Antywirus z wartością dodaną

Pakiety do ochrony stacji roboczych to bardzo popularna kategoria oprogramowania, a swoje rozwiązania oferuje kilkudziesięciu producentów (w Polsce kilkunastu). W 2012 r. sprzedaż zwiększała się w niewielkim tempie (ok. 4 proc. w porównaniu z poziomem z 2011 r.). Głównym motorem wzrostu jej wartości jest wzrost popularności droższych pakietów. Analitycy przewidują, że w bieżącym roku wzrost sprzedaży utrzyma się na zbliżonym poziomie.

Na rynku rozwiązań antywirusowych można wyróżnić kilka segmentów – przede wszystkim produkty konsumenckie oraz korporacyjne. Większość dostawców ma rozwiązania dla obu tych grup odbiorców, ale wykorzystują one wspólny silnik antywirusowy. Zasadniczą różnicę stanowią możliwości centralnego zarządzania w rozwiązaniach dla korporacji. Oprócz produktów do ochrony stacji klienckich, oferowane są również rozwiązania do ochrony serwerów i filtrujące ruch sieciowy, np. na styku infrastruktury lokalnej z Internetem.

Bezpieczeństwo w pakiecie

Oprogramowanie antywirusowe coraz rzadziej funkcjonuje jako pojedyncza aplikacja. Szczególnie w segmencie konsumenckim są to pakiety zawierające spory zestaw narzędzi typu Internet Security (antywirus, filtr antyspamowy, program antyszpiegowski, zapora sieciowa, system lokalnego wykrywania włamań, szyfrowanie plików i dysków, zapobieganie wyciekowi danych).

Podobny trend występuje również w obszarze rozwiązań korporacyjnych, gdzie zyskują na znaczeniu zintegrowane pakiety i urządzenia UTM (Unified Threat Management). Warto o tym pamiętać, ponieważ według ostatnich badań Gartnera aż 53 proc. ankietowanych używa narzędzi pochodzących od jednego producenta lub jest w trakcie ujednolicania stosowanych rozwiązań. Producenci kładą silny nacisk na integrację swoich systemów zabezpieczających, co upraszcza zadania związane z zarządzaniem. Ostatnio istotnym uzupełnieniem pakietów do ochrony stacji roboczych stały się narzędzia MDM (Mobile Device Management), a klienci z reguły podejmują w jednym momencie decyzję zakupu dwóch produktów: pakietu antywirusowego i narzędzi MDM.

Rynek korporacyjny

Według raportu Gartnera ze stycznia 2013 r. globalny rynek rozwiązań korporacyjnych jest zdominowany przez trzy firmy: Symantec, McAfee oraz Trend Micro. Łącznie zgarniają one 68 proc. przychodów. Wśród liderów znajdują się jeszcze: Sophos oraz Kaspersky Lab. Do tej piątki należy 85 proc. rynku. Nowym graczom trudno przejąć udziały liderów, ale spełniają ważną rolę – zmuszają ich do inwestowania w rozwój produktów oraz utrzymywania cen na racjonalnym poziomie. Raport Gartnera nie uwzględnia niszowych producentów, którzy mogą mieć znaczące udziały w lokalnych rynkach, jak np. polski ArcaBit.

Największe szanse na dołączenie do czołówki ma Microsoft, przede wszystkim dzięki atrakcyjnym cenom licencji korporacyjnych. Około jednej trzeciej potencjalnych klientów deklaruje, że rozważa zakup oprogramowania antywirusowego tej firmy. Jednakże zbyt wolny rozwój tych produktów, brak jednego zintegrowanego interfejsu zarządzania narzędziami zabezpieczającymi oraz nie najlepsze wyniki testów (m.in. AV-Test) opóźniają popularyzację rozwiązań Microsoft do ochrony stacji roboczych.

Rynek konsumencki

Firma Opswat w grudniu 2012 r. opublikowała dane dotyczące konsumenckiego oprogramowania antywirusowego do Windows. Z raportu wynika, że ten rynek wygląda zupełnie inaczej niż korporacyjny, jeśli chodzi o udziały poszczególnych producentów. Co istotne, w tym przypadku nie mówimy o udziałach w przychodach ze sprzedaży, lecz o udziale w łącznej liczbie użytkowników – wynika to z dużej popularności bezpłatnych rozwiązań. Największe udziały ma Avast (17,5 proc.), któremu po piętach depcze Microsoft (16,8 proc.). Kolejne miejsca zajmują: ESET, Symantec i Avira. W sumie dziesięciu pierwszych producentów ma prawie 90 proc. rynku.

