Jeden z wiceprezesów Symanteca dwa lata temu wieszczył „śmierć” oprogramowania antywirusowego. Ta opinia odbiła się szerokim echem i wzbudziła ożywioną dyskusję o rzeczywistej skuteczności antywirusów w świecie stale zmieniających się zagrożeń.

Problem ze wspomnianą deklaracją polega na tym, że została źle rozumiana. Jej autorowi nie chodziło bowiem o koniec przydatności pakietów antywirusowych, które obejmują wiele mechanizmów zabezpieczeń, m.in. wykrywanie spamu, stron wyłudzających hasła czy ochronę przed ransomware. Celem było wskazanie na coraz mniejszą przydatność rozwiązań, które wykrywają szkodliwe oprogramowanie na bazie sygnatur. Krótko mówiąc tych, które potrafią wykrywać tylko poznane już zagrożenia.

Takie podejście nie sprawdza się w zabezpieczaniu przed atakami zero-day czy szyfrującymi swój kod, a przecież należą do głównych zagrożeń, zarówno dla sprzętu użytkowników prywatnych, jak i biznesowych. Mimo to ochrona bazująca na sygnaturach jest nadal powszechnie uważana za fundament bezpieczeństwa, a niektórzy producenci oferują oprogramowanie antywirusowe bezpłatnie lub nawet dołączają do systemów operacyjnych.

O wciąż silnej pozycji systemów antywirusowych świadczą badania rynkowe. Agencja badawcza Research and Markets w opublikowanym w marcu 2016 r. raporcie przewiduje, że w okresie 2015−2020 światowa sprzedaż pakietów antywirusowych będzie rosła średnio o 9 proc. rocznie. W efekcie przychody zwiększą się ze 106 do 170 mld dol. Jako głównych graczy na tym rynku autorzy raportu wskazują: Avast, AVG, Intel Security (McAfee), Microsoft oraz Symantec. Badanie nie objęło pakietów antywirusów przeznaczonych do ochrony urządzeń mobilnych (smartfonów i tabletów).

Wzrost popytu na ochronę antywirusową w skali globalnej wynika z kilku czynników. Według analityków najistotniejszym jest coraz większe wykorzystanie Internetu. Eksperci Gartnera podkreślają, że użytkownicy są coraz bardziej świadomi konieczności zabezpieczania urządzeń mobilnych w taki sam sposób jak komputerów. Segment rynku rozwiązań ochronnych do smartfonów i tabletów ma więc szansę na szybki rozwój.

 

Kolejny istotny czynnik to zmiana modelu dystrybucji sygnatur antywirusowych. Zamiast stosować mechanizm pobierania tych informacji przez użytkowników, coraz większa liczba producentów przechowuje je w chmurze. Informacje o zagrożeniach zbierane są do centralnej bazy z różnych źródeł (m.in. laboratoriów bezpieczeństwa i raportów użytkowników) i są w czasie rzeczywistym dostępne dla silnika antywirusowego. Warto też zauważyć, że sygnatury dla nowych zagrożeń powstają stosunkowo szybko. Dlatego testy pokazują, że antywirusy wciąż wykrywają wysoki odsetek zagrożeń. Jednak żaden nie jest doskonały.

 

Więcej chmury w antywirusie

Producenci coraz częściej chwalą się chmurowymi możliwościami swoich produktów, np. ochroną w czasie rzeczywistym. Wspólną cechą tej kategorii rozwiązań jest korzystanie z „lekkiego” agenta instalowanego w urządzeniu końcowym, podczas gdy większość funkcji, np. analiza zagrożeń lub przechowywanie sygnatur, jest realizowana w chmurze producenta. Dzięki temu wyraźnie spada obciążenie urządzenia końcowego w porównaniu z tym, jakie powoduje pakiet antywirusowy instalowany w całości lokalnie. Tradycyjne oprogramowanie zabezpieczające w różnych miejscach przechwytuje pliki i obiekty do skanowania (w systemie plików albo w momencie wykonywania). W każdym z tych miejsc są używane różne techniki skanujące, m.in. sygnatury antywirusowe czy analiza heurystyczna. Redundancja mechanizmów skanujących powoduje widoczny spadek wydajności urządzeń końcowych. Zastosowanie odpowiedniego algorytmu ogranicza te procesy, np. pobrane pliki, które nie są od razu otwierane, mogą być przeskanowane później, kiedy komputer nie jest wykorzystywany przez użytkownika. Aby jeszcze bardziej zmniejszyć obciążenie, agenta wyposaża się w algorytmy, które inteligentnie wytypują pliki do skanowania. Zaletą używania uproszczonego oprogramowania w urządzeniu klienckim jest również zmniejszenie płaszczyzny ataku i ograniczenie ryzyka wykorzystania ewentualnych luk w antywirusie.

