Антивирусы сильно переоценены?

2 январь, 2013 - 15:34Игорь Дериев

В конце прошлого года компания Imperva выпустила очередной отчет о состоянии дел в сегменте информационной безопасности. На этот раз исследователи заинтересовались тем, как быстро антивирусы способны реагировать на новые неизвестные угрозы.

Вообще исследования различных аспектов работы антивирусов – обычное дело. Особенность же данного заключается в том, что целью было не сравнение между собой различных продуктов (хотя неявно оно, конечно же, присутствует), а, скорее, оценка их эффективности как класса.

Заинтересованность Imperva в такой точке зрения понятна – компания сама является производителем средств информационной безопасности, причем, «новой категории», для которых традиционные антивирусы являются конкурентами. Потому и один из основных выводов таков, что $7.4 млрд, которые частные и корпоративные пользователи тратят на антивирусы (а это более трети всех расходов на защитное ПО), себя не оправдывают, и во многих случаях вполне разумно обходиться бесплатными продуктами. Здесь Imperva как бы намекает, что сэкономленные деньги стоит потратить на решения других типов, но я бы не сказал, что это ставит сами выводы под большие сомнения.

Для своего исследования Imperva привлекла студентов Израильского технологического университета The Technion. С их помощью было найдено 82 образца сравнительно малоизвестных вредоносных программ. Поиск осуществлялся на реальных хакерских сайтах (показательно, что в качестве примера приводится российский ресурс), так что речь идет не о лабораторных разработках. Более того, все образцы хоть кем-то, но детектировались, и, вообще говоря, ни один из них не являлся оригинальной разработкой – лишь модификациями и перекомпиляциями хорошо известного кода.

Затем, в течение шести недель эти образцы прогонялись через 40 антивирусных продуктов. Конкретно, детектирование выполнялось через сайт virustotal.com, соответственно, речь идет лишь о сканерах – реальные десктопные продукты, включающие и другие защитные механизмы, могут вести себя несколько иначе. Вот как выглядит динамика за этот период:

Антивирусы сильно переоценены?

На диаграмме, однако, только 28 продуктов – оставшиеся 12 вообще не улучшили своих результатов. В число последних, довольно предсказуемо, попал open source антивирус ClamAV. Это говорит не о качестве ПО как такового, а о низкой оперативности (возможно, из-за ограниченности ресурсов) в выявлении новых угроз. Впрочем, некоторые не слишком распространенные коммерческие антивирусы выступили не лучше.

Вот здесь-то и кроется главная проблема, на которую хотели обратить внимание в Imperva, – даже весьма популярным антивирусам потребовалось 4 недели (лучший результат – полторы), чтобы включить неизвестные образцы (далеко не все!) в свои базы сигнатур. При этом к концу исследования 12 образцов по-прежнему детектировались менее чем 25% продуктов.

Это говорит о том, что хотя многие современные антивирусные решения, благодаря облачным репутационным службам и некоторым другим мерам, научились сравнительно быстро реагировать на вирусные эпидемии, узконаправленные атаки длительное время будут оставаться для них незаметными. А все большая сфокусированность хакерской деятельности, как известно, является одной из современных тенденций. Соответственно, Imperva права (и потому далеко не одинока) в своих призывах более активно разрабатывать и применять иные методы обнаружения атак и вредоносного ПО.