Bardzo ciekawie przedstawia się zestawienie najpopularniejszych antywirusów, które nieco odbiega od listy największych producentów. W pierwszej piątce są aż cztery produkty bezpłatne (Microsoft Security Essentials, avast! Free Antivirus, Avira Free Antivirus oraz AVG Anti-Virus Free Edition), o łącznym udziale na poziomie ok. 45 proc. Na czwartym miejscu, z udziałem 6,8 proc., znalazł się ESET NOD32 Antivirus. Natomiast tak znane marki, jak Norton Internet Security czy McAfee VirusScan, mają udziały wynoszące poniżej 4 proc.

 

Łukasz Nowatkowski

 

dyrektor techniczny i członek zarządu G Data Software

W przypadku pakietów ochronnych bardzo popularne są elektroniczne licencje ESD. Wiąże się to z koniecznością ciągłej aktualizacji oprogramowania ze względu na konieczność uaktualniania baz sygnatur czy też rozwiązań ochronnych zdolnych zatrzymać nowe zagrożenia. Ale nie sądzę, żeby elektroniczna dystrybucja mogła stanowić zagrożenie dla resellerów. Uważam, że raczej jest to szansa na poprawę wyników naszych partnerów niż zagrożenie.

 

Michał Iwan

 

Country Manager F-Secure Polska

Wydatki segmentu biznesowego w Polsce na IT po kryzysie w 2009 r. stabilnie wzrastają. Mimo to w ubiegłym roku wyraźnie można było dostrzec ich przyhamowanie. Przyszłościowym kierunkiem dla branży będzie w związku z tym oferowanie tzw. outsourcingu zabezpieczeń, np. w małych firmach, nieposiadających środków na własny dział IT. Wystarczy zlecić nadzór nad bezpieczeństwem zewnętrznym fachowcom, którzy mogą zdalnie pokierować polityką bezpieczeństwa w firmie.

Elektroniczna dystrybucja

Na rynek oprogramowania antywirusowego ma wpływ również sposób jego dystrybucji. Coraz mniej jest na nim fizycznych produktów, ponieważ większość sprzedaży jest obecnie realizowana w formie czysto elektronicznej – klient pobiera z sieci plik instalacyjny, a klucz licencyjny otrzymuje na konto e-mail bądź inną drogą. Jednak taka zmiana raczej nie powinna stanowić zagrożenia dla resellerów. Producenci nie będą ich pomijać, oferując swoje produkty bezpośrednio klientom.

Jeżeli reseller dobrze wykonuje swoją pracę, ma zwykle grono oddanych klientów, którzy chcą być obsługiwani właśnie przez niego. Co więcej, producenci oraz dystrybutorzy, w ramach systemów ESD (Electronic Software Distribution) dają możliwość integracji (przez API) tych mechanizmów ze sklepami internetowymi swoich partnerów. Klucze generowane są bezobsługowo podczas składania przez klienta zamówienia na stronie tak zautomatyzowanego sklepu. To bardzo wygodne rozwiązanie zarówno dla resellerów, jak i producentów, gdyż gwarantuje bardzo szybki obieg informacji, błyskawiczną realizację zamówień i redukcję kosztów magazynowych.

Rewolucja technologiczna

Na tym dojrzałym rynku antywirusów obserwujemy w ostatnich latach poważne zmiany technologiczne. Wymusza je gwałtownie rosnąca liczba wykrywanych złośliwych kodów i wirusów, co powoduje, że rozwiązania bazujące na sygnaturach stają się nieefektywne. Żeby przeciwdziałać tym zjawiskom, opracowano nowe sposoby działania systemów antywirusowych, m.in. analizę heurystyczną. Poza tym stosuje się innowacyjną architekturę, składającą się z agenta antywirusowego oraz chmury obliczeniowej. Zadaniem agenta jest wyszukiwanie nowych plików i przesyłanie ich hashów do centrum obliczeniowego w chmurze, co pozwala na natychmiastową analizę oraz przesłanie informacji zwrotnej do urządzenia. Wprowadzono technikę opartą na analizie zachowania nieznanych plików, które są sprawdzane w bezpiecznym środowisku typu sandbox na urządzeniu. Stosuje się również mechanizmy umożliwiające wykonywanie kodu przy jednoczesnym zapisywaniu dokonywanych modyfikacji plików, kluczy rejestru, pamięci, co zapewnia podgląd efektów „przed” i „po” oraz przywrócenie systemu do ostatniego dobrego punktu.

– Zastosowanie tego rodzaju techniki zapewnia uzyskanie ogromnej poprawy efektywności oprogramowania antywirusowego i pozwala spojrzeć na rynek takich  rozwiązań jako jeden z tych, które czeka ogromna zmiana i wielkie inwestycje w nowe technologie w najbliższej przyszłości – twierdzi Krzysztof Hałgas, dyrektor zarządzający firmy Bakotech.

