Однако, по меткому выражению экспертов Aberdeen Group, в современных условиях приобретение решения UTM подобно покупке коробки шоколада ассорти — никогда не знаешь, что там внутри. Главная проблема таких решений заключается в разной степени интеграции включенных в его состав продуктов. Поэтому заказчики нередко остаются приверженцами традиционного набора из «лучших в своем классе» программных инструментов, а в качестве базового компонента защиты по-прежнему рассматривают антивирусные решения. О текущем состоянии дел и перспективах рынка средств антивирусной защиты мы побеседовали с Борисом Шаровым, генеральным директором компании «Доктор Веб».
Журнал сетевых решений/LAN: На какие тенденции рынка средств безопасности ориентируется компания при выработке своей стратегии?
Борис Шаров: Безусловно, прежде всего нас интересуют изменения в вирусной обстановке и те проблемы, с которыми приходится сталкиваться нашим основным клиентам. К последним мы относим весь корпоративный сегмент — предприятия самого разного масштаба. В определенном смысле задача проста — обеспечить защиту максимально разнообразными средствами всех основных сегментов корпоративной сети — рабочих станций, файловых и почтовых серверов, шлюзов — практически для всех возможных конфигураций.
Что касается тенденций в области компьютерных вирусов, то прежде всего приходится учитывать их лавинообразный рост. Раньше антивирусные компании чувствовали себя хозяевами положения, и вирусные эпидемии были для них до некоторой степени желательными событиями, позволяя заявить о своей значимости. Между тем, подобные эпидемии происходили достаточно редко, один раз в несколько дней, а то и недель. Теперь же мы живем в эпоху одной большой нескончаемой эпидемии, несущей совсем иные угрозы и многообразной в своих проявлениях. По сути, нам приходится противостоять криминализированной среде, которая с помощью вредоносных программ активно и, надо признать, успешно, зарабатывает деньги.
Безусловно, главными жертвами становятся предприятия, где рядовые сотрудники слабо осведомлены о вопросах информационной безопасности, а вся ответственность за защиту возлагается на системных и сетевых администраторов, в редких случаях — на администраторов системы безопасности. Очевидно, мы должны ориентироваться на их нужды, а в некотором смысле и формировать их потребности, потому что уровень владения предметом у тех, кто отвечает за защиту данных предприятия, далек от желаемого и порой слишком низок.
Нам приходится иметь дело с огромным количеством троянских программ, одна из основных целей которых — похитить с компьютера информацию, имеющую коммерческую ценность, в частности, аутентификационные данные. Предотвратить вторжение становится все сложнее прежде всего потому, что поток вирусов, поступающих как в нашу лабораторию, так и в любую другую антивирусную компанию, растет хоть и линейно, но очень быстро. Все так или иначе сталкиваются с необходимостью автоматической обработки этого потока, что ведет к колоссальным проблемам, поскольку продукты начинают сравнивать не по их реальным качествам, а по способности автоматически детектировать предполагаемую угрозу — ту, которая определена антивирусом в таком качестве.
Эту последнюю тенденцию нам приходится особо учитывать в выработке стратегии, тем более что по мировым меркам компания «Доктор Веб» весьма небольшая. Однако и на международном рынке мы пытаемся донести информацию о том, что в эпоху, когда в течение дня появляется до тысячи вирусов, а один и тот же вирус может возникать в восьми-десяти модификациях, при выборе антивируса нельзя ориентироваться на результаты тестов, которые практически изжили себя: если пять-шесть лет назад мы имели дело всего с одним-двумя десятками, то теперь речь идет о цифрах совершенно иного порядка.
С одной стороны, мы оттачиваем свои антивирусные технологии, пытаясь дополнить их сопутствующими разработками (в нашем случае это антиспам), а с другой — стремимся предложить максимально удобные решения, включая средства управления антивирусной защитой.
LAN: В разных сегментах рынка ИТ наблюдается тенденция к унифицированным решениям. В частности, в области безопасности много говорится об унифицированном управлении угрозами. Это объясняется тем, что заказчики хотят иметь одно решение, отвечающее за всю информационную безопасность. Если компания делает акцент исключительно на антивирусные средства, то — в долгосрочной перспективе — не ставит ли она себя в заведомо проигрышную позицию?
