Защитники «из центра»

Облачные антивирусы — революция или эволюция?

По практически единодушному мнению специалистов, будущее IT — за облачными технологиями. В области компьютерной безопасности уже есть решения на основе облачных вычислений, причем не только в домашнем, но и корпоративном сегменте.

Новый подход

Как известно, в работе антивирусного программного обеспечения используется несколько основных схем. Это сигнатурный метод (поиск вирусов по имеющейся базе данных вредоносного ПО), применение поведенческих анализаторов (изучение поведения программ на предмет подозрительных и опасных действий), технология «песочницы» (незнакомые программы запускаются в виртуальной среде, изолированной от операционной системы) и разнообразные системы фильтрации контента. Объединяет их одно — описанные действия происходят на локальном ПК и соответственно используют вычислительные ресурсы этого компьютера. Для обычных пользователей это не так критично: дома у многих стоят либо довольно мощные деск¬топы, либо средней производительности ноутбуки, а ресурсоемкость традиционных домашних задач (серфинг, мультимедиа, игры) большой назвать нельзя. В крайнем случае, антивирус можно просто временно отключить.

Иначе обстоят дела в корпоративном секторе. Отключение или сбой антивирусной защиты может привести к серьезным финансовым потерям. Затратны и модернизация имеющихся машин, и их обслуживание, и установка, настройка и поддержка антивирусного ПО. Распределенные вычисления решают, по крайней мере частично, все эти проблемы.

Облачный антивирус имеет две части: клиентскую и серверную. Клиентская (ее еще можно назвать «движком» антивируса), как и любое привычное ПО, устанавливается на конкретный компьютер, имея при этом минимальный размер и ресурсоемкость. Она занимается сканированием данных и отправкой контрольных сумм файлов в «центр» — на серверную часть, находящуюся в «облаках» (а точнее — на мощностях производителя защитного продукта). Там идет обработка присланных данных и выносится вердикт относительно их безопасности. Если файл оказывается вредоносным ПО, на клиентскую часть высылаются специальные скрипты («сценарии» работы компьютера), выполнение которых очищает ПК от вредоносных объектов или препятствует заражению.

Подобная схема работы не только снижает нагрузку на аппаратную часть ПК, но и существенно повышает защиту благодаря участию в системе безопасности всех пользователей, применяющих конкретный продукт (так называемый метод коллективного разума), что способствует своевременному обнаружению новых угроз и, как следствие, выпуску средств для борьбы с ними.

Но, как бы там ни было, угроза заражения все равно остается. Ежедневно появляются тысячи новых вредоносных программ, и если компьютер «подцепил» именно такую, то для анализа и лечения придется отправлять не только контрольную сумму файла, но и сам файл целиком. В этом-то и состоит одна из главных загвоздок использования подобного рода защиты в корпоративном сегменте, ведь политика конфиденциальности многих компаний включает и запрет на пересылку любых данных третьим лицам или организациям. В таком случае система попросту не будет работать так, как от нее требуется, и, следовательно, пользы от нее нет. Необходимость пересмотра существующих политик безопасности — едва ли не главный вопрос, ставящий под сомнение широкое внедрение облачных антивирусов в корпоративной сфере. Для домашних пользователей эта проблема не столь актуальна, зато перед ними встает другая. Не секрет, что многие вредоносные программы после заражения ПК блокируют доступ если не к Интернету целиком (скажем, по HTTP-протоколу, когда передача данных и распространение вируса с зараженного ПК идет, но сайты не отображаются), то к ресурсам антивирусных компаний. В таком случае «облачность» также теряет всякий смысл. Серверная часть продукта просто не получит данные от клиентской или не сможет их принять. Поэтому говорить о революции в сфере антивирусной безопасности пока рано. Скорее, мы наблюдаем эволюцию, причем довольно медленную — известные производители антивирусного ПО не стремятся делать акцент на «облачности», а постепенно внедряют те или иные модули, работа которых выносится в «облако», и смотрят на результат. Тем не менее тенденция налицо, и никаких оснований для ее сворачивания нет.

Щиты в ассортименте

Хотя те или иные облачные элементы уже давно присутствуют в популярных антивирусных продуктах, на данный момент существует всего несколько антивирусных приложений, полностью работающих в облачном режиме. Среди них единственное знакомое широкой аудитории украинских пользователей имя — Panda Cloud Antivirus. Продукт отличается не только аскетическим интерфейсом, но и полной автономностью работы — никаких настроек антивирусного сканера в Panda Cloud Antivirus нет. В остальном же это привычный антивирус без дополнительных модулей (родительского контроля, брандмауэра и подобных). Впрочем, одно неожиданное решение все же есть: если антивирусу не удалось самостоятельно справиться с угрозой, он выводит ссылку на веб-страницу, где подробно описано, как вылечить ПК. Есть у Panda и продукт для корпоративных пользователей — Panda Cloud Protection, позиционируемый как решение для малого и среднего бизнеса. Кроме всех возможностей, доступных для домашних пользователей облачного антивируса, этот сервис предлагает также надежную защиту корпоративной почты в «облаке», существенное снижение трафика и нагрузки на конечные узлы. Правда, опять-таки, многие компании наверняка не захотят давать доступ к своей корпоративной почте и другим данным. С другой стороны, ничто не мешает использовать сервис мелким фирмам, для которых проблема доступа посторонних к корпоративной информации не очень актуальна в силу малой стоимости этих данных. Естественно, в отличие от домашнего антивируса, за Cloud Protection придется платить.

