этом в несколько раз выше, чем при покупке), остальные компании охотно лицензируют «комбайны» на 6, 12 и 24 месяца. Количество защищаемых по 1 ключу ПК – 1, 2, 3, 5 в зависимости от вендора и типа лицензии. Цена – от 950 до 2100 рублей за Internet Security, от 1600 до 2500 рублей – за Total Security-продукт.

Основные продукты класса Internet Security Suite являются минимально необходимыми. Ваше дело – решать, обязателен ли Online Backup и настройка системы, и в каком режиме комфортнее работать – при высокой автоматизации решения или все-таки в интерактивном режиме с максимумом настроек.


Источник.
  Ответить с цитированием
 
Яндекс.Метрика