Według opublikowanego niedawno raportu CERT Orange Polska, średnio co dziesiąty komputer w Polsce był w zeszłym roku zarażony szkodliwym kodem. Prawie połowa badanych użytkowników miała do czynienia z różnymi postaciami malware’u, np. wirusami czy botnetami. W 2016 r. liczba infekcji wykrytych przez tę jednostkę bezpieczeństwa wzrosła aż o 240 proc. w porównaniu z poprzednim rokiem. Przeprowadzone przez nią badania pokazały także, że większość incydentów naruszenia bezpieczeństwa to nie są tzw. ataki kierunkowe, wycelowane w konkretne osoby lub firmy, lecz wirusy, robaki i trojany, które krążą po sieci atakując „na oślep”.

Jednak problemy z zapewnieniem bezpieczeństwa urządzeń końcowych nie są jedynie ilościowe. Wzrost popularności zagrożeń typu ransomware oraz trojanów finansowych to przykład, że cyberprzestępcy ciągle inwestują w rozwój szkodliwych rozwiązań. To sprawia, że rośnie zainteresowanie zaawansowanymi zabezpieczeniami, które pozwalają wykrywać cyberataki na podstawie ich zachowania w systemie i umożliwiającymi wycofywanie szkodliwych zmian w zainfekowanych komputerach. Takie produkty będą miały coraz większy udział w rynku.

 

Wielkość sprzedaży

Według ocen Radicati Group, rynek zabezpieczeń stacji roboczych na świecie był wart w 2016 r. ok. 4,6 mld dol. Analitycy tej firmy prognozują, że do 2020 r. przychody ze sprzedaży w tym segmencie osiągną nieco ponad 5,8 mld, a średnie roczne tempo wzrostu wyniesie 6 proc. Według ekspertów do największych klientów należą instytucje państwowe oraz sektor obronności. Natomiast najszybszy wzrost sprzedaży spodziewany jest w sektorze przedsiębiorstw świadczących usługi finansowe i ubezpieczeniowe. Ważnymi odbiorcami pozostają również służba zdrowia, firmy IT oraz telekomy.

Z kolei MarketsandMarkets wskazuje, że największy udział wśród zabezpieczeń stacji roboczych wciąż należy do programów antywirusowych, które coraz częściej są instalowane także w tabletach i smartfonach. Natomiast najszybciej, za sprawą popularności BYOD, ma rosnąć sprzedaż rozwiązań umożliwiających nadzorowanie urządzeń końcowych.

 

Resellerzy powinni analizować potrzeby swoich klientów i oferować im rozwiązania do ochrony tabletów i smartfonów – uważa Sebastian Kisiel, Senior Sales Engineer w firmie Citrix. – Możliwości sprzedażowych jest bowiem kilka. Można oferować takie rozwiązania przy okazji realizowania innego wdrożenia, np. rozwiązań z zakresu wirtualizacji czy szeroko rozumianej optymalizacji biznesu.

 

Komplementarność zabezpieczeń

Analitycy Gartnera wskazują na pewne ożywienie, jakie można zaobserwować ostatnio na rynku EPP (Endpoint Protection Platform). Wprawdzie liderzy, jak Trend Micro, Sophos, Symantec i Kaspersky, utrzymują swoją dominację, ale pojawili się nowi gracze. Po raz pierwszy w zestawieniu Magic Quadrant for Endpoint Protection Platforms (w kwadrancie wizjonerów) pojawiły się np. firmy Carbon Black, Comodo oraz CrowdStrike, które mogą zagrozić starej gwardii. Oferują łatwe w obsłudze produkty, które w porównaniu z rozwiązaniami liderów rynku skuteczniej wykrywają nowe rodzaje zagrożeń. Co istotne, 90 proc. producentów z kwadrantu wizjonerów oferuje rozwiązania określane jako komplementarne, czyli uzupełniające tradycyjne rozwiązania antywirusowe. Mówiąc inaczej, działają one w parze z dotychczas stosowanymi systemami ochrony. Na razie tylko ok. 6 proc. przedsiębiorstw na świecie korzysta z dwóch uzupełniających się zabezpieczeń, więc jest jeszcze spore pole do zagospodarowania.

Analitycy są przekonani, że popyt na te produkty komplementarne będzie rósł. Z czasem może to spowodować, że zaczną wypierać tradycyjne zabezpieczenia urządzeń końcowych. Na razie jednak klientów warto zachęcać do wdrażania tych innowacyjnych zabezpieczeń jedynie jako uzupełnienie dotychczas stosowanych środków ochrony. Nie powinny być one stosowane jako zamienniki, z uwagi na brak różnych, istotnych funkcji, jak osobista zapora sieciowa, kontrola portów USB, ochrona danych i wykrywanie podatności. Co istotne, te dodatkowe produkty to najczęściej oprogramowanie oferujące jedną lub dwie techniki wykrywania zagrożenia. To oznacza, że mają one niewielkie wymagania sprzętowe i nie będą powodować istotnego spowolnienia działania urządzeń, w których są instalowane. Można więc śmiało instalować je w parze z klasycznym antywirusem.

