1. Как вы оцениваете украинский рынок ПО для защиты от spyware? Как он изменился за последний год? Кто, по вашему мнению, является его лидером?
2. Кто является потребителем этих систем в Украине?
3. Какие виды лицензирования предпочитают легальные украинские пользователи?
4. Как будет развиваться этот рынок в Украине в ближайшем будущем?
 |
Рамиль Яфизов, системный инженер Symantec:
1 Однозначно на этот вопрос ответить нельзя, поскольку характер этих угроз постоянно меняется. Организаторы атак постепенно отказываются от крупных, многоцелевых атак, направленных против периметра сети, и всё чаще осуществляют небольшие, фокусированные атаки против клиентских систем. На общей ситуации безопасности будет сказываться появление новых типов угроз, таких как сети бот-модулей, настраиваемые модульные вредоносные коды, а также атаки, направленные против web-приложений и web-браузеров. Если раньше традиционные атаки организовывались из любопытства и желания атакующего проявить собственное техническое мастерство, то современные атаки во многих случаях объясняются стремлением получить выгоду. Зачастую организаторы атак пытаются действовать противозаконно, например, совершая акты вымогательства или мошенничества.
Компания Symantec ежегодно проводит исследование, на базе которого формируется отчёт об угрозах интернет-безопасности и в котором представлены наиболее распространённые угрозы, выявленные за определённый период. Кроме того, по результатам исследования компания оценивает вредоносную активность, для того чтобы, во-первых, наилучшим образом подготовить своих индивидуальных и корпоративных пользователей к ожидаемым проблемам в области интернет-безопасности и, во-вторых, составить представление о том, какие продукты и решения необходимо создать для полноценной защиты от различного вида угроз.
По результатам последнего исследования наиболее актуальными стали следующие угрозы:
Вредоносный код с целью получения прибыли
Одним из образцов подобной активности, обработанных Symantec за отчётный период, была вредоносная программа, которая загружала на скомпрометированную систему программное обеспечение для отображения рекламы (adware).
Компрометация конфиденциальной информации
Угрозы, направленные на компрометацию конфиденциальной информации, могут привести к существенными финансовым потерям, в особенности если речь идёт о данных кредитных карт или банковских реквизитов. Эти опасения становятся всё более тревожными по мере увеличения количества интернет-магазинов и развития интернет-банкинга. По данным отчёта Symantec, за период c 1 января по 30 июня 2005 года на долю вредоносного кода, компрометировавшего конфиденциальную информацию, приходилось 74% наиболее распространенных вредоносных программ, что выше по сравнению с долей 54% за предыдущие шесть месяцев.
Резкое увеличение числа модификацийвредоносного кода
За первую половину 2005 года Symantec зарегистрировала более 10866 новых модификаций вирусов и червей Win32, что на 48% выше по сравнению с 7360 вирусами, зарегистрированными во второй половине 2004 года. Кроме того, по сравнению с первой половиной 2004 года увеличение составило 142%: тогда было зарегистрировано всего 4496 единиц вредоносного кода. Резкое увеличение модификаций вирусов является важным показателем, поскольку каждая модификация вируса представляет собой новую, отдельную угрозу, от которой системные администраторы должны защитить подведомственные системы и информация о которых должна своевременно обновляться в антивирусных базах поставщиков антивирусного ПО. Знание этой тенденции очень важно, поскольку она свидетельствует об уходе от масштабных, рассредоточенных угроз, таких как рассылка в почтовых сообщениях червей, и переходе к использованию настраиваемого вредоносного кода, имеющего модульную структуру.
Увеличение активности бот-модулей
В течение первого полугодия 2005 года Symantec обнаруживала в среднем около 10 352 бот-модулей в день. Для сравнения, в декабре 2004 года этот показатель составлял 5000 в день. Symantec считает, что увеличение активности бот-модулей приводит к соответствующему увеличению атак типа “отказ в обслуживании”. Это может быть обусловлено финансовой мотивацией, поскольку зачастую DoS-атаки связаны с попытками вымогательства.
Вредоносный код для мобильных устройств
Число вредоносных программ для мобильных устройств в первой половине 2005 года продолжало увеличиваться. В марте был обнаружен первый червь, передаваемый при помощи мультимедийных сообщений Multimedia Messaging Service (MMS). В новых угрозах уже реализованы мощные возможности вредоносного кода для мобильных устройств, несмотря на то что в целом количество таких угроз относительно мало. Ожидается, что в ближайшем будущем ситуация изменится, поскольку мобильные платформы уже достигли определённой зрелости и в то же время широкое распространение получили средства связи, что обеспечило возможности для организации атак.
