По мнению аналитиков, антивирусные системы и средства борьбы со шпионскими программами постепенно исчезнут как отдельные продукты — они приобретут более широкие функции или войдут в состав комплексных систем безопасности.
«Вирусы, вирусы... Уборщица —
вот сила! Один удар шваброй
по серверу — и полконторы на час
без работы».
Народный фольклор
По данным IDC, мировой рынок антивирусного ПО развивается устойчивыми темпами. 80% продаж приходится на трех крупнейших производителей — Symantec, McAfee и Trend Micro (см. Рисунок 1). Оборот антивирусного ПО для частного применения оценивается в 2,1 млрд долларов, а корпоративных антивирусных продуктов — в 3,1 млрд долларов. Ожидается, что к 2010 г. эти сегменты вырастут, соответственно, до 3 и 4,5 млрд долларов. По данным отчета CSI/FBI «Computer Crime and Security Survey» за 2006 г. в течение четырех лет убытки от вирусных атак снизились почти вдвое. Тем не менее, именно они становятся причиной большей части ущерба.
IDC констатирует, что финансовые потери от вирусных атак с 2004 г. снижаются: атаки осуществляются в основном с целью получения денежной выгоды и затрагивают лишь те организации, против которых направлены. Однако этот вывод не отменяет необходимость антивирусной защиты. Напротив, по словам Маркуса Рэнума, ведущего мирового эксперта по ИБ и изобретателя коммерческого межсетевого экрана, атаки становятся все более изощренными, растет опасность их быстрого распространения, вероятность использования методов туннелирования и многомодовых атак, применения комбинации методов (например, вирусов или «червей» в сочетании с социальной инженерией), а устранять последствия таких атак становится все дороже.
По данным Yankee Group, количество комбинированных угроз за последние пять лет выросло на порядок. Антивирусные компании уже не справляются с наплывом новых вариантов вирусов — базы сигнатур приходится обновлять слишком часто. По этой причине, а также из-за появления новых вирусов и вариантов шпионских программ традиционные сигнатурные методы обнаружения оказываются неспособны обеспечить адекватную защиту. Однако ведущие мировые производители антивирусных решений не намерены отказываться от сигнатурного анализа, поскольку он имеет наивысшую точность обнаружения вирусов. Аналитики Yankee Group полагают, что на смену антивирусам придут продукты, в которых для защиты системы от вредоносных программ применяются комбинированные методы. Хотя сигнатурные антивирусы не эффективны как единственное решение, они будут продолжать использоваться в составе других средств защиты.
Эксперты IDC ожидают, что антивирусные системы и средства борьбы со шпионскими программами постепенно исчезнут как отдельные продукты. Они приобретут более широкие функции или станут интегрированными компонентами комплексных систем безопасности, хотя и сохранятся как бренды. Да и само разделение средств ИБ по продуктам становится условным: сейчас оно производится скорее по точкам входа в корпоративную сеть. По мнению Михаила Кондрашина, руководителя центра компетенции Trend Micro в России и СНГ, защита сети от вредоносного кода —
комплексная задача, не ограничивающаяся установкой антивируса. Она предусматривает меры борьбы с потенциальными угрозами, принудительное внедрение политики безопасности, использование средств противодействия угрозам и автоматической очистки от вирусов, организацию единой точки контроля и применение специальных инструментов для защиты от неизвестных угроз.
АНТИВИРУСЫ ОБРЕТАЮТ НОВЫЕ КАЧЕСТВА
Ряд отраслевых аналитиков считает, что традиционные сигнатурные методы выявления и удаления из системы вирусов, троянцев, другого вредоносного ПО и шпионских программ уйдут в прошлое, а для защиты серверов и рабочих станций более эффективны такие методы, как анализ поведения или разрешение на выполнение только зарегистрированных приложений («белый список»). Соответствующие продукты уже выпустили SecureWave (ПО Sanctuary), Bit9, Savant, AppSense и CA. Антивирус Trend Micro отслеживает потенциально опасные изменения в системе и предупреждает о них пользователей. Тем самым отрасль пытается перейти от «реактивного» к «проактивному» подходу. Примерно те же принципы реализованы в Windows Vista для контроля выполнения приложений и компонентов ОС.
