Применение облачных антивирусных программ породило немало мнений, которые нередко бывают полярны. Некоторые полагают, что облачная инфраструктура антивирусной защиты (в дальнейшем – антивирусное «облако») – это всего лишь пиаровский ход разработчиков подобных программ, не имеющий практической ценности. Другие же склоняются к тому, что привычные методики сигнатурного анализа вполне оправдывают себя, и от комплексных антивирусных компонентов не стоит ожидать большего. К слову, многие из применяемых сегодня антивирусов обладают облачной инфраструктурой, хотя это не всем известно. Итак, нужны ли «облака» в использовании антивирусов и как это работает на практике? Попробуем разобраться в этих вопросах
Безусловно, ведущим фактором, который призван направить внимание вендоров по информационной безопасности в сторону облачных технологий, является постоянно возрастающее количество сетевых угроз, В среднем, оно увеличивается на 200 тысяч вредоносных программ в день по всему миру. В случае расширения собственной профессиональной компетенции, повышения уровня услуг, сервисов и технологий справиться с подобным наплывом вирусных программ физически довольно сложно. Безусловно, в нашей компании существует отдельное направление – это примерно треть всего штата (R&D,Research), которое и занимается непосредственно анализом появляющихся вредоносов. Однако, следует обращать пристальное внимание на то, что основные тренды в сфере мобильности носителей писатели вирусных программ не оставляют вне сферы своего внимания. Статистика говорит за себя – на сегодняшний день существует более 35 тысяч локальных угроз, написанных с учетом ведущих мобильных платформ. Безусловно, основные сетевые тенденции находят свое отражение в продуктах «вирусописателей». Как показывает практика, к началу текущего года нами было выявлено более ста миллионов антивирусных сигнатур – а это только тот объем, который при помощи сигнатурных методик может быть обнаружен. Проактивный анализ позволяет выявлять гораздо больше вирусных программ. К слову, всего два года назад эта цифра была вдвое меньше – 50 миллионов. Это позволяет судить о новом «витке» в написании вирусов, которые распространяются лавинообразно и требуют не только своевременного выявления, но и обезвреживания, деактивации.
Безусловно, существуют стандартные пути наращивания локальной базы сигнатур. Однако, обновления, приходящие на компьютеры клиентов, сервера и рабочие станции нельзя увеличивать бесконечно: это тупиковый путь, который может привести только лишь к тому, что вся производительность рабочей станции будет затрачена на ее защиту. Перед компьютером изначально ставятся совершенно иные цели – выполнять работу, для которой он и предназначен. Именно здесь в качестве оптимального решения можно рассматривать облачные системы. Разработка их началась около четырех лет назад, причем не с объемных корпоративных проектов, а именно с проектов для персональных пользователей. Поэтому наивно полагать, что вы не пользуетесь «облаком», если у вас установлен любой современный антивирус – так или иначе, при отсутствии запрета доступа, любой антивирус взаимодействует с облачными сервисами.
«Облачный антивирус»: видимые преимущества.
Если затрагивать вопросы преимущества облачной антивирусной инфраструктуры перед стандартной, нельзя обойти вниманием ряд основных аспектов:
1. Внушительная база данных и объемный дата-центр, который позволяет не только компилировать и классифицировать постоянно возникающие новые угрозы, но и содержит в себе большое количество старых. Безусловно, обладатель «антивируса на облаке», как и владелец любой другой антивирусной программы, имеет ряд базовых сигнатур, которые и позволяют обеспечивать детектирование наиболее распространенных угроз. Однако новейшие вирусы, которые появились сравнительно недавно, для вашего антивируса останутся невидимыми. Если рассматривать указанный выше продукт KSN, то благодаря динамическому анализу или же в случае появления скрытых угроз на пользовательских компьютерах в любой точке мира, они автоматически анализируются, что и позволяет создавать дополнительные возможности защиты пользователей. Файлы или приложения распознаются автоматически, и реакция на новый вирус в среднем занимает несколько минут.
2. Нельзя обойти вниманием аспект интеграции «облачного антивируса» с другими сервисами. Если представить процесс схематично, как только на анализ попадает файл с сомнительной репутацией, «облако» системы автоматически получает запрос, на который тем же путем в течение нескольких секунд генерируется ответ. Безусловно, выработка новых сигнатур требует определенного промежутка времени. В среднем, компании, занимающиеся вопросами антивирусной защиты, тратят на это от часа до суток.
