Антивирус Касперского 2006 и его конкуренты

Вступление

Сразу же замечу, что данную статью с таким же успехом можно было назвать "технологии проактивной защиты". Все дело в том, что именно проактивная защита является сейчас той самой областью, в которой соревнуются антивирусные разработчики между собой. Сам по себе данный термин означает технологии, которые позволяют защититься от новых, еще не известных угроз. Кстати, эвристические анализаторы являются проактивной технологией (по определению), мы о них немного поговорим, когда будем рассматривать проактивную защиту подробнее.

Программные продукты постоянно развиваются, и не за горами уже выход Антивируса Касперского 2006. Обращу внимание, что в данном продукте изменилась нумерация версий, так как сегодня в ходу именно Антивирус Касперского 5.0.

С предварительной бета-версией Антивируса Касперского 2006 нам уже удалось ознакомиться. Каковы впечатления? Прежде всего, понравился новый интерфейс. Он не просто изменился, а изменился довольно серьезно. С точки зрения практики, интерфейс стал проще и понятнее.




Однако антивирусы - это не тот класс продуктов, основной задачей которых является хорошо выглядеть. Да, интерфейс должен быть понятным и удобным, но главное - ловить вирусы. Именно в этой сфере основной инновацией является проактивная защита. Что здесь сделано нового в Антивирусе Касперского, а также у его конкурентов, мы обсудим немного позже, а пока предлагаю ознакомиться с мнением самого разработчика о своем продукте.

Интервью

На наши вопросы отвечает Андрей Никишин, глава отдела стратегического развития и маркетинговых исследований "Лаборатории Касперского".



Алексей Доля: "Лаборатория Касперского" перешла на новую нумерацию версий продуктов. С чем это связано? Означает ли это, что компания теперь будет выпускать по одной новой версии продукта в год?

Андрей Никишин: Нумерация версий по году выпуска или году использования в программном обеспечении впервые была применена, если мне не изменяет память, компанией Microsoft в случае с операционной системой Windows 95. Впоследствии многие компании переняли практику Microsoft и стали использовать год выпуска в названии программного обеспечения. Однако стоит сказать, что производители автомобилей пользовались подобной системой названий гораздо ранее. Помните, как говорят во многих американских фильмах? "У него автомобиль Chevrolet 76 года".
Внутри нашей компании переход на нумерацию по годам обсуждался уже довольно давно. В этом году мы все-таки ввели такую схему наименования для персональных продуктов. Для корпоративных продуктов все останется по-старому - так, бизнес-продукт будет носить все то же название Kaspersky Anti-Virus с индексом 6.0. Причина проста - суеверия. Четные версии у нас получаются не самыми лучшими, поэтому мы решили не искушать судьбу и назвать продукт KAV 2006, а не KAV 6, заведомо зная, что продукт должен получиться очень и очень хорошим.


Алексей Доля: Какие основные нововведения Антивируса Касперского Personal 2006 вы бы выделили?

Андрей Никишин: Во-первых, готовится к выходу продукт, предоставляющий комплексную защиту от всех современных угроз ИТ-безопасности - Kaspersky Internet Security 2006. Исходя из наших исследований, примерно половина пользователей хотела пользоваться интегрированными решениями для комплексной защиты. Вторая же половина предпочитает совмещать решения разных разработчиков. Для таких пользователей будет предназначено решение KAV 2006, защищающее от вирусов. Хотя, если подходить к определению KAV 2006 точнее, то это уже не столько антивирусное средство, сколько anti-malware, так как KAV обнаруживает все разновидности вредоносных программ (malware), а также потенциально опасные программы, часто называемые Spyware. Кроме того, взору пользователей предстанет очень симпатичный интерфейс. Появится модуль проактивной защиты, позволяющий обнаруживать многие виды вредоносных программ без обновления антивирусных баз. А сами антивирусные базы благодаря новой подсистеме обновлений станут обновляться практически одновременно с выходом обновления. Более того, и размер баз из-за системы инкрементального обновления будет меньше. В конечном счете, пользователи выиграют в скорости и размере баз. Также в продукте будут превентивные модули для обнаружения некоторых классов потенциально опасных программ. Все это означает, что основной упор в этой версии сделан на проактивную защиту. Но всех секретов я не раскрою - ждите!


Алексей Доля: Многие ключевые игроки антивирусного рынка уже выложили бета-версии своих будущих продуктов. Вы, наверняка, с ними знакомы. Как считаете, версия 2006 будет достойно выглядеть на общем фоне? Что продукт сможет предложить по сравнению с конкурентами?