Средства анализа поведения следят за действиями выполняемых приложений и блокируют подозрительные программы, ориентируясь на несколько сотен характеристик. Однако ложные срабатывания все-таки возможны, поэтому оптимальным вариантом считается дополнительное антивирусное сканирование. Аналитики Gartner полагают, что для настольных компьютеров антивирусы будут по-прежнему необходимы, но рекомендуют дополнять их системами предотвращения вторжений (Intrusion Prevention System, IPS). Большинство поставщиков антивирусных продуктов наряду с сигнатурными используют эвристические и поведенческие методы. Например, McAfee и Symantec планируют дополнить сигнатурный анализ поведенческим. В большинстве современных антивирусов используется комбинация сигнатурных и эвристических методов, причем сигнатурный подход применяется для удаления конкретного варианта вредоносной программы.
В настоящее время Symantec встраивает в свои продукты новые технологии, в частности, IPS. По мнению экспертов компании, антивирусные продукты нового поколения будут применять более развитые методы защиты от сложных угроз. Symantec ежемесячно получает образцы 200 тыс. вредоносных программ. Как отмечается, число их вариантов растет, поэтому сигнатурный анализ должен дополняться новыми методами выявления угроз. Разработчик планирует представить новую версию антивирусного продукта корпоративного класса с технологией «белых списков» (whitelisting), предусматривающей контроль приложений (вплоть до уровня компонентного ПО) на основе правил. Решение должно помочь блокировать выполнение вредоносного кода, исходя из его поведения.
В июне Symantec анонсировала новую версию корпоративного антивирусного продукта Symantec Endpoint Protection 11.0, где интегрированы межсетевой экран (продукт Sygate Enterprise Protection), антивирус, средства защиты от неизвестных атак, а также средства для контроля доступа к сети Symantec Network Access Control 11.0. В нем используется технология Symantec Online Network for Advanced Response (SONAR). Коммерческая версия антивируса должна появиться во второй половине этого года. Symantec Endpoint Protection в компании считают наиболее значимым обновлением корпоративных антивирусов за последние годы.
Комплекс Kaspersky Open Space Security — еще один пример эволюции антивирусных продуктов. Разработчики позиционируют его как решение для защиты любых типов сетевых узлов — от мобильных устройств до серверов. При этом контролируются все потоки данных на компьютере — электронная почта, трафик Internet и сетевые взаимодействия, для чего предусматриваются мощные инструменты управления. Безопасная рабочая среда не ограничивается стенами офиса, а охватывает и удаленных пользователей, включая сотрудников, находящихся в поездках, — защите подлежит не только периметр сети, но и каждый узел. Комплекс поддерживает технологию Cisco Network Admission Control (NAC), обеспечивающую дополнительную защиту внутренней корпоративной сети за счет оценки состояния антивирусной защиты вновь подключившегося компьютера, и предусматривает специальную политику для мобильных ПК с правилами работы за пределами офиса (источники обновлений, расписание проверок, режим работы персонального межсетевого экрана и пр.).
В «Лаборатории Касперского» отмечают, что проактивная защита отличается от сигнатурного (реактивного) выявления вредоносного ПО тем, что пользователю не надо ждать, пока антивирусные аналитики добавят запись о новой угрозе в антивирусные базы. Модуль проактивной защиты, работа которого основана на постоянном мониторинге действий всех процессов в системе пользователя, охраняет последнего от новых типов угроз и новых модификаций существующих вредоносных программ без обновления баз. В результате обеспечивается защита от разных типов вредоносных программ, включая регистраторы ввода с клавиатуры и руткиты.
В не менее мощное решение превратился комплекс антивирусных продуктов от Panda Software. Его корпоративная версия включает в себя дюжину различных модулей с централизованным управлением защитой с помощью правил безопасности, применяемых внутри сети. Предусматривается защита почтовых серверов Exchange и Notes/Domino, распространенных почтовых шлюзов SMTP, а также защита от сорной почты для серверов Exchange. Комплексную систему ИБ, включая антивирус, антиспам, межсетевой экран, средства борьбы со шпионским ПО и ряд других модулей, предлагает в своих решениях BitDefender. Эта компания выпускает продукты для всех популярных платформ: для персональных и серверных ОС, а также почтовых серверов и шлюзов Internet. BitDefender позиционирует их как простые и надежные решения, позволяющие с минимальными затратами обеспечить полную защиту предприятий любого размера.
