Według Gartnera na świecie w 2013 r. przychody ze sprzedaży rozwiązań do ochrony urządzeń końcowych wzrosły o 2 proc. Jednocześnie analitycy wskazują, że przytoczony wynik to efekt raczej różnego typu operacji księgowych, a nie faktycznej poprawy popytu. Liczba licencji sprzedanych w 2013 r. może napawać większym optymizmem, bo zwiększyła się o 6 proc. Rozbieżność między wynikiem wartościowym a ilościowym powstała przede wszystkim w efekcie spadku cen licencji. Jest to szczególnie ciekawe ze względu na fakt, że w tym samym czasie producenci pakietów ochronnych nie przestawali rozszerzać ich możliwości.

Z raportów IDC wynika, że rynek oprogramowania do ochrony urządzeń końcowych będzie rósł głównie dzięki konieczności zabezpieczania środowisk wirtualnych i urządzeń mobilnych. Analitycy tej firmy badawczej są bardziej optymistyczni niż ich koledzy z Gartnera i prognozują, że do 2018 r. sprzedaż na tym rynku będzie rosła średnio o 5,1 proc. rocznie (Gartner stawia raczej na 2 proc.). Obecnie większość produktów trafia do użytkowników prywatnych. Jednak według prognoz to sprzedaż klientom korporacyjnym ma rosnąć najszybciej i zwiększać swój udział w całości przychodów.

 

Cztery fazy  procesu ochrony

Nasilanie się zjawiska zaawansowanych, celowanych ataków (APT) sprawia, że coraz mniejsze znaczenie dla użytkowników końcowych mają takie techniki ochrony biernej jak antywirusy. W tym przypadku nawet różne sposoby poprawy systemu dystrybucji sygnatur mają niewielki wpływ na zwiększenie efektywności wykrywania ataków. Według różnych badań prawie połowa użytkowników rozwiązań do ochrony stacji roboczych stała się ofiarą APT. A to wyraźnie pokazuje, że antywirusy nie są wystarczająco skuteczne.

Ten stan rzeczy mogą zmienić produkty korzystające z mechanizmów aktywnego wykrywania zagrożeń. Takie, które obejmują wszystkie cztery fazy zabezpieczania systemów IT. Pierwszą jest określenie reguł bezpieczeństwa i konfiguracja zabezpieczeń w urządzeniu końcowym. Pomogą w tym narzędzia do zarządzania konfiguracją, instalowania aktualizacji i kontroli aplikacji.

 

Drugą fazą jest zapobieganie. Wykorzystuje się w niej funkcje ochrony służące do identyfikowania i filtrowania szkodliwego oprogramowania jeszcze zanim dotrze ono do komputera. Zaliczają się do nich m.in.: określanie reputacji plików, adresów URL i IP, analiza kodu (w czasie rzeczywistym) oraz uruchamianie go w wirtualnym środowisku i monitorowanie jego zachowania.

Wykrywanie to kolejna faza, która polega na  wyszukiwaniu anomalii wskazujących na obecność szkodliwego oprogramowania w urządzeniu końcowym. Celem w tej fazie jest jak najszybsze wykrycie zagrożenia oraz zebranie informacji pomocnych w jego usunięciu. Należy podkreślić, że faza wykrywania obejmuje narzędzia, które są używane w sytuacji, gdy doszło już do przedostanie się szkodliwego kodu  do urządzenia końcowego.

Ostatnią fazą jest usuwanie szkodnika, skutków jego działania oraz wprowadzanie zmian w zabezpieczeniach na podstawie doświadczeń zebranych po danym ataku czy infekcji.

Staranne działania w pierwszej fazie mogą powstrzymać od 85 do 90 proc. szkodników. Tymczasem administratorzy IT wciąż największy nacisk kładą na technologie związane z drugą fazą, czyli zapobieganiem. Liczą, że w ten sposób unikną dodatkowej pracy związanej z aktywnym konfigurowaniem reguł bezpieczeństwa. Uciążliwe z ich punktu widzenia jest także korzystanie z narzędzi wykrywających anomalie, które charakteryzują się dużą liczbą generowanych zgłoszeń wymagających weryfikacji, często bowiem są to fałszywe alarmy (false positive).

