Этап 1. Сигнатурный метод
Классический вариант антивирусной защиты, который, между прочим, и сегодня является основной технологией в 80% антивирусов, предполагал наличие у продукта баз сигнатур вредоносных программ, которые создавались и пополнялись вручную вирусными аналитиками. При выявлении нового зловреда основной задачей вирусной лаборатории являлось оперативное изучение угрозы, добавление записи о ней в сигнатурные базы и обновление этой базы на компьютерах пользователей.
Рисунок ниже показывает жизненный цикл антивирусной записи: от появления угрозы на ПК пользователя до ее добавления в записи вирусных баз.
Весь процесс добавления антивирусной записи в базы продукта занимал от нескольких часов до нескольких дней, в зависимости от массовости и распространённости угрозы. Таким образом, именно скорость реагирования АВ-лаборатории являлась одним из определяющих факторов в качестве защиты по сигнатурному методу.
В начале 90-х годов антивирусные базы самых мощных антивирусов составляли несколько десятков тысяч вирусов (кстати, сегодня антивирусные компании обрабатывают такое же число образцов вредоносных файлов каждый день). Однако вирусы постоянно модернизировались, средняя продолжительность жизни троянской программы сократилась до 1-2 дней. Это привело к тому, что вендоры начали массово добавлять в базы уже не актуальные угрозы. Количественные и качественные изменения вредоносов вынудили разработчиков искать альтернативные технологии защиты.
Этап 2. Эвристика
В середине 1990-х производители сделали ставку на эвристический анализ, при котором антивирус путем исследования частей кода файла пытался выявить вредоносную программу, которой еще нет в базе. Однако данный способ не стал панацеей, так как создание вирусов перешло из области забавы в серьезный бизнес. Функционал вредоносных программ перестал быть сугубо вирусным и зачастую совпадал с функционалом обычных программ на компьютере пользователя. Появилось большое количество видов зловредов, которые в классическом понимании этого слова уже не были вирусами.
Дело в том, что рекламные модули, черви, трояны зачастую выполняют стандартные пользовательские функции: отправляют почту, открывают страницы, загружают файлы, устанавливают программы, запускают новые процессы, копируют файлы на флэшки. Но аналогичные действия выполняет и сам пользователь. Как следствие, эвристика помогает обнаружить только каждый пятый вирус.
Этап 3. Поведенческий анализатор
Своеобразным прорывом в антивирусной защите после 2005 года стало включение в антивирусы поведенческого анализатора – сложного модуля, который анализирует действия каждой запущенной программы, и в случае подозрительной активности может ее заблокировать.
Уровень детектирования антивирусов с включением данной технологии в комбинации с классическим сигнатурным анализом и эвристикой значительно вырос, но, как показала практика, проблему со стремительным ростом количества угроз и качественным их видоизменением это не решало.
Еще одним недостатком данной технологии является то, что не всегда можно восстановить последствия работы вредоносной программы, которая была выявлена уже в процессе взаимодействия с системой, например, кражу личных данных. К тому же хакеры, зная специфику работы конкретных поведенческих анализаторов, научились их достаточно легко обходить.
Этап 4. Облачный антивирус
Следствием полного доминирования всемирной паутины в обмене информацией стало использование популярных облачных технологий антивирусной защиты. Испанские разработчики популярного некогда в Украине Panda Antivirus вообще называют его «облачный антивирус».
Суть технологии облачной антивирусной защиты сводится к следующему: анализ файлов пользователя происходит не на компьютере пользователя, а на серверах производителя антивируса. Антивирус постоянно запрашивает у «облака» оценку файла, а каждый новый файл, добавленный в систему, передает для проверки на свои сервера.
Данная технология позволила существенно ускорить работу антивируса, снизив нагрузку на оперативную память и убрав необходимость загружать антивирусные базы непосредственно на компьютер. Другими словами, для анализа на предмет вредоносности того или иного файла в системе антивирус использует мощности серверов компании, а не пользовательского ПК. Все, что вам необходимо иметь – это надежное и скоростное соединение с Интернет.
Данная технология не лишена недостатков, во-первых, на серверы разработчика передаются абсолютно все файлы, и, хотя производитель заявляет о том, что файлы проходят проверку только на предмет вредоносности, вряд ли вы захотели бы доверять кому-либо конфиденциальную информацию. Во-вторых, согласно последним данным, трафик по каналу SSL, используемый в облачных технологиях, может быть перехвачен, а значит, файлы пользователя могут быть также скопированы злоумышленниками в момент передачи на анализ в облако.
Этап 5. Репутационные технологии
В 2011-2012 годах ведущие разработчики антивирусов заявили о создании технологии антивирусной защиты, которая должна была стать будущим индустрии в целом. Суть технологии в том, что пользователи самостоятельно определяют, безопасен файл (сайт) или нет, оценивая его и видя результаты предыдущих голосов.
Понимая, что пользователь не является экспертом, ему задают уточняющие вопросы касательно того, сам ли он запускал эту программу, скачивал ли он ее и т. д.
По задумке разработчиков антивирусов, даже если пользователь будет доверять файлу или приложению, а оно окажется вредоносным, поведенческий анализатор сможет определить это, подключенная система доступа к облаку отправит подозрительный код в лабораторию и через считанные минуты запись будет добавлена в базы, что обезопасит безопасность других пользователей. Это и есть, по мнению специалистов, актуальный рецепт безопасности сегодня.
Репутационные технологии практически идеально подходят для мобильных устройств, так как всю информацию в них мы получаем из сети, а сами устройства являются монолитной системой.
Главным недостатком репутационных технологий является то, что они не позволяют лечить файлы, а могут только проверить их. Это неприемлемо в случае заражения ПК файловыми вирусами типа Sality, когда тысячи файлов на ПК просто нужно вылечить.
Кроме того, репутационная технология не позволяет бороться с вирусами, которые инфицировали компьютер с флеш-накопителя, особенно если ПК не был подключен к Интернету. Теоретически хакеры могут провести своеобразный репутационный флэш-моб с помощью заранее созданных и контролируемых аккаунтов, задавшись целью отметить определенный файл или сайт как безопасный.
Панацеи не существует…
Практически все представленные технологии являются взаимодополняющими, никакая из них не является самостоятельной и не способна в одиночку защитить ПК пользователя. К примеру, Panda Antivirus создала в свое время сугубо облачный антивирус, однако этот коммерческий продукт провалился на рынке, так как не смог надежно защитить пользователей.
Что касается самых последних вызовов антивирусной индустрии, то по данным компании Symantec, мирового лидера технологий защиты в сети, современные зловреды в большинстве своем атакуют не более 20-ти пользователей, после чего изменяют свой код, что усложняет их детектирование.
Антивирусной индустрии еще предстоит найти не один рецепт противодействия мошенникам. При этом следует понимать, что абсолютной панацеи от всех угроз пока нет, и новые технологии не могут полностью заменить классическую работу вирусных аналитиков.
Автор статьи — технический директор украинской антивирусной лаборатории Zillya