Недавно созданная компания Robot Genius планирует представить технологию фильтрации Spyberus, работающую на уровне драйверов и использующую журнал аудита для мониторинга и контроля всех файлов в системе. Она выявляет вредоносные программы и при необходимости отменяет результаты их действий. Robot Genius собирается выпустить бесплатного клиента Spyberus для Windows XP и 32-разрядных версий Vista, а также интегрированный модуль для браузера. Над аналогичными методами работают McAfee, Symantec и Trend Micro. Robot Genius намерена предлагать лицензию на свою технологию производителям антивирусного ПО и межсетевых экранов. Разработчики надеются, что с ее помощью удастся блокировать вредоносные программы, проникающие в систему через небольшие приложения, распространяемые в Web (см. Рисунок 2). В Trend Micro разрабатывают технологию, способную выявлять вредоносные программы по характеру трафика между клиентскими системами и серверами. Подобные средства борьбы с вредоносными программами способны существенно изменить рынок антивирусного ПО.
Проблемы создания защищенного ПО и безопасность технологий Web 2.0 вызывают серьезную озабоченность в отрасли. По словам Маркуса Рэнума, современные технологии позволяют даже неквалифицированному пользователю создавать собственное программное обеспечение. Эти «разработчики» обычно не задумываются о безопасности, что в будущем может привести к очень серьезным последствиям.
Как показывают недавние действия Cisco и Microsoft (выход на антивирусный рынок с решениями Cisco Anti-X и MS Forefront) тенденция в отношении антивирусных решений характерна для информационной безопасности в целом: происходит интеграция средств ИБ в инфраструктуру ИТ (сетевое оборудование и операционные системы). Специальный модуль Anti-X, устанавливаемый в слот устройства Cisco ASA, реализует функции контроля содержимого — антивирус, антиспам, защиту от шпионского ПО и фишинга, а также контроль URL. Он разработан совместно с Trend Micro.
По словам Владимира Мамыкина, директора по информационной безопасности Microsoft в России и СНГ, компания идет по пути создания программных платформ со встроенными технологиями безопасности. Настройка конфигурации системы ИБ на основе «утилит-мастеров», простых и интеллектуальных оповещений и отчетов, управления безопасностью на основе ролей и служб каталогов (Active Directory) помогает свести к минимуму сложность администрирования. Новое приложение Forefront Client Security (ранее Microsoft Client Protection) служит основной управляющей консолью для обеспечения безопасности корпоративной среды и настройки ее конфигурации, позволяя выявлять в сети персональные компьютеры, нуждающиеся в обновлении ПО или неправильно настроенные.
ИБ перестает быть «наложенным» на инфраструктуру сервисом, а все глубже интегрируется в инфраструктуру (ОС, сетевое оборудование, шлюзы), которая в результате наделяется функциями самозащиты (см. Рисунок 3). С одной стороны, это освобождает от проблем, связанных с растущей сложностью управления системой ИБ, с другой — обеспечивает более эффективную защиту разнообразных «точек входа» в корпоративную сеть. По мнению ряда экспертов, оснащение средствами антивирусной защиты коммутаторов или маршрутизаторов позволяет обойтись без других антивирусных продуктов, поскольку весь трафик будет подвергаться проверке на уровне сетевого оборудования. К тому же антивирусная защита клиентских и серверных систем будет осуществляться гораздо оперативнее и эффективнее при помощи сервисов, встроенных в ОС, а не за счет внешних приложений. Однако пока мало кто из пользователей готов отказаться от антивируса.
Рисунок. 3. Решение Network Immunity (NI), анонсированное HP ProCurve Networking в апреле 2007 г., осуществляет поведенческий анализ всей сети с помощью протокола sFlow. В сочетании с механизмами HP ProCurve Virus Throttling, функционирующими на отдельных коммутаторах и ограничивающими распространение вирусов в сети, и средствами защиты доступа оно нацелено на комплексную защиту сети от различных угроз. Приложение управления безопасностью ProCurve Network Immunity Manager обеспечивает интеллектуальное управление угрозами и помогает защититься от вирусных атак в проводной и беспроводной инфраструктуре.
В Panda Software считают появление на рынке новых игроков на антивирусном рынке закономерным и нужным процессом, но полагают, что они сумеют охватить лишь небольшую часть этого сегмента. Компания рассчитывает, что наличие интегрированных решений для обеспечения «глобальной безопасности» и многолетнего опыта защитит бизнес признанных вендоров. В настоящее время она предлагает специальные решения для защиты различных элементов корпоративной сети — от точки подключения к Internet до рабочих станций.
АНТИВИРУС НА ШЛЮЗЕ: ЗАМЕНА ИЛИ ДОПОЛНЕНИЕ?