Znaki szczególne

Gdy porównamy najważniejsze funkcje, szybko dojdziemy do wniosku, że pakiety ochronne są bardzo do siebie podobne. Producenci jednak starają się wyposażyć swoje oprogramowanie w unikalne możliwości. ESET chwali się zastosowaniem zaawansowanych metod analizy heurystycznej, co przekłada się na skuteczność w eliminowaniu nieznanych jeszcze zagrożeń. Poza tym producent jest obecnie jedynym zagranicznym dostawcą w branży antywirusowej, który ma laboratorium w Polsce – w Krakowie analitycy ESET badają zagrożenia, ale również współtworzą sam silnik skanujący.

Wyróżnikiem antywirusa oferowanego przez G Datę jest wykorzystanie dwóch skanerów do wykrywania zagrożeń. Zawiera także specjalne rozwiązanie, które zapobiega nadmiernemu obciążeniu komputera, do czego może dojść, gdy pracują dwa skanery jednocześnie.

Z kolei twórcy ArcaVira chwalą się rozbudowanym modułem do zarządzania
instalacjami pakietu w sieciach, który poza funkcjami związanymi bezpośrednio z pakietem, daje administratorom kontrolę nad zasobami sieci i poczynaniami użytkowników. Ponadto producent może niemal dowolnie modyfikować zachowanie programu, zgodnie z życzeniem klientów (przykłady zrealizowanych modyfikacji to dodawanie nowych opcji w module zarządzania oraz zmiana brandowania produktu).

Symantec stawia na stabilność rozwiązania oraz wielopoziomową ochronę. Jeśli zagrożenie nie zostało rozpoznane przez jeden mechanizm, uruchamiany zostaje kolejny. Przykładowo, po skanowaniu silnikiem antywirusowym oraz analizie heurystycznej sprawdzana jest reputacja danego pliku w Internecie (dotyczy tylko przypadków pobierania nowych plików).

Z kolei pakiety ochronne F-Secure wyposażono w moduł Software Updater pozwalający użytkownikowi kontrolować bądź w pełni zautomatyzować aktualizacje oprogramowania zainstalowanego w komputerze, takiego jak Java, Acrobat Reader i Flash, popularne przeglądarki internetowe, wtyczki oraz system operacyjny. Rozwiązanie to wyróżnia się narzędziami umożliwiającymi zdalne, scentralizowane zarządzanie aktualizacjami w firmowych komputerach.

Natomiast Sophos w pakiecie z ochroną antywirusową oferuje pełne szyfrowanie dysku, czyli usuwa zagrożenia oraz zabezpiecza dane przed niepowołanym dostępem w wypadku kradzieży sprzętu.

Wszystkie produkty marki Kaspersky Lab wyróżniają się m.in. funkcjami zapewniającymi bezpieczeństwo transakcji online oraz ochronę przed keyloggerami (program zabezpiecza poufne informacje przed przechwyceniem przez tego typu aplikację).

 

Paweł Jurek

 

wicedyrektor ds. rozwoju, Dagma

Najczęściej antywirus w postaci oprogramowania jest instalowany na stacjach roboczych. Dyskusja o tym, czy wybrać sprzęt, czy oprogramowanie, powinna dotyczyć skanowania ruchu na styku sieci firmowej z Internetem. Zwykle radzimy naszym partnerom, aby dokładnie poznali obecną infrastrukturę serwerową klienta. Wybór rozwiązania zależy najczęściej od wykorzystywanych aplikacji, stopnia wirtualizacji stosowanej w firmie itd.

 

Maciej Iwanicki

 

ekspert ds. bezpieczeństwa, Symantec

Oferujemy oprogramowanie zróżni-cowane, dostosowane zarówno do wielkości firmy, jak też jej zasobów. Może ono działać nie tylko po stronie klienta, ale także w chmurze, co pozwala na zaoszczędzenie czasu, jaki mała i średnia firma potrzebowałaby na wdrożenie zabezpieczeń.

Ważniejsze wsparcie niż funkcjonalności

Program antywirusowy pełni jedynie rolę ochronną i nie służy użytkownikowi do realizacji żadnych zadań. Dlatego powinien zapewniać bezpieczeństwo i skutecznie eliminować zagrożenia, ale nie może angażować nadmiernie administratora czy utrudniać użytkownikom korzystania z komputerów. Ważna jest prostota centralnego zarządzania rozwiązaniem oraz stabilność w dłuższym okresie.

– Skomplikowanie to wróg bezpieczeństwa, więc najlepiej postawić na spójne rozwiązanie, którego poszczególne elementy dobrze ze sobą współgrają – uważa Bartosz Prauzner-Bechcicki, dyrektor ds. sprzedaży w Kaspersky Lab. – Jeżeli klient wykorzystuje już rozwiązanie ochronne i planuje jego zmianę, należy zwrócić uwagę na to, czy producent nowego systemu bezpieczeństwa będzie w stanie zapewnić pomoc we wdrożeniu i rozwiązaniu potencjalnych problemów, które mogą się pojawić podczas migracji.

