Автор: Михаил Новоселов (блог автора)
Статья написана для ресурса comss.ru. Планируется по мере поступления предложений и замечаний, а также своих мыслей дорабатывать статью. Изменения будут вноситься на этой странице.
Возможности современных антивирусов
Современный антивирус должен защищать от:
- вирусов, то есть любых вредоносных программ;
- различных обманов на деньги: поддельные антивирусы, отправка СМС для "скачивания" несуществующих файлов и т.д.;
- потенциально-нежелательных программ (ПНП)
Это базовые функции, которые должны быть в любом продукте класса Antivirus. Более функциональные антивирусные решения класса Internet Security, помимо названного, могут включать в себя:
- фаервол;
- веб-защита: защита от опасных веб-сайтов, антифишинг;
- антиспам;
- проактивная защита.
Во многих решениях присутствует такой неантивирусный функционал, как родительский контроль, шифрование, шреддинг (безвозвратное удаление информации), менеджер паролей, оптимизация компьютера.
Стоит отметить, что функционал полностью зависит от разработчика. Так, у одних разработчиков антиспам входит в решение класса Antivirus, у других - Internet Security.
Основные типы защиты от угроз
Защита от вирусов и ПНП может быть четырех типов:
1. Локально-сигнатурная. Именно такими были самые первые антивирусы на стыке веков. Сигнатура - это занесенный в базы антивируса образец кода конкретного вируса, который он ищет во всех файлах, которые проверяет (на западный манер - сканирует). Локально - значит сигнатурная база хранится на непосредственно компьютере, где установлен антивирус.
2. Локально-эвристическая. Такие технологии появились немногим позже первых. В данном случае антивирус ищет не участки кода конкретного вируса, а некий похожий на вирус код по заданным образцам. Сюда же можно отнести технологию эмуляции процессора, которая уже частично устарела.
3. Локально-проактивная. Защита на основе анализа поведения программ для выявления и пресечения их вредоносной активности. Раньше данная технология работала достаточно просто: был заданный набор описаний опасных действий, характерный для вирусов. Они просто блокировались (поведенческий блокиратор). Программы, совершающие большое количество потенциально-опасных действий, могли блокироваться полностью. Однако, в настоящий момент проактивные технологии ушли значительно вперед, о них мы еще поговорим отдельно.
4. Облачная. Наиболее современный тренд. Первые облака появились в 2005-2006 годах. С тех пор они получили огромное развитие. Суть таких технологий в том, что множество компьютеров конечных защищаемых пользователей подключены к единому командному центру и передают ему различную информацию, на основе которой автоматизированная система вычисляет вредоносные объекты. Подробно про механизм работы на блоге "Лаборатории Касперского".
Первые 2 типа защиты есть в абсолютно всех антивирусах (разве что в "Антивирусе Бабушкина" - Fraud.BabushkinAV - их нет). Их осуществляет такой важный компонент антивируса, как файловый монитор. Он в режиме реального времени проверяет все файлы, к которым система пытается получить доступ. Сначала выполняется проверка, а только потом эти файлы можно открыть. Таким образом, вирус будет обезврежен до своего запуска. Антивирусным сканированием в большинстве продуктов называется проверка по требованию пользователя, которую человек запускает вручную. Многие антивирусы умеют делать ее по расписанию.
*****
Анекдот в тему.
Разговаривают Билл Гейтс и Стив Джобс.
Гейтс:
- Мы провели исследование и выяснили, что русские читают быстрее всех в мире.
Джобс:
- Ты скорость чтения лицензионных соглашений измерял?
*****
При использовании "облака" стоит ознакомиться с лицензионным соглашением и условиями использования облака. Обычно из них и логики работы облачной АВ защиты следует, что:
1. На сервера может передаваться почти любая информация, которую антивирус посчитает нужной. Если есть веб-защита, то это однозначно список посещенных сайтов, ваш IP адрес и множество менее существенной информации.
2. Она передается неперсонализированно. Что под этим имеется в виду, одни разработчики знают, ведь информацию о посещенных сайтах можно отвязать от имени пользователя и считать это неперсонализированным хранением данных, но отвязывается ли она от IP адреса? Даже если да, то наверняка система запоминает ваш регион для дальнейшего определения географии распространения угроз.
3. Любым органам государственной власти имеющаяся у антивирусной компании информация может быть предоставлена. Разработчик даже может оставлять за собой право делиться данными и с любыми другими третьими лицами, обещая при этом сохранять конфиденциальность.
Отсюда следует, что спецслужбы, например, на основе данных о посещенных веб-сайтах, пусть и не персонализированных, но зато геопривязанных, могут определять общественное мнение с точностью до региона. Эта информация очень пригодится для ведения сетевой, или сетецентрической войны, направленной на невоенный захват (перевод под свое влияние) государств. Однако, возможность участия в этом антивируса теоретическая.