По данным Point Topic, наибольшую обеспокоенность пользователей вызывают компьютерные вирусы (64%), возможность кражи персональных данных (61%) и мошенничество (53%). Аналитики Nucleus Research подсчитали, что спам обходится американским компаниям в 712 долларов ежегодных убытков — на каждого сотрудника. Как следует из упоминавшегося отчета CSI/FBI «Computer Crime and Security Survey 2006», межсетевые экраны (98%), антивирусы (97%) и средства борьбы со шпионскими программами (79%) остаются самыми популярными средствами защиты. Идея реализовать их на одной платформе представляется очевидной, тем более что решения комплексного анализа трафика в одном месте обладают определенными преимуществами. Такие интегрированные системы, объединяющие несколько продуктов или функций, получили название систем с унифицированным управлением защитой от угроз (Unified Threat Management, UTM). Первоначально они включали межсетевой экран (FW), систему предотвращения вторжений (IPS) и антивирус (см. статью автора «Один за всех» в майском номере «Журнала сетевых решений/LAN»).
Современное устройство UTM должно выполнять функции сразу двух решений: антивирусного фильтра (AV) и системы предотвращения вторжений и защиты от шпионского ПО на уровне сетевого шлюза, а кроме того, предусматривать защиту от спама и небезопасных сайтов Web. По мнению Владимира Мамыкина, наступает эпоха стандартизированной интегрированной программно-аппаратной защиты информации. Объединение в одном устройстве сразу нескольких средств ИБ становится распространенным вариантом такой интеграции.
Среди требований к UTM выделяют высокую производительность (в частности, за счет тесной интеграции аппаратного и программного обеспечения, а также аппаратного ускорения операций), минимальное влияние на пропускную способность сети, простую установку и настройку, централизованное управление защитой в одной консоли. Экран блокирует несанкционированные или неизвестные соединения, задает правила для разрешенного входящего и исходящего трафика. Система VPN позволяет получить безопасный доступ к корпоративной сети для тех, кто находится дома, в другом офисе или в деловой поездке. IPS контролирует весь входящий трафик для предотвращения вторжений. Антивирусная защита ликвидирует известные контентные угрозы, комбинируя сигнатурные методы, эвристический и поведенческий анализ для защиты от неизвестных атак. Благодаря фильтрации содержимого можно задавать правила для блокирования опасного контента. Антиспам обеспечивает высокую продуктивность работы, а фильтрация Web закрывает доступ к потенциально опасному контенту.
Устройства UTM отличает безопасное и простое администрирование через интуитивно понятный интерфейс управления с возможностью вывода отчетов и оповещений, автоматическое обновление сигнатур вторжений и вредоносного кода, списков URL и правил фильтрации спама. По мнению Антона Разумова, консультанта Check Point в России и странах СНГ, минимальный набор функций UTM должен включать в себя FW, AV и IDS/IPS. Кроме того, в настоящее время востребована поддержка SSL VPN, особенно в сочетании с безопасным доступом (проверкой клиентских устройств): в небольшой компании использовать для нее отдельное устройство слишком дорого и неэффективно. Безопасность работы с Web обычно относят к дополнительной функции, хотя возможность активировать ее в соответствии с требованиями бизнеса — существенный плюс. В Panda Software считают, что в UTM имеет смысл интегрировать лишь те функции, которые реально обеспечивают безопасность. Дополнительные средства, не ориентированные на защиту компьютеров или сети, окажутся бесполезными и могут представлять интерес лишь в целях маркетинга.
Антивирусная защита на уровне шлюза — не новая, но весьма актуальная идея (см. Рисунок 4). Однако в ZyXEL считают, что антивирус на шлюзе — это лишь первая линия обороны, не отменяющая необходимости применения обычных антивирусных продуктов. В «Лаборатории Касперского» тоже полагают, что наличие антивируса на шлюзе (с защитой трафика электронной почты и Internet) не исключает его использование на рабочих станциях, а является эффективным дополнением, так как вирус можно получить не только из сети, но и с компакт-диска или другого носителя. Однако нельзя быть абсолютно уверенным и в том, что антивирус у пользователя всегда включен, а базы сигнатур угроз регулярно обновляются, поэтому установка решений для шлюзов и рабочих станций (предпочтительнее от разных производителей) одинаково необходима.