Андрей Никишин: Мы всегда с огромным интересом и уважением относимся к нашим конкурентам. И с нескрываемым волнением устанавливаем бета-версии продуктов конкурентов - а вдруг они сделали что-то такое, что не удалось нам? Но в этот раз мы были приятно удивлены - наши продукты выглядят очень достойно на фоне конкурентов, более того, тот факт, что наши продукты выйдут после продуктов основных конкурентов, нас совершенно не беспокоит - нам действительно есть, что показать рынку!


Алексей Доля: Чем обусловлен небольшой размер пре-бета-версии Антивируса Касперского Personal 2006 (чуть меньше 9 Мб)? По-моему, финальные варианты предыдущих версий были больше размером. Это связано с тем, что функциональность пре-бета-версии урезана или вы каким-то образом оптимизировали дистрибутив?

Андрей Никишин: В пре-бета-версию KIS 2006 включен почти весь функционал, поэтому окончательный размер программы не будет намного отличаться от нынешнего. А уменьшение размера программы обусловлено в первую очередь тем, что в продукте впервые на 100% задействована наша разработка, ключевая технология "Прага". Благодаря "Праге" нам удалось значительно сократить размер кода за счет повторного использования кода, специальным форматам файлов "пражских" модулей, грамотной оптимизации кода. Кроме этого, почти все подсистемы продукта были переписаны и оптимизированы. Поэтому можно с полной уверенностью сказать, что KAV/KIS 2006 - это новое поколение наших продуктов, разработанных на новой платформе. Вторая причина уменьшения размера - переход на другой инсталлятор.



Алексей Доля: Каковы ориентировочные сроки выхода финальной версии Антивируса Касперского Personal 2006?

Андрей Никишин: Дату, когда новую версию можно будет купить, мы еще не можем назвать сегодня. Точная дата будет названа после выхода бета-версии KAV/KIS 2006. А вот дату выхода публичной бета-версии я не назову по другой причине - не хочу сглазить. Сейчас разработчики усиленно работают над последними доработками кода и готовятся к выходу "беты".


Алексей Доля: Вы можете анонсировать примерную цену Антивируса Касперского Personal 2006 на момент появления?

Андрей Никишин: Окончательное решение еще не принято, но цена на KAV 2006 вряд ли будет больше текущей цены на антивирусный продукт. С ценами на продукты можно ознакомиться в нашем электронном магазине.


Алексей Доля: Насколько мне известно, бета-версия продукта может работать бесконечно. Не боитесь, что домашние пользователи не станут покупать лицензионный продукт, а остановятся на последней версии для тестирования?

Андрей Никишин: Во-первых, бета-версия все же не является конечным продуктом - в бета-версии попросту не реализован весь функционал готового решения и есть некоторое количество ошибок. А во-вторых, ограничение по времени использования все-таки есть.


Алексей Доля: Будет ли переход от версии 5 к версии 2006 платным? Не потеряют ли что-то пользователи, которые купят KAV 5 сегодня, если завтра выйдет новая версия с более богатым функционалом?

Андрей Никишин: Что верно, то верно - всегда очень обидно купить какую-нибудь высокотехнологичную вещь, а потом узнать, что буквально после покупки вышла новая версия с еще более передовым и интересным функционалом. У нас таких неприятностей не происходит. Купив продукт, в течение срока действия лицензии пользователь может абсолютно бесплатно перейти на новую версию. Таким образом, у каждого легального пользователя есть своеобразная страховка. Если кто-то откладывает покупку KAV 5 только потому, что ждет выхода KAV 2006 - не ждите, вы ничего не потеряете, и в то же время приобретете защиту для своего компьютера уже сегодня.


Алексей Доля: Вы собираетесь выпускать Антивирус Касперского Personal Pro 2006? Ведь бета-версия Personal 2006 уже есть, активно обсуждается в форумах и в прессе. Может, продукт Personal Pro 2006 выйдет значительно позже своего младшего брата?

Андрей Никишин: KAV Personal Pro больше не будет. На смену Антивирусу Касперского Personal Pro приходит Kaspersky Internet Security, значительно более мощный продукт. Кстати, KIS 2006 тоже сейчас находится в пре-бета стадии.


Алексей Доля: Хотите сказать что-нибудь нашим читателям напоследок?

Андрей Никишин: Однажды в китайском ресторане мне подарили "счастливую" пельмешку с предсказанием. Предсказание гласило: "больше денег и путешествий у вас в будущем". В тот момент это было именно то, что я хотел услышать. Прошли годы - все сбылось, но я знаю, что у меня в будущем еще больше путешествий и возможностей заработать денег. Я хотел бы пожелать читателям, чтобы каждому из них досталась своя, заветная "счастливая" пельмешка и все предсказания сбывались.