Дополнительные компоненты защиты
Давайте рассмотрим дополнительные компоненты защиты, обычно присутствующие в решениях класса Internet Security.
Фаервол
Фаервол - это программный продукт для контроля использования интернета. Иногда в него входит и проактивная защита, которую мы уже частично рассмотрели и сделаем это далее.
Слово фаервол образовано от английского firewall - огненная стена, поэтому иногда также встречаются написания файервол, фаерволл, файерволл. Другое слово, обозначающее то же самое - брандмауер.
Работу фаервола можно условно разделить на 2 направления: контроль выхода в интернет всех программ на компьютере и защита от интернет-атак, например, DDoS - множественных запросов на компьютер, направленных на его отключение из сети в связи с невозможностью обработки такого потока запросов. Однако, такой тип атак на домашний компьютер очень маловероятен. Фаервол также защищает и от других приемов хакеров. Защита от вторжений (IPS - intrusion prevention system, иногда IDS - intrusion detection system), то есть от проникновения вредоносного ПО в систему с использованием уязвимостей браузера или другой легитимной программы, обычно тоже ложится на плечи фаервола, но может относиться и к другому компоненту комплексного продукта класса Internet Security.
Контроль выхода различных программ в Сеть может осуществляться тремя способами:
1. Автоматически: все решения относительно того, легитимная ли программа просится в интернет, фаервол принимает самостоятельно. Обычно ему в этом помогает белый список - база известных "хороших" программ. Она может находиться как локально, так и в облаке. В последнем случае не стоит проблема ее ресурсоемкости (сколько места на жестком диске и в памяти она занимает). В зависимости от настройки, неизвестным, то есть не внесенным в белый список, приложениям может либо закрываться доступ в сеть, либо наоборот разрешатся (в последнем случае проще отключить работу фаервола на этом направлении).
2. Полуавтоматически: принятие решений на основе правил. Правило - это установка фаерволу, как нужно поступать, когда указанная программа пытается выйти в сеть; обычно можно не просто разрешать/запрещать ее действия, но и конкретизировать правила, указывая используемые порты, целевые адреса, приложения, которые запускают эту программу и т.д.
3. Вручную: каждый раз, при попытке любого ПО выйти в сеть, выдается запрос.
Обычно используется первый и второй варианты.
Веб-защита
Веб-защита тоже работает по нескольким направлениям:
1. Проверка всего интернет трафика. Грубо говоря, тот же файловый монитор, но только для всего того, что передается и получается через интернет.
2. Защита от посещения вредоносных сайтов. Раньше ссылки на известные источники вирусов заносились в локальные базы, теперь же в большинстве случаев эта защита облачная. Работает она так: сервер облака может сам заходить на различные сайты, выполнять их доскональную проверку, запоминая, какие ресурсы оказались вредоносными. Если первый тип интернет защиты обнаруживает угрозу, то ее адрес отправляется в облако для предотвращения посещения этого ресурса другими пользователями. Смысл в том, что, если сайт взломан и на него установлены вирусы, то злоумышленники их (вирусы) могут менять без ведома антивирусной компании, в результате чего первый тип веб-защиты может пропустить новейшие, еще неизвестные вредоносные программы. Здесь стоит отметить, что в современных антивирусах защита строится на всесторонней обороне по принципу "заражение легче предотвратить, чем его потом лечить".
3. Защита от фишинга. Фишинг - это поддельные сайты, по внешнему виду почти неотличимые от оригинала, которые просят ввести пароли или данные кредитной карты. Примеры можно посмотреть на PhishTank. Осторожно, такие сайты могут быть дополнительно заражены вирусами.
Подробнее о принципе работы веб-защиты на примере Lavasoft читайте здесь.
Антиспам
Антиспам и почтовый монитор проверяют на предмет наличия спама или вирусов электронную почту, получаемую локально - обычно через установленные почтовые клиенты (The Bat, Thunderbird, Windows Mail и др.). Почта, которую вы читаете через браузер, не проверяется, однако на всех современных почтовых службах используются и так хорошие антивирусные и антиспам технологии.
Мы уже выше рассмотрели стандартные технологии проактивной защиты, к которым относится и IPS, которую мы посчитали частью фаервола. Что же еще предлагают многие разработчики?
Безопасный банкинг
Это изолированная среда, изолированный от внешнего компьютерного мира браузер, предназначенный для безопасного совершения банковских операций. Безопасность заключается в том, что браузер изолируется от всех остальных программ, в результате чего вводимая в нем информация не может быть перехвачена. Технология не гарантирует 100% защиты, каждый разработчик использует разные подходы к обеспечиванию безопасности онлайн банкинга.
Песочница, sandbox
Изолированная от остального компьютера среда, позволяющая безопасно запускать любые программы. Все изменения, ими сделанные, по окончанию работы откатываются, а чреватые повреждениями системы вредоносные действия запрещены. Бывают автоматически песочницы: малоизвестные программы автоматически запускаются в изоляции. Некоторые вирусы умеют определять, что они работают в песочнице, в случае обнаружения которой прекращают свою работу. Это нужно еще и для того, чтобы автоматические системы анализа на серверах антивирусных разработчиков не могли выявить этих вредоносов.