Шаров: Вопрос очень хороший, поскольку отражает философскую суть нашей деятельности как антивирусной компании. Для меня в этом контексте важны два аспекта. С одной стороны, так называемое унифицированное управление угрозами (Unified Threat Management, UTM) — всего лишь красивое выражение, которое в свое время придумал некий маркетолог, чтобы выгодно преподнести и продать свое решение. Естественно, его гораздо меньше волновало то, как система управления угрозами будет защищать от этих самых угроз, поскольку, очевидно, речь шла о каком-то едином комбинированном решении.
С другой стороны, мы стараемся идти в ногу со временем, предлагая предприятиям сервис, с помощью которого они, во-первых, могут защититься от вирусов на нескольких рубежах, включая рабочие станции, а во-вторых, предоставить управление этим сервисом либо собственным службам информационной безопасности, либо доверенным поставщикам подобных услуг. В нашей стране чаще встречается первая ситуация, в других странах — вторая. На это решение, которое мы поставляем в виде сервиса, можно впоследствии «навесить» любые другие средства защиты — антиспам, контроль доступа в сеть и т.п.
Конечно, в настоящее время мы не можем предложить все функции защиты, предоставляемые некоторыми известными мировыми разработчиками, и ограничиваемся тем, что умеем делать хорошо. И это наша принципиальная позиция — мы не собираемся руководствоваться правилами маркетинга других компаний. У нас есть свои принципы безопасности. Вместе с тем, мы не отказываемся от расширения функционала, т.е. добавления новых функций, которые раньше к антивирусным средствам не относились, но стараемся делать это органично, чтобы, например, не механически добавить межсетевой экран, а вписать его в нашу концепцию и архитектуру антивирусной защиты.
Такая работа требует немало времени. Нельзя сказать, что это негативно сказывается на нашей рыночной позиции — мы удовлетворены ростом оборота как в прошлом году, так и в нынешнем. В некотором смысле можно говорить даже о некоем мифе, согласно которому на рынке могут выжить только компании, предлагающие комплексные решения — в действительности выживут те, у кого решения хорошие и надежные. Более того, наши продукты нередко приходят на замену менее надежным комплексным.
Очень долго мы выпускали исключительно антивирусные средства, потом добавили к ним антиспам, за счет чего несколько расширили сферу деятельности. Недавно в спект-ре наших предложений появились антивирусный сервис и аппаратно-программные решения. Последние несколько отличаются от того, что принято считать в отрасли стандартом де-факто, но интерес к ним имеется.
LAN: О подобных тенденциях говорят не только маркетологи, но и рыночные аналитики. Более того, в IDC, например, даже заявляют, что со временем системы безопасности станут частью решений 3S от английского Security, Storage, System, т.е. защита, хранение и управление системами... Каким вам видится место антивирусных решений в перспективе?
Шаров: В этом как раз и заключается суть нашего сервиса — мы разрабатываем тройственное решение в системе управления безопасностью. Будучи профессионалами в области антивирусных средств, мы, во-первых, защищаем от вирусов, во-вторых, избавляем от спама, в-третьих, предоставляем средства управления резервным копированием, а в четвертых, предохраняем от сетевых атак там, где считаем нужным. При этом стараемся изучить проблемы, с которыми сталкиваются клиенты. Нередко наш диагноз оказывается радикально отличным от того, который ставят компании, специализирующиеся в области безопасности. Очень часто маркетологи навязывают свое видение заказчикам, чтобы те считали, что без того или иного продукта им не обойтись. Позже выясняется, что многое из предлагаемого не нужно, а необходимое отсутствует. Мы слышим это от разных людей.
Эксперты, сделавшие из анализа рынка свою профессию, часто высказывают любопытные мнения, которые дают нам определенный ориентир, хотя, конечно же, любые отчеты той же IDC откровением не являются, поскольку та базовая информация, на которую они опираются в своих заключениях, доходит до нас гораздо раньше, чем появляются сами отчеты. Любопытны они именно в части мнений о рынке — о том, что должно быть. Поскольку это всего лишь мнение, то и относиться к нему нужно соответственно.