Существенно увеличилось количество обнаруживаемых уязвимостей
За период с 1 января по 30 июня 2005 года Symantec зарегистрировала 1862 новых уязвимостей. Это самая высокая цифра с того момента, как в отчёте об угрозах интернет-безопасности стали публиковаться данные об обнаруживаемых за шестимесячные периоды уязвимостях. 49% этих уязвимостей получили класс высокоопасных. 59% всех уязвимостей были связаны с технологиями разработки web-приложений. Эти уязвимости действительно являются особо опасными, поскольку обеспечивают организаторам атаки доступ к конфиденциальной информации баз данных без компрометации серверов.
Наибольшее количество уязвимостей было обнаружено в web-браузерах Mozilla
За первую половину 2005 года в браузере Mozilla было обнаружено 25 уязвимостей, признанных авторами этого браузера. Из них 18 получили класс высокоопасных. За тот же период было выявлено 13 признанных производителем уязвимостей в браузере Microsoft Internet Explorer, из которых восемь получили класс высокоопасных.
Рост фишинговой активности и спама
В первые шесть месяцев 2005 года продолжался рост фишинговой активности. За отчётный период Symantec блокировала 1,04 млрд. фишинговых атак. Для сравнения, за последние шесть месяцев 2004 года было заблокировано 546 миллионов фишинговых атак. Прирост заблокированных сообщений составил 90%. Таким образом, за период с 1 января по 30 июня 2005 года количество фишинговых сообщений в среднем возросло с 2,99 млн. сообщений в день до 5,7 млн. Одно из каждых 125 сообщений, просканированных системой Symantec Brightmail AntiSpam, было признано попыткой спама, что на 100% больше аналогичного показателя за вторую половину 2004 года.
2 Тенденции этого рынка находятся в прямой зависимости от проблем, связанных с его развитием. Учитывая, что темпы развития бизнеса только возрастают, компании скоро столкнутся с новыми проблемами, связанными с обеспечением безопасности, управлением и предоставлением доступа к информации. И эти проблемы надо решить с минимальными затратами, обеспечив защиту постоянно усложняющейся ИT-среды от растущего числа угроз. Чтобы облегчить решение этих проблем в будущем, компания должна создать такую устойчивую базовую ИT-инфраструктуру, которая будет сдерживать угрозы и смягчать последствия обнаружения точек уязвимости, позволит быстро восстанавливать работу в случае сбоя и более эффективно выполнять повседневные задачи. Для этого необходимо, чтобы такая инфраструктура объединяла в себе средства управления безопасностью, памятью, данными и приложениями.
Каких же принципов следует придерживаться при создании инфраструктуры, отвечающей современным требованиям к уровню готовности предоставляемых услуг и целостности информационных ресурсов? Обычно инфраструктура включает в себя различные устройства, операционные системы и приложения с разными требованиями к уровням готовности и безопасности, поэтому компании вынуждены использовать продукты нескольких поставщиков для решения широкого круга задач — начиная от предотвращения вторжений и проверки на соответствие политике безопасности и заканчивая управлением исправлениями, обеспечением высокой готовности, резервным копированием и восстановлением данных. Такая стратегия подразумевает внедрение и поддержку целого ряда независимых продуктов и служб, её реализация требует много времени и сил, а также больших затрат на управление.
Если же учесть, что многие необходимые продукты несовместимы друг с другом, а среди функций обеспечения безопасности не так уж легко выделить наиболее приоритетные, то получится, что подобные решения создают больше проблем, чем могут решить. Вот почему компания Symantec выбрала системный подход к созданию сбалансированного решения, все компоненты которого совместимы друг с другом. Он позволяет отобрать сотрудников, процессы и технологии, которые потребуются для обеспечения устойчивости всей инфраструктуры — начиная с систем хранения данных, серверов, важных приложений и сетевых шлюзов и заканчивая отдельными клиентами.
Конечно, картина угроз постоянно трансформируется, и каждый день предлагает новые “испытания на прочность”. В погоне за постоянным повышением эффективности работы, а также в связи с расширением круга заказчиков и партнёров будут эволюционировать и требования конкретного бизнеса.