Откат вредоносных действия, rollback
Некоторые продукты, например Twister и Webroot, не используют автопесочниц, как Comodo, но следят за всеми изменениями в системе, совершаемыми запущенными приложениями. Если антивирус после долгого наблюдения за активностью программы вдруг решит, что она вредоносная, он удалит, откатив сделанные ее изменения в системе. Разница между Webroot и Twister в том, что первый предпочитает пару десятков минут понаблюдать за программой, прежде чем окрестить ее вредоносной, при этом имея неплохой облачный детект (обнаруживает вирусы до их запуска, часто на основании данных от других пользователей, что эта программа проявляла вредоносную активность), а вот второй в силу маленького количества пользователей и недоработанности облачных технологий такой развитой крадудсорсинговой базы не имеет, но вредоносное ПО предпочитает прибивать в самом начале его работы, даже, бывает, не успев его проверить в облаке. Оба продукта в момент озарения откатывают зафиксированные ими со стороны вируса изменения в системе.
HIPS, host-based intrusion prevention system, система предотвращения вторжений на узел
Система, следящая за всеми изменениями в системе и способная предотвращать вредоносные. Как и фаервол, имеет настраиваемые правила, режимы работы от автомата до ручного, белые списки известных безопасных программ.
Производительность и быстродействие
При выборе антивируса также обратите внимание на его ресурсоемкость - количество потребляемых им ресурсов. Не секрет, что на слабых системах (2 ГБ ОЗУ, процессор 1.6 ГГц, приблизительно, и ниже) антивирус является главным потребителем ресурсов и, как следствие, сильно замедляет работу системы.
Чем бОльшая часть антивируса перенесена в облако, тем меньше ресурсов ему требуется, тем быстрее он работает, но тем и более хороший интернет нужен для его нормальной работы. В части антивирусов, например, Антивирусе Касперского, облако используется лишь как вспомогательный инструмент в дополнение к локальной сигнатурной, эвристической и проактивной защите. Но в других продуктах, например, Baidu, Qihoo 360 (в этих двух случаях речь идет об их собственных технологиях, а не об используемых сторонних движках) вся антивирусная защита перенесена в облако. Соответственно, при отсутствии интернета компьютер останется незащищенным.
Чтобы узнать параметры своего компьютера, зайдите в Пуск - Панель управления - Система, или в Пуск - правой кнопкой на "Компьютер" - Свойства. Минимальные системное требования указываются в описании каждого продукта.
Пробуем сами - виртуальные системы
Чтобы протестировать продукт (без учета соответствия количества системных ресурсов), можно установить его на виртуальную систему, например, поставить лицензионную демо версию Windows на виртуальную машину VirtualBox, что будет бесплатно.
Последний критерий - цена. Обратите внимание на бесплатные антивирусы или промо-акции. Комплексные решения класса Internet Security обычно платные, но можно использовать связку бесплатный антивирус + бесплатный фаервол + бесплатная проактивная защита в случае ее отсутствия в антивирусе. Каждую связку лучше предварительно проверить на совместимость на виртуальной машине.
Таким образом, при выборе антивируса нужно начинать с подбора необходимого функционала. При этом, если вы неопытный пользователь, не забывайте, что для вас чем проще антивирус, тем лучше. Идеальный вариант - это бесплатные или облачные решения. Что касается проактивных технологий, то в одних продуктах они работают на автомате, не требуя вмешательства пользователя, когда как другие продукты требуют от пользователя определенных знаний.
Ни одна антивирусная технология не обеспечивает 100% защиты. В чем-то силен один продукт, в чем-то другой. Обратите внимание на результаты многочисленных тестов. Однако помните, что это субъективная оценка.
Если вам нужна помощь в подборе антивируса, то пишите в комментарии, указывая параметры процессора и ОЗУ, скорость интернет соединения, постоянно ли оно, свои навыки пользователя, степень готовности к участию в облаке, необходимые компоненты защиты, обязательна ли бесплатность защиты. Мы, администрация и пользователи comss.ru, постараемся помочь новичкам.
Также готовы выслушать любые замечания и предложения по статье. Она будет дорабатываться.
Советы и рекомендации
• Как играть в Brawl Stars в России с помощью Comss.one DNS
• GitHub Copilot стал бесплатным: как получить доступ в России через Comss.one DNS
• Как использовать Google Gemini 2.0 Flash (Experimental) бесплатно – на сайте Gemini, в Google AI Studio и приложении
• Доступ к GitHub Copilot, Notion и Home Connect через Comss.one DNS в России
• Как использовать Sora – нейросеть OpenAI для генерации видео
• Как настроить Comss.one DNS (DNS-over-HTTPS) для доступа к ИИ-сервисами в браузерах