Интеграцию функций безопасности в решениях UTM в «Лаборатории Касперского» считают вполне надежным подходом. Главное — правильно выбрать поставщика. Комплексное решение, позволяющее фильтровать спам и вирусы, очень удобно для пользователя. Оно может быть выгодным и с точки зрения оптимизации производительности, однако уровень интеграции в решениях ОЕМ слишком различается — от очень поверхностного до глубокого. Это зависит от типа решения, платформы (x86, ARM, xScale и т.д.), а также архитектуры системы. Большинство продуктов достаточно интеллектуально и работает на уровне объектов. Такой вариант позволяет более точно идентифицировать угрозы, вредоносные программы и нежелательную почту, однако есть решения, работающие на уровне пакетов IP, как например ZyXEL ZyWall с интегрированной технологией потокового сканирования трафика SafeStream от «Лаборатории Касперского». Основное их преимущество — высокая производительность и максимальная пропускная способность.
Михаил Кондрашин отмечает, что в современных условиях защита нужна для всех точек, где может распространяться или находиться вредоносный код (рабочие станции, мобильные компьютеры, портативные устройства, почтовые системы, порталы и т.д.). Антивирус на шлюзе позволяет проводить дополнительную проверку в одной точке. Такая проверка находится под полным контролем администраторов системы, не зависит от соблюдения политик безопасности пользователями и дополняет защиту конечных устройств.
В Panda Software также считают необходимым обеспечить всестороннюю надежную защиту корпоративной сети. При наличии угрозы не только из Internet, но и внутри компании, должны быть защищены и рабочие станции. Кроме того, методы выявления вредоносного кода на шлюзах и антивирусах на рабочих станциях различаются. Например, шлюз Panda GateDefender не выполняет анализ файлов на поведенческой основе, но использует другие технологии, бесполезные на рабочих станциях, например, глубокий анализ пакетов. Технология Panda TruPrevent, используемая в «классических» антивирусных продуктах, применяется и в шлюзах для выявления потенциально опасного программного кода. При помощи полученной информации определяется, представляет ли данный образец кода какую-либо опасность при выполнении на рабочих станциях. Плюс к этому, на всех платформах для всех известных вредоносных кодов Panda Software предоставляет и сигнатурные методы.
В устройствах UTM WatchGuard одну из шести линий обороны многоуровневой защиты составляют «службы внешней безопасности», взаимодействующие с внутренней защитой сети — антивирусами на рабочих станциях. Как отмечают в Rainbow Technologies (официальный дистрибьютор WatchGuard Technologies), некоторые крупные организации предпочитают комбинировать антивирусные решения: фильтрация входящего трафика сочетается с антивирусной проверкой на шлюзах и установкой традиционных антивирусных продуктов на настольных системах. Check Point рассматривает линейку UTM лишь как один из элементов полной интегрированной инфраструктуры безопасности, включающей в себя средства защиты и шифрования данных, а также NAC, ссылаясь на то, что, по данным аналитиков, сетевые вторжения «извне» являются причиной потери корпоративных данных только в 20% случаев.
По мнению Константина Ар-хипова, директора Panda Software Russia, каждое предприятие должно самостоятельно принимать решение об установке дополнительной защиты на рабочих станциях. Устройства UTM — идеальное решение для малых и средних компаний. При наличии хотя бы десятка компьютеров антивирус на шлюзе имеет смысл. Это единая точка доступа в Internet для всех ПК, а значит, фильтровать трафик удобно именно здесь. Для небольших и средних сетей гораздо проще и выгоднее установить комплексную систему, которая избавит от необходимости решения всех проблем, связанных с обеспечением полной безопасности сети. Плюсы от использования устройств UTM в малых и средних сетях, как правило, значительно перевешивают их недостатки, такие как появление «точки общего отказа» в результате интеграции систем безопасности на одной платформе.
Выбор конкретного решения зависит от экономической целесообразности. Например, недорогое младшее решение линейки шлюзов Panda GateDefender Integra 100 подойдет малому бизнесу. Для его обслуживания не нужно штатного администратора, который занимался бы настройкой, конфигурацией сети, установкой и поддержкой различных решений безопасности. В крупных компаниях другие требования, и оптимальной для них может стать установка отдельных специализированных устройств, которые обладают гораздо большей производительностью, причем на их приобретение предприятие готово выделить значительные средства. Для масштабных сетей больше подходит специализированное антивирусное решение, отдельный межсетевой экран, отдельная служба VPN и т.д.
Как правило, UTM развертывают там, где корпоративная сеть соединяется с Internet, в точке подключения к дочерним офисам и перед ЦОД для защиты критичных информационных ресурсов. Их можно использовать не только на границе сети, но и для фильтрации трафика между ее сегментами. Антивирус на шлюзе должен быть способен анализировать различные типы трафика, поддерживая функционирующие протоколы и сервисы. Вирусы могут передаваться не только через протоколы HTTP, FTP, SMTP и POP3, но и через WAP, SMS, MMS, ICQ и т. д. В последнее время разработчики уделяют внимание и защите трафика VoIP.
