Михаил Кондрашин: «Через несколько лет на антивирусном рынке останется не больше трех компаний — тех, что успеют реализовать Cloud Security»Количество новых вирусов продолжает расти экспоненциально, а потому хранение их сигнатур на стороне клиента со временем неминуемо станет неэффективным. Производителям антивирусов скоро придется перейти на принципиально новую архитектуру, в которой базы сигнатур хранятся в информационной системе самой антивирусной компании, а на клиенте работает агент, пересылающий файлы на проверку в центральную систему и кэширующий только самые необходимые сигнатуры. Подобная архитектура, в частности уже начала воплощаться в жизнь компанией Trend Micro в виде сети Smart Protection Network (SPN).

Впрочем, концепция переноса защиты в своеобразные центры обработки данных производителей защитных систем сейчас приобретает все большую популярность.

«Однако пока полностью концепцию Cloud Security не реализовал никто, — заявил Михаил Кондрашин, руководитель центра компетенции Trend Micro. — Мы уже три года вкладываем деньги в инфраструктуру для построения подобных сервисов».

По словам Кондрашина, сейчас эта инфраструктура сконцентрирована в пяти центрах обработки данных компании, в нее входит более тысячи серверов.

Уже более года компания Trend Micro предлагает сервисы серии Cloud Security. Один называется Email Reputation Services. Он содержит сведения обо всех источниках спама, которые фиксируют лаборатории Trend Micro. Его можно использовать при фильтрации спама.

Второй из уже существующих сервисов — Web Reputation Services. Он фиксирует репутацию сайтов, сопоставляя его URL и IP-адрес. Если сайт очень часто переносят с места на место, то его репутация ухудшается. Аналогичное влияние оказывает и обнаружение на сайте вредоносных кодов. Этот сервис используется для защиты от фишинга и других Web-угроз.

В начале следующего года компания планирует выпустить на рынок еще один сервис — File Reputation Services, который будет определять рейтинг опасности отдельных файлов.

Пока компания не раскрывает подробностей реализации этого сервиса, однако концептуально понятно, что это будет наиболее полная реализация архитектуры «облачной» безопасности.

Trend Micro уже перестраивает и свои продукты под архитектуру сетевой безопасности. В частности, поддержка сервисов SPN появилась в серии продуктов Worry-Free, которая предназначена для малого бизнеса. Впрочем, это и понятно — серия изначально была ориентирована на сервисы.

Новая версия Worry-Free Business Security 5.0 была выпущена компанией нынешним летом и уже локализована.

Кроме поддержки сервисов SPN, она умеет перенастраивать свою конфигурацию в зависимости от точки подключения к Internet, контролирует поведение программ, шифрует сведения о нажатых клавишах, выполняет проверку беспроводных точек доступа и контролирует установку исправлений от Microsoft.

У продукта есть и более дорогая редакция — Advanced, которая, кроме рабочих станций, защищает еще и почтовую систему на базе Microsoft Exchange. В нее входит лицензия на сервис «очистки» почты InterScan Messaging Hosted Security.

Еще одно нововведение — сервис Worry-Free Business Security Hosted, когда контроль за защитой рабочих мест и серверов клиента выполняется напрямую из центра обработки данных компании.

Этот сервис может пригодиться небольшим компаниям с сильной распределенной сетью, в которых невыгодно ставить сервер управления защитой.

Кроме того, Trend Micro позаботилась и о партнерах, которые будут сопровождать клиентов Worry-Free. В помощь им компания разработала сервис Worry-Free Remote Manager, который позволяет службе поддержки партнера определить состояние антивирусных продуктов клиентов, в том числе и клиентов Business Security Hosted. Причем сделать это можно с помощью стандартного браузера.

Собственно, продукты серии Worry-Free уже распространяются в России и завоевали определенное место на рынке.

Так, около четверти продаж программных продуктов Trend Micro на российском рынке приходится на долю SMB. Правда, даже малые и средние отечественные компании предпочитают покупать полноценные корпоративные продукты, и только пятая их часть покупает серию Worry-Free.

Таким образом, в России на нее приходится всего 5% общего оборота компании; возможно, появление новых версий программных продуктов и переход на «облачную» защиту увеличит эту долю.


«Облачная» безопасность

Новую концепцию антивирусной защиты недавно представили исследователи из Мичиганского университета, назвав ее «облачным» антивирусом — CloudAV (см. «Ловушка в ‘облаках’», Computerworld Россия, № 29, 2008). Суть этой концепции заключается в том, что проверка выполняется не на клиентской машине, а «в облаке» виртуальных машин на серверах. Инфраструктура подобной системы проверки реализована на базе технологии Web-сервисов, что позволяет легко масштабировать облако и интегрировать такие сервисы в любые продукты.

В выпущенном недавно программном продукте «Лаборатории Касперского» есть реализация аналогичной технологии, которая называется Urgent Detection System. Изначально технология эта разрабатывалась для защиты от спама, но потом ее адаптировали и для проверки на вирусы. Идея такой проверки состоит в том, что перед стартом любой программы антивирус посылает контрольную MD5-сумму запускаемых файлов на специальный адрес в лаборатории компании, а в ответ получает вердикт, опасна или нет запускаемая программа. В «Лаборатории Касперского» есть собственная база заведомо чистых и заведомо вредоносных программ, по которой и выполняется проверка. Кроме того, данные о легальном программном обеспечении компания получает из аналогичного сервиса компании Bit9.

Использование «облака» серверов для защиты от вирусов может решить проблему предварительного тестирования вирусов. Дело в том, что авторы вирусов, прежде чем начать его распространение, определяют, насколько он детектируется антивирусными продуктами. Возможно, именно это и порождает большое количество сигнатур. При использовании CloudAV предварительную проверку делать опасно: даже если производитель передает в центральную базу только MD5-сумму нового вируса, а не сам файл программы, то он всегда может ретроспективно определить, откуда началось распространение вредоноса, и локализовать хотя бы тестировщика новых образцов вируса.