Для нас все сводится к «грязной» работе, т.е. наша задача — очистить сеть компании, защищенную суперсовременным средством, от вирусов, которые оно не способно было эффективно идентифицировать и уничтожить. В конечном итоге приходится разбираться во «внутренностях» компьютера, чтобы определить, что это за вирус и как он туда попал, и обезвредить с помощью наших средств. Так что при всей своей якобы «отсталости от жизни» антивирусные средства являются зачастую единственной возможностью обезопасить компьютер в практически фатальной ситуации.
Громадный комплекс средств безопасности вроде бы должен любому предприятию гарантировать безопасность на 120%, но реальная жизнь показывает, что это не так.
LAN: С чем вы связываете тот факт, что на рынке антивирусов остается достаточно много независимых игроков?
Шаров: На рынке правит маркетинг. Недавно на одной из антивирусных конференций приводились следующие цифры: на разработку тратится 15%, тогда как на маркетинг — 40%. Это означает, что технологии иметь не обязательно — достаточно громко заявить, что у тебя самая лучшая технология. Соответственно, с точки зрения инвестиций рынок весьма прибыльный, особенно в условиях, когда появляются все новые и новые угрозы. Проводя более менее грамотную политику и используя заимствованные или доморощенные технологии, можно зарабатывать неплохие деньги, ориентируясь на определенные сегменты рынка.
Правда, с предприятиями обычно такой номер не проходит, поскольку они интересуются производительностью антивирусной защиты и качеством детектирования. С последним у многих антивирусных продуктов дело обстоит не лучшим образом. Причину я назвал в самом начале нашей беседы — огромное количество вирусов и усложнение технологий, применяемых для их сокрытия.
LAN: Что за сервисы предлагает «Доктор Веб»? Насколько они соответствуют модели так называемых управляемых услуг безопасности, и в какой мере эта модель приемлема для российского рынка?
Шаров: Эту модель российский рынок принимает, о чем свидетельствует успех проекта Dr.Web AV-Desk. Соответствующий сервис появился у нас менее года назад, но уже сейчас можно говорить об определенных достижениях. Услуга предлагается через провайдеров ИТ-услуг, что, на наш взгляд, является естественным способом ее продвижения в условиях российского рынка.
Вместе с тем, еще многому предстоит учиться, особенно важен вопрос выбора операторов для этой модели. Безусловно, мы стараемся им помогать: интерес большой, степень распространения тоже достаточно большая, но формирование знаний о том, как правильно предоставлять услугу, — дело гораздо более сложное. К тому же, пока лишь некоторые провайдеры готовы полностью, всеми своими ресурсами, включаться в модель управляемой безопасности.
Тем не менее, не сделав первого шага, нельзя перейти ко второму: люди должны увидеть средство в действии, чтобы понять, научиться и в дальнейшем применять и развивать его. В других странах наблюдается еще более интересный эффект. Управляемой безопасностью интересуются системные интеграторы и, конечно, поставщики услуг безопасности, поскольку видят в этом возможность извлечения дополнительной прибыли.
LAN: На каких пользователей ориентированы предлагаемые услуги — только на домашних или корпоративных тоже?
Шаров: По числу подключенных клиентов первый сегмент, конечно, больше, поскольку провайдеры ориентируются в первую очередь именно на него. Однако, буквально через несколько месяцев после предложения нового сервиса, они сами заявили о желании работать с предприятиями, поскольку многие оказывают услуги подключения компаниям малого и среднего бизнеса. Крупному бизнесу мы этот сервис пока не адресуем, но небольшие компании — весьма перспективный сегмент. Любопытно, что свою заинтересованность проявили и банковские структуры, правда, они рассматривают его для защиты не офисов, а клиентов Internet-банкинга. Так что реакция рынка оказалась весьма положительной.
LAN: Насколько провайдеры заинтересованы в том, чтобы «дезинфицировать» трафик еще до того, как он попадет к клиентам?