Wśród korzyści ze stosowania chmurowych antywirusów są m.in.: niższe koszty niż w przypadku tradycyjnego oprogramowania zabezpieczającego, automatyczne aktualizacje dostarczane przez producenta i możliwość integracji z lokalnie działającym oprogramowaniem antywirusowym. Dlatego oferowanie antywirusa w formie usługi chmurowej ma wiele zalet. Z punktu widzenia klienta odchodzi konieczność wdrożenia tego oprogramowania i zarządzania nim, atrakcyjne mogą również okazać się koszty używania programu.

Najgroźniejsze szkodniki w Polsce

Zespół CERT Polska, działający przy NASK, donosi, że botnety Tinba oraz Conficker to rodzaje złośliwego oprogramowania, które w 2015 r. zainfekowały najwięcej urządzeń należących do polskich użytkowników. Eksperci podają, że w ubiegłym roku pod kontrolą cyberprzestępców mogło być ponad 150 tys. komputerów. Poza tym wśród dziesięciu największych zagrożeń rozpowszechnionych w Polsce aż trzy dotyczyły klientów bankowości elektronicznej. Statystyki zostały przygotowane na podstawie danych zgromadzonych na platformie n6 – zbudowanej w całości przez zespół CERT Polska – która przetwarza dziennie informacje o ponad 100 tys. przypadków zainfekowania komputerów w Polsce.

 

Są to dobre argumenty, aby przekonać małe i średnie firmy, które często stosują bezpłatne oprogramowanie antywirusowe, do przejścia na rozwiązania płatne. Jednakże eksperci podkreślają, aby rozwiązań chmurowych nie traktować jak zamienników programów instalowanych w urządzeniach końcowych. Rekomendowanym rozwiązaniem jest stosowanie obu systemów, co zapewnia najlepszą ochronę.

Ograniczona przepustowość łączy internetowych nie pozwala na przesyłanie całych plików do sprawdzenia w chmurze. Przesyłane są dane opisujące plik, np. unikalny identyfikator (obliczany przez specjalny algorytm), oraz informacje, jak dany plik trafił do urządzenia i jakie operacje były na nim wykonywane. W ten sposób można zidentyfikować cechy pliku w chmurze bez przesyłania go w całości.

Identyfikatorem pliku może być suma kontrolna MD5. Z uwagi na polimorficzne zagrożenia, które same potrafią zmieniać własny kod, nie jest to wystarczająco skuteczna metoda. Dlatego agent musi generować hasze również tzw. metodą fuzzy (umożliwia generowanie jednego identyfikatora dla plików o pewnych wspólnych cechach) oraz zbierać dodatkowe informacje zapewniające identyfikację sprawdzanego obiektu.

Dane zebrane przez agenta są analizowane przez oprogramowanie antywirusowe działające w chmurze. Jeśli zostanie wykryte zagrożenie powiązane z plikami, które wcześniej uważano za bezpieczne, zostaną one odpowiednio oznaczone. Jedną z zalet analizowania zagrożeń w modelu cloud jest to, że silnik antywirusowy i jego logika nie są bezpośrednio dostępne dla autorów szkodliwego oprogramowania. To utrudnia im ocenę skuteczności zabezpieczenia. Wśród tradycyjnych narzędzi ochronnych są już rozwiązania, które korzystają, np. z dwóch silników antywirusowych. To samo można by zrobić w chmurze, jednak wtedy konieczne byłoby przesyłanie całych plików, co jest niepraktyczne.

