Антивирусный рынок переходит на новый виток развития
Сергей Антимонов,
председатель совета директоров ЗАО «ДиалогНаука»,
к. ф. -м. н.
обзор "Средства защиты информации и бизнеса 2007"
подготовлен CNews Analytics, 2007
Антивирусному рынку не более 25 лет. Однако за это время он пережил массу потрясений – рождение новых революционных технологий, смены парадигм, а так же масштабные сделки по слиянию и поглощению. Похоже, сейчас этот рынок вновь находится на пороге очередного этапа своей эволюции. Теперь в связи с появлением нового игрока.
Состав понятия «антивирус» (и, соответственно, «антивирусный рынок») меняется по мере того, как появляются новые функциональные возможности у антивирусных программ (решений, средств) для обеспечения более полной защиты от новых угроз. Так, к примеру, года 3 назад не было принято включать в антивирусные программы средства борьбы с программами-шпионами, рекламными программами и т.п. Тогда были отдельно антивирусные программы и отдельно – программы против шпионского ПО. Однако сейчас повсеместно в вирусных базах данных антивирусных ядер есть также записи (сигнатуры) для обнаружения этих видов вредоносных и нежелательных кодов.
Интеллект антивирусных ядер растет и в плане превентивного (проактивного или упреждающего) обнаружения новых экземпляров вредоносных кодов, что стало актуально в последнее время, когда пошли «лавины» новых вариаций старых кодов, а также выпуски совершенно новых «образчиков» вредоносных кодов и хакерских атак.
Во-первых, идет совершенствование старых эвристических технологий. Во-вторых, появились новые технологии HIPS (Host Intrusion Prevention Systems), которые выполняют анализ поведения программ во время их исполнения и/или анализируют сам код еще до того, как он поступает на исполнение (как у английской компании Sophos). Если будут обнаружены признаки вредоносности, то такой код не будет допущен к исполнению. Наконец (как у той же компании Sophos) антивирусное ядро «нагружается» новыми функциями контроля за приложениями с тем, чтобы не допустить к выполнению те программы, которые запрещены корпоративной политикой компании, к примеру, – компьютерные игры, системы обмена мгновенными сообщениями, файлообменные сети P2P, системы голосовой связи VoIP, а также системы распределенных вычислений и т.д.
Такая «внутренняя» интеграция, которая происходит внутри самих антивирусных ядер, сопровождается еще и «внешней» интеграцией - когда, к примеру, даже на уровне рабочей станции (или домашнего компьютера), кроме антивирусной фильтрации, применяется и антиспамовая фильтрация (например, решение «Dr.Web для Windows. Антивирус+Антиспам» от компании «Доктор Веб»). Заметим, что тут лицензирована антиспамовая технология Vade Retro от французской компании Goto Software. И, конечно, есть много решений, где идет интеграция антивирусных и антиспамовых функций на уровне почтовых серверов или шлюзов. Более того, часто все это поставляется в виде аппаратно-программного решения. Например, решение mailDefender от «ДиалогНауки» включает в себя проверку антивирусом Dr.Web и антиспамовую проверку «Спамообороной» от Яндекса.
Подобные интеграции антивирусных и антиспамовых функций являются ответом рынка на то, что вирусописатели и спамеры часто объединяют свои усилия. Именно они при помощи вирусов (троянцев, червей) строят «армии» зомби-компьютеров для рассылки спама, а спамовые письма все чаще содержат URL-ссылки на инфицированные веб-сайты, посетив которые, неосторожные пользователи тут же получают вредоносный код на свой ПК.
Чтобы перекрыть поток вредоносного кода, получаемого с зараженных веб-сайтов, все более актуальным становится фильтрование http-трафика. Уже давно антивирусные вендоры стали предлагать в своих решениях для рабочих станций, кроме антивирусов, персональные межсетевые экраны – для усиления защиты. Например, в 2002 году «Лаборатория Касперского» одной из первых в мире вывела на рынок свой персональный брандмауэр (Kaspersky Anti-Hacker). В 2004 году компания Sophos лицензировала у российской компании Agnitum право на включение в линейку своих продуктов технологий из популярного межсетевого экрана Outpost Pro и выпустила на его базе свой персональный межсетевой экран Sophos Client Firewall. В каком-то смысле это «зеркальный ответ» на все более сильную интеграцию хакеров, спамеров и создателей вредоносных кодов, которые используют все более широкий спектр технологий для проникновения на пользовательские ПК и в корпоративные сети.
