Захисники «із центру»

Хмарні антивіруси — революція чи еволюція?

За фактично одностайною думкою фахівців, майбутнє IT — за хмарними технологіями. У галузі комп’ютерної безпеки вже є рішення на основі хмарних обчислень, причому не тільки в домашньому, а й у корпоративному сегменті.

Новий підхід

Як відомо, у роботі антивірусного програмного забезпечення використовується кілька основних схем. Це сигнатурний метод (пошук вірусів за наявною базою даних шкідливого ПЗ), застосування поведінкових аналізаторів (вивчення поводження програм на предмет підозрілих і небезпечних дій), технологія «пісочниці» (незнайомі програми запускаються у віртуальному середовищі, ізольованому від операційної системи) і різноманітні системи фільтрації контенту. Об’єднує їх одне — описані дії відбуваються на локальному ПК, і, відповідно, використовують обчислювальні ресурси цього комп’ютера. Для звичайних користувачів це не так критично: удома в багатьох є або досить потужні десктопи, або середньої продуктивності ноутбуки, а ресурсомісткість традиційних домашніх завдань (серфінг, мультимедіа, ігри) великою назвати не можна. У крайньому разі, антивірус можна просто тимчасово відключити.

Зовсім інші справи в корпоративному секторі. Відключення або збій антивірусного захисту може призвести до серйозних фінансових втрат. Затратні і модернізація наявних машин, і їхнє обслуговування, і установка, настроювання та підтримка антивірусного ПЗ. Розподілені обчислення вирішують, принаймні частково, усі ці проблеми.

Хмарний антивірус має дві частини: клієнтську й серверну. Клієнтська (її ще можна назвати «движком» антивірусу), як і будь-яке звичне ПЗ, установлюється на конкретний комп’ютер, маючи при цьому мінімальний розмір і ресурсомісткість. Вона займається скануванням даних і відправленням контрольних сум файлів у «центр» — на серверну частину, яка перебуває в «хмарах» (а точніше — на потужностях виробника захисного продукту). Там відбувається обробка надісланих даних і виноситься вердикт щодо їхньої безпеки. Якщо файл виявляється шкідливим ПЗ, на клієнтську частину висилаються спеціальні скріпти («сценарії» роботи комп’ютера), виконання яких очищає ПК від шкідливих об’єктів або перешкоджає зараженню.

Така схема роботи не тільки знижує навантаження на апаратну частину ПК, а й істотно підвищує захист завдяки участі в системі безпеки всіх користувачів, які застосовують конкретний продукт (так званий метод колективного розуму), що сприяє своєчасному виявленню нових загроз і, як наслідок, випуску засобів для боротьби з ними.

Але, як би там не було, загроза зараження все одно залишається. Щодня з’являються тисячі нових шкідливих програм, і якщо комп’ютер «підчепив» саме таку, то для аналізу й лікування доведеться відправляти не тільки контрольну суму файла, а й сам файл цілком. У цьому і полягає одна з головних заковик використання такого захисту в корпоративному сегменті, адже політика конфіденційності багатьох компаній включає й заборону на пересилання будь-яких даних третім особам або організаціям. У такому випадку система просто не працюватиме належним чином і, отже, користі від неї немає. Необхідність перегляду наявних політик безпеки — чи не головне питання, яке піддає сумніву широке впровадження хмарних антивірусів у корпоративній сфері. Для домашніх користувачів ця проблема не така актуальна, зате перед ними постає інша. Не секрет, що багато шкідливих програм після зараження ПК блокують доступ якщо не до Інтернету цілком (скажімо, за HTTP-протоколом, коли передача даних і поширення вірусу із зараженого ПК відбувається, але сайти не відображаються), то до ресурсів антивірусних компаній. У такому випадку «хмарність» також втрачає будь-який сенс. Серверна частина продукту просто не одержить дані від клієнтської або не зможе їх прийняти. Тому говорити про революцію у сфері антивірусної безпеки поки рано. Скоріше, ми спостерігаємо еволюцію, причому досить повільну — відомі виробники антивірусного ПЗ не прагнуть наголошувати на «хмарності», а поступово впроваджують ті або інші модулі, робота яких виноситься в «хмару», і дивляться на результат. Проте тенденція навіч, і ніяких підстав для її згортання немає.

Щити в асортименті

Хоча ті або інші хмарні елементи вже давно присутні в популярних антивірусних продуктах, наразі існує лише кілька антивірусних додатків, які повністю працюють у хмарному режимі. Серед них єдине знайоме широкій аудиторії українських користувачів ім’я — Panda Cloud Antivirus. Продукт відрізняється не тільки аскетичним інтерфейсом, а й цілковитою автоном¬ністю роботи — ніяких настройок антивірусного сканера в Panda Cloud Antivirus немає. В іншому ж це звичний антивірус без додаткових модулів (батьківського контролю, брандмауера й подібних). Утім, одне несподіване рішення все-таки є: якщо антивірусу не вдалося самостійно впоратися із загрозою, він виводить посилання на веб-сторінку, де докладно описано, як вилікувати ПК. Є в Panda і продукт для корпоративних користувачів — Panda Cloud Protection, позиціонований як рішення для малого й середнього бізнесу. Крім усіх можливостей, доступних для домашніх користувачів хмарного антивірусу, цей сервіс пропонує також надійний захист корпоративної пошти в «хмарі», істотне зниження трафіку й навантаження на кінцеві вузли. Правда, знов-таки, багато компаній напевно не захочуть давати доступ до своєї корпоративної пошти й інших даних. З іншого боку, ніщо не заважає використовувати сервіс невеликим фірмам, для яких проблема доступу сторонніх до корпоративної інформації не дуже актуальна через малу вартість цих даних. Звичайно, на відміну від домашнього антивірусу, за Cloud Protection доведеться платити.

