Российский рынок информационной безопасности
Хабаровский
Государственный Технический Университет
РЕФЕРАТ
на тему
Российский рынок информационной безопасности.
Подготовил________________
__________________________
Проверил_________________
_________________________
Введение
В области противоборства антивирусов
и вредоносного программного обеспечения (далее - ПО) в последнее время наметились
значительные изменения.
Действия вирусов все больше приобретают
коммерческую направленность. Вирусописательство, объединенное с хакерскими и спамерскими
технологиями, становится эффективным способом обогащения. Участились случаи создания
"персональных" приложений для целевой атаки информационных систем конкретной
организации. Данные программы создаются с учетом индивидуальных особенностей атакуемой
системы. Это приводит, с одной стороны, к увеличению их потенциальной опасности
для организации, а с другой - к усложнению задачи для антивирусных приложений, поскольку
они в этом случае имеют дело с заведомо новым, еще неизвестным вирусом.
Все больше вопросов перед производителями
антивирусов ставят растущие коммуникационные возможности пользователей персональных
компьютеров, так как увеличение числа ноутбуков, периодически подключаемых в локальную
информационную сеть, беспроводные интерфейсы, USB-накопители не только делают работу
пользователей удобнее, но и препятствуют защите от вредоносного ПО.
Еще одна существенная тенденция
- продолжающийся рост скорости распространения вирусов. Теперь интервал от появления
вируса до массового заражения составляет около 20 мин. Шире стал и набор средств,
используемых злоумышленниками. Все эти изменения заставляют предъявлять жесткие
требования к антивирусным программам, пристальнее относиться к их выбору.
Классификация вредоносного программного обеспечения
Прежде чем детально рассмотреть происходящие изменения, необходимо
определиться с классификацией вредоносного ПО. Те времена, когда термин "борьба
с вирусами" полностью отражал специфику отрасли, прошли уже давно, сейчас у
хакеров в наличии целый арсенал средств, которые они зачастую используют в комплексе.
Вирусы - самый первый и классический
вид вредоносного ПО. Они распространяются через исполняемые файлы. Заразиться вирусом
можно, скачивая программы из сомнительных источников в Интернете.
Черви подразделяются на интернет-"червей"
и почтовых. Их особенность - способность распространяться в сетях самостоятельно
(без ведома пользователя). Первая группа использует уязвимости популярных операционных
систем, вторая - бреши почтовых клиентов. Кроме того, к почтовым "червям"
относятся и вредоносные программы, активизирующиеся только в случае, если открыть
присоединенный к письму файл. Чтобы принудить пользователя к этому, злоумышленники
используют в тексте и заголовке письма социально-психологические методы воздействия,
а сам вредоносный код маскируют под безобидный документ или файл изображения.
Трояны получили свое название
в честь троянского коня за схожий принцип действия. Проникнув на компьютер, они
позволяют злоумышленнику получать и модифицировать хранящуюся на нем информацию,
нарушать работу компьютера или использовать его ресурсы в своих целях.
Пауки - злобные программы, ворующие
чужие работы из Интернета, как этот реферат, который скачали и бессовестно выдали
за свой.
Помимо описанных выше типов вредоносного
ПО, которые мы для упрощения в дальнейшем будем объединять единым термином
"вирусы", существуют типы ПО, которые по юридическим соображениям нельзя
однозначно отнести к вредоносным. Тем не менее они широко применяются хакерами либо
просто причиняют пользователям неудобства.
Руткиты - утилиты, позволяющие
скрывать выполняемые компьютером процессы. В последнее время руткиты все шире используются
злоумышленниками в целях маскировки хакерской активности.
Фишинг (этимология этого слова
идет от выражения "password fishing", примерно переводящегося как
"выуживание пароля") - так называют извлечение конфиденциальной информации,
которую можно использовать в мошеннических схемах. Фишинг приобретает все большие
масштабы и является в настоящее время серьезной проблемой.
Дрочинг - читай реферат, а то
опозоришься выступая.
Спам - пожалуй, людей, не сталкивавшихся
со спамом, найти трудно, поэтому описывать этот термин мы не станем. Если читатель
не знает, о чем идет речь, нам остается лишь порадоваться за него.
В задачи современного антивируса
входит не только защита компьютеров от вирусов, но и возможность организовать фильтрацию
входящей информации таким образом, чтобы пользователь мог оградить себя от нежелательной
рекламы и потенциально опасных писем.
