Что же подготовили разработчики антивирусных средств на ближайший год? Очередные улучшения интерфейса своих продуктов или кардинально новые подходы к защите ПК?

В наши дни, пожалуй, все ключевые игроки на этом рынке пришли к общему выводу: предотвратить заражение проще, чем ликвидировать его последствия. Однако же реализаций этого принципа великое множество — каждый разработчик антивирусного ПО стремится использовать собственные подходы.

В данном обзоре будут обсуждены продукты класса Internet Security, ибо именно к нему относится наиболее полный набор решений по борьбе с известными и новыми угрозами. Важно понять, действительно ли нововведения обеспечивают конкурентоспособность продукта или же они представляют собой просто маркетинговые ходы, направленные на то, чтобы привлечь не очень опытных пользователей?

Чтобы не быть голословными и не отразить лишь точку зрения создателей этих продуктов, мы приведем в статье мнение эксперта в области безопасности Ильи Рабиновича, генерального директора компании SoftSphere Technologies и автора антивирусной «песочницы» DefenseWall HIPS.

Kaspersky Internet Security 2010

«Лаборатория Касперского», известная на ИТ-рынке своими немаленькими маркетинговыми бюджетами, в очередной раз превратила презентацию новых продуктов в масштабное событие. Разумеется, не обошлось и без громких заявлений о небывалом функционале этих версий — KIS 2010 и «Антивируса Касперского 2010». Как самая яркая новинка была представлена «Безопасная среда» для запуска подозрительных файлов и веб-сайтов. Что же скрывается под столь многообещающим названием? По сути, это усовершенствованная технология HIPS. В прежней версии она включала в себя блок проактивной защиты на базе черных и белых списков, а в версии 2010 к ним добавилась «песочница» — механизм выполнения сомнительных приложений в изолированной среде с частичной виртуализацией. В данной реализации к сомнительным приложениям отнесен только Internet Explorer, причем запускать его в изолированной среде придется вручную. Конечно же, настройка для автоматического начала работы заданных пользователем приложений в «песочнице» имеется, но по умолчанию она выключена.

Kaspersky Internet Security 2010

Приложения, запущенные в «песочнице», работают точно так же, как и в обычной среде, однако KIS перенаправляет их запросы к файловой среде и реестру в собственные виртуальные папки. По окончании работы с «песочницей» ее содержимое (например, настройки браузера и история серфинга) может быть удалено в автоматическом или ручном режиме. Последний удобен, если пользователь регулярно запускает приложение в безопасной среде. По заявлениям самих разработчиков, «песочница» поможет спасти пользователя от действий эксплойтов, буткитов и вредоносов, способных заблокировать компьютер. Полезен этот режим и для приватного серфинга. Однако ожидать от него стопроцентной защиты не стоит.

Не обошли вниманием в «Лаборатории Касперского» и модные нынче облачные технологии. Именно на их базе построены Kaspersky Security Network — сеть сбора данных о зараженных, подозрительных и «чистых» программах, позволяющая улучшить технологии обнаружения вирусов, а также репутационный онлайн-сервис, включающий базу вредоносных программ и белый список доверенных приложений.

Комментарий Ильи Рабиновича

В настоящее время KIS 2010 можно считать технологически наиболее полноценным продуктом из всех средств комплексной защиты. Это достигается прежде всего за счет отхода от традиционной идеологии черных списков и интеграции «песочницы» с частичной виртуализацией внутрь пакета безопасности. Единственная его проблема — много нового кода, а значит, неизбежные трудности с совместимостью. Так, например, на моих глазах файервол из итоговой версии запретил доступ к домену с виртуальной машины под управлением VMWare.

Norton Internet Security 2010

Во время написания статьи свежая версия Norton Internet Security 2010 находилась еще в стадии бета-тестирования. Однако все новые технологии и механизмы этого продукта уже известны. Ключевая новинка — модель защиты под кодовым названием Quorum. «Начинкой» этой модели стал репутационный сервис. Репутация приложения создается на основе откликов участников всемирной программы Norton Community Watch, анонимно передающих данные о характеристиках приложений, работающих на их компьютерах. Главная идея Quorum состоит в том, что приложение считается безопасным, если известны его разработчики и происхождение. А вредоносные программы, как правило, не «подписаны», что и определяет их сомнительную репутацию.

Norton Internet Security 2010

Важно отметить, что все проактивные технологии защиты, реализованные в продуктах линейки Norton, так или иначе основываются на репутационной модели. Разработчики иногда вскользь утверждают о наличии в NIS, например, HIPS-технологий, однако явно они никак не обозначены. Теоретически к таковым можно отнести модуль Download Insight, отслеживающий загружаемые на компьютер файлы. По завершении загрузки информация о файле сверяется с базой данных Symantec, а затем возможны три варианта событий.

  1. Файл оценивается как подозрительный (инфицированный, содержащий вредоносный код и т.д.), и Norton удаляет его, выдавая пользователю соответствующее сообщение.
  2. Файл считается безопасным, и с ним разрешаются любые операции, о чем система сообщает пользователю.
  3. Репутация файла еще не оценена, Norton предлагает пользователю самостоятельно решить, разрешить или запретить запуск файла или вовсе удалить его с компьютера.

