Інновації, безпека та персональний комп "ютер

Протягом останніх декількох років я помічаю різке уповільнення темпів створення та реалізації нових технологій захисту від шкідливого програмного забезпечення для персональних комп'ютерах, як з боку стартапів, так і з боку великих виробників засобів захисту. Як результат, ми спостерігаємо індустрію засобів забезпечення безпеки в дивному стані: боротьба з кібер- «бізнесменами», що наживаються незаконними методами, йде, технологічні методи безпеки постійно еволюціонують, але... кібер-злочинці не йдуть косяками на біржу праці через падіння «бізнес» - прибутків до нульових позначок. А може, так, як воно є сейчас- нормально, адже світ не руйнується?

Аналізуючи сформоване становище, я все більше стверджуюся в думках про те, що для галузі захисту персональних комп'ютерів настає «кінець історії», оскільки всі технології захисту, які можна було придумати для захисту операційної системи, побудованої на підходах і принципах безпеки, що панували в кінці 80-х років минулого століття (нагадаю, що саме тоді почалася розробка архітектури та ядра операційної системи Windows NT, і в ті часи розробка велася без урахування заходів безпечного програмування та обмеження функціональності для потенційно небезпечних процесів), вже в тій чи іншій мірі реалізовані і присутні на ринку. Подальші розробки нових технологій забезпечення захисту від шкідливого програмного забезпечення впираються у дві речі. Перше: це необхідність сильних змін звичних шаблонів роботи користувача, який переучуватися не хоче, а значить, і не буде, швидше за все. Користувач хоче працювати за своїм персональним комп'ютером так, як він звик, але щоб при цьому він був спокійний за свою безпеку. Ось і доводиться виробникам засобів безпеки створювати «милиці» для операційної системи Windows так, щоб і зі шкідливим софтом боротися, і користувача не дуже сильно турбувати і дратувати. Друге: це необхідність підтримувати безліч програм, які написані не дуже добре з точки зору інтеграції їх з новими підходами до захисту від шкідливого програмного забезпечення, що може бути досить накладно і створювати проблеми навіть для великої компанії.

До честі корпорації Microsoft, її розробники і менеджмент в останні кілька років багато ресурсів виділяють на забезпечення безпеки своєї операційної системи (UAC, EMET, Windows Defender, ASLR, SMEP), однак, компанії доводиться нести «тягар зворотної сумісності» з програмним забезпеченням, написаним ще в епоху, коли про обмеження функціональності, поділ ресурсів і безпечний код мало хто думав, що також обмежує компанію в сфері реалізації нових моделей безпеки для операційних систем персональних комп'ютерів.

Перші засоби безпеки для персональних комп'ютерів з'явилися в середині 80-х років. Відтоді інноватори в цій галузі пройшли великий шлях, перепробувавши величезну безліч підходів для захисту від шкідливих програм для операційної системи від компанії Microsoft. Практично все, що можна було придумати для забезпечення безпеки користувачів Windows на ядрі NT, так чи інакше, вже реалізовано і представлено на ринку (з останніх коштів - хмарний аналіз, пісочниці всіляких видів і засоби забезпечення безпеки фінансових операцій). Більш того, еволюція підходів у реалізації шкідливих програм також практично завершена, оскільки їх автори придумали, по-моєму, все, що тільки можна для отримання доходу від своєї діяльності. Тому я вважаю, що найближчим часом ми не почуємо про нові технологічні прориви на фронті боротьби зі шкідливим програмним забезпеченням, швидше, це будуть нові інтерпретації старих схем і підходів. Інновації в цій сфері добігають кінця своєї славної історії, так само як і час нестримного зростання самого ринку персональних комп'ютерів, до речі. Все нове і цікаве в безпеці ми побачимо в зовсім інших областях, з персональними комп'ютерами не пов'язаними (ну, може, і пов'язаними, але хіба що опосередковано). Наприклад, в області мобільних платежів і «Internet of things».

На початку 2013 року «Лабораторія Касперського» виявила систему кібер-шпигунського програмного забезпечення, яку назвало «Red October». Згідно з даними Лабораторії, шпигунська система успішно функціонувала з 2007 по початок 2013 року, поки не була викрита. Тобто, весь стек захисних технологій на момент виявлення даного типу шкідливого програмного забезпечення, обходився зловмисниками, так чи інакше, інакше б вони не змогли розгорнути свою мережу. З момент виявлення (тобто, з версії Kaspersky Internet Security 2012), технологічний стек захисних механізмів Kaspersky Internet Security доповнився наступними технологіями (опускаючи удосконалення в рамках вже існуючих захисних бар'єрів): [KIS 2013] забезпечення безпечних інтернет-платежів, захист введення даних з клавіатури, автоматичний захист від експлойтів (AEP), [KIS 2014] можливість запуску тільки за білими списками безпечних програм, захист від шкідливих блокувальників екрану, [KIS 2015] захист від несанкціонованого використання веб-камери, перевірка безпеки публічних Wi-Fi- мереж. Порівняння - автоматичний захист від експлойтів [KIS 2013] і несанкціоноване використання веб-камери [KIS 2015], що технологічніше і складніше? І - ситуація з одним з найбільш інноваційно-спрямованих і технологічних комплексів засобів безпеки в анти-вірусній індустрії. Що вже говорити про інших? Intel Security (колишня компанія McAfee), наприклад, взагалі не має бажання впроваджувати засоби поведінкового захисту в свої комплекси безпеки...

Сучасні стартапи в галузі безпеки націлені на корпоративний ринок і реалізують лише дві основні концепції (природно, адаптовані під різні середовища застосування). Перша з них - це детектування аномалій (неважливо, чого іменно- мережевих з'єднань, активності акаунтів в Active Directory або поведінки програм). Друга - це створення безпечних середовищ і алгоритмів. І, як мені здається, друге важливіше, ніж перше, бо цифровий світ в тому вигляді, який ми спостерігаємо, базується на середовищах і алгоритмах, придуманих і реалізованих ще в 80-90 роки минулого століття, безумовно, сильно застарів. А якісь з них за цей час взагалі були повністю скомпрометовані (наприклад, все сімейство генерації контрольних сум MD). Все тримається лише на тому, що кібер-злочинцям невигідно обрушувати всю цю нестійку конструкцію, оскільки вони на небезпечних елементах гроші і заробляють. Але ось з точки зору стійкості реальних систем до кібер-атак на руйнування інфраструктури та заподіяння шкоди противнику ситуація, на нинішній момент, критична. Або ми, фахівці в галузі інформаційної безпеки, зможемо переламати ситуацію, або в якийсь момент ми втратимо контроль над тим, що забезпечує наші життя в прямому сенсі цього слова: електроживлення, водопостачання, банківські операції. Другий варіант - не найприємніший, чи не правда, колеги?