Кто они, «комбайнеры» антивирусного фронта?

На сегодняшний день становится очевидным, что компании-лидеры рынка безопасности стараются сделать свои продукты универсальными и «фаршируют» их все большим количеством сходных функций. История цивилизации говорит о том, что потребители стремятся к упрощению быта. Как в домашнем хозяйстве посудомойки и стиральные машины стали «must have», так и средства защиты ПК представляют собой насущную необходимость, поскольку с развитием Интернета и общей компьютеризацией за монитором компьютера появляется все больше неспециалистов и просто неопытных пользователей. Рассмотрим основных игроков, представленных на рынках России и Украины, и варианты комбинированной защиты, которые предлагают зарекомендовавшие себя компании.

Мы рассматриваем рынок решений для защиты персональных компьютеров под управлением ОС Windows — системы, которая по-прежнему является мировым лидером по числу эксплуатируемых уязвимостей. Сейчас на рынке представлено несколько десятков антивирусных вендоров, из которых 15 контролируют более 90% рынка (по отчету OPSWAT).

Итак, как выбрать себе «комбайн» для защиты все еще нужного нам ПК — домашнего ПК, ноутбука или нетбука?

1. Эволюция комплексов антивирусной защиты

Для начала отметим несколько исторических фактов. Технологическая основа у современных комплексных антивирусных продуктов неодинакова и зависит от их «корней». Откуда же «растут ноги» продуктов технологических лидеров?

Антивирусы. Посмотрим, во-первых, на известных в России производителей Kaspersky Lab, Symantec (бренд Norton), а также их основных мировых конкурентов McAfee, Trend Micro, Panda Software (ныне Panda Security). Как известно, они начинали с файловых антивирусов еще в конце 80-ых – начале 90-ых. Затем «антивирусники» добавили к своим продуктам защиту от вредоносных и нежелательных посланий файлов в почте – почтовые антивирус и антиспам (во многих случаях – путем присоединения компаний или разработчиков).

Так «антивирусники-консерваторы» вывели свои продукты на уровень «Защита файлов и почты» (Antivirus Pro/Plus/+Antispam). Затем пришла пора «подтянуться» и в плане защиты от шпионского ПО, что уже делали нишевые компании (Spybot Search & Destroy, Lavasoft с их Ad-Aware и Agnitum с их Tauscan – все они успешно работали на рынке ПО к началу нынешнего века).

Не будем останавливаться на классических антивирусных сканерах вышеуказанных продуктов, все они включают в себя сканеры почты, файлов и USB. Антивирусы опираются в основном на точное соответствие известным злонамеренным программам, сигнатуры которых хранятся в базе данных. Впрочем, иногда они "ловят" и новые вирусы, которых в базе нет, используя эвристические алгоритмы, а с 2009 года еще и «уходят в облако» – облачные вычисления позволяют вычислить вирус по распространенности на ПК пользователей продукта. (Строго говоря, слово "эвристический" здесь означает возможность идентифицировать неизвестный вирус на основании неких характерных признаков - например, кода, использующего известную "дыру" в операционной системе или приложении. На практике в эвристических алгоритмах поиска вирусов используются различные "нечеткие" схемы распознавания новых модификаций уже известных вирусов с использованием их общих признаков – например, зная признаки вируса Netsky.gen, можно "отловить" его новые варианты вроде Netsky.R.)

Брандмауэры. Во-вторых, на «полюсе сопротивления» угрозам безопасности ПК – продукты ZoneAlarm и Outpost, достаточно популярные в среде неравнодушных к сетевой безопасности пользователей. Продукты компаний ZoneLabs и Agnitum, которые появились в 1999 году, стали известны к 2001-2003 годам. Основой их продуктов стали firewall и anti-spyware (антишпион), затем усиленные HIPS (системой предотвращения вторжения, одним из столпов современной проактивной защиты). Наличие антишпиона в firewall-решениях в то время стало прорывом, т.к. антивирусные компании долгое время не обращали внимания на spyware и adware (шпионское и рекламное ПО), борясь против инфицирования и повреждения в первую очередь файлов и почты пользователя. Эти же компании использовали такой вариант продвижения, как выпуск бесплатных решений класса Firewall Free, которые неплохо увеличили базу пользователей и узнаваемость марок компаний.

