Противоядие из «облака»

Львиная доля существующих антивирусных программ распознаёт вредоносные объекты по известным приметам — фрагменам кода (сигнатурам), присущим только этому вирусу. Эффективность работы антивирусной программы напрямую зависит от частоты обновления сигнатурных баз. Нередка ситуация, в которой защищенная, как считалось, машина, всё же поражается «свежим» вирусом, примет которого нет в устаревшей базе. А устаревают они буквально на глазах – все производители антивирусных программ рекомендуют обновлять базы как минимум раз в сутки.

Поскольку количество вирусов с каждым днем растёт (некоторые компании оценивают динамику прироста в 500 тыс. новых разновидностей в год), растут и объемы сигнатурных баз. На сегодняшний день кумулятивное (т.е. полное) обновление антивирусных баз для одного из наиболее популярных продуктов — антивируса Касперского — приближается к 70 МБ. Казалось бы, объем небольшой. Но, учитывая динамику появления новых вирусов, в ближайшее время обновление баз не просто станет крайне дискомфортным для пользователя, но и создаст дополнительную нагрузку на каналы передачи данных. Причем, нагрузку крайне неэффективную – на множество машин будет одновременно передаваться крупный объем идентичных данных.

Быстрые темпы появления новых «мутаций» несут еще одну проблему для традиционного метода распознавания. Уже сегодня время полного сканирования зараженной машины измеряется часами. Если предположить, что в ближайшие годы количество сигнатур (как и время сканирования) увеличится в несколько раз — встанет вопрос о неэффективности сигнатурного метода в целом. Удобно ли будет пользоваться антивирусной программой, если поиск вирусов отнимет целый рабочий день?

Существуют и другие способы выявления вредоносной активности. Один из них – эвристический анализ. При нем антивирус пытается опознать угрозу по специфичным «манерам поведения», даже если явной сигнатуры этих действий нет в базе. Но этот способ гораздо менее точен и отнимает существенные вычислительные ресурсы защищаемой машины.

В теории, противоядие из «облака» можно получить уже через 40 сек

В сложившейся ситуации весьма любопытен новый альтернативный способ реагирования на угрозы — выявление их ресурсами «облака». В теории, «облачный» метод распознания лишен всех недостатков «сигнатурного». Проверяемая машина лишь выявляет всю подозрительную активность и фрагменты кода, немедленно отправляет их для изучения в «облако», и, в случае выявления в коде вируса, получает противоядие. Такая модель избавляет пользователя от необходимости хранить и регулярно обновлять на защищаемой машине «толстеющие» с каждым днем сигнатурные базы, а также разгружает вычислительные ресурсы и существенно повышает оперативность реагирования на угрозы — все эти функции теперь берет на себя «облако».

Первым разработчиком, реализовавшим в своем антивирусе новый метод наряду с традиционным, стала «Лаборатория Касперского». На данном этапе «облачный» функционал находится в зачаточном состоянии и способен защитить только от наиболее очевидных «вредоносных» сценариев, но сама модель реагирования, безусловно, заслуживает внимания. Если в ближайшее время новый метод подтвердит свою жизнеспособность, это неизбежно повлечет за собой дискуссию на тему возможностей «облака» в борьбе с вредоносной активностью в более широких масштабах и с более продуманными моделями применения. За комментариями по этому вопросу мы обратились к Олегу Гудилину, руководителю отдела стратегического маркетинга «Лаборатории Касперского».

Но если предположить, что в ближайшее время большинство антивирусов массово перейдет на «облачный» метод, проявится ряд других, ранее никем не прогнозированных проблем. Во-первых, это всё та же возрастающая нагрузка на каналы. При сигнатурной модели антивирус обращается к серверу за обновлением баз в среднем раз в сутки. Но в «облачной» модели частота запросов возрастет — теоретически до нескольких десятков раз. Второй аспект — вычислительная мощность. Иными словами, должно ли «облако» быть полностью сосредоточено на вычислительных мощностях антивирусной компании, или же это бремя может быть распределено в более широком облаке?

Пока «облачный» метод реагирования только начинает свое осторожное проникновение в коммерческие версии антивирусов, рано говорить о последствиях и долгосрочных прогнозах. Ближайший год-полтора выявит практические нюансы работы облачного метода. Вероятнее всего, первыми на новшество отреагируют сервис-провайдеры, для которых облачный метод открывает возможность предоставления новой услуги — аутсорсинг выявления вредоносной активности на машинах своих клиентов.