В этом году программный комитет конференции «РуссКрипто» (кстати, конференция отметила свое 20-летие, что для ИБ-мероприятий в России феноменально) выбрал одной из тем для экспертного обсуждения, как представляется, заведомо провокационную тему: «Классический антивирус умер. Что делать, и чем заменить?».
Начнем с того, что определение «классический антивирус», как показала дискуссия, относится к антивирусам, занимающимся только выявлением заражений через сигнатурный анализ.
Но антивирусы давным-давно уже перестали быть таковыми! Теперь это мощные ИБ-комбайны, использующие самые разнообразные технологии защиты: межсетевое экранирование; VPN; антиспам; защиту ввода с аппаратной клавиатуры; прокси-серверы; защиту от рекламы на веб-сайтах; песочницы; черный и белый списки программ; репутационный анализ файлов и индивидуальных интернет-адресов ресурсов (URL); поведенческий контроль; лечение от заражений...
Кончину «классического антивируса» (в упомянутом выше понимании) можно без натяжек отнести ко второй половине 90-х годов прошлого века. Так стоит ли говорить о нем сегодня? Гораздо интереснее посмотреть, как антивирусы развиваются, чтобы быть адекватными ИБ-угрозам, иными словами, быть современной защитой конечных точек.
Нетрудно заметить, что антивирусы (как, впрочем, большинство современных ИБ-средств) ведут активную экспансию на функционал узко специализированных средств защиты (СЗИ), наращивая свой собственный. Несколько лет назад это происходило настолько активно, что разработчикам пришлось сильно задуматься о том, как ограничить аппетиты антивирусов, ощутимо подсаживающих производительность защищаемых компьютеров.
С позиций пользователя важно определить, каким должен быть взвешенный функциональный набор современного антивируса, а какими ИБ-функциями разработчикам не стоит его обременять, полагаясь на использование других СЗИ.
Примерно 90% атак являются атаками общего профиля, массированные, не заточенные под ИТ-инфраструктуру какой-то конкретной компании. Как раз с такими — массированными — атаками эффективно борются антивирусы.
Однако современные кибератаки стали комплексными, а, стало быть, и ИБ-защита должна быть комплексной — одним антивирусом (даже не «классическим») от них не отобьешься. С каждым годом информационная безопасность прирастает новыми терминами, которыми ИБ-вендоры пытаются определять новые технологии и продукты, помогающие строить современную эшелонированную защиту от ИБ-угроз. Скорее всего, какие-то элементы таких новинок, как технологии обнаружения и реагирования (EDR), поведенческая аналитика пользователей и сущностей (UEBA), Threat Intelligence, Anti-APT, появятся и в антивирусах... Но только как элементы. Борясь за эффективность использования вычислительных ресурсов и увеличение скорости принятия верных решений (а, по сути, за привлекательность своих продуктов для пользователей), разработчики антивирусов продолжают поиски «золотой середины» между принятием решения по ИБ-защите в конечной точке и отправлением для этого собранных в конечной точке данных в систему управления корпоративной ИБ.
Продолжение: http://www.globalcio.ru/workshops/2061/