Для того чтобы сохранить устойчивость инфраструктуры при высоких темпах развития, необходимо контролировать работу систем управления безопасностью и готовностью, адаптируя их к новым политикам. Компания Symantec предлагает продукты и услуги, которые позволяют оценить текущее состояние IT-инфраструктуры и адаптировать её практически к любой среде.
Керол Териаут, старший консультант по безопасности компании Sophos:
 |
Эксперты компании Sophos обозначили несколько наиболее опасных программ, существующих в “диком” виде. На протяжении нескольких последних месяцев первые места в вирусных рейтингах занимает Netsky-P. Это хорошо прижившийся вирус, который успешно атакует компьютеры с марта 2004 года. Его автор создал также и Sasser, вызвавший глобальную эпидемию в прошлом году. Microsoft даже предложила награду за достоверную информацию о его создателе, и два одноклассника Саймона Валлора, немецкого подростка, признанного виновным в написании Sasser и Netsky-P, получили $250000.
Сегодня наилучшим способом защитить себя от интернет-угроз является комбинация антивируса (способного выявлять вирусы, черви, трояны и шпионское ПО), антиспама и межсетевого экрана. Также важно удостовериться в том, что все продукты и сигнатурные базы обновлены.
2 С некоторых пор проблема ИТ-безопасности серьёзно обострилась, и компании стали уделять ей значительно больше внимания. Количество угроз растёт, и они становятся всё более изощрёнными. В связи с этим многие компании осознали, что их сети являются жизненно важной частью бизнес-деятельности. Руководители компаний также поняли, что гораздо выгоднее усилить информационный периметр, чем играть в русскую рулетку с информационными угрозами.
В качестве лидера рынка мы обязаны предоставлять пользователям наилучшие консультации по вопросам информационной безопасности. Нам необходимо постоянно следить за угрозами, чтобы удостовериться в правильности выбранного направления развития наших программных продуктов. Мобильным телефонам, например, некоторое время назад многие разработчики активно предрекали роль следующей жертвы вредоносных кодов. Сейчас же аналитики считают, что разработки в этом направлении — впустую потраченные деньги. Конечно, когда мобильные устройства станут более универсальными и лучше совместимыми с настольными операционными системами, эти взгляды придётся пересмотреть.
Кроме того, мы не только разрабатываем и предлагаем широкий выбор продуктов, которые позволяют компаниям бороться с угрозами. Мы сотрудничаем также с большим числом компаний, специализирующихся на предоставлении целостных решений для ИТ-безопасности.
Алексей Гребенюк, директор Центра технической поддержки “Доктор Веб":
 |
В последнее время наметилась тенденция смещения вектора усилий вирусописателей с почтовых и сетевых вирусов в сторону вирусов, распространяемых при помощи уязвимых web-приложений, основным из которых, безусловно, является Internet Explorer. Как следствие, значительно увеличилось число взломов слабо защищённых сайтов с целью размещения на них эксплойтов для IE и последующей установки троянских программ на компьютеры посетителей этих ресурсов.
Наиболее опасной тенденцией интернет-угроз является сочетание методов спам-рассылок, фишинга и фарминга. Самым действенным способом проникновения вируса даже в защищённую вычислительную систему является метод “социального инжиниринга” (фишинга). Атакующий старается привлечь внимание и, используя интересную для атакуемого тему, заставить его выполнить определённые действия, например:
• посетить сайт и ввести там какие-либо данные;
• скачать и запустить неизвестное приложение;
• открыть пришедший по электронной почте файл.
Наша компания реализует в своих продуктах защиту от различных видов вредоносного ПО:
• “классические” вирусы, троянские программы, черви;
• рекламные программы (Adware);
• программы-дозвонщики (Dialer);
• программы-шутки (Joke);
• потенциально-опасные программы, в т.ч. и шпионское модули (Spyware);
• программы — инструменты взлома (Hacktool).
Продукты компании “Доктор Веб” дают возможность создать полноценную 4-уровневую защиту (интернет-шлюз, почтовый сервер, файловый сервер, рабочие станции), которая позволяет перекрыть практически все известные источники проникновения вирусов в информационные системы.
Также ведутся разработки в области защиты от спама.
2 Сегодня уже можно констатировать, что антивирусные компании окончательно осознали: как бы часто они ни выпускали обновления вирусных баз, всё равно они остаются в роли догоняющего. Отсюда прямо вытекает необходимость реализации в антивирусных продуктах проактивной защиты — защиты без наличия сигнатуры вредоносного кода.