Chmurowe antywirusy mają też wady i ograniczenia. Jeśli urządzenie końcowe nie jest podłączone do Internetu, zapewniana przez nie ochrona jest ograniczona, ponieważ nie mogą się komunikować z chmurą. Ten problem częściowo rozwiązuje przechowywanie najważniejszych informacji o zagrożeniach lokalnie. Pamięć podręczna zawiera informacje o wynikach wcześniejszej komunikacji z chmurą. Dzięki temu pliki, które zostały już sprawdzone, nie będą zakwalifikowane do ponownego skanowania. Cache daje jednak mniejsze możliwości wykrywania zagrożeń niż chmura, ale w czasie, kiedy komputer nie jest podłączony do Internetu, również zagrożenie jest mniejsze.

Bartosz Prauzner-Bechcicki

dyrektor ds. sprzedaży, Kaspersky Lab

Zagrożenia wycelowane w urządzenia mobilne, szczególnie te z systemem Android, czyli większość, stają się równie niebezpieczne jak wirusy ze środowiska Windows. Dlatego ochrona urządzeń mobilnych musi obecnie spełniać najwyższe standardy i praktycznie nie powinna ustępować technicznie zabezpieczeniom stosowanym w komputerach. Oczywiście w przypadku smartfonów i tabletów ważne są również funkcje zabezpieczające w przypadku kradzieży, np. umożliwiające zdalne usunięcie danych, zablokowanie dostępu urządzenia, a nawet jego zlokalizowanie.

 
Skąd czerpać dochody?

Pakiety typu Internet Security, składające się z antywirusa, antyspamu, zapory sieciowej oraz szeregu innych zabezpieczeń, to ciągle jedno z najpopularniejszych rozwiązań ochronnych. Jednak ten rynek jest już bardzo dojrzały, a konkurencja na nim silna. W efekcie spadają marże, ale to wciąż dobry biznes, a sprzedawcy mogą znaleźć okazję do uzyskania przyzwoitych dochodów. Dostarczając klientowi zabezpieczenia dla jego stacji roboczych, można zbudować z nim relację, która zapewni sprzedaż innych produktów, np. do ochrony baz danych czy aplikacji.

Wyzwaniem są nie tylko niskie marże, lecz również wzrost zainteresowania firm kompleksowymi usługami bezpieczeństwa oferowanymi przez operatorów telekomunikacyjnych. Szansą dla resellerów jest coraz większa skłonność klientów do stosowania bardziej rozbudowanych pakietów, które poza kompletną ochroną oferują także menedżera haseł, system do tworzenia kopii zapasowych, szyfrowanie oraz niszczenie danych. Warto zwrócić uwagę na fakt, że te pakiety ciągle ewoluują – wraz z rozwojem zagrożeń i technik tworzonych przez cyberprzestępców.

Coraz większe znaczenie ma ochrona przed nieznanymi, skomplikowanymi zagrożeniami, które nie mogą być wykrywane jedynie przy użyciu sygnatur i wymagają zastosowania zaawansowanych technik. Warto zatem uświadamiać klientom, że lepsza jest właściwa ochrona przed infekcjami, ponieważ usuwanie ich skutków jest trudniejsze i bardziej kosztowne niż zabezpieczenie przed nimi. Można posłużyć się oprogramowaniem ransomware jako przykładem. Szyfruje ono wszystkie dane znajdujące się na komputerze lub na serwerze, a trzeba pamiętać, że po infekcji w wielu przypadkach ich odzyskanie jest niemożliwe.

 

Automatyzacja i synchronizacja

Każde nowe urządzenie, fizyczne i wirtualne, musi być natychmiast zabezpieczone. Aby do minimum skrócić czas poświęcany na ochronę nowego obiektu, to zadanie nie powinno angażować administratorów IT. To jeden z powodów, aby zainteresować klientów automatyzacją procesów ochrony. Dzięki niej każde nowe urządzenie będzie zabezpieczane w czasie rzeczywistym. Instalacja i konfiguracja mechanizmów ochronnych powinny być realizowane programowo, np. przez narzędzia skryptowe. Zdaniem niektórych ekspertów automatyzacja to dzisiaj najważniejszy trend w sferze bezpieczeństwa.