Імена інших повністю хмарних антивірусів навряд чи щось скажуть українському користувачеві, але це не означає, що їх не треба називати. Виділити можна антивірус Immunet Protect, який рекомендують використовувати як доповнення до уже існуючої на ПК системи безпеки (за даними на сайті виробника, близько 40% користувачів застосовують Immunet Protect разом з іншими антивірусами). Такий підхід досить цікавий, адже всім відомо, що кілька антивірусів на одному ПК звичайно погано уживаются. Immunet Protect не втручається в роботу вже встановлених систем, а тільки перевіряє раніше оброблені іншими захисними програмами дані й підчищає огріхи. Як і Panda Cloud Antivirus, цей продукт поширюється безкоштовно.

А от за інший маловідомий у нас хмарний антивірус — Prevx — доведеться заплатити $35. Сума, з одного боку, невелика, а з іншого  — за ці ж гроші можна придбати річну ліцензію на повноцінний нехмарний продукт. А з огляду на те, що українські користувачі не люблять платити за ПЗ (особливо якщо є безкоштовна альтернатива), навряд чи ця програма в нас приживеться. Правда, на відміну від інших «хмарників», Prevx має досить широкі можливості: у програмі є евристичний аналізатор, що настроюється, планувальник, модуль перевірки файлів у режимі реального часу, плагін для браузерів, що блокує небезпечні сайти, і багато настройок, які дозволяють «заточити» антивірус під себе.

Уперед, у «хмару»?

Говорити про повноцінний захист із «хмари» поки ще рано. Лідери ринку антивірусних продуктів хоч і впроваджують такі рішення у свої розробки, але, скоріше, як додаткові способи безпеки. А суто хмарні антивіруси поки що, по-перше, нечисленні, а по-друге, усе-таки поступаються за функціональністю звичним стаціонарним (тут ідеться не так про надійність захисту від шкідливого ПЗ, як про наявність додаткових модулів). Але не варто сумніватися, що рано чи пізно зрушення саме у напрямку хмарності все-таки відбудеться: така тенденція окреслюється вже зараз. Тому не дивуйтеся, що якось, через кілька років, ви раптом замислитеся: «А в якій країні розташований сервер, який гарантує безпеку мого ПК?».

Думка експерта компанії ESET

Павло Дем’яненко
Керівник технічної підтримки ESET в Україні

— Багато компаній активно впроваджують у свої рішення хмарні технології. Відмінність може полягати лише в тому, що в різних антивірусних продуктах в «хмару» виносяться різні модулі. У лінійці антивірусних продуктів компанії ESET технології, які зараз зазвичай називають хмарними, були реалізовані ще близько 5 років тому. Наприклад, технологія раннього виявлення загроз ThreatSense.Net, яка дозволяє користувачам в автоматичному режимі або вручну відправляти фахівцям ESET нові підозрілі зразки для аналізу. Таким чином, ThreatSense.Net надає можливість відслідковувати глобальні тенденції поширення шкідливих програм і закривати уразливості системи від «нуль-денних» атак.

Що ж до цільової ауди¬торії таких рішень, то якісного захисту потребують усі — домашні користувачі, малі й середні підприємства, корпорації. Для забезпечення ефективного й надійного захисту антивірусні рішення повинні використовувати всі сучасні методи, у тому числі й хмарні. Відмінність між рішеннями для різних категорій користувачів полягає в тому, що продукти для захисту інформації корпоративних користувачів мають додаткові можливості, такі як віддалене адміністрування, захист поштових і файлових серверів, а також захист інтернет-шлюзів.

Думка експерта компанії «Лабораторія Касперського»

Андрій Нікішин
Керівник лабораторії хмарних і контентних технологій «Лабораторії Касперського»

— Технології захисту в «хмарі» активно використовуються вже кілька років і показали свої величезні переваги. До них належать висока швидкість виявлення й блокування нових загроз і джерел їхнього поширення, а також швидкість доставки відновлень і підвищення якості захисту. Усе це дозволяє говорити про новий технологічний виток розвитку антивірусної індустрії.

У «Лабораторії Касперського» перші хмарні сервіси з’явилися у 2008 році (сервіси Kaspersky Security Network). У 2010 році ми значно їх розширили, додавши технологію Wisdom of the Crowd, яка допомагає визначати небезпеку файлу на підставі його розподілу за групами довіри серед учасників Kaspersky Security Network. Також ми розширили сервіс визначення шкідливих доменів, сторінок і файлів. У 2011 році список пропонованих сервісів зросте.

Однак хмарні технології не обмежуються тільки цим. Переваги «хмари» полягають ще й у тому, що в ній можна сховати від зловмисників специфічні засоби детектування, які ґрунтуються на обробці вмісту файлу або потоку, а також використовувати потужні обчислювальні ресурси «хмари» для поглибленого аналізу вмісту файлу в контексті, у якому він пересилається в Інтернеті.

За цим принципом працює й інший набір сервісів, який надається «Лабораторією Касперського»: KHSS (Kaspersky Hosted Security Services), принцип роботи якого ґрунтується не просто на копіюванні частини потоку даних (за принципом KSN), а на повному переспрямуванні потоку сканованих даних на інфраструктуру «Лабораторії Касперського». Наразі цей сервіс більшою мірою розрахований на невеликі й середні підприємства із власними поштовими доменами, яким необхідно управляти веб-трафіком. Він повністю використовує переваги сервісу KSN, а також додає цілий ряд унікальних методів захисту, що дозволяють надавати клієнтам підвищену надійність і захищеність.