 

Nowe spojrzenie na antywirusa

Korporacyjne i konsumenckie oprogramowanie antywirusowe tradycyjnie korzysta z baz sygnatur. Jeśli producent jest w stanie dostarczać aktualne sygnatury tak samo szybko, jak pojawiają się nowe zagrożenia, to antywirus spełnia swoje zadanie. Jednak obecne tempo „mnożenia się” szkodliwego oprogramowania jest tak duże, że kompletnie przekracza możliwości dostawców zabezpieczeń. Tak uważa chociażby sam Mikko Hypponen, Chief Research Officer w F-Secure. Również wiceprezes Symanteca Brian Dye stwierdził bez ogródek, że „antywirus jest martwy”. Ponadto ten rodzaj oprogramowania jest bezsilny w przypadku ataków zero-day.

 

Maciej Mierzejewski

dyrektor ds. klientów korporacyjnych, Panda Security

Ostatnia fala ataków Cryptolockera wykazała nieskuteczność rozwiązań opartych na sygnaturach. Nieodporność na proste techniki obejścia oraz długi czas przygotowania i dystrybucji sygnatur powodują, że rynek szuka skuteczniejszych zabezpieczeń. Zgodnie z oczekiwaniami, rozwiązania do ochrony urządzeń końcowych rozwijają się i oferują następujące innowacyjne techniki: monitorowanie podejrzanych akcji uruchamianych procesów, kontrolowanie aplikacji i uruchamianie wyłącznie znanego lub zaufanego kodu oraz wykonywanie podejrzanych procesów w izolowanym środowisku.

 

Wydaje się jednak, że mimo wszystko za wcześnie jest na ogłaszanie śmierci antywirusów. Zdaniem niektórych ekspertów opinia o końcu stosowania tych programów jest słuszna tylko w odniesieniu do środowiska korporacyjnego. Absolutnie nie dotyczy rynku małych i średnich firm oraz użytkowników prywatnych. W dużych przedsiębiorstwach oprogramowanie antywirusowe stanowi tylko jedną z wielu warstw zabezpieczeń. W segmencie konsumenckim oraz MŚP sytuacja wygląda inaczej. Ci klienci rzadko wdrażają wielowarstwowe rozwiązania. Zamiast tego korzystają z jednej warstwy, którą najczęściej jest właśnie antywirus.

Nie ma też wątpliwości, że sygnatury długo jeszcze będą wykorzystywane w systemach bezpieczeństwa, zapewniając firmom ochronę przed znanymi zagrożeniami. Zwłaszcza że zaczęto stosować nowe rozwiązania, które składają się z agenta antywirusowego oraz oprogramowania działającego w chmurze. Zadaniem agenta jest wyszukiwanie nowych plików i przesyłanie ich sum kontrolnych do centrum obliczeniowego w chmurze. To zapewnia natychmiastową analizę oraz przesłanie informacji zwrotnej do urządzenia.

Systematycznie będzie rosło znaczenie mechanizmów wykrywających szkodniki na podstawie charakterystycznego dla nich zachowania. Obecnie tego typu algorytmy heurystyczne są stosowane w systemach IDS/IPS, ale będą również wdrażane przez producentów antywirusów. W przypadku zabezpieczeń sieciowych nacisk kładzie się na analizę aktywności w sieci, a nie na sposób działania samego kodu. Producenci antywirusów prowadzą już jednak badania, aby takie mechanizmy dostosować do specyfiki właściwej dla ochrony urządzeń końcowych. Muszą jednak rozwiązać problem nadmiernej liczby fałszywych alarmów. Wprawdzie tego rodzaju błędy będą występować zawsze, ale w najbliższym okresie powinno się udać ograniczyć ich liczbę. Szkodniki stają się coraz bardziej zaawansowane, więc nowe sposoby ich wykrywania są wręcz niezbędne.