Многие разработчики антивирусных шлюзов заключают партнерские соглашения с производителями антивирусного ПО или другими поставщиками средств фильтрации контента, что позволяет им дополнять свои системы отсутствовавшими ранее функциями. Например, Cisco и Secure Computing (производитель UTM Sidewinder G2) сотрудничают в этой области с Trend Micro, а SonicWall — с McAfee. ESoft использует собственный антивирус в InstaGate UTM, но применяет решения Aluria и Secure Computing для борьбы со шпионскими программами и фильтрации Web. Компания Crossbeam Systems объединила на своей платформе Check Point FireWall-1 UTM со средствами фильтрации содержимого от Trend Micro, Aladdin и Websense. Отдельные функции, например фильтрация спама, требуют достаточно мощных устройств UTM. Некоторые производители считают, что высокоточную фильтрацию спама с перемещением подозрительных сообщений в карантин имеет смысл осуществлять на отдельном шлюзе, отделив ее от межсетевого экрана.
В Check Point VPN-1 UTM (см. Рисунок 5) трафик Web и электронная почта (POP3 и SMTP) проверяются антивирусом Check Point VStream, вредоносное вложение удаляется с добавлением комментария в тему письма и сообщение. ZyXEL в устройстве ZyWall применяет «Антивирус Касперского». Как и в устройстве Check Point, с его помощью выполняется антивирусная проверка трафика Web и электронной почты для различных портов. Зараженные файлы удаляются. В Sidewinder G2 510D для антивирусной защиты служит ПО Sophos, предусматривается антиспам и защита от шпионского ПО. Panda Software позаботилась о возможности применения своих технологий в системах сторонних разработчиков для различных продуктов — от ноутбуков до шлюзов, причем с таким же функционалом, как в продуктах Panda. Среди известных в России решений технологии Panda интегрированы, в частности, в продукт Traffic Inspector от SmartSoft.
По данным Symantec, во втором полугодии 2006 г. на спам приходилось 59% трафика электронной почты, а по информации «Лаборатории Касперского», в России уровень спама стабилизировался на отметке 70-80% электронной почты. Обычно для соответствующей проверки используются сторонние службы (Cobion, Blue Coat) или собственные службы поставщиков UTM, предлагающие от 30 до 70 категорий фильтрации спама. Администратору достаточно выбрать и отметить блокируемые категории.
Кроме того, по информации Web Application Security Consortium, все чаще выявляются уязвимости серверов Web, вследствие чего растут связанные с ними риски. Одна из наиболее распространенных уязвимостей — межсайтовое выполнение сценариев (Cross-Site Scripting, XSS) — обнаружена более чем в 85% всех сайтов. Современные UTM, в частности Check Point VPN-1 UTM, предусматривают защиту от такой угрозы. Компонент Check Point Web Intelligence расширяет функции безопасности Application Intelligence на защиту от атак, присущих окружению Web. По словам Антона Разумова, он может активироваться на шлюзах (в том числе UTM и UTM-1), а кроме того, входит в специализированный шлюз SSL VPN серии Connectra.
Trend Micro, считающаяся пионером антивирусов на шлюзе, выпустила первый подобный продукт в 1996 г. Компания всегда делала ставку на технологии, способные функционировать не только на конечной рабочей станции, но и на шлюзе или почтовом сервере, которые могут иметь отличную от Wintel архитектуру, например SPARC/Solaris. Варианты интеграции антивирусов с сетевыми устройствами многообразны, и далеко не все из них можно отнести к UTM. Кроме того, по словам Михаила Кондрашина, многие технологии защиты от еще не известных атак, такие как предупреждение переполнения буфера и поведенческий блокиратор, могут быть реализованы только на рабочей станции, но не на устройстве UTM. В UTM Cisco ASA применяется антивирусный модуль Trend Micro, выполняющий потоковый анализ основных протоколов. Crossbeam устанавливает в свои устройства корпоративные программные продукты Trend Micro; это позволяет ей говорить о UTM, но следует иметь в виду, что прозрачная интеграция в корпоративную сеть не обеспечивается.
