Михаил Козлов: Около года назад компания Trend Micro решила отказаться от хранения большей части антивирусных сигнатур на клиентских машинах в связи с тем, что вредоносные программы "плодятся" крайне быстро и традиционные способы обновления антивирусных баз уже не справляются с задачей.

Trend Micro перешла на другой алгоритм работы с сигнатурами – их компьютер клиента запрашивает с сервера. Антивирус формирует контрольную сумму для подозрительного файла, и она отправляется на сервер. Если в центральной базе есть вирусы с такой контрольной суммой, то на клиент отсылается полная его сигнатура, и по ней происходит окончательная идентификация вредоносной программы для ее дальнейшего удаления и запуска процедуры лечения. Если же соответствующей контрольной суммы нет, то об этом файле антивирус собирает подробную информацию и передает ее в центр реагирования на инциденты. Компания заверяет, что сам файл в центр не передается. Такая технология организации антивирусной проверки получила в Trend Micro название "облачная безопасность".

Разумеется, подобный метод проверки сигнатур можно использовать только для защиты в режиме реального времени. При проведении полного сканирования на вредоносные программы постоянное обращение к серверу будет сильно замедлять процесс проверки, и даже по локальным базам он может длиться несколько часов. Поэтому определенная часть антивирусной базы наиболее опасных вредоносных программ все-таки остается на клиентских местах.

Для улучшения качества проверки в режиме реального времени Trend Micro использует поведенческий анализ, контроль приложений и механизмы репутации. Компания считает, что нужно защитить как минимум три основных пути проникновения вредоносов на компьютеры: электронную почту, переходы по URL и загрузку файлов из Internet. Для этих трех видов нападения у Trend Micro есть специальные репутационные базы. Год назад подобная система репутационных сервисов только зарождалась (см. например, "Сеть как антивирус", Computerworld Россия, № 30, 2008), а в последних версиях продуктов Trend Micro она уже реализована практически полностью в виде поддержки Smart Protection Network.

Технология SPN сейчас уже интегрирована в продукты семейства Worry-Free шестой версии и OfficeScan 10, которые были выпущены нынешним летом. Перевод этих продуктов на работу с SPN позволил сократить размеры клиентских агентов и оптимизировать его производительность. Кроме того, в Worry-Free реализована технология модульного графического интерфейса. В нем с помощью общей консоли можно управлять средствами обнаружения вторжений, осуществлять защиту данных от утечек, защиту виртуальных машин и т. д.

Еще одной тенденцией развития антивирусной индустрии в Trend Micro считают защиту виртуальных сред. По оценкам Михаила Козлова, регионального менеджера Trend Micro по России и странам СНГ, сейчас в России около 50% всех серверов являются виртуальными, однако их защита требует определенных тонкостей, чтобы не свести на нет все преимущества виртуализации.

Trend Micro предлагает два продукта для защиты виртуальных сред VMware. Один был куплен вместе с компанией Third Brigade и называется DeepSecurity. Он, по сути, является системой обнаружения вторжений, которая анализирует сетевой трафик, проходящий через гипервизор. Второй продукт разработала сама Trend Micro – это специальная версия базового модуля антивирусной защиты Core Protection, адаптированного для использования на виртуальных машинах. Он также взаимодействует с гипервизором для поиска вредоносных файлов и выявления вредоносного поведения программ, которые работают в виртуальных машинах. Оба модуля ориентированы на работу с виртуальными машинами и используют возможности специально опубликованного компанией VMware интерфейса VMsafe.

Поделитесь материалом с коллегами и друзьями