Слово «антивирус» сейчас для некоторых звучит как анахронизм, что-то из 90-х. Ну какой же, помилуйте, антивирус, когда тут иногда глубокоэшелонированная защита не спасает?!

На прошедшем в мае PHDays мы обсудили с ведущими вендорами и экспертами, как изменился рынок защиты конечных устройств и какие тренды сейчас определяют развитие антивирусных технологий.

Так вышло, что вести дискуссию доверили мне, Сергею Лебедеву, руководителю департамента разработки средств защиты рабочих станций и серверов Positive Technologies, и в этой статье я решил поделиться с вами основными выводами, которые для себя отметил.

Если вам интересно, жив ли пациент антивирус и как себя чувствует этот класс систем защиты информации – эта статья для вас.

От сигнатур к искусственному интеллекту

За последние годы антивирусные технологии претерпели радикальные изменения. Если еще десять лет назад основой антивирусной защиты были сигнатурные базы, которые требовали постоянного обновления, то сегодня мы наблюдаем принципиально иной подход.

Современные решения сочетают эвристический анализ, поведенческие детекторы и машинное обучение, что позволяет выявлять кибератаки в условиях активно развивающихся методов злоумышленников.

Хакеры, конечно, тоже не дремлют — антиэмуляционные техники и обфускация вынуждают вендоров искать новые подходы.

Злоумышленники постоянно совершенствуют методы «переупаковки» (repacking) вредоносного ПО, чтобы обойти защиту. Суть сигнатурного анализа в том, что антивирус ищет в файле определенные, заранее известные последовательности байт (сигнатуры), характерные для конкретного вредоноса. Если эти последовательности меняются, сигнатура становится недействительной. Чтобы добиться этого злоумышленники прибегают к использованию упаковщиков (packers), шифровальщиков (cryptors), полиморфных движков (polymorphic engines) и обфускаторов кода (code obfuscation).

В ответ на эти постоянно совершенствующиеся методы уклонения, произошел фундаментальный переход от простых и точных сигнатур к сложным алгоритмам профилирования и эвристического анализа. Такая новая «современная сигнатура» способна эффективно выявлять целые семейства вредоносных программ, независимо от того, используют ли они полиморфные техники, прибегают ли к сложной обфускации, или применяют продвинутые упаковщики и крипторы. Это стало возможным благодаря глубокому внедрению нейросетевых моделей и машинного обучения, которые анализируют не только статические артефакты и структурные характеристики файлов, но и их потенциальное поведение или поведенческие паттерны. Такой многомерный анализ позволяет эффективно обнаруживать угрозы, основываясь на их истинном назначении и действиях.

Интеграция с EDR и новый уровень защиты

Сегодня антивирусы уже не существуют как самостоятельные продукты – они органично встраиваются в комплексные системы обнаружения и реагирования на атаки для конечных устройств (EDR-решения). В Positive Technologies мы последовательно идем к созданию полноценного решения класса Endpoint Security, включающего в себя и EDR, и EPP (Endpoint Protection Platform). Такой эволюционный путь показывает, что сочетание традиционных антивирусных технологий с продвинутыми методами мониторинга и реагирования дает максимальный защитный эффект.

Представьте себе сценарий: работа медицинской организации встала из-за заражения вирусом шифровальщиком. Ущерб колоссальный, мы помним случаи, когда он выражается не только финансовыми потерями, но и жизнями людей, к сожалению.

Раскручивая цепочку этой атаки в обратном порядке, мы можем найти признаки горизонтального перемещения хакера, дампа учетных записей, использования легитимных инструментов типа powershell или wmi – эти аномальные признаки хорошо сегодня выявляются EDR-решениями.

Возвращаемся в своем расследовании в начало атаки – и, как правило, встречаем зараженные файлы на флешках, фишинг в почте, зараженное вложение в мессенджере. Так вот, тут самое место превентивным методам защиты. И антивирусные технологии хорошо себя зарекомендовали в таких случаях. Действительно, зачем все отрабатывать EDR, если мы точно знаем подмножество ВПО, его сигнатуры,  поведение и можем сразу заблокировать при обнаружении на устройстве.

А если бы у взломанной клиники (из примера выше) было установлено решение, включающее в себя и EDR, и EPP, этот инцидент был бы просто невозможен. Все дело в том, что в таких решениях есть специальный модуль самозащиты. Он работает таким образом, что даже если бы злоумышленник (имея права администратора!!), попытался обойти защиту, ему бы это не удалось. А другие модули системы не позволили бы вредоносным программам запуститься и распространиться, надежно заблокировав угрозу.

Интересно, что интеграция происходит в обоих направлениях. Если антивирусы заимствуют элементы поведенческого анализа в EDR, то сами EDR-решения начинают включать антивирусные движки. Это создает своеобразный симбиоз, где каждый компонент усиливает другой, обеспечивая многоуровневую защиту от современных угроз, и, что немаловажно, существенно улучшает основные метрики в управлении инцидентами MTTD и MTTR (Mean Time to Detect, Mean Time to Respond).

Естественно, EDR и антивирус дополняют друг друга, фокусируясь на пост-эксплуатационных действиях злоумышленника.