Поведенческий анализ. В-третьих, с изменением характера угроз, задачи сохранения целостности системы и установленных программ стали выходить на первый план, и в продукты, названные Firewall, практически первыми на рынке были внедрены модули проактивной (превентивной) защиты класса HIPS для анализа поведения ПО, зачастую требующие участия пользователя в предотвращении нелегитимных действий активных программ. Производители отдельных HIPS, кроме относительно свежего (2005 года выпуска) продукта Safe’n’Sec, популярности не снискали. А вот в варианте ZoneAlarm основная часть HIPS достаточно логично названа "OS firewall” (т.е. «Защита системы»). Последняя же версия Outpost именует подобный модуль еще логичнее – «Проактивной защитой». Функционал этого модуля, как ни странно, наиболее насыщен в случае Outpost – сейчас там присутствует и «Защита ОС», и «Защита приложений», и «Защита папок и реестра», и аналитические инструменты а-ля FlieMon/RegMon известного Марка Руссиновича.

«Веб-контролеры». В-третьих, средства защиты работы в Сети включили постепенно добавляемые модули: веб-антивирус (защиту от вредоносного кода на веб-страницах), защита онлайн-банкинга, блокировка сайтов и рекламы по «черным спискам» ключевых слов и адресов (особо любимую пользователями Outpost). Эти модули переросли в «родительский контроль» в большинстве современных защитных продуктов.

Другие функции, например, защита Интернет-канала (в локальной сети Ethernet или в беспроводной сети Wi-Fi/EDGE/GPRS/3G) от перехвата данных в результате атаки «человек посредине» (man-in-the-middle), были реализованы еще в Firewall-модулях.

«Комбайнеры». С изменением характера угроз на более поздних этапах в районе 2004-2006 гг. в продукты лидеров антивирусного направления были также включены брандмауэр (персональный сетевой экран, он же firewall), средства поведенческого анализа и защиты системы плюс «все в нагрузку» для защищенной работы в Интернет.

В итоге в 2005-2008 годах произошел переход основных производителей в этих нишах от концепции Antivirus Pro/Firewall Pro к выпуску комплексной защиты класса Internet Security Suite – они стали полноценными «комбайнами». Производителям Firewall-решений, имеющим на руках лишь свои anti-spyware и веб-антивирусы, пришлось лицензировать антивирусные модули у ведущих компаний – и вгрызаться в этот рынок, попутно поддерживая второстепенный продукт класса Antivirus. Но на Интернет-комплексах защиты эволюция продуктов для безопасности ПК не остановилась. Началась гонка вооружений в новых областях повышенного внимания киберпреступников, таких, как борьба с неизвестными угрозами и виртуализация. Это привело к добавлению «полезняшек» для «бесшумной» защиты класса Total Security. Об этом – главы 3 и 4.

2. …среди бегущих первых нет… А отстающих?

Среди самых популярных антивирусов мира далеко не все те бренды, что были упомянуты в главе 1 (за исключением, разве что, Norton). Отдельно взглянем на эволюцию производителей «бесплатных антивирусов» – самых известных брендов антивирусного мира AVG (ранее Grisoft), Avast (ранее ALWIL Software), Avira (AntiVir) – компаний, имеющих более 15 лет истории разработки. Практически идентичны их бизнес-модели (Freemium – монетизация бесплатных продуктов), с той лишь разницей, что AVG единственная из этой тройки покупает чужие технологии и не лицензирует свой антивирусный механизм сторонним разработчикам.

При этом схема монетизации «бесплатников» проста: из решения Antivirus Free, бесплатного и доступного лишь для использования дома, перевести пользователя на платную версию для дома или доступную только за деньги версию для офисного ПК или сервера, а с появлением Internet Security Suite – предложить переход на продукт этого класса.

Тем не менее, эти компании лишь к 2007-2008 году доросли до выпуска первых продуктов класса Internet Security Suite. Но «большая тройка» АВ-«халявы» до сих пор достигла лишь весьма сомнительных успехов в отношении«неосновных» компонентов защиты. К сожалению, данные решения не достигают высот в тестах самозащиты продуктов и не включают в себя HIPS – компонент, фактически ставший отраслевым стандартом. И это несмотря на то, что их продукты класса Internet Security выпускаются уже давно.

Кроме того, на текущий момент и достаточно популярные в русскоязычных регионах Eset Nod32 и Dr.Web, как это ни странно, не имеют полноценного «комбайна» в составе своих решений классов Internet Security Suite – их брандмауэры, несмотря на некоторый опыт внедрения в продукты Smart Security/Security Space (1-2 года), пока еще не доработаны в полной мере и слабы в сетевой защите, а HIPS-защита ПК от проникновения неизвестных угроз лишь декларируется в планах разработчиков. С другой стороны, некогда нишевые игроки рынков firewall и anti-spyware, соответственно, выпускают решение класса Internet Security – в одном неплохи HIPS и firewall, но с антивирусом, который пока не оправдал возлагаемых на него надежд; в другом, несмотря на название Internet Security, есть лишь антивирусные модули: антивирус + антишпион + антируткит.

