Эволюция угроз
Что же случилось в мире, от чего «скончался» антивирус? Вернемся на круглый стол по безопасности Cisco.
В это почти невозможно поверить, но еще не стали пенсионерами и трудятся рядом с нами компьютерщики, работавшие за мониторами во времена, когда компьютерных вирусов не было. НЕ БЫЛО СОВСЕМ. Ни вирусов, ни антивирусов, ни троянских программ. Этого класса объектов не было еще в 1980 году (первые компьютерные вирусы, в современном понимании, появились в 1981 году для Apple II). Через пять-семь лет первые эпидемии компьютерных вирусов породили индустрию противодействия этой угрозе. Это времена, условно датированные на слайде 2000 годом. В последнее десятилетие прошлого века о вирусах говорили не только специалисты, но и практически все, кто хотя бы изредка садился за компьютер. Мне помнятся разговоры о компьютерных вирусах за праздничным столом и даже у костра на природе. Сегодня это кажется странным, но на самом деле, таким образом, IT-индустрия училась противостоять новым, совершенно незнакомым еще вызовам. Будущие гуру информационных технологий, обсуждая угрозы и инциденты, учились и самому простому: не запускать подряд все программы, попавшиеся под руку, оценивать состояние своего ПК и многому-многому другому, что сегодня кажется банальным и естественным.
Конечно, времена, когда о защите от вирусов и подобных им вредоносных проявлений, думать не было необходимости — стали историей. Но забывать о том, как резко изменилось понятие компьютерной безопасности — не стоит. Развитие технологий неизбежно приносит новые вызовы, и понимание того, как сильно могут измениться требования к нашему поведению, – сродни иммунитету :)
Следующий период, обозначенный на слайде 2005 годом, ознаменовал качественное изменение вредоносного ПО. Теперь злоумышленник, как правило, не ограничивается вторжением в компьютер и нарушением его работы — он хочет получать из чужого компьютера информацию и/или управлять им по своему усмотрению. Для борьбы теперь необходима система обнаружения вторжений (Intrusion Detection System (IDS)) и система предотвращения вторжений (Intrusion Prevention System (IPS)). Развиваются межсетевые экраны (firewalls) и другие программно-аппаратные средства для выявления неавторизованного доступа в сеть. На этом этапе антивирусы еще могли помочь, интегрируя в себя инструменты управления экранами и анализ внешней сетевой активности приложений.
Современный период развития систем безопасности, в который мы вступили, характеризуется сложными постоянными угрозами (Advanced Persistent Threat (APT)). Об этих переменах уже не первый день криком кричат специалисты по безопасности: «кричат» не только в отраслевых обсуждениях, но и обращаясь к широкому кругу пользователей. В каком-то смысле знаковым моментом в осознании перемен стала уже упоминавшаяся статья в The Wall Street Journal. Можно сказать, что эта статья завершила в СМИ этап привлечения внимания к переменам; этап, стартовавший с обсуждения атаки китайских хакеров на The New York Times в прошлом году (после чего в прессе и замелькал термин APT).
Если вредоносное ПО написано специально для вас, то его не поймает антивирус. Если атака происходит с учетом настроек вашего firewall, то надежд на то, что экран защитит не так уж много. Ничто не предотвратит взлом, если используется уязвимость нулевого дня (то есть уязвимость, найденная только что и еще не имеющая способа устранения). А в мире уже сложился рынок, на котором продаются такие уязвимости, этот рынок анализируют и активно обсуждают.
Возможно, вас заинтересовало текущее состояние дел — тогда много интересного можно найти в апрельском отчете Symantec, или в блогах Cisco, посвященных безопасности. Но и без дополнительного изучения вопроса видно: угрозы совсем не похожи на те, что были в конце XX века. Что же вызвало к жизни такие перемены?