Вирусы как хобби: 1992 — 2004 гг.

В 1992 году было известно примерно о тысяче вирусов.
В 2004 — примерно о 100,000.

Вирусописатели еще не научились зарабатывать деньги. Иногда это просто хобби. Иногда — что-то близкое к хулиганству. Например, компьютер заразили для того, чтобы похитить чужой интернет-трафик. Иногда — просто для того, чтобы пошутить или доказать свое мастерство.

Антивирусные проверки выполняются на локальном компьютере. Антивирусы основаны на поиске совпадений. На компьютер скачивается база определений известных вредоносных программ (сигнатурная база). Каждый из объектов на компьютере сравнивается с этой базой. Если обнаружено совпадение, это означает, что компьютер заражен. Таким образом, антивирусные программы по умолчанию доверяют каждому из приложений. По крайней мере, до тех пор, пока не уверены в том, что приложение является вредоносным или заражено.



Эпоха “тормозов”: 2004 — 2010 гг.

Интернет изменил мир. К сети теперь постоянно подключено очень много людей — они пришли туда за общением и развлечениями. Бизнес уже сильно зависит от информационных технологий, так как он не может обойтись без средств автоматизации.

Вирусописатели уже научились извлекать финансовую выгоду из заражения компьютеров. Мошенничество, рассылка спама, похищение личной информации — все это стало приносить деньги.

Число вредоносных программ растет так быстро, что антивирусы не успевают обновлять сигнатурные базы для защиты от новых вредоносных программ. В 2010 г. было известно уже о 100,000,000 вредоносных программ. Антивирусные компании соревнуются между собой в том, как часто их продукты обновляют сигнатурную базу и сколько она содержит определений вирусов.

Антивирусы “тормозят”, то есть потребляют слишком много ресурсов компьютера. Одна из причин — в сигнатурной базе уже очень много определений вирусов, а для повышения точности обнаружения одновременно используется несколько технологий (эвристики, эмуляция, HIPS, поведенческие методы и т. д.).



Облачность: 2011 — настоящее время

Ежедневно антивирусные компании выявляют около 300,000 новых вредоносных программ.

Киберпреступность стала профессиональной. Вирусописатели используют разные способы обхода антивирусов. Один из способов — выигрыш во времени. Пока антивирус молчит по той причине, что вирусная лаборатория еще не узнала о новой вредоносной программе, злоумышленники успевают заразить компьютер и заработать на этом.

Облачные вычисления дополняют локальные проверки. Чтобы ускорить обнаружение вирусов и отказаться от некоторых локальных проверок, все чаще используются облачные технологии. Одна из таких технологий — репутационный метод обнаружения (whitelisting). Установленный на компьютере антивирус не только сам получает обновления, но и передает информацию о файлах в лабораторию. База антивирусной компании содержит данные о разных объектах — как о “плохих”, так и о “хороших”. Но теперь каждый объект имеет репутацию. Репутация отражает, насколько велика вероятность, что объект является вредоносным. Хотя антивирусные проверки осуществляются все еще локально, оценка репутации файлов происходит уже в облаке.

Появляется новый подход — облачное обнаружение. На локальном компьютере собирается информация. Она передается в облако, где анализируется с помощью экспертной системы, использующей методы Big Data. После того, как анализ в облаке закончен, на компьютер возвращается готовый вердикт — есть ли заражение, какой объект заражен и что с этим делать. Таким образом, на локальном компьютере больше не нужна полная информация обо всех угрозах и от части проверок можно отказаться.


Узнайте больше о том, как работают облачные сервисы Cezurity

Чтобы найти и вылечить заражения, которые пропустили антивирусы,
подключите компьютер к Cezurity Sensa с помощью сканера Cezurity

Установить сканер