Шаров: Раньше, действительно, им это не требовалось. Однако сейчас ситуация изменилась. Многие провайдеры предлагают широкополосные услуги с безлимитными тарифами. Соответственно, чем «грязнее» трафик, тем больше его приходится «прокачивать через себя», затрачивая собственные ресурсы. Вместе с тем, до сих пор некоторые, не стесняясь, заявляют, что чем больше спама и вирусов, тем лучше, поскольку за них заплатит клиент. Как правило, так поступают небольшие провайдеры из регионов, где тарифы за широкополосное соединение до сих пор очень высоки. Но подобное положение дел вряд ли продлится долго: так или иначе им придется либо уйти с рынка в результате конкуренции, либо предложить иной уровень услуг, что вынудит их бороться за чистоту трафика.
LAN: А что собой представляют ваши программно-аппаратные решения? Кому они предназначены? Вы говорили, что они отличаются от тех, которые традиционно предлагаются на рынке...
Шаров: Это маленький компьютер в компактном корпусе для использования в качестве корпоративного шлюза, оснащенный необходимыми сетевыми и беспроводными интерфейсами. Мы назвали его Dr.Web Office Shield. В зависимости от назначения на него может устанавливаться либо пакет для организации классического шлюза (почтового или HTTP), либо специальный комплексный пакет. Уникальность последнего состоит в том, что с его помощью можно не только защитить вход в сеть предприятия, но и развернуть антивирусную защиту по всем рабочим местам внутри сети и управлять ею — такое решение в виде программно-аппаратных комплексов мало кто предлагает.
Мы не позиционируем данную разработку для компаний с распределенной структурой (со множеством филиалов), поскольку для таковых у нас есть отдельное, полностью программное решение. Dr.Web Office Shield предназначен для защиты отдельных небольших компаний (с числом сотрудников до 150 человек), в частности, клиентов тех же самых провайдеров, хотя никаких ограничений с точки зрения используемого программного обеспечения нет. Впрочем, со временем мы, вероятно, предложим решение для верхнего сегмента рынка, но сначала хотелось бы попробовать свои силы в более низком сегменте, чтобы понять, насколько наше предложение жизнеспособно и актуально.
LAN: Иначе говоря, пока вы не уверены, что решение будет востребовано?
Шаров: На самом деле, мы более чем уверены, что оно будет востребовано — об этом можно судить по количеству поступивших заказов. Мы представили решение на выставке InfoSecurity Russia 2008, и там же были подписаны первые соглашения. Вдобавок несколько наших партнеров твердо заявили, что готовы его продавать. Дело в том, что в соответствии с нашей корпоративной философией мы не хотим торопиться и уходить в старший сегмент. Сейчас ждем отзывов от своих клиентов — как положительных, так и отрицательных, — чтобы исправить выявленные недостатки, и только тогда будем предлагать решение для крупных компаний.
LAN: Готовые программно-аппаратные решения обычно применяются, когда требуется высокая производительность. Небольшим компаниям такая производительность не нужна. Для чего же они приобретают специализированное оборудование, а не программное обеспечение?
Шаров: Действительно, в данном контексте производительность не имеет существенного значения (хотя, в скобках отмечу, у наших решений она высокая). Данные решения требуются в первую очередь тем, у кого нет собственных администраторов, и самостоятельная установка антивирусных средств неминуемо вызывает проблемы. Им приходиться обращаться к специалистам со стороны, при этом кто-то порекомендует один антивирус, кто-то — другой. В результате в сети такой компании царит полнейший беспорядок с точки зрения ее защиты.
Наше решение как бы материализует и систему безопасности, и администратора этой системы. Обслуживанием будут заниматься действительно специалисты — либо внутри компании (если у нее такой есть), либо извне. В этом деле у нас много союзников, прежде всего, в лице не очень крупных системных интеграторов, которым так или иначе приходится все распутывать. Полученные заказы — именно от них, поскольку они знают, кому и что предложить.
LAN: В ваших продуктах применяется метод несигнатурного поиска. Чем он отличается от эвристического анализа?