Наконец, как об одной из главных сейчас тенденций антивирусного рынка следует сказать о смещении акцента с защиты инфраструктуры (компьютеров и корпоративных сетей) к защите собственно «информации» в самых разных ее видах и формах. В этом смысле знаменательный шаг сделала компания Symantec, приобретя компанию Veritas, лидера рынка систем резервного копирования, за 13,5 млрд долл. Это самая высокая сумма сделки поглощения за всю историю в области софтверной индустрии. При этом важно отметить, что в настоящее время компания Symantec является лидером по выручке на мировом антивирусном рынке, зарабатывая больше, чем 5 следующих за ней вендоров. Однако, «тучи сгущаются» – и не только над бизнесом компании Symantec, но также и над бизнесом других антивирусных вендоров. Это связано с выходом на мировой антивирусный рынок компании Microsoft – самой богатой софтверной компании мира, которая только на исследования и разработки (R&D) в год выделяет больше денег, чем годовая выручка всех антивирусных вендоров в мире. Сейчас корпорация уже поставляет на рынок практически все версии антивирусов – как для домашних пользователей, так и для корпоративных клиентов; как для рабочих станций и файловых серверов, так и для сред электронной почты и систем коллективной работы с документами, а также и для служб удаленной антивирусной фильтрации почты.
Первое «пришествие» Microsoft
Первый раз компания Microsoft вышла на мировой антивирусный рынок 14 лет назад, когда впервые включила антивирусную утилиту MSAV (MicroSoft Anti-Virus) в свою операционную систему MS DOS 6.0 – в марте 1993 года. Однако, этот «выход» оказался неудачным, так как не было соответствующей поддержки с обновлениями вирусных баз, и утилита MSAV устаревала уже через несколько недель после установки на ПК. В связи с этим во многих странах СМИ начали публиковать разгромные статьи о том, что антивирус от Microsoft «мышей не ловит» и т.д. В итоге, корпорация убрала утилиту из состава операционной системы – с августа 1995 года MSAV уже не входила в MS-DOS 7.0.
Интересно заметить, что в качестве утилиты MSAV выступала лицензированная компанией Microsoft «обрезанная» версия антивируса Central Point Anti-Virus (CPAV) от американской компании Central Point Software. Та в свою очередь купила лицензию на это антивирусное ядро у израильской компании Carmel Software Engineering, которая продавала свой собственный антивирус Turbo Anti-Virus только в Израиле и Германии. В 1994 году компанию Central Point Software приобрела компания Symantec Corporation, проинтегрировав антивирус CPAV уже в свой собственный продукт Norton AntiVirus.
Это были первые и самые «громкие» случаи купли-продажи прав на антивирусные ядра («движки», как их иногда называют). Как показывает вся дальнейшая история развития мирового антивирусного рынка, такой антивирусный продукт как «лицензия на право использовать антивирусное ядро в других программах на какое-то время и на какую-то территорию» – явился существенным двигателем для многих игроков. К примеру, отечественная компания «Лаборатория Касперского» очень сильно поднялась после того, как в октябре 1997 года продала лицензию на использование своего ядра финской компании Data Fellows (сейчас это F-Secure). Компания «ДиалогНаука» успешно продала в 2000-2001 гг. лицензию на ядро DrWeb в США, Китай и Юж. Корею.
Еще один уникальный пример – это история развития компании Sybari (1994-2005), которая в своем антивирусе Antigen использовала в итоге до 8 антивирусных ядер от разных производителей. В 2005 году эту компанию купила компания Microsoft, и теперь антивирусы Antigen, уже в переработанном виде, выпускаются под новой маркой Forefront. В максимальной комплектации покупки в продуктах Antigen была возможность использовать до 8 антивирусных ядер от разных вендоров: от английской компании Sophos, шведской Norman, американской Computer Associates (тут два ядра -- Inoculate израильского и Vet австралийского производства), венгерской Virus Buster, российской Kaspersky Lab, американской Authentium (с исландским ядром) и корейской Ahnlab.
Второе «пришествие» Microsoft
Второе «пришествие» на мировой антивирусный рынок компания Microsoft подготовила, надо отдать ей должное, куда более основательно. Во-первых, еще в январе 2002 года Билл Гейтс заявил, что проблема безопасности, в разных ее аспектах, становится одной из важнейших задач для всей корпорации Microsoft в целом. Во-вторых, Microsoft (выполняя намеченные стратегические цели серьезного и полномасштабного выхода на мировой антивирусный рынок) совершила несколько знаковых покупок.
Сначала, 11 июня 2003 года была приобретена румынская компания GeCAD Software, производитель антивирусных продуктов линейки RAV Antivirus. Именно с этой датой связывают начало второго «пришествия» Microsoft на мировой антивирусный рынок. Затем, 16 декабря 2004 года - поглощение американской компании GIANT Software, одного из лидеров по производству ПО против программ-шпионов, которые в то время стали очень досаждать пользователям ПК, перехватив «пальму первенства» у вирусов и червей. Далее, 8 февраля 2005 года приобретена американская компания Sybari Software, разработчик многоядерных антивирусных продуктов Antigen. Тогда основным каналом распространения вредоносного кода были вложения в электронные сообщения.