Gdzie szukać przychodów?

Rynek rozwiązań do ochrony urządzeń końcowych jest już bardzo dojrzały i charakteryzuje się dużą konkurencją. W tzw. magicznym kwadracie Gartnera dotyczącym producentów tych systemów znalazło się aż 18 firm. Jednym ze skutków tego stanu rzeczy są spadające marże, ale to wciąż jest dobry biznes, a sprzedawcy nadal mają okazje do uzyskania przyzwoitych dochodów. Dostarczając klientowi zabezpieczenia stacji roboczych, można zbudować z nim relację, która umożliwi sprzedaż innych produktów, np. do ochrony baz danych czy aplikacji.

Program antywirusowy pełni jedynie rolę ochronną i nie służy użytkownikowi do realizacji żadnych zadań. Powinien zapewniać bezpieczeństwo i skutecznie eliminować zagrożenia, ale nie może nadmiernie angażować administratora ani utrudniać użytkownikom korzystania z komputerów. Dlatego wiele zalet ma oferowanie antywirusa w formie usługi chmurowej. Z punktu widzenia klienta odpada konieczność wdrożenia tego oprogramowania i zarządzania nim, atrakcyjne mogą również okazać się koszty. W przypadku małych i średnich firm, które często używają bezpłatnego oprogramowania antywirusowego, to dobre argumenty, ułatwiające przekonanie ich do przejścia na rozwiązania płatne.

 
Konieczna konwergencja

Do ochrony urządzeń końcowych firmy najczęściej stosują zintegrowane pakiety, które zawierają, oprócz antywirusa, osobistą zaporę sieciową oraz HIPS (Host-based IPS). Poza tym użytkownik może korzystać z kilku innych narzędzi, np. mechanizmu sprawdzającego, czy uruchamiane są tylko zaakceptowane aplikacje. Analitycy Gartnera przewidują, że rozwiązania zabezpieczające przed wyciekiem danych (DLP), a także do zarządzania sprzętem mobilnym (MDM) oraz wykrywania luk, coraz częściej będą wchodzić w skład pakietów do ochrony urządzeń końcowych. Docelowo zaś staną się integralną częścią tych pakietów. Podobnie było z osobistymi firewallami  i oprogramowaniem antyszpiegowskim.

W najnowszej ankiecie przeprowadzonej przez Gartnera aż 40 proc. menedżerów odpowiedziało, że korzysta z wielu zabezpieczeń od jednego producenta lub aktywnie konsoliduje różne rozwiązania. Najszybciej postępuje integracja z systemami do ochrony urządzeń mobilnych. Wiele małych i średnich firm kupuje rozwiązania MDM od tego samego producenta, który dostarcza im rozwiązania do ochrony urządzeń końcowych. Natomiast w dużych przedsiębiorstwach system MDM jest wybierany niezależnie.

 

Bezpłatne górą

Im większa liczba producentów zapór sieciowych, antywirusów i systemów IDS/IPS, z którymi mają do czynienia klienci, tym bardziej złożona jest praca administratorów. Jeśli dział IT będzie przekonany o coraz mniejszej skuteczności oprogramowania antywirusowego, zacznie skłaniać się do wyboru tańszego produktu, nie widząc uzasadnienia dla inwestowania w produkt droższy, ale mało skuteczny. Firma Palo Alto Networks przeprowadziła ankietę wśród 555 swoich klientów, w której padło m.in. pytanie: „czy rozważacie państwo przejście na bezpłatne, korporacyjne oprogramowanie antywirusowe, aby w ten sposób zaoszczędzić środki na bardziej zaawansowane mechanizmy ochrony stacji roboczych?”. Aż 44 proc. ankietowanych odpowiedziało, że zastanawia się nad taką decyzją lub już ją podjęło.