Każdy klient powinien przeanalizować swoje indywidualne potrzeby w dziedzinie ochrony, ponieważ wiele zależy od tego, jaką infrastrukturą IT dysponuje jego firma. Należy zwrócić także uwagę, czy ochroną mają być objęte smartfony, tablety i inne urządzenia mobilne, których użytkownicy będą opuszczać siedzibę firmy i podłączać się do innych sieci bezprzewodowych. Wybierając konkretny produkt, warto sprawdzić, czy dostawca oferuje spójną platformę bezpieczeństwa, która zapewni zabezpieczenie wszystkich wymaganych urządzeń, a także umożliwi zarządzanie i rozbudowywanie ochrony w miarę potrzeb.

Klienci często biorą pod uwagę wyniki testów antywirusów, ale trzeba im przypominać, że nie powinno to być jedyne kryterium wyboru. Zdarza się, że dobre wyniki w testach osiągają, ze względu na stosowaną metodologię, produkty mało znanych marek. Zanim zaproponujemy taki program klientowi, powinniśmy poszukać dodatkowych informacji o nim – jak sprawdza się w skomplikowanym środowisku sieciowym, czy działa stabilnie, czy zgłasza wiele fałszywych alarmów. Zebranie takich informacji może ustrzec przed utratą zaufania w wyniku zaproponowania klientowi produktu słabej jakości. Dlatego większe firmy z reguły wybierają pakiety antywirusowe któregoś z dużych dostawców, ponieważ nie chcą eksperymentować.

Grzegorz Michałek, dyrektor działu programistów z ArcaBit, zwraca uwagę, że większość rozwiązań dostępnych na rynku jest do siebie programowo podobna. – W naszej ocenie użytkownik powinien szukać produktów, za którymi stoi dostawca oferujący elastyczne usługi oraz pełne wsparcie w sytuacjach wyjątkowych.

Oceniając funkcje ochrony przed spamem, warto uwzględnić nie tylko skuteczność samego silnika filtrującego, ale również sposób dostępu do kwarantanny dla każdego użytkownika. Powinien on mieć możliwość łatwego odzyskania wiadomości błędnie uznanych za spam. Poza tym klienci bardziej cenią rozwiązania, które można łatwo zintegrować z posiadaną przez nich infrastrukturą i oprogramowaniem.

Złożoność i liczba ataków sieciowych sprawia, że klient nie powinien wybierać jedynie podstawowej ochrony antywirusowej. Ta nie zapewnia odpowiedniego poziomu bezpieczeństwa. Należy raczej szukać rozwiązania wychodzącego poza te ramy, a szczególności przyjrzeć się, czy z rozwiązaniem bezpieczeństwa nie wyjść poza stacje końcowe, inwestując w zabezpieczenie poczty oraz ruchu internetowego generowanego przez przeglądarki, które są obecnie bardzo często wybierane jako cel ataku.

Sprzęt czy oprogramowanie?

Na pytanie: czy instalować antywirusa programowego, czy też korzystać ze sprzętowego, nie ma prostej odpowiedzi. Wybrany produkt powinien spełniać indywidualne wymagania klientów. Rozwiązania sprzętowe pracują zazwyczaj na styku sieci firmowej ze światem zewnętrznym, a programowe odpowiadają za ochronę wewnątrz sieci. Wybór zależy od polityki bezpieczeństwa przedsiębiorstwa, od zasobów, które mają podlegać ochronie, od poziomu rozproszenia struktury, a nawet od polityki zatrudniania pracowników i ich kompetencji.

Appliance antywirusowy stosuje się najczęściej w średnich i większych instalacjach. Urządzenie jest zarządzane tylko przez przeznaczone do tego oprogramowanie, nie można w nim instalować żadnych innych aplikacji. Niektóre rozwiązania zabezpieczające mają zaimplementowane funkcje ochronne w specjalizowanych układach (ASIC), których w żaden sposób nie można zmodyfikować. Najważniejsze jednak jest to, że posiadanie takiego rozwiązania nie zwalnia od zainstalowania oprogramowania antywirusowego na stacjach roboczych, które przecież można zainfekować także innymi drogami, np. przez podłączenie przenośnej pamięci USB ze złośliwym kodem, pocztę elektroniczną lub wymianę plików za pośrednictwem różnych systemów. Nie wolno też zapominać o użytkownikach mobilnych. Zawsze należy zadać klientowi pytanie, czy oprogramowanie antywirusowe zostało zainstalowane na smartfonach pracowników oraz czy oprogramowanie zabezpieczające na komputerze przenośnym działa poprawnie bez dostępu do serwera aktualizacyjnego wewnątrz sieci.