Шаров: Эту технологию мы считаем своим ноу-хау, и ее детали не раскрываем. После снятия упаковщика файла осуществляется анализ, так сказать, архитектуры файла. Мы выделили несколько сотен типов архитектур, которые могут служить признаками вируса, троянского коня, червя и т.д. Классический эвристический анализ работает несколько иначе: он во многом похож на сигнатурный анализ, в частности, ищет определенные куски кода. Наш несигнатурный поиск основывается на рассмотрении взаимного расположения различных секций в файле с присвоением им соответствующих весовых коэффициентов. Конечно, как и другие методы, из-за наличия множества часто меняющихся упаковщиков он не позволяет на 100% гарантировать защиту от угроз и отказаться от сигнатурного анализа, но помогает очень быстро, практически мгновенно, выявлять новые образцы весьма опасных вирусов, которые долго не удается детектировать, поскольку они самоуничтожаются после запуска, например, после шифрования диска. Отловить их другими способами крайне сложно.
LAN: Какова надежность метода, и велика ли доля ложных срабатываний?
Шаров: Ложные срабатывания бывают даже в случае сигнатурного метода. Поначалу их действительно было много, поскольку технология бессигнатурного поиска оперирует не точными данными, а тонкими понятиями со множеством взаимосвязанных правил. Если какой-либо «добропорядочный» файл ошибочно детектируется как вредоносный, то мы используем этот случай для дальнейшей шлифовки описаний архитектуры файла. В итоге число ложных срабатываний радикально снизилось — доли процента на огромные массивы файлов. За последние год-два каких-либо громких случаев ложных срабатываний, когда заказчик предъявлял претензии, я не припомню. Во многом этого удалось добиться благодаря системе тестирования на массивах заведомо чистых файлов, где проверяется любое дополнение к антивирусу. Любопытно, что лишь 30% сообщений о ложных срабатываниях действительно оказываются таковыми.
LAN: Как организована система отлова вирусов? Чем она отличается от принятой в других компаниях?
Шаров: Определенные отличия есть. Прежде всего, мы не гоняемся за вирусами. У нас есть несколько партнеров, которые занимаются этим и рады завалить нас вирусами. Мы стараемся не увлекаться различными приманками (honeypot), поскольку в эти ловушки, в силу их особенностей, попадают преимущественно нежизнеспособные творения вирусописателей — те, что и рассчитаны на них. Любители подобных приманок имеют огромные коллекции вирусов, которые больше нигде не встречаются. Это представляет определенную проблему, поскольку нам их потом предъявляют, заявляя, что наш антивирус ничего из этого не определяет.
Однако, мы делаем антивирус не для приманок, а для реальных компьютеров, их-то и стараемся защитить в максимальной степени. Автоматически обрабатывать огромное количество вредоносных программ, попадающих в специальные ловушки, мы не хотим, поскольку это сопряжено с непомерным разрастанием базы сигнатур. Одно дело, когда обновление добавляется осознанно, человеком, и другое дело — робот, который включает в нее все подряд, в результате объем будет увеличиваться в несколько раз. Dr. Web является пока самым маленьким антивирусом в мире, чем мы очень гордимся, так как эффективно защищаем компьютер, не раздувая размеры базы сигнатур.
LAN: Какова структура продаж ваших продуктов?
Шаров: На корпоративный сегмент приходится около 80% продаж, и около половины из них приносят продажи малому и среднему бизнесу.
LAN: Как, на ваш взгляд, повлияет нарастающий финансовый кризис на отношение заказчиков к вопросам безопасности?
Шаров: Проблемы безопасности никуда не денутся. Естественно, многие торопятся заявить, что компании станут тратить меньше на ИТ в целом, поскольку эту статью бюджета легче всего урезать. Однако, скорее всего, проблемы будут проявляться в объективной неплатежеспособности части заказчиков из-за нехватки наличности, а не в нежелании платить. Мы к такой ситуации готовы — некоторая «жировая прослойка» у нас есть. Вместе с тем, очень многие корпоративные клиенты ясно дают понять, что в части антивирусной защиты бюджеты сокращаться не будут.