Как же отличить вредоносный код от безобидных приложений и почтовых
сообщений? Придуманный на заре инквизиции подход "Казните всех, господь своих
узнает!", очевидно, неприемлем, поскольку ложные срабатывания, в результате
которых пользователю не будут доставлены письма делового содержания, могут привести
к экономическим потерям, сравнимым с результатом действия вирусов. Рассмотрим основные
принципы работы антивирусных программ, позволяющих отлавливать опасное ПО и пропускать
лишь код, не несущий угрозы для компьютера.
Старейший метод борьбы с вирусами,
лет десять назад являвшийся единственным, - это так называемая реактивная защита.
Его суть заключается в использовании производителем антивируса обширной базы, содержащей
шаблоны (сигнатуры) известных вирусов, и в сравнении с ними потенциально опасного
кода. Данный метод подразумевает оперативное пополнение сигнатурной базы за счет
новых выявленных угроз. Как только описание нового вредоносного кода попадает в
сигнатурную базу производителя антивирусов, оно становится доступным для скачивания
его клиентами, обращающимися к базе за очередным обновлением. С этого момента компьютер
является защищенным от данной угрозы.
Недостатки данного метода очевидны:
с момента возникновения вируса до появления его сигнатуры в локальной базе пользователя
проходит время. Весь тот период, за который новый вирус выявляется, его сигнатура
попадает в базу и, наконец, скачивается пользователем при очередном обновлении,
реактивная защита беспомощна перед появившейся угрозой. Даже уменьшение интервала
обновлений до нескольких минут не может обеспечить защиту, поскольку современные
"черви" имеют очень высокую скорость распространения. Помимо этого независимо
от периодичности обновлений новые сигнатуры появляются лишь после того, как вирус
начал действовать. Иногда в день возникает несколько десятков новых вирусов и их
модификаций, что ставит под сомнение возможности своевременного выпуска такого количества
сигнатур. Следует добавить, что растущая сигнатурная база и учащающиеся обновления
замедляют работу компьютеров и требуют все больших ресурсов. Таким образом, сегодня
защита, использующая лишь сигнатурные методы, зачастую запаздывает и оказывается
неэффективной.
Проактивная защита представляет
собой принципиально иной подход к проблеме. Он предполагает обнаружение вредоносного
кода еще до того, как он попал в сигнатурные базы. В связи с современными тенденциями
в области компьютерных угроз методы проактивной защиты приобретают все большую популярность.
Дело в том, что различные вирусы зачастую имеют общие характерные особенности и
черты поведения. Для обнаружения вредоносных программ производители применяют широкий
набор эвристических методов, а также методы эмуляции (имитация выполнения кода в
целях выявления его вредоносности) и алгоритмический анализ. Сочетание этих методов
позволяет с высокой (хотя и нестопроцентной) долей вероятности обнаружить вирус
до того, как он появится в сигнатурной базе. При этом еще одной важной задачей разработчиков
является сведение к минимуму числа ложных срабатываний.
В настоящее время все основные
производители антивирусов используют сочетание сигнатурных методов и проактивной
защиты. Только такой комплексный подход обеспечивает создание относительно надежного
барьера. Однако соотношения этих методов в различных антивирусах существенно отличаются.
Очевидно также, что со сложной задачей обнаружения вируса проактивными методами
различные продукты справляются далеко не одинаково успешно, поскольку каждый производитель
опирается на свои индивидуальные и тщательно скрываемые разработки. Динамичное развитие
ситуации в отрасли заставляет разработчиков активно совершенствовать свою продукцию
для поддержания ее конкурентоспособности.
Тенденции российского рынка
В России, как и во всем мире, в течение 2006 г. наметилось смещение
информационных угроз в сторону использования фишинга и руткитов в комплексе с другими
технологиями. Все чаще проходят атаки вирусов, созданных для прорыва систем безопасности
конкретных организаций.
Однако наряду с общемировыми
тенденциями для отечественного рынка информационной безопасности характерны свои
особенности. Если раньше небольшие и средние компании предпочитали использовать
нелицензионные программы, то компании по борьбе с контрафактным ПО заставляют их
примириться с мыслью о том, что за достойное ПО необходимо платить. Кроме того,
для руководителей всех уровней все очевиднее становится важность защиты информации.
Эти факторы наряду с благоприятной экономической ситуацией ведут к интенсивному
росту российского рынка антивирусного ПО.
Возрастающая угроза со стороны
вредоносных программ заставляет уделять больше внимания безопасности при администрировании
корпоративных сетей, вдумчиво относиться к выбору антивируса и учитывать при этом
не только заявления производителей, но и результаты независимых тестовых экспертиз.
Немаловажным фактором для данного сектора является требовательность антивирусов
к компьютерным ресурсам и ПО, поскольку во многих организациях сохраняются
"слабые" компьютеры со старыми операционными системами.