20 июля 2005 года – покупка американской компании Frontbridge Technologies, разработчика служб защиты электронной почты с удаленной многоядерной антивирусной и антиспамовой фильтрацией входящих и исходящих потоков корреспонденции. И, в завершение,18 мая 2006 года поглощена американская компания Whale Communications, разработчик продуктов защищенного доступа, виртуальных частных сетей и брандмауэров.
При выводе на рынок новых антивирусных продуктов и услуг Microsoft реализовала тактику первоначальной «проверки боем» этих новых технологий. Некоторые элементы румынского антивирусного ядра первоначально были использованы в бесплатной антивирусной утилите Windows Malicious Software Removal Tool (MSRT), которую компания Майкрософт запустила в январе 2005 года. Цель этого проекта – обеспечить пользователям Windows, у которых на ПК нет антивирусов, возможность выполнять антивирусную проверку при помощи MSRT и удалять наиболее опасные вредоносные коды. Утилита обновляется раз в месяц (по вторым вторникам) и распространяется через службу Microsoft Windows Update.
Уже через полтора года после запуска утилиты, компания сообщила, что обнаружила и вылечила около 16 млн экз. вредоносного кода на 5,7 млн уникальных Windows-ПК. Тогда вредоносный код был обнаружен в среднем на каждом 313-м ПК, где запускалась MSRT. Итак, основная цель бесплатного MSRT – помочь тем, у кого на ПК нет антивирусов, а таких компьютеров в мире 400 млн – две трети от 600 млн ПК, где используется Windows. MSRT не входит в состав Vista, но ее можно бесплатно загрузить с веб-узла Microsoft. Кроме утилиты MSRT, антивирусное ядро Microsoft используется также в пакете Windows OneCare и линейке продуктов Forefront (об этом подробно – см. далее).
Антишпионское ПО от компании GIANT Software с 4 ноября 2005 года было выведено на рынок как бесплатное ПО Windows Defender от Microsoft для борьбы с программами-шпионами (прежнее название этого ПО – Microsoft AntiSpyware). Здесь уже есть интеграция с обозревателем Internet Explorer, что обеспечивает автоматическое сканирование файлов, скачиваемых на ПК с веб-сайтов – чтобы не допустить попадания вредоносного кода. Windows Defender входит в состав Vista.
На смену продуктам Antigen для сред Exchange и SharePoint пришли продукты Forefront, где 9-м используется антивирусное ядро Microsoft. Но сейчас, на самом деле, два старых ядра от компании CA (Computer Associates) объединяются в одно, следовательно, скоро в этих пакетах по-прежнему будет всего 8 разных ядер.
2 мая 2007 года на рынок были выведены собственные одноядерные продукты компании Microsoft под названием «Forefront Client Security» для защиты рабочих станций и файловых серверов (Windows 2000, Windows XP, Windows Server 2003 и Windows Vista). Они объединяют защиту от вирусов и шпионских программ со средствами контроля политики безопасности всей компании. Показательно то, что выпускались эти средства на рынок одновременно с выпуском целого ряда новых версий линейки продуктов Microsoft System Center – что важно для корпоративного пользователя, так как системный администратор должен иметь средства централизованного управления и наблюдения за всеми различными программами, которые установлены в его сети на ПК, и для оперативного сбора и анализа всех сообщений о разных событиях и инцидентах. Да, эти версии продукта Forefront пока одноядерные, однако, по мнению экспертов, не исключено, что через какое-то время и они станут многоядерными.
Многоядерные антивирусные и антиспамовые службы от Frontbridge были представлены под новым именем «Microsoft Exchange Hosted Services». Здесь используется уже другой набор антивирусных ядер, по сравнению с продуктами Forefront (Antigen). Антивирусные (антиспамовые) решения от Microsoft «Exchange Hosted Services» и «Forefront для Exchange» в обзоре «Magic Quadrant for E-Mail Security Boundary, 2006» компании Gartner были названы лидерами рассматриваемого сектора рынка (т.е. когда антивирусная и антиспамовая фильтрация выполняется в целях проверки электронной почты).
Аналитики говорят, что сейчас компания готовит интеграцию своего старого продукта «ISA Server» и нового «Intelligent Application Gateway 2007» (созданного на базе продукта, приобретенного у Whale) в рамках новой линейки «Microsoft Forefront Edge Security and Access». Не исключено, что в эти новые решения будет добавлена возможность подключения многоядерной антивирусной проверки (именно такой проект начала делать еще компания Sybari).