Разумеется, до тех пор, пока не будет принято решение системой или пользователем, запуск файла невозможен.

По заявлениям разработчиков, значительно переработан и улучшен поведенческий анализатор, в новой версии продуктов носящий имя SONAR2. Также основанный на репутационной модели, он позволяет по поведению уже запущенной программы определить степень ее опасности для компьютера.

Комментарий Ильи Рабиновича

На мой взгляд, NIS 2010 — честный середнячок, не хватающий звезд с неба. Технология Quorum — очередной костыль для поддержки теряющих эффективность технологий, основанных на черных списках. Репутационные технологии не оправдывают себя. Существуют подобные механизмы для веб-ресурсов, однако на ситуацию с заражениями они не оказывают серьезного влияния. Также непонятно, как компания собирается бороться с накрутками данного сервиса. Я не считаю Quorum абсолютно бесполезной вещью, но полагаю, что эффективность данного инструмента очень серьезно переоценена компанией.

ESET NOD32 Smart Security 4

Компания Eset традиционно выпускает свои антивирусные пакеты весной, а потому самая свежая на данный момент версия продукта NOD32 и комплексного решения Smart Security — «четверка», появившаяся в продаже в середине апреля. Нововведений в ней достаточно: расширенное сканирование архивов, удобное управление съемными носителями, отслеживание обновлений безопасности ОС. Но сейчас мы вновь обратим внимание на средства активной борьбы с вредоносами.

ESET NOD32 Smart Security 4

Надо сказать, что заявления разработчиков были достаточно скромны — никаких безопасных сред или «принципиально новых моделей» в пакете Smart Security нет. Есть лишь несколько свежих элементов. Прежде всего, это интегрированная в пакет утилита SysInspector, предназначенная для диагностики и обнаружения скрытых в системе руткитов без необходимости запускать полное сканирование. Кстати, ее можно переписать и отдельно, причем она совершенно бесплатна. Однако SysInspector только находит подозрительные процессы, а не удаляет их. Основная задача утилиты — сформировать отчет, полезный для системных администраторов или сотрудников техподдержки ESET. Если вы хотите обезопасить компьютер именно от руткитов, обратите внимание на антивирусную программу AVZ, она также бесплатна, но обладает гораздо большим функционалом.

Разработчики ESET NOD32 Smart Security 4.0 заявляли и о наличии в новой версии технологии HIPS, популярной у создателей антивирусного ПО. Этот пункт вызвал множество споров еще на этапе предварительного тестирования. Не закончились они и после выхода продукта, так как фактических подтверждений наличия HIPS не было, если не считать нескольких строк текста в документации и списке изменений. Опытные пользователи высказывали множество предположений, а специалисты ESET долгое время отмалчивались, пока наконец не выяснилось следующее. Под HIPS в «четверке» подразумевается некая комбинация технологий, включая самозащиту, расширенные эвристические методы, файервольную защиту и фильтрацию трафика. При этом в интерфейсе продукта, разумеется, не было предусмотрено никаких специальных кнопок для настройки такого HIPS. По обещаниям разработчиков, в следующих версиях антивируса возможности HIPS будут расширены, вполне вероятно, даже до полноценной реализации механизма.

По сути, получается, что ESET Smart Security ничем примечательным не отличается. Что же, подождем весны и выхода пятой версии продукта.

Комментарий Ильи Рабиновича

Несмотря на занимаемую долю рынка (что скорее говорит о маркетинговых успехах компании), ESET NOD32 — технологический аутсайдер среди рассмотренных решений. Этот продукт не имеет достаточных ресурсов для полноценной защиты своих пользователей с помощью поведенческих технологий — таковых в нем просто нет. А широко разрекламированную эвристику из движка уже давно научились обходить...

Outpost Security Suite

Свежая версия Outpost Security Suite готовится к выходу в ноябре 2010 г., и потому нам были доступны лишь краткие сведения о готовящихся новинках.

Компания Agnitum пошла по пути развития уже имеющегося функционала. Как известно, классические HIPS-технологии, основанные на вопросах и ответах, уже давно были реализованы и в брандмауэре Outpost Firewall Pro, и в «комбайне» Security Suite. В новой версии последнего будет доступна улучшенная версия HIPS, причем на основе уже второго поколения драйвера Sandbox 2.0. Оправдает ли наконец название драйвера суть реализации механизма HIPS (появится ли настоящая «песочница»), пока неизвестно.

Внимание пользователей, безусловно, привлечет и новая функциональность, условно называемая "Правила доступа к папкам, файлам и реестру". Она предполагает ограничение доступа к двум типам объектов:

Critical Objects — критически важные: автозапуск, системные файлы и файлы Outpost;
Protected Objects — заданные пользователем.

При этом настройки доступа к объектам первого типа будут задаваться самой OSS на основе данных, получаемых из системы ImproveNet. В новой версии она будет значительно улучшена благодаря использованию облачных вычислений.