Еще одна тенденция рынка - активная
разработка некоторыми компаниями защиты от вирусов для сотовых телефонов. Впрочем,
эта угроза пока является довольно абстрактной, так как возможности для распространения
вирусов в этой области низки. Хранимая обычно на мобильных телефонах информация
имеет ценность, скорее, для их владельцев, чем для злоумышленников. Наиболее притягательным
объектом для их атак по-прежнему являются не телефоны, а компьютеры. В качестве
рекомендации настоятельно советуем регулярно копировать на домашний компьютер хранящиеся
на сотовом телефоне данные. Это убережет вас не только от гипотетической угрозы
вирусной атаки, но и от вполне реальной возможности потерять список контактов в
результате поломки, утери или кражи мобильного устройства.
В течение многих лет основным
продавцом антивирусных программ на российском рынке являлась "Лаборатория Касперского".
Но за последний год ее потеснили динамично развивающиеся конкуренты. В частности,
особую остроту в борьбу внесла компания Eset, открывшая в 2005 г. представительство
в России. В ее продукте NOD32 получили развитие проактивные технологии. Высокий
уровень защиты, подтвержденный многочисленными международными тестами, низкая требовательность
к ресурсам и доступный интерфейс позволили Eset занять в 2006 г. около 10% рынка
и превысить свои прошлогодние показатели более чем в четыре раза. Этому успеху способствовали
также наличие качественной круглосуточной линии поддержки и активный маркетинг.
На какие же особенности предлагаемого
ПО надо обратить внимание при выборе антивируса? Безусловно, в первую очередь важна
обеспечиваемая степень защиты. Здесь лучше всего обратиться к результатам независимого
тестирования. Надо отметить, что попытки непрофессиональных исследователей сравнить
различные антивирусы обычно дают искаженные результаты, поскольку используемые при
этом вирусные базы, с одной стороны, недостаточно полны, а с другой - могут содержать
лишь отрывочные элементы кода какого-либо вируса, которые тем не менее вирусом не
являются. Поэтому рекомендуем читателю обращаться к результатам тестирования, проводимого
общепризнанными авторитетными и независимыми организациями. Перечислим их:
ICSA - International
Computer Security Association (Международная компьютерная ассоциация по защите);
West Сoast Labs;
Virus Bulletin - наиболее известный
в мире британский журнал, посвященный антивирусам.
Кроме того, существует Ресурс
Андреаса Клименти, специализирующийся на тестировании антивирусов, например, полугодовой
давности, с устаревшими вирусными сигнатурами. При этом используются актуальные
вирусные базы с теми вирусами, которых полгода назад еще не существовало и сигнатур
на которые в тестируемых продуктах заведомо не может быть. Этот подход позволяет
оценить проактивные возможности антивируса.
Как бы ни были высоки возможности
антивируса, работать с полной отдачей он сможет только в том случае, если он грамотно
настроен. Следовательно, нужно обратить внимание на простоту установки, настройки
и обновления продукта. Если навыков для работы с антивирусом недостаточно, следует
поискать другой, с более удобным и понятным пользователю интерфейсом. Важное значение
имеет наличие и доступность службы технической поддержки.
Перспективы
Итак, противоборство между создателями вредоносных программ и разработчиками
антивирусов активно продолжается и даже расширяется. Как и прежде, ни один антивирус
не может гарантировать стопроцентную безопасность любого компьютера. Время, когда
будет создана неуязвимая защита и хакеры рука об руку с создателями антивирусов
пойдут искать другую работу, еще не наступило и, похоже, в ближайшей перспективе
не наступит. Одновременно усиливается конкуренция между производителями антивирусов,
что ведет к переделу рынка. Как заявил глава корпорации Microsoft Билл Гейтс на
прошедшем в ноябре в Москве бизнес-форуме, информационно-технический сектор будет
оставаться высоко конкурентной областью. Эта отрасль является гибкой и активно эволюционирующей,
поэтому в долгосрочной перспективе ожидается перемена лидеров. "Бизнес тем
и интересен, что он активен. Нет никаких гарантий", - отметил Билл Гейтс. Пожалуй,
эти слова основателя Microsoft в полной мере можно отнести и к динамично развивающемуся
российскому рынку антивирусного ПО.
В первом
разделе, я написал кое-что лишнее, прочти работу, если не хочешь получить двойку.
Оглавление
1. Классификация вредоносного
программного обеспечения
2. Принципы работы антивирусов
3. Тенденции российского рынка
4. Перспективы
ЛИТЕРАТУРА
1. "Финансовая газета",
N 1, январь 2007 г.
2. "Финансовая газета. Региональный
выпуск", N 9, 10, март 2007 г.
3. "Интернет и безопасность"
N 9, июнь 2007