Тактика последовательного завоевания рынка
Итак, постепенно Microsoft создает стройную и всеобъемлющую систему антивирусной защиты для разного уровня пользователей (домашних и корпоративных) и для разных уровней иерархии в корпоративной сети (рабочие станции, серверы, периметр). Если к этому добавить, что сейчас цены на многоядерные продукты «Forefront для Exchange» и «Forefront для SharePoint», в 3-4 раза ниже, чем на аналогичные антивирусные продукты от конкурентов, то вполне резонно предположить высокие уровни продаж антивирусных продуктов от Microsoft в скором будущем. Потому что эти антивирусы и соответствующие прикладные программы (Exchange и SharePoint), а также и сами операционные среды – все идет от одного производителя, который, к тому же, все это «вяжет» мощной и разнообразной системой центрального управления и наблюдения.
Что касается домашних пользователей, то в продолжение выпусков бесплатной антивирусной утилиты Windows Malicious Software Removal Tool (MSRT) и анти-шпионской программы Windows Defender, 30 января 2007 года был выпущен продукт Windows Live OneCare, который содержит целый ряд новинок.
Во-первых, в этом продукте реализована интеграция антивирусного и антишпионского ядер от Microsoft, которые могут использоваться в режимах «по доступу» и «по запросу». Во-вторых, здесь имеется брандмауэр, фильтрующий входящие и исходящие соединения. Наконец, в этот продукт интегрирована служба резервного копирования, что, как мы знаем, во многих случаях может спасти ценную информацию от возможного разрушающего воздействия со стороны вредоносных кодов или проникновения хакеров.
Более того, Windows Live OneCare интегрируется с анти-фишинговой технологией, реализованной в обозревателе Internet Explorer 7, что позволяет предотвратить заражение компьютера в случае, если браузер перемещается на инфицированный веб-сайт (такая защита очень актуальна в наши дни). OneCare обеспечивает удаление ненужных данных с жесткого диска и помогает повысить производительность компьютера. За эти многие удовольствия клиент платит всего 49,95 долларов США – столько стоит подписка на продукт на один год с правом использования продукта на трех компьютерах, значительно меньше, чем цены за аналогичный набор функций (или продуктов) от конкурентов.
Следует при этом отметить тот факт, что компания Microsoft давно, целенаправленно и последовательно «скупает» по всему миру наиболее подходящих людей для работы по антивирусному проекту. В частности, на работу в Microsoft Security Research & Response team (MSRR) перешли такие давно известные в антивирусной индустрии люди как Винни Гуллотто (Vinny Gullotto) и Джимми Куо (Jimmy Kuo). Они являются соавторами блога «Anti-Malware Engineering Team», в котором обсуждаются, в том числе, и результаты участия антивирусов от Microsoft в наиболее известных антивирусных сравнительных тестах. Так, продукт OneCare уже имеет сертификаты от американской ICSA Labs (www.icsalabs.com) и европейской West Coast Labs (www.westcoastlabs.org), награды VB100% в тестах журнала Virus Bulletin (www.virusbtn.com) и более высокие показатели в последних тестах Андреаса Клементи (Andreas Clementi), а продукт Forefront имеет сертификат от WestCoast Labs, одну награду VB100% и скоро получит сертификат от ICSA. Что касается «осечки» по результатам OneCare на тестах Virus Bulletin под Vista, то Джимми Куо написал в блоге: «вы увидите, что скоро наши результаты по VB-тестам будут в числе самых наилучших». Так оно и есть сейчас.
Еще одну уникальную особенность своей команды в том же блоге отметил Винсент Гуллотто: они ведь имеют обратную связь от 400 млн пользователей Windows со всего мира, которые давно просят Microsoft предоставить им средства для надежной защиты от вирусов, червей, троянов и нежелательного ПО, которое всем им уже порядком надоело.
Итак, с выпуском продукта Windows Live OneCare для домашних пользователей (и малого бизнеса) и линейки продуктов Forefront для средних и больших предприятий компания Microsoft практически вышла во все сегменты мирового антивирусного рынка. Учитывая то, что ее продукты, как правило, обеспечивают больше функциональности и дешевле по цене, чем у конкурентов, можно ожидать существенного передела антивирусного рынка.
По мнению экспертов, первыми на антивирусы от Microsoft, видимо, перейдут частные пользователи, малый и средний бизнес, а затем уже и представители крупного бизнеса. Как быстро это произойдет и в каких масштабах, можно будет судить уже по результатам продаж в 2007 году, который фактически является первым годом полномасштабного выхода антивирусных продуктов и услуг от Microsoft на мировой антивирусный рынок. Но даже на базе старых клиентских баз (полученных от покупок компаний Giant и Sybari) компания Microsoft обеспечила себе место в первой десятке продавцов антивирусного ПО.