Jak bardzo popularne jest bezpłatne oprogramowanie antywirusowe, pokazuje raport opublikowany w styczniu 2015 r. przez firmę Opswat. W przedstawionym tam zestawieniu cztery pierwsze miejsca zajmują darmowe antywirusy, które razem mają ponad 46,3 proc. udziału w rynku (na liście nie ma Windows Defendera, ponieważ jest integralną częścią Windows 8.1). Raport został opracowany na podstawie danych zebranych z 4 tys. komputerów, z których 63,8 proc. to komputery firmowe, a pozostałe 36,2 proc. stanowią urządzenia należące do użytkowników domowych.

 
Warto skrócić czas licencji?

Jeśli producenci tradycyjnych antywirusów chcą pozostać konkurencyjni w segmencie rozwiązań korporacyjnych, powinni nadal obniżać ceny oraz rozszerzać możliwości tego oprogramowania o nowe techniki ochronne. Sytuację może również poprawić skrócenie czasu obowiązywania licencji. Klient związany trzyletnią licencją, która nie ułatwia mu zmiany dostawcy, będzie coraz bardziej niezadowolony ze stosowanego obecnie produktu.

Kolejnym interesującym rozwiązaniem byłaby współpraca między producentami sprzętowych, sieciowych zabezpieczeń a dostawcami programowych antywirusów. Takie konsorcja mogłyby oferować pakiety składające się z systemów IPS/IDS z wbudowanymi sprzętowymi funkcjami zapory sieciowej i antywirusa, uzupełnionymi o podobne rozwiązania przeznaczone do instalacji w urządzeniach końcowych.

 

Nie tylko Windows

Większość klientów biznesowych, wybierając rozwiązanie do ochrony urządzeń końcowych, szuka nie tylko produktów zabezpieczających komputery z systemem Windows, lecz również chroniące serwery i różne urządzenia mobilne z systemami Android, iOS oraz Mac OS. Wśród zabezpieczeń  serwerów największym popytem cieszą się rozwiązania służące do  ochrony maszyn wirtualnych oraz specjalizowanych aplikacji (jak Microsoft Exchange i SharePoint) oraz systemów Linux i Unix. Według Gartnera korporacje najchętniej kupują rozwiązania tej klasy trzech firm: Symanteca, Intel Security (dawniej McAfee) oraz Trend Micro. W kategorii liderów analitycy wymieniają jeszcze dwa przedsiębiorstwa: Kaspersky Lab oraz Sophos. Warto też wspomnieć o chińskiej firmie Qihoo 360, która wprawdzie znana jest prawie wyłącznie w Państwie Środka, ale ma tam aż 400 mln użytkowników. Niewykluczone jednak, że jej rozwiązania za kilka lat pojawią się również w Polsce, ponieważ producent snuje plany globalnej ekspansji.

Za kilka lat duże zmiany na rynku zabezpieczeń urządzeń końcowych może spowodować malejąca liczba komputerów ze starszymi wersjami systemu Windows (do wersji 8.1 włącznie), które będą wypierane przez systemy nowej generacji – Windows 10, Windows Runtime, Apple iOS i Mac OS X Mountain Lion. Wskutek tego procesu dzisiejsze pakiety bezpieczeństwa stacji roboczych już niedługo będą przypominać systemy MDM z funkcjami ochrony danych i prywatności użytkowników.

Krzysztof Gołda

Channel Manager, Trend Micro

w wyborze rozwiązania do ochrony urządzeń końcowych klient powinien kierować się przede wszystkim skutecznością oprogramowania – nie jego ceną lub liczbą dostępnych opcji. Kluczowe jest to, czy rozwiązanie radzi sobie z aktualnymi zagrożeniami. Przed podjęciem decyzji warto zapoznać się z wynikami testów niezależnych organizacji, na przykład NSS Labs. Ponieważ klienci często zakładają, że wszyscy  producenci mają tak samo skuteczne oprogramowanie, wybierają najtańsze. Nie jest to właściwa droga.