Имена других полностью облачных антивирусов вряд ли что-то скажут украинскому пользователю, но это не значит, что их не стоит упомянуть. Выделить можно антивирус Immunet Protect, который рекомендуют использовать как дополнение к уже существующей на ПК системе безопасности (по данным на сайте производителя, около 40% пользователей применяют Immunet Protect совместно с другими антивирусами). Такой подход довольно интересен, ведь всем известно, что несколько антивирусов на одном ПК обычно плохо уживаются. Immunet Protect не вмешивается в работу уже установленных систем, а только проверяет ранее обработанные другими защитными программами данные и подчищает огрехи. Как и Panda Cloud Antivirus, этот продукт распространяется бесплатно.

А вот за другой малоизвестный у нас облачный антивирус — Prevx — придется выложить $35. Сумма, с одной стороны, небольшая, а с другой — за эти же деньги можно приобрести годовую лицензию на полноценный необлачный продукт. А учитывая, что украинские пользователи не любят платить за ПО (особенно если есть бесплатная альтернатива), вряд ли эта программа у нас приживется. Правда, в отличие от других «облачников», Prevx обладает довольно широкими возможностями: в программе есть настраиваемый эвристический анализатор, планировщик, модуль проверки файлов в режиме реального времени, плагин для браузеров, блокирующий опасные сайты, и целый ряд настроек, позволяющих «заточить» антивирус под себя.

Вперед, в «облако»?

Говорить о полноценной защите из «облака» пока еще рано. Лидеры рынка антивирусных продуктов хоть и внедряют подобные решения в свои разработки, но, скорее, как дополнительные способы обеспечения безопасности. А чисто облачные антивирусы пока что, во-первых, немногочисленны, а во-вторых, все же уступают по функциональности привычным стационарным (тут речь идет не столько о надежности защиты от вредоносного ПО, сколько о наличии дополнительных модулей). Но не стоит сомневаться, что рано или поздно сдвиг именно в сторону облачности таки произойдет: такая тенденция намечается уже сейчас. Поэтому не удивляйтесь, что однажды, через несколько лет, вы вдруг задумаетесь: «А в какой стране находится сервер, обеспечивающий без¬опасность моего ПК?»

Мнение эксперта компании ESET

Павел Демьяненко
Руководитель технической поддержки ESET в Украине

— Многие компании активно внедряют в свои решения облачные технологии. Различие может состоять лишь в том, что в разных антивирусных продуктах в «облако» выносятся разные модули. В линейке антивирусных продуктов компании ESET технологии, которые сейчас принято называть облачными, были реализованы еще около 5 лет назад. Например, технология раннего обнаружения угроз ThreatSense.Net, позволяющая пользователям в автоматическом режиме или вручную отправлять специалистам ESET новые подозрительные образцы для анализа. Таким образом, ThreatSense.Net предоставляет возможность отслеживать глобальные тенденции распространения вредоносных программ и закрывать уязвимости системы от «ноль-дневных» атак.

Что касается целевой аудитории подобных решений, то в качественной защите нуждаются все — домашние пользователи, малые и средние предприятия, корпорации. Для обеспечения эффективной и надежной защиты антивирусные решения должны использовать все современные методы, в том числе и облачные. Отличие между решениями для разных категорий пользователей состоит в том, что продукты для защиты информации корпоративных пользователей обладают дополнительными возможностями, такими как удаленное администрирование, защита почтовых и файловых серверов, а также интернет-шлюзов.

Мнение эксперта компании «Лаборатория Касперского»

Андрей Никишин
Руководитель лаборатории облачных и контентных технологий «Лаборатории Касперского»

— Технологии защиты в «облаке» активно используются уже несколько лет и показали свои громадные преимущества. К ним относятся высокая скорость выявления и блокирования новых угроз и источников их распространения, а также быстрота доставки обновлений и повышение качества защиты. Все это позволяет говорить о новом технологическом витке развития антивирусной индустрии.

В «Лаборатории Касперского» первые облачные сервисы появились в 2008 году (сервисы Kaspersky Security Network). В 2010 году мы значительно их расширили, добавив технологию Wisdom of the Crowd, помогающую определять опасность файла на основании его распределения по группам доверия среди участников Kaspersky Security Network. Также мы расширили сервис определения вредоносных доменов, страниц и файлов. В 2011 году список предлагаемых сервисов возрастет.

Однако облачные технологии не ограничиваются только этим. Преимущества «облака» заключаются еще и в том, что в нем можно скрыть от злоумышленников специфические средства детектирования, основанные на обработке содержания файла или потока, а также использовать мощные вычислительные ресурсы «облака» для углубленного анализа содержимого файла в контексте, в котором он пересылается в Интернете.

По этому принципу работает и другой набор сервисов, предоставляемый «Лабораторией Касперского»: KHSS (Kaspersky Hosted Security Services), основанный не просто на копировании части потока данных (по принципу KSN), а на полном перенаправлении потока сканируемых данных на инфраструктуру «Лаборатории Касперского». На сегодняшний день этот сервис в большей степени рассчитан на небольшие и средние предприятия с собственными почтовыми доменами, которым необходимо управлять веб-трафиком. Он полностью использует преимущества сервиса KSN, а также добавляет целый ряд уникальных методов защиты, позволяющих предоставлять клиентам повышенную надежность и защищенность.