С другой стороны, производители антивирусов демонстрируют тенденцию объединить в одном продукте наряду с антивирусной защитой также межсетевой экран с системой обнаружения вторжений, и вдобавок ещё и систему фильтрации спама, модулей антифишинга и антифарминга. Идея понятна — выпустить продукт, реализующий комплексную защиту системы, т.е. решение вида “всё в одном”.
Важным направлением сегодня является и усиление роли компонента эвристического анализа для выявления новых вирусов и разновидностей уже известных без использования антивирусных баз.
Конечно, исходя из практического опыта, говорить о том, что продукты с проактивной защитой являются панацеей, пока рано, хотя, несомненно, само это направление является перспективным. Сочетание функций проактивной защиты с классическим сигнатурным анализом представляется наиболее оптимальным путём развития антивирусных продуктов
3 Спрос на рынке увеличивается, конкуренция, несомненно, будет расти. Поскольку наблюдается тенденция бурного роста новых видов и модификаций вирусов, а также увеличения доли вредоносных программ, эксплуатирующих различные уязвимости программного обеспечения, то успех в этом бизнесе будет принадлежать компаниям, поставляющим решения “все из одних рук”, в том числе и улучшенную техническую поддержку конечного пользователя.
Андрей Слободяник, директор представительства “Лаборатории Касперского” в Украине:
 |
Во-первых, может произойти потеря данных — вредоносная программ может удалить или модифицировать файлы. Если удалённые файлы довольно легко обнаружить и восстановить из резервной копии, то специальным образом модифицированные данные обнаружить довольно сложно. Во-вторых, данные могут быть переданы третьей стороне. Причем любые данные — номера кредитных карточек, пароли доступа и пр. В-третьих, заражённый компьютер может быть использован без ведома владельца для различных действий, в том числе и противоправных — рассылка спама, вредоносных программ организация DoS-атак и т.д.
Обезопасить систему от угроз можно, защитив пути возможного проникновения вредоносных программ. Проверяются сменные носители, файлы, скачиваемые из интернет или локальной сети, почтовые сообщения. Т.е. перекрываются все пути проникновения вредоносных программ.
2 Основная тенденция — “больше антивируса за те же деньги”. Другими словами, продукты стали более сложными и более функциональными, защищающими от большего числа угроз. Но стоимость новых продуктов не увеличивается. Пример такого рода конвергенции — новые продукты “Лаборатории Касперского": Kaspersky Security 5.5 for Microsoft Exchange Server 2003 и Kaspersky Mail Security. Оба эти продукта объединяют в своем составе антивирус и спам-фильтр. Другой хороший пример — Kaspersky Internet Security 2006. Это новый продукт “Лаборатории Касперского”, предназначенный для домашних пользователей. Kaspersky Internet Security объединяет в своем составе антивирус, антиспам, сетевой экран, модуль проактивной защиты, систему предотвращения вторжений и систему защиты от потенциально опасных программ (spyware).
Другая важная тенденция — разработка различных методов проактивной защиты (не требующих частого обновления). В линейке “2006” мы представим специальный модуль проактивной защиты.
3 Выступления топ-менеджмента основных игроков ИT-индустрии, и в первую очередь Microsoft, Intel, Google, HP, позволяют сделать определённый прогноз. Если кратко очертить основные штрихи будущего ИT-индустрии, можно выделить три магистральных направления развития.
Во-первых, мобильность. Большинство сотрудников корпоративной среды будут иметь ноутбуки и работать там, где это удобно и необходимо. При этом, естественно, будет поддерживаться связь с офисом и коллегами. Мобильность персонала должна обеспечиваться доступом к средствам передачи данных в любой точке Земли (и даже под землёй — в метро, и в воздухе — при перелётах). Использование ноутбука станет далеко не обязательным — широкое распространение получат PDA и смартфоны, которые значительно превзойдут своих нынешних собратьев как по производительности, так и по мультимедийным возможностям.
Во-вторых, гораздо шире распространятся различные web-сервисы, позволяющие получать необходимую и актуальную информацию независимо от местонахождения точки запроса. Буквально пять лет назад идеи создания подобной системы казались утопическими. Тогда сообщество, каналы интернета и компьютерная техника были просто не готовы к тотальной информатизации всех сфер жизни. Сегодня же это — реальность.
И третье — цифровой дом. Я уверен, что в недалёком будущем место привычного телевизора и DVD-проигрывателя займёт цифровой центр развлечений.