Комментарий Ильи Рабиновича

Компетенция компании Agnitum лежит в области защиты сетевого трафика, а потому файервольная часть OSS неплоха. В текущей реализации HIPS-компонента откровенно слабенькая, она во многом зависит от компетенции пользователей. Возможно, в грядущей версии ситуация изменится в лучшую сторону. Поскольку попытки компании создать собственный антивирусный движок провалились, то в продукт встроен лицензированный, VirusBuster. Не самый плохой выбор, конечно. Но и не лучший.


Лидеры рынка

Для данного обзора были взяты лишь несколько продуктов, разрабатываемых сильнейшими участниками рынка антивирусного ПО. При отборе мы учитывали данные исследований, проведенных независимыми компаниями. Так, согласно отчетам лаборатории Anti-Malware, в 2008 г. в России рынок распределился среди разработчиков антивирусного ПО следующим образом:

А по прогнозам, сделанным в том же отчете, ситуация в текущем году должна развиваться примерно так:

Интересны и результаты анализа рынка антивирусов, проведенного исследовательским холдингом «Ромир». Так, согласно опубликованным за 2009 г. данным, пользователи домашних компьютеров отдают предпочтение следующим антивирусным приложениям:

Таким образом, в наш обзор первоначально попали четыре продукта — KIS 2010, NIS 2010 (beta), ESET Nod32 Smart Security и Dr. Web Security Space. Однако последний был выпущен еще в декабре 2008 г., и потому мы попросили разработчиков поделиться планами на будущее. К сожалению, специалисты компании лишь очень приблизительно озвучили дату выхода новой версии, отказавшись раскрыть карты. Недолго думая, мы решили рассмотреть еще одно популярное решение — Outpost Security Suite. Его разработчики с удовольствием поведали нам о планах по выпуску новой версии (она появится этой осенью, сразу же после выхода на рынок ОС Windows 7) и об усовершенствованиях, которые будут в продукте.

Независимые зарубежные тесты

Тест лаборатории Matousec — Transparent Security

Тесты, проводимые Matousec — Transparent Security, — одни из наиболее технологически сложных. В их процессе продукты последовательно проходят различные уровни проверки. Для перехода на следующий уровень тестируемое решение должно показать как минимум 50%-ный результат. Максимальным результатом теста является 10+, что свидетельствует об успешном прохождении всех десяти уровней.

Антивирусные продукты прошли через многоуровневую систему оценки из 84 тестов, включающих в себя основные испытания, — General bypassing test (тест на обход защиты) и Leak-test (тест на утечку данных). Кроме того, используются Spying test (тест на перехват данных) и Termination test (тест на самозащиту).

На фоне 42 участников теста герои нашего обзора достигли неплохих результатов. Вот как распределились их позиции в рейтинге:

Полностью результаты тестирования приведены на странице http://www.matousec.com/projects/proactive-security-challenge/results.php.

Тест защиты на «проактивность» от лаборатории AV-Comparatives (май 2009)

В этих тестах исследовалась способность антивирусов противостоять неизвестным, новым для них угрозам. Среднее число ложных срабатываний составило 3–15.

Решение компании Agnitum не принимало участия в тестах.

Результаты тестов аналитического центра Anti-Malware.ru

Тест проактивной антивирусной защиты (март 2009)

В этом тесте сравнивались только эвристические компоненты антивирусной защиты большинства популярных в России продуктов. На итоговую оценку оказали влияние не только обнаруженные угрозы, но и ложные срабатывания. Ниже приведены результаты прохождения теста участниками данного обзора. Более полная информация о тесте приведена на http://anti-malware.ru/proactive_test_2009.

Тестирование компонентов HIPS на проникновение в ядро Microsoft

В этом сравнительном тестировании проводился анализ популярных персональных антивирусов и сетевых экранов, имеющих в своем составе компоненты HIPS (Host-based Intrusion Prevention Systems), для того чтобы определить возможность предотвращения проникновения вредоносов на уровень ядра операционной системы Microsoft Windows.

Для теста были отобраны девять различных вредоносных программ, использующих всевозможные способы проникновения в ядро ОС. Оценивалось как количество детектированных/пропущенных угроз, так и число запросов к пользователю, генерируемых антивирусом в ходе работы.

Из рассмотренных продуктов в тестировании участвовали только два — Kaspersky Internet Security 2009 (тогда была доступна лишь версия 2009) и Agnitum Outpost Security Suite 6.5.

Антивирус KIS 2009 показал один из лучших результатов, обнаружив восемь из девяти вредоносов и практически не побеспокоив пользователя вопросами и оповещениями. А вот Outpost, работавший в режиме автообучения, пропустил почти половину угроз — четыре из девяти. Хотя, по утверждениям аналитиков, при полном отключении режима обучения он мог продемонстрировать лучший результат, но тогда пользователь гарантированно столкнулся бы с большим количеством всевозможных сообщений.


Название антивируса

Рейтинг позиций

Решение компании Agnitum не принимало участия в тестах.

Outpost Security Suite