Некоторые технологии способны блокировать неизвестные угрозы еще при проверке на уровне шлюза или почтовой системы. Речь идет не только о широко распространенных обобщенных сигнатурах, позволяющих обнаружить родственные модификации вредоносного кода. Технология Trend Micro IntelliTrap способна, как утверждается, обнаружить вредоносный код, закодированный или запакованный различными неизвестными антивирусным аналитикам методами. Новейшая разработка Trend Micro — технология «Web-репутации», блокирующая доступ пользователей к сайтам злоумышленников. Она дополняет технологию сетевой репутации от Trend Micro, которая используется для борьбы с вредоносными сообщениями электронной почты.
ЗА РАМКАМИ АНТИВИРУСА
В действительности сходными с UTM функциями сегодня обладают даже программные продукты потребительского класса, такие как McAfee Total Protection или Symantec Norton 360. Последний включает в себя межсетевой экран, антивирус, средства борьбы со шпионскими программами и руткитами, антифишинговые функции, программные средства Symantec Online Network for Advance Response (Symantec SONAR) для мониторинга поведения ПО и инструмент оценки уязвимости, а также средства резервного копирования и настройки системы. Таким образом, покупать сразу несколько продуктов и управлять ими не обязательно. Такое комплексное решение «все в одном» защищает компьютеры и хранимую на них информацию от угроз и рисков Internet, позволяя предотвратить потерю данных.
Корпоративное решение Kaspersky Work Space Security предназначено для централизованной защиты рабочих станций от вирусов, шпионских программ, хакерских атак, фишинга и спама, проактивной защиты от вредоносного ПО. Оно содержит персональный межсетевой экран с IDS/IPS, а также предусматривает возможность отмены изменений в системе, вызванных вредоносными программами. Большинство производителей антивирусов дополняют их межсетевыми экранами с более развитыми функциями, чем встроенный брандмауэр в Windows. Так, Client Server Security for SMB 3.5 от Trend Micro предохраняет корпоративные серверы и ПК от вирусов и шпионских программ, имеет систему оценки уязвимости, IPS и персональный брандмауэр, дополняет эти функции средствами противодействия фишингу, антиспама, фильтрации содержимого; продукт способен защищать серверы Microsoft Exchange и Small Business. Эти поставляемые с февраля решения построены на принципах автоматической защиты и «нулевого администрирования».
Некоторое время назад Panda Software также стала предлагать полностью интегрированные решения. По мнению Константина Архипова, наилучшим решением безопасности для компьютеров является персональная система предотвращения вторжений (PIPS), в состав которой входит антивирус, межсетевой экран, средства противодействия шпионским программам и системы обнаружения неизвестных кодов. В будущем решения безопасности сохранят подобную схему, но будут включать и другие модули (например, резервное копирование), хотя ядро останется прежним.
В компании «Доктор Веб» разработали сервис AV-Desk, основанный на продукте Enterprise Suite (ES). Он расширяет функциональность ES и предназначен для провайдеров различных услуг (ISP, ASP, хранения данных в Web и др.). Антивирусный пакет передает на антивирусный сервер информацию о вирусных событиях и другие необходимые сведения о защищаемом компьютере: на сервере хранятся дистрибутивы антивирусных пакетов для различных ОС, обновления вирусных баз, антивирусных пакетов и антивирусных агентов, пользовательские ключи и настройки пакетов, ведется единый журнал событий антивирусной сети. Связь агента с сервером осуществляется через Internet или локальную сеть. Консоль Dr.Web AV-Desk позволяет легко управлять динамически меняющейся и сложной средой антивирусной сети, автоматизировать рабочие процессы, изменять ключевые параметры антивирусных серверов и защищаемых объектов, адаптировать настройки и запускать задания на выполнение.
По словам Михаила Кондрашина, одно из оформившихся направлений — интеграция средств безопасности, работающих на прикладном (антивирусы, антиспам) и сетевом (межсетевые экраны, IDS) уровне. Это не только устройства UTM, но совершенно другие виды интеграции. Например, системы принудительного применения правил, как в Cisco NAC. При использовании данной технологии подключение к сети допускается только для устройств, соответствующих политике безопасности компании (наличие актуальной и активной антивирусной защиты с последними обновлениями). Другой пример — технологии «репутации» с блокировкой потенциально опасного ресурса на сетевом уровне без проверки контента в момент доступа. При таком подходе сокращается объем трафика и блокируются еще неизвестные образы вредоносного кода.