Алексей Доля: Андрей, спасибо, что уделили нам столько времени и так подробно ответили на все наши вопросы. Удачи вам и всего доброго!

Андрей Никишин: Спасибо, Алексей, и вам - всего самого доброго и успехов.

Проактивная защита

Выражу свое субъективное мнение: ажиотаж вокруг проактивной защиты создан искусственно, как западными антивирусными поставщиками, так и западной прессой. Действительно, сегодня каждый разработчик средств информационной безопасности заявляет о том, что его продукт является проактивным. При этом каждый поставщик вкладывает в этот термин свой собственный смысл. Лишь бы хоть как-то соотноситься с новыми, еще не известными угрозами.

Что предлагает в этой области "Лаборатория Касперского"? Несколько пунктов: эвристический анализатор, систему предотвращения вторжений (IPS), систему новостного оповещения, поведенческий блокиратор. Рассмотрим каждую из этих опций подробнее.

Что такое эвристический анализатор? Андрей Никишин дает следующее определение: эвристическим анализатором называется набор подпрограмм, которые анализируют код исполняемых файлов, макросов, скриптов, памяти или загрузочных секторов для обнаружения в нем разных типов вредоносных компьютерных программ, не определяемых обычными (сигнатурными) методами. То есть, эвристический анализатор предназначен для поиска неизвестного вредоносного ПО.

Сколько существуют эвристические анализаторы, столько стоит вопрос об их эффективности. Действительно, проверить эффективность эвристика очень сложно. Нужны новые, доселе неизвестные вирусы. При этом надо убедиться, что соответствующая сигнатура еще не была внесена в антивирусную базу.

По мнению Андрея Никишина, даже у самых лучших антивирусов уровень обнаружения новых вредоносных программ не превышает 25-30%. При попытке поднять этот процент выше, приходится иметь дело с огромным количеством ложных срабатываний и большой нагрузкой на процессор (даже обычные эвристики сегодня создают повышенную нагрузку на процессор). Однако эвристики по-прежнему используются, так как в сочетании с другими методами антивирусного анализа в состоянии поднять общую планку эффективности продукта.

Эвристический анализатор Антивируса Касперского известен уже давно, однако подобные технологии сегодня есть почти у всех основных игроков на рынке, в частности у McAfee, Panda, Symantec и Trend Micro. Сравнить их между собой почти невозможно, тем не менее, при выборе продукта следует учитывать, есть ли в нем такая технология вообще.

Очень красиво звучит название следующей технологии - "система предотвращения вторжений". Вряд ли стоит приписывать этот термин и вообще подобные технологии "Лаборатории Касперского", так как сегодня под лозунгом предотвращения вторжений продвигается огромное количество самых разных продуктов и технологий. Что же под этим термином понимают антивирусные разработчики? Оказывается, не так уж и много: возможность закрытия наиболее часто используемых вредоносными программами уязвимостей компьютера перед новой угрозой еще до выхода обновления антивирусных баз. В качестве примера можно привести блокировку портов (возможность попадания инфекции на компьютер и ее дальнейшего размножения), создание политик для ограничения доступа к директориям или отдельным файлам, обнаружение источника инфекции в сети и блокировка дальнейших коммуникаций с ним.

Насколько эффективен данный подход? Очевидно, что против наиболее распространенных угроз в лице троянцев и червей обсуждаемая методика вообще не эффективна. Польза может быть лишь в борьбе с бестелесными паразитами и сетевыми атаками. В этом случае можно действительно остановить вредителей.

Следующей на очереди является система новостного оповещения. Это очень простой и распространенный подход: как только появился новый вирус, эксперты очень быстро описывают его всего в нескольких абзацах и предлагают какие-то меры, которые позволяют не допустить заражения этим паразитом; далее описание и рекомендации отправляются пользователям. Таким образом, системный администратор или домашний пользователь получают сообщению и могут самостоятельно принять какие-то меры, например, выгрузить уязвимый сервис, отключить какую-то функцию в программе и т.д.

В этой сфере у "Лаборатории Касперского" есть новостной агент, который с определенной периодичностью (вплоть до 1 минуты) сообщает обо всех новостях, в том числе о новых угрозах и эпидемиях. Аналогичные технологии есть и у основных конкурентов Антивируса Касперского: Symantec и Trend Micro.

Наконец, последней проактивной технологией является поведенческий блокиратор. Замечу, что от старых поведенческих блокираторов, появлявшихся в 90-ых годах, сегодня осталось разве что название и неприятный осадок, связанный с огромным числом ложных срабатываний и вопросов пользователю.

