На протяжении последних нескольких лет я замечаю резкое замедление темпов создания и реализации новых технологий защиты от вредоносного программного обеспечения для персональных компьютерах, как со стороны стартапов, так и со стороны крупных производителей средств защиты. Как результат, мы наблюдаем индустрию средств обеспечения безопасности в странном состоянии: борьба с кибер–«бизнесменами», наживающимися незаконными методами, идет, технологические методы безопасности постоянно эволюционируют, но… кибер–преступники не идут косяками на биржу труда из–за падения «бизнес»–доходов до нулевых отметок. А может, так, как оно есть сейчас– нормально, ведь мир не рушится?Анализируя сложившееся положение, я всё больше утверждаюсь в мыслях о том, что для области защиты персональных компьютеров наступает «конец истории», поскольку все технологии защиты, которые можно было придумать для защиты операционной системы, построенной на подходах и принципах безопасности, царивших в конце 80-х годов прошлого столетия (напомню, что именно тогда началась разработка архитектуры и ядра операционной системы Windows NT, и в те времена разработка велась без учёта мер безопасного программирования и ограничения функциональности для потенциально небезопасных процессов), уже в той или иной мере реализованы и присутствуют на рынке. Дальнейшие разработки новых технологий обеспечения защиты от вредоносного программного обеспечения упираются в две вещи. Первое: это необходимость сильных изменения привычных шаблонов работы пользователя, который переучиваться не хочет, а значит, и не будет, скорее всего. Пользователь хочет работать за своим персональным компьютером так, как он привык, но чтобы при этом он был спокоен за свою безопасность. Вот и приходится производителям средств безопасности создавать «костыли» для операционной системы Windows так, чтобы и с вредоносным софтом бороться, и пользователя не очень сильно тревожить и раздражать. Второе: это необходимость поддерживать множество программ, которые написаны не очень хорошо с точки зрения интеграции их с новыми подходами к защите от вредоносного программного обеспечения, что может быть достаточно накладно и создавать проблемы даже для крупной компании.
К чести корпорации Microsoft, её разработчики и менеджмент в последние несколько лет много ресурсов выделяют на обеспечение безопасности своей операционной системы (UAC, EMET, Windows Defender, ASLR, SMEP), однако, компании приходится нести «бремя обратной совместимости» с программным обеспечением, написанным ещё в эпоху, когда об ограничении функциональности, разделении ресурсов и безопасном коде мало кто думал, что также ограничивает компанию в сфере реализации новых моделей безопасности для операционных систем персональных компьютеров.
Первые средства безопасности для персональных компьютеров появились в середине 80-х годов. С тех пор инноваторы в этой области прошли большой путь, перепробовав огромное множество подходов для защиты от вредоносных программ для операционной системы от компании Microsoft. Практически всё, что можно было придумать для обеспечения безопасности пользователей Windows на ядре NT, так или иначе, уже реализовано и представлено на рынке (из самых последних средств– облачный анализ, песочницы всевозможных видов и средства обеспечения безопасности финансовых операций). Более того, эволюция подходов в реализации вредоносных программ также практически завершена, поскольку их авторы придумали, по-моему, всё, что только можно для получения дохода от своей деятельности. Поэтому я полагаю, что в ближайшее время мы не услышим о новых технологических прорывах на фронте борьбы с вредоносным программным обеспечением, скорее, это будут новые интерпретации старых схем и подходов. Инновации в этой сфере подходят к концу своей славной истории, равно как и время безудержного роста самого рынка персональных компьютеров, кстати. Всё новое и интересное в безопасности мы увидим в совсем других областях, с персональными компьютерами не связанными (ну, может, и связанными, но разве что опосредованно). Например, в области мобильных платежей и «Internet of things».
В начале 2013 года «Лаборатория Касперского» обнаружила систему кибер-шпионского программного обеспечения, которую назвало «Red October». Согласно данным Лаборатории, шпионская система успешно функционировала с 2007 по начало 2013 года, пока не была разоблачена. То есть, весь стек защитных технологий на момент обнаружения данного типа вредоносного программного обеспечения, обходился злоумышленниками, так или иначе, иначе бы они не смогли развернуть свою сеть. С момент обнаружения (то есть, с версии Kaspersky Internet Security 2012), технологический стек защитных механизмов Kaspersky Internet Security дополнился следующими технологиями (опуская усовершенствования в рамках уже существующих защитных барьеров): [KIS 2013] обеспечение безопасных интернет-платежей, защита ввода данных с клавиатуры, автоматическая защита от эксплойтов (AEP), [KIS 2014] возможность запуска только по белым спискам безопасных программ, защита от вредоносных блокировщиков экрана, [KIS 2015] защита от несанкционированного использования веб-камеры, проверка безопасности публичных Wi-Fi- сетей. Сравним- автоматическая защита от эксплойтов [KIS 2013 ]и несанкционированное использование веб-камеры [KIS 2015], что технологичнее и сложнее? И это- ситуация с одним из самых инновационно–направленных и технологичных комплексов средств безопасности в анти–вирусной индустрии. Что уж говорить о других? Intel Security (бывшая компания McAfee), например, вообще не имеет желания внедрять средства поведенческой защиты в свои комплексы безопасности…
Современные стартапы в области безопасности нацелены на корпоративный рынок и реализуют лишь две основные концепции (естественно, адаптированные под различные среды применения). Первая из них– это детектирование аномалий (не важно, чего именно- сетевых подключений, активности аккаунтов в Active Directory или поведения программ). Вторая– это создание безопасных сред и алгоритмов. И, как мне кажется, второе важнее, чем первое, ибо цифровой мир в том виде, который мы наблюдаем, базируется на средах и алгоритмах, придуманных и реализованных ещё в 80-90 годы прошлого века, безусловно, сильно устарев. А какие-то из них за это время вообще были полностью скомпрометированы (например, всё семейство генерации контрольных сумм MD). Всё держится лишь на том, что кибер–преступникам невыгодно обрушивать всю эту неустойчивую конструкцию, поскольку они на небезопасных элементах деньги и зарабатывают. Но вот с точки зрения устойчивости реальных систем к кибер–атакам на разрушение инфраструктуры и причинении ущерба противнику ситуация, на нынешний момент, критическая. Или мы, специалисты в области информационной безопасности, сможем переломить ситуацию, или в какой-то момент мы потеряем контроль над тем, что обеспечивает наши жизни в прямом смысле этого слова: электропитание, водоснабжение, банковские операции. Второй вариант– не самый приятный, не правда ли, коллеги?