3. Удобство применения. Здесь не стоит акцентировать внимание на персональных пользователях, которые в качестве пионеров становятся проводниками разнообразных новшеств. Если рассматривать «облачный» антивирус в рамках корпоративного сегмента, бизнес-пользователей, в первую очередь, может привлечь надежность сервиса. Модуль KSN состоит из двух блоков, которые отличаюся ускоренной реакцией и содержат объемную репутационную базу. В нее входит большое количество источников информации, таких как сетевые ресурсы, приложения и файлы, которые анализирует система. Наличие корпоративного Proxy-сервера позволяет снизить до минимума количество индивидуальных запросов пользователей. Бесспорно, это логично с точки зрения, как пользователя, так и самой компании: клиенты могут оперативно получать необходимую информацию и пользоваться всеми преимуществами сервиса. Основной акцент здесь делается на то, что пользователь не посвящается в суть технических процессов, которые для него изначально излишни. Технологии, модули и политики безопасности его не тревожат. Непосредственно работа антивирусного модуля здесь незаметна, хотя во время работы системы путем двустронней коммуникации по каналу «клиент/облако» передается огромное количество информации - около 600 запросов в секунду 1, 4 гб в секунду. Учёт и аналитика ведутся на самом сервере администрирования, и получает ее конкретный специалист.
Опасность с человеческим лицом.
Естественно, все современные методики защиты нельзя сводить к банальному применению антивирусных программ. Как известно, самым опасным вирусом на сегодняшний день является… человеческий мозг. И именно использование умственных ресурсов позволяет злоумышленникам генерировать все новые и новые методики овладения ценной информацией. Поэтому начинать здесь нужно, в первую очередь, с организационных мер – а точнее, с образовательных. Касаясь вопросов фишинга, социальной инженерии и прочих «человекозависимых» методов утечки, полагаться на одну лишь качественную программу полностью бессмысленно. Технический инструментарий в противовес гибкому человеческому фактору подыскать практически невозможно. Однако даже здесь частично можно положиться на «облако».
Облачные технологии защиты находят всё большее применение в условиях современного бизнеса. К примеру, ряд современных решений предполагает участие облачных компонентов в модуле контроля программ и веб-контроля. При помощи «облака» мы получаем уже категоризированную информацию о благонадежности тех или иных ресурсов и веб-приложений, а также «серых» и «белых» компонентах. Благодаря модулю защиты анти-malware, здесь присутствует интеграция не только с элементами сканирования, но и с файрволлом. Это означает, что на сетевом уровне, если приложение определяется в качестве неблагонадежного во время передачи сетевых данных, данные пакеты будут блокированы.
Безусловно, применяются облачные методики и при контроле мобильных приложений. В целом, если эти методики рассматривать в отдельном контексте, то контроль приложений интересен сам по себе как факт. Еще несколько лет назад грядущая виртуализация рассматривалась даже компетентными специалистами в качестве весьма отдаленной перспективы. На сегодняшний день все прекрасно осознают, что большинство крупных заказчиков, так или иначе, пользуются приложениями в рамках повседневной работы. С точки зрения производственных инициатив, существует качественный подход, который носит название application white-listing, Содержание его следующее: в организации создается конкретный «белый список» программ, в котором сотрудникам ставятся условия возможности или невозможности пользования теми или иными программами. При этом к вопросу можно подходить избирательно: учитывая не только фактор риска утечек конфиденциальных данных, но и степень открытости той или иной внутрикорпоративной информации для пользователей.
Наибольшую пользу подобный подход несет в правительственных организациях. Как известно, ряд зарубежных государств уже успешно применяет данные методики в своих доктринах: здесь четко оговаривается необходимость применения application white-listing. Реальное внедрение иннвационных методик контроля в практику не за горами и у нас: как известно, постоянный контроль большого количества программных обновлений весьма непрост с точки зрения администрирования. Современными же облачными приложениями-антивирусами пользуются тысячи, если не миллионы человек во всем мире – и получают информацию о благополучных источниках. Некоторая часть «серых» данных блокируется эвристикой, проактивными модулями, модулем защиты от «атак нулевого дня». При этом, все дополнительные малоприменяемые приложения попросту уходят в небытие и не занимают полезное место. Данный подход носит название default deny – «блокирование по умолчанию». Это означает, что организация позволяет пользователям открывать лишь определенные сервисы, приложения или услуги – особенно это актуально для компаний, в которых ценность внутрикорпоративной информации весьма высока. К слову, решения российских специалистов на сегодняшний день являются единственными, позволяющими реализовать на постсоветском пространстве подобный подход.
…Продолжение следует.
Горячие темы