Основная идея блокиратора - анализ поведения программ и блокировка выполнения любых опасных действий. В Антивирусе Касперского используется, во-первых, поведенческий блокиратор для макросов в Microsoft Office, а, во-вторых, поведенческий блокиратор второго поколения. О первом мы и представители других информационно-аналитических ресурсов писали уже неоднократно. Напомню, что именно данная технология сыграла важную роль в борьбе с макро-вирусами, которые сегодня полностью сошли со сцены.

Несколько слов о втором поколении поведенческих блокираторов. От первого поколения они отличаются тем, что анализируют не отдельные действия, а последовательность действий, и уже на основании этого делается заключение о вредоносности той или иной программы. Следовательно, значительно сокращается количество запросов к пользователю и возрастает эффективность детектирования. По сравнению с эвристиками, данная технология позволяет достичь эффективности в районе 60-70% и не нагружает так сильно процессор.

Замечу, что поведенческие блокираторы сегодня развиваются как самостоятельное направление. Например, у Cisco есть Cisco Security Agent, являющийся классическим, разве что корпоративным, поведенческим блокиратором, для работы которого требуется тонкая настройка системным администратором. Вообще же поведенческие блокираторы есть еще в продуктах компании Panda.

Мы рассмотрели целый ряд проактивных технологий, но лишь тех, что реализованы в Антивирусе Касперского 2006. Есть и другие проактивные методологии, реализованные только у конкурентов данного продукта. Это защита от переполнения буфера и защита с использованием политик.

Защита от переполнения буфера реализована компанией McAfee. Суть технологии в том, чтобы не допустить переполнение буфера для наиболее распространенных программ (Word, Excel, Internet Explorer, Outlook и SQL Server). Отмечу, что подход McAfee выглядит довольно логичным, так как переполнение буфера сегодня используется в самых разных атаках.

Защита с использованием политик - это изобретение компании Trend Micro, в продуктах которой есть Trend Micro Outbreak Prevention Services. Идея, реализованная в этих сервисах, состоит в том, чтобы до обновления антивирусных баз или распространения заплаток (устраняющих уязвимость) разослать пользователям определенные политики, которые позволят предотвратить заражение. Что же это за политика? Прежде всего, те некоторые ограничения, которые делают невозможной эксплуатацию определенных уязвимостей. В принципе, такой подход можно сравнить с новостным оповещением, например, в Антивирусе Касперского. Только при новостном оповещении рекомендации даются пользователю или системному администратору, а политики Trend Micro не требуют участия человека.

Если говорить об эффективности данных двух технологий, то идея McAfee выглядит весьма симпатично, а польза от нововведения Trend Micro - далеко не очевидна. Проблема последней технологии в том, что частая смена политик можно серьезно нарушить доступность информационных служб и систем. Вдобавок, на выпуск политики необходимо время, хотя и меньшее, чем на выпуск обновления для антивирусной базы. В целом эксперты считают, что политики Trend Micro нужны для того, чтобы оправдать медленную работу антивирусной лаборатории компании.

Итоговая таблица

Предлагаем вашему вниманию окончательную таблицу, которая подводит итог о различных технологиях проактивной защиты в решениях ведущих антивирусных разработчиков.

Старые добрые технологии

В заключение хочу поделиться своим субъективным мнением об эффективности различных технологий антивирусной защиты. Безусловно, будущее всей отрасли - именно в проактивных технологиях, однако о реальной эффективности этих технологий сегодня говорить очень и очень сложно. Виной тому - маркетинговая активность поставщиков и повышенное внимание ко всему новому со стороны прессы. В результате порой оказывается, что проактивные технологии являются панацеей от всех бед. Между тем, вирусная угроза является по-прежнему самой опасной, занимает первые места по наносимому ущербу и числу инцидентов во всех авторитетных исследованиях.

Таким образом, сегодня по-прежнему очень важна борьбы с вредителями с помощью сигнатурного сканирования, а здесь на первое место выходит скорость обновления антивирусных баз. Здесь на первом месте пока находится "Лаборатория Касперского", которой удалось автоматизировать процесс выпуска обновлений настолько, что в критических ситуациях (во время вирусной эпидемии) соответствующая сигнатура выходит за 10-15 минут. Саму лучшую скорость реакции отечественной компании подтверждают ученые Магдебургского Университета, которые постоянно замеряют время, которое понадобилось известным антивирусным компаниям для выпуска критического обновления во время вирусной эпидемии. Здесь действительно "Лаборатория" еще ни разу не уступила первое место своим конкурентам, а самых значительных из них - постоянно опережает на 30-90 минут. Замечу, что к продуктам "Лаборатории" можно предъявлять самые разные претензии в плане скорости работы, понятливости графического интерфейса и т.д., однако к скорости обновления придраться не удастся...