❗ По данным исследования ЦСР, в 2023 году доля рынка EDR (от общего рынка средств защиты) составляла 15,3% с приростом 4% за год.

Вызовы облачных технологий и ИИ

Применение искусственного интеллекта в антивирусных решениях – это уже не будущее, а реальность. Достаточно посмотреть на ряд решений зарубежных вендоров, упоминаемых здесь и здесь. Однако возникает несколько принципиальных вопросов. Во-первых, локальные ML-модели, работающие непосредственно на конечных устройствах, нередко сталкиваются с ограничением вычислительных ресурсов. Во-вторых, облачные системы, обладающие большими возможностями (это и легкое масштабирование, и отсутствие капитальных затрат для компаний-клиентов, плюс вы платите только за то, что реально используете), сталкиваются с проблемами доверия. 

Особую сложность представляет обучение моделей. Для создания действительно эффективных алгоритмов требуются огромные массивы телеметрии, которые заказчики не всегда готовы предоставить.

В разговорах с клиентами мы часто слышим их озабоченность конфиденциальностью данных компании и/или возможными репутационными издержками в случае, если информация о потенциальном инциденте «утечет». Отчасти такие скептические высказывания связаны с умеренным уровнем доверия к MSSP и вообще к облачной модели предоставления услуг – в том числе, сказались громкие «отключения» российских заказчиков от внешних облачных сервисов зарубежными вендорами. Возможно, решение лежит в области создания доверенных центров обмена индикаторами компрометации, работающих под эгидой регуляторов. 

Я согласен с мнением, высказанным Артёмом Ильиным (Руководитель управления систем информационной безопасности, Т-Банк) на майском PHDays, что ИИ — не панацея, а сигнатурный анализ — это такой автомат Калашникова. Он прост, дёшев и эффективен. ИИ же пока — как молоток в руках ребёнка: все пытаются применить его ко всему подряд и не всегда успешно.

Антивирусы в регулируемых средах 

В условиях усиления регуляторных требований, особенно в критической инфраструктуре, антивирусные решения остаются обязательным элементом защиты. Однако здесь мы видим интересный симбиоз: с одной стороны, регуляторы требуют использования сертифицированных антивирусов, с другой – современные подходы к безопасности всё чаще делают ставку на принципы Zero Trust и жесткий контроль приложений. 

Так, контроль приложений (Application Control) кажется интересным решением, но в условиях частых обновлений ПО он становится рутинной задачей для администраторов, требуя постоянного отслеживания версий программ. На практике это приводит к появлению гибридных моделей, где классический антивирус работает в сочетании с Application Control, песочницами и другими механизмами защиты.

В некоторых сценариях, особенно при использовании специализированных операционных систем или жестко конфигурированных серверов (hardened), которые по своей природе не предполагают интерактивного пользовательского доступа (например, по протоколу RDP), удается вообще отказаться от традиционных антивирусных решений, заменяя их более целенаправленными механизмами контроля (мандатный доступ в ОС, шифрование данных и др.). 

Представьте крупную логистическую компанию, где каждый час простоя из-за киберинцидента стоит миллионы рублей упущенной прибыли и неустоек перед клиентами. В прошлом хакерские группировки могли использовать вирус-шифровальщик для быстрого распространения и заражения серверов и шифрования данных, включая хранилища резервных копий. Но теперь, благодаря системам, где встроенные компоненты работают в связке с поведенческим анализом и функциями реагирования, происходит обнаружение первых аномальных шагов потенциального шифровальщика на одной рабочей станции и автоматическое реагирование в виде изоляции хоста, что пресекает горизонтальное распространение угрозы, при этом подается детальный телеметрический сигнал в SOC. Результат? Минимизация ущерба, сохранение репутации, и, что самое главное, бесперебойное выполнение критически важных бизнес-операций. Это не просто защита, это инвестиция в непрерывность бизнеса и конкурентное преимущество.

Заключение

Подводя итоги, скажу так: антивирусы не исчезают, но кардинально меняют свою роль в экосистеме кибербезопасности. Они перестали быть универсальным решением «на все случаи жизни», превращаясь в один из элементов многослойной защиты. 

Вместо того чтобы быть пассивным сторожем, лишь реагирующим на уже известные угрозы, современная интегрированная антивирусная функциональность в составе EDR-решения становится активным участником процесса обеспечения киберустойчивости.

Будущее, по всей видимости, за интеллектуальными гибридными системами, где традиционные сигнатурные методы сочетаются с поведенческим анализом, машинным обучением и облачными технологиями. При этом важнейшим фактором успеха станет способность вендоров адаптироваться к меняющимся регуляторным требованиям и новым векторам атак.  

Главный вывод для специалистов по безопасности, который я бы выделил: антивирусные технологии остаются важным инструментом защиты, но их эффективность напрямую зависит от умения интегрировать их в общую стратегию безопасности организации. Слепое следование устаревшим подходам так же опасно, как и полный отказ от проверенных временем решений.

Сергей Лебедев

Руководитель департамента разработки средств защиты рабочих станций и серверов, Positive Technologies