Почему ни один антивирус не показывает 100% защиту?

Вместо введения: признание создателей антивирусов

Начну с неожиданного факта. Даже создатели антивирусов честно признают: 100% защиту создать невозможно.

Евгений Касперский, основатель «Лаборатории Касперского», однажды ответил на этот вопрос очень прямо и образно:

«Для того чтобы избавиться от футбольного хулиганства, нужно сделать одну из двух вещей: либо запретить футбол, либо запретить людей. Чтобы избавиться от компьютерных вирусов, нужно сделать примерно то же самое: либо запретить компьютеры, либо запретить людей» .

Если человек, который создал один из лучших антивирусов в мире, говорит, что 100% защиты не бывает — стоит задуматься, почему. Давайте разберемся.

Причина №1: Антивирус всегда догоняет угрозы

Как работает классический антивирус

Представьте себе охранника, который узнает преступников только по фотороботам. Если преступник выглядит точно как на картинке — охранник его поймает. А если преступник изменил прическу, надел очки или вообще впервые совершил преступление — охранник пройдет мимо.

Примерно так работает сигнатурный метод обнаружения — основа большинства антивирусов . Антивирусная лаборатория находит новый вирус, изучает его, создает «сигнатуру» (уникальный цифровой отпечаток), добавляет ее в базу, и только после этого антивирус на вашем компьютере научится этот вирус распознавать.

Весь этот цикл занимает время. А злоумышленники тем временем создают новые вирусы.

А что насчет новых, неизвестных угроз?

Для борьбы с новыми вирусами существуют эвристический и поведенческий анализы. Это попытки научить антивирус распознавать угрозу по косвенным признакам: «эта программа ведет себя подозрительно», «этот файл похож на вирус» .

Здесь возникает другая проблема.

Причина №2: Проблема ложных срабатываний

Представьте, что охранник настолько бдителен, что начинает хватать каждого, кто носит капюшон или ходит быстрым шагом. Да, он никого не пропустит. Но и нормальная жизнь станет невозможной.

Это в точности ситуация с антивирусами. Если сделать настройки максимально чувствительными, антивирус начнет:

• блокировать обычные программы, которые просто обновляются
• удалять легальные игры с защитой от читов
• помечать как вирусы ваши собственные файлы

В мире антивирусной защиты это называется баланс между обнаружением и ложными срабатываниями .

Исследования показывают: когда уровень обнаружения новых вирусов у антивируса превышает 60–70%, резко растет количество ложных срабатываний . Те же продукты, которые практически не ошибаются, показывают более скромные результаты по обнаружению.

Получается замкнутый круг: невозможно одновременно поймать все угрозы и не ошибаться на безопасных программах.

Причина №3: Вирусы становятся умнее и хитрее

Маскировка и изменение

Современные вирусы — это не примитивные программы, которые легко опознать. Злоумышленники используют десятки способов обхода защиты :

• Полиморфизм — вирус меняет свой код при каждом заражении, как хамелеон меняет цвет
• Шифрование — вредоносный код зашифрован, и антивирус видит лишь бессмысленный набор символов
• Файловые атаки — вирусы заражают память, а не файлы, поэтому их сложнее обнаружить
• Использование легальных инструментов — злоумышленники запускают вредоносные скрипты через штатные средства Windows, которые антивирус по умолчанию считает безопасными

Одно исследование показало, что традиционные антивирусы не обнаруживают около 50% известных образцов вредоносных программ . А если они пропускают даже известные вирусы — что говорить о новых?

Zero-Day угрозы: атаки из ниоткуда

Особый класс угроз — zero-day (день-ноль) атаки. Это вирусы, которые используют уязвимости, о существовании которых разработчики еще даже не знают. Защита от таких атак напоминает попытку поймать пулю после того, как она уже вылетела из ствола .

И количество таких атак растет. По данным Google TAG/Mandiant, количество эксплуатируемых zero-day уязвимостей увеличивается на 50% каждый год .

Причина №4: Люди — самое слабое звено

Какой бы мощный антивирус вы ни установили, он не защитит вас от собственных действий.

• Вы сами вводите пароль на фишинговом сайте, который выглядит как настоящий
• Вы сами запускаете файл из подозрительного письма
• Вы сами отключаете антивирус, чтобы поиграть в «пиратскую» игру
• Вы сами не устанавливаете важные обновления Windows

Ни один антивирус в мире не сможет защитить компьютер, если пользователь сам «открывает дверь» злоумышленникам.

А что говорят независимые тесты?

Независимые лаборатории (AV-Comparatives, AV-Test и др.) регулярно тестируют антивирусы. Вот какие выводы можно сделать из их отчетов :

• 100% обнаружение встречается крайне редко — даже лучшие антивирусы показывают 99,9%, а не 100%
• Разные антивирусы показывают разные результаты — одни продукты обнаруживают 99% угроз, другие — 50–60%
• Умение лечить уже зараженную систему — отдельная проблема — тесты показывают, что в среднем антивирусы справляются с лечением активного заражения только в 38–44% случаев

А как же EDR и современные решения?

В последние годы появились более современные решения — Endpoint Detection and Response (EDR). Они работают иначе: не просто ищут известные вирусы, а постоянно анализируют поведение всех программ, выявляют аномалии и могут в реальном времени блокировать подозрительные действия .

Но даже они не дают 100% гарантии. Почему? Потому что:

• Злоумышленники постоянно разрабатывают новые методы обхода
• Некоторые атаки требуют участия человека-аналитика для выявления
• Полная защита требует не только технологий, но и правильной настройки, и бдительности пользователя

Что это значит для обычного пользователя?

Отсутствие 100% защиты не означает, что антивирус не нужен. Это означает, что:

1. Антивирус — это важный, но не единственный слой защиты. Он нужен, но полагаться только на него нельзя.
2. Ваше поведение в интернете важнее марки антивируса. Не переходите по подозрительным ссылкам, не скачивайте файлы из непроверенных источников, обновляйте систему.
3. Разные антивирусы защищают по-разному. Выбирайте продукты, которые показывают высокие результаты в независимых тестах, а не те, у которых красивая реклама .
4. 100% защита — это миф. Даже лучший антивирус в мире не сможет защитить вас от всех угроз. Задача антивируса — свести риски к минимуму, а не устранить их полностью .

Заключение

Антивирус — это не магический щит, а инструмент. Как замок на входной двери: он не делает ваш дом неприступным, но заставляет злоумышленника потратить больше времени и усилий. И чем лучше замок, тем выше вероятность, что вор пойдет искать более легкую цель.

Так и с антивирусом: 100% защиты не существует, но хороший антивирус + ваша осторожность = максимально возможная безопасность в условиях, когда злоумышленники не дремлют.

«Антивирусная защита — это не гонка за 100%. Это гонка за тем, чтобы сделать жизнь злоумышленников максимально сложной»

Сам я на постоянной основе использую ESET Smart Security Premium с пользовательскими настройками. Данный продукт позволяет это делать. Планирую в своем блоге расписать, как настроить данный продукт, чтоб немного усилить безопасность.

А вы какое антивирусное решение используете на своем домашнем компьютере?