Однако не стоит забывать, что в типичной ситуации на ПК изначально устанавливается бесплатный продукт – до первых значительных потерь и миграции на платный продукт (нередко меняется и операционная система). Мы рекомендуем исключить комплексные решения от вышеупомянутых производителей из рассмотрения до явных сигналов об улучшении их качества.

Где и как проверить (тесты): 1, 2, 3, 4.

3. «Выживают только параноики»

С момента выхода Windows Vista вирусы становятся все сложней, сочетают в себе различные способы распространения и заражения, используют анти-отладочные алгоритмы и шифрование, что требует нового подхода к лечению вирусов.

Технологическое покрытие файловых и системных операций ОС после выхода Windows Vista SP1 лидерами антивирусной отрасли к 2008 году достигло своего пика, и усиления функционала уже потребовал не столько сам технический характер угроз, сколько пользовательские предпочтения. Оказалось, что при необходимости бороться с руткитами и буткитами, которые внедряются глубоко в ядро системы (или даже в загрузочный сектор ОС), внедрение анти-руткита в основной защитный продукт класса Internet Security чревато проблемами для подавляющего большинства пользователей. Несмотря на этот риск, антируткиты частично были внедрены в продукты ряда вендоров в 2009 году.

С выходом Windows 7 основной акцент в безопасности ПК переносится с защиты гораздо ОС (которая теперь стала существенно надежнее) на защиту широко распространенных уязвимых приложений (браузеров Internet Explorer и Mozilla Firefox, проигрывателей Adobe Flash и Apple QuickTime, ;программ семейства Adobe Acrobat). По этой причине к 2010 году стал популярен вариант запуска сеансов Интернет-подключений в «песочницах» (sandbox) антивирусных продуктов, что сделало более безопасным Интернет-серфинг, но не уберегло от добровольной отсылки данных в Интернет.

Сканеры уязвимостей ПО, до этого представленные отдельными продуктами, например, PCI от Secunia, были лицензированы и встроены в комбайны Internet Security.

4. Встречным курсом до Backup-а, данные – прочь от сатрапа?

Ну, а на фоне титанических усилий по борьбе с киберпреступностью маркетингу гораздо важнее оказалось внедрение функционала по защите данных от утраты и сохранения их приватности:

— резервное копирование (в основном в виде Online backup – синхронизации на Интернет-серверы компании с бесплатной нормой около 2Gb на пользователя) – функция особенно популярна при вынесении серверов за юрисдикцию родной страны,

— блокировка доступа к файлам и папкам (например, в Outpost) и/или шифрование их содержимого (выпускаемое всеми вендорами в виде отдельной платной утилиты – например, Kaspersky CryptoStorage/ZoneAlarm DataLock),

— защита Интернет-переписки и личных идентификационных данных от доступа/кражи.

Последним ходом стали такие функции, как донастройка и обслуживание системы – проведение дефрагментации и управление автозапуском, все-таки имеющие отношение к безопасности данных... В итоге с 2008 года в этой нише обосновались продукты класса Total Security – Norton 360 (уже в 4-ой версии), McAfee Total Protection, в 2009 подтянулся ZoneAlarm Extreme Security, слабоватые на этом фоне Total/Global Security-решения от BitDefender и Panda. Лишь в 2010 году стартовали продажи Kaspersky CRYSTAL (на западе – PURE) и Trend Micro Maximum Security.

Немногие компании со смежных рынков ПО решились выйти на самый конкурентный антивирусный рынок. Но сегмент ПО для сохранности данных и настройки ПК в конце 2009 года показался слишком мал для компании Acronis, вышедшей с решениями Antivirus/Internet Security/Total Security от BitDefender под своей маркой.

5. Кому «вкалывать на комбайнах»?

В итоге можем дать рекомендации по выбору комплексной защиты: идеально, если в финале у вас останутся «на прицеле» 2-3 продукта. А далее – на выбор по типу и длительности лицензий: Panda Security предлагает лицензии от 1 месяца до 2 лет (разумеется, цена 1-месячного использования коротких лицензий при этом в несколько раз выше, чем при покупке), остальные компании охотно лицензируют «комбайны» на 6, 12 и 24 месяца. Количество защищаемых по 1 ключу ПК – 1, 2, 3, 5 в зависимости от вендора и типа лицензии. Цена – от 950 до 2100 рублей за Internet Security, от 1600 до 2500 рублей – за Total Security-продукт.

Основные продукты класса Internet Security Suite являются минимально необходимыми. Ваше дело – решать, обязателен ли Online Backup и настройка системы, и в каком режиме комфортнее работать – при высокой автоматизации решения или все-таки в интерактивном режиме с максимумом настроек.