Chester Wisniewski

Senior Security Advisor, Sophos

Wciąż mamy ograniczone możliwości bezpośredniego koordynowania za­bezpieczeń elementów fizycznych i wirtu­alnych środowiska IT. W efekcie firmy nie są w stanie dotrzeć do informacji, które mogłyby pomóc w zapobieżeniu atakom lub wykryciu zagrożeń. Problemem są również opóźnienia w reagowaniu na wykryte zagrożenia lub łagodzeniu ich skutków, duża liczba alertów, których znaczenie trudno ocenić, a także skomplikowane i czasochłonne analizy alertów, które często prowadzą donikąd. Sposobem na rozwiązanie tych problemów są zsynchronizowane systemy bezpieczeństwa, które umożliwiają wymianę informacji między elementami zabezpieczającymi sieci i urządzeniami końcowymi.

 

Kolejną ważną kwestią jest spójna ochrona środowisk IT, w których część zasobów jest zwirtualizowana lub nawet trafiła do chmury, a część pozostaje w formie fizycznej. Chodzi o kompleksowe, zsynchronizowane zabezpieczenia, obejmujące wszystkie rodzaje systemów w centrum danych oraz urządzenia końcowe. Zaletą takiego rozwiązania jest lepszy wgląd w to, co dzieje się w środowisku IT oraz sposobność analizowania informacji pochodzących z różnych źródeł w celu wykrywania zagrożeń. Otwiera to drogę do automatycznego reagowania na zagrożenia wykryte w różnych zasobach IT. Możliwość zapanowania nad różnorodnością systemów fizycznych, wirtualizacyjnych i chmurowych w ramach jednego centrum danych będzie na pewno w najbliższych latach niezwykle istotna dla bezpieczeństwa IT. Warto zachęcać klientów, aby w taki sposób wdrażali zabezpieczenia w swoich środowiskach IT.

 

Tablety i smartfony

IDC przewiduje, że pod koniec 2016 r. aż 2 mld osób będzie łączyć się z Internetem za pomocą smartfonów i tabletów. Analitycy prognozują, że w ciągu najbliższych pięciu lat liczba internautów korzystających z tego typu urządzeń będzie się zwiększać w tempie 25 proc. rocznie. Może na tym skorzystać również branża zabezpieczeń. Według MarketsandMarkets światowe przychody ze sprzedaży aplikacji chroniących urządzenia mobilne zwiększą się z 808 mln dol. w 2015 r. do 2,5 mld dol. w 2020. To oznacza 25,7 proc. średniego rocznego tempa wzrostu.

W ostatnich latach widać szybkie zwiększenie liczby ataków na platformy Android i iOS. W związku z tym wymagają one podobnej ochrony jak notebooki i komputery PC: oprogramowania antywirusowego, szyfrowania komunikacji, kontroli dostępu, centralnego zarządzania i innych. Resellerzy mają okazję oferować rozwiązania, które zapewnią taką ochronę urządzeniom mobilnym. Wydaje się, że największa szansa wiąże się ze  sprzedażą dużym klientom, którym można dostarczyć kompleksowe rozwiązania zabezpieczające urządzenia końcowe z systemami Android oraz iOS i Windows Phone oraz ułatwiające zarządzanie nimi.

Warto pamiętać, że wiele urządzeń mobilnych wykorzystywanych w firmach nie jest własnością pracodawcy, lecz pracowników (BYOD). Dla przedsiębiorstw oznacza to konieczność stosowania zabezpieczeń, które są na tyle elastyczne, aby poradzić sobie z ochroną dużej liczby różnego rodzaju urządzeń. Klientowi zawsze należy zadać pytanie, czy oprogramowanie antywirusowe zostało już zainstalowane na smartfonach pracowników oraz czy oprogramowanie zabezpieczające na komputerach przenośnych działa poprawnie bez konieczności dostępu do serwera aktualizacyjnego znajdującego wewnątrz sieci firmowej.