Уже сейчас продукты лидеров антивирусного рынка относятся к классу Secure Content Management (SCM), то есть предусматривают комплексное управление безопасностью. Возможна не только блокировка вредоносного кода и спама, но и контроль за содержимым почтовых сообщений, а также решение множества других задач обеспечения безопасности. Нередко производители средств сетевой безопасности декларируют наличие в своих продуктах антивирусной проверки, но, как правило, речь идет о базовой функциональности, так как современный антивирус — это продукт, использующий разнообразные уникальные разработки и требующий непрерывного сервиса в виде обновлений. Такую функциональность нельзя реализовать за короткий срок. С другой стороны, как признается Михаил Кондрашин, даже включение в сетевые устройства антивирусных технологий известных вендоров не решает задачи обеспечения безопасности, поскольку остается множество лазеек для реализации угроз.
В обозримой перспективе невозможно обойтись без использования специализированного антивируса (системы SCM), контролирующего все точки проникновения угроз. Тем не менее, антивирус в современных условиях лишь минимизирует вероятность ущерба, ведь угрозы, которым он не может противостоять самостоятельно, остаются. Для обеспечения большей безопасности требуется детальная настройка, как например в случае с правилами контроля передаваемой пользователями информации по сети.
Таким образом, несмотря на очевидную тенденцию включения «антивируса» в продукты, обеспечивающие обработку или передачу «подозрительных» с точки зрения наличия вредоносного кода данных, наблюдается и другая тенденция — расширение спектра угроз, от которых «антивирусы», наделенные расширенными функциями, будут защищать. Уже сегодня список их возможностей включает нейтрализацию и удаление вирусов и программ-шпионов, блокировку спама, контроль за нежелательным контентом и запрет посещения сомнительных сайтов. У различных поставщиков этот список отличается, но все крупные вендоры стараются сделать его максимально емким, для чего осуществляют инвестиции в приобретение необходимых технологий. Включение антивирусных средств
в продукты класса UTM — это лишь способ решения частной задачи, а не тенденция, способная уничтожить рынок антивирусных продуктов как класс, считают в Trend Micro.
Как правило, появление дополнительных средств защиты не влечет за собой снижения спроса на антивирусное ПО, полагают и в «Лаборатории Касперского». Так, повышение (по сравнению с предыдущими версиями) уровня защищенности ОС Windows Vista не устраняет необходимости в адекватной антивирусной защите. Растущее внимание к средствам защиты не ведет к вытеснению антивирусных продуктов, а напротив, отводит им определенное место в системе ИБ. Наглядный пример — инфраструктура контроля доступа к сети Cisco NAC, которая позволяет разграничить доступ сетевых устройств в зависимости от результатов оценки уровня их безопасности для сети. Основной критерий — состояние антивируса, то есть система защиты на уровне сетевого оборудования полагается в своей работе на антивирусное ПО.
Специалисты «Лаборатории Касперского» подчеркивают, что их решения перестали быть собственно антивирусом: уже давно предлагаются дополнительные функции фильтрации спама, к которым будет добавлена фильтрация контента. На уровне домашних пользователей и малых компаний тесная интеграция антивируса и межсетевого экрана оправдана: решения «все в одном» позволяют настроить простую конфигурацию с минимумом затрат. Однако уже на уровне средних предприятий обойтись одним решением трудно: оно становится сложным и недостаточно гибким, поэтому для более крупных организаций предпочтительнее модульный подход. Как считают в компании, будущее — за многокомпонентными системами безопасности, состоящими из большого числа специализированных модулей, и проблема лишь в том, что полный список таких функций может стать слишком обширным и пользователю будет непросто в нем разобраться. Хотя «точечная» настройка останется, основным принципом управления системой ИБ окажется выбор профиля безопасности с теми или иными сценариями запуска отдельных модулей. Защита от программ-шпионов станет одним из таких компонентов, причем в большинстве сценариев — обязательным. В своей линейке продуктов «Лаборатория Касперского» планирует развивать интеграционное направление, добавляя в нее то, что востребовано рынком и реально повышает уровень безопасности пользователя.
IDC ожидает слияния решений для управления безопасностью, хранением данных и системами в единые комплексные решения (3S), поглощения многих отдельных систем безопасности средствами управления сетевым доступом (NAC), включения базовых продуктов безопасности в операционные системы, превращения аутентификации пользователей в отдельный быстроразвивающийся сегмент безопасности ИТ, конвергенции физической безопасности и безопасности ИТ на крупных предприятиях.
Сергей Орлов — обозреватель «Журнала сетевых решений/LAN». С ним можно связаться по адресу: sorlov@lanmag.ru.