Bartosz Prauzner-Bechcicki

dyrektor ds. sprzedaży, Kaspersky Lab Polska

Zainteresowanie klientów pakietami typu Internet Security jest w dalszym ciągu bardzo duże. Obserwujemy tendencję zwiększania udziału pakietów ochrony kompleksowej w ogólnej sprzedaży. Wielu klientów zauważa trudności, jakie sprawia zapewnienie kompletnej ochrony systemów. Jednocześnie są świadomi, że ataki mogą pojawić się w bardzo wielu miejscach. Dlatego są skłonni sięgać po rozbudowane pakiety, niejako zdejmujące z nich konieczność pamiętania o wszystkich aspektach zabezpieczeń.

 

Co sprzedawać klientom

Na rynku rozwiązań do ochrony urządzeń końcowych panuje duża konkurencja. We wspomnianym kwadrancie Gartnera znalazło się ok. 20 producentów, a to nie wszyscy, którzy działają w tym obszarze. Jednym ze skutków tego stanu rzeczy są spadające marże. Wyzwaniem dla resellerów jest również elektroniczna dystrybucja oprogramowania, która opanowała rynek antywirusów. Klienci praktycznie przestali kupować wersje pudełkowe. Producenci deklarują jednak, że nie zamierzają pomijać partnerów, oferując swoje produkty bezpośrednio klientom. Jeżeli bowiem reseller dobrze wykonuje swoją pracę, ma zwykle grono oddanych klientów, którzy chcą być obsługiwani właśnie przez niego.
Dostarczając im zabezpieczenia stacji roboczych, można zbudować relację, która umożliwi sprzedaż innych produktów bezpieczeństwa, np. do ochrony baz danych czy aplikacji.

Kupujący, mając bardzo dużą ofertę rynkową antywirusów, najczęściej kierują się przy wyborze wyłącznie ceną oprogramowania. Jak jednak przekonać klienta, żeby wybrał lepszy, bardziej zaawansowany program do ochrony urządzeń końcowych? Wciąż najlepszym wskaźnikiem są niezależne testy porównawcze antywirusów. Jednakże trzeba pamiętać, że premiują one rozwiązania działające reaktywnie oraz nie sprawdzają dokładnie, jak wykrywane są nowe typy ataków. Dlatego w rzeczywistym świecie skuteczność wykrywania zagrożeń przez antywirusy jest niższa niż w testach. W szczególności problem ten dotyczy zwalczania najnowszych rodzajów szkodliwego kodu. Wynika to z faktu, że wykrywanie zagrożeń w większości zabezpieczeń odbywa się na podstawie znanych informacji (np. sum kontrolnych plików, adresów IP itd.). Dopiero część nowych producentów pokazała, że wykrywanie zagrożeń innymi technikami niż na podstawie sygnatur, może być skuteczniejsze przy dużej ilości pojawiającego się nowego złośliwego kodu.

Wysoki odsetek zagrożeń wykrywanych przez nowe rozwiązania nie znajduje odbicia w standaryzowanych testach, dlatego trudno je porównać z tradycyjnymi antywirusami. Trzeba też pamiętać, że tego rodzaju zabezpieczenia są stosunkowo krótko na rynku i nie można wykluczyć, że hakerzy z czasem opracują sposoby, jak je skutecznie omijać. Dlatego większość użytkowników bierze je pod uwagę tylko jako uzupełnienie używanych dotychczas programów antywirusowych.

Nowe ataki, nowe zabezpieczenia

Większość ataków polega na wykorzystaniu nie załatanych podatności lub socjotechniki. Bardzo popularne jest także wykorzystywanie kodu Java czy Visual Basic do pobierania i instalowania szkodliwego oprogramowania w komputerach ofiar. Z tego względu ważnym elementem systemu zabezpieczeń urządzeń końcowych są narzędzia umożliwiające zarządzanie aktualizacjami oprogramowania (wykrywające brak zainstalowanych łatek). Wymagają one dużego zaangażowania od administratorów IT, przez co nie są powszechnie używane.

Co ważne, kolejna fala ataków, jak prognozują analitycy Gartnera, będzie bezplikowa. Hakerzy od lat testują ataki wykorzystujące skrypty. Luki w popularnych narzędziach Windows, jak wiersz polecenia, PowerShell, Pearl, Visual Basic czy Nmap mogą zostać wykorzystane do złamania zabezpieczeń bez używania plików wykonywalnych. Jest to sposób, aby ominąć wszystkie tradycyjne mechanizmy wykrywania zainfekowanych plików. Klienci będą więc potrzebowali oprogramowania, które ochroni ich stacje robocze przed tym nowym zagrożeniem. W tym przypadku skuteczne mogą się okazać techniki wykrywania nie korzystające z sygnatur wirusów, lecz analizujące zachowanie uruchamianych programów.

 

Do domu i do biura

Rynek ochrony urządzeń końcowych można podzielić na dwa główne segmenty: produkty dla użytkowników domowych oraz dla firm. W przypadku użytkowników indywidualnych oraz bardzo małych biur można oferować typowe rozwiązanie antywirusowe lub kompleksowe pakiety typu Internet Security. Użytkownikom z segmentu SOHO warto zaproponować dodatkowe rozwiązania, niekojarzące się bezpośrednio z ochroną antywirusową, ale dotyczące cyberbezpieczeństwa. Mogą to być m.in. narzędzia do bezpiecznego przechowywania haseł. Z uwagi na rosnącą liczbę ataków szyfrujących ransomware można też klientom indywidualnym, a także instytucjonalnym, oferować narzędzia i usługi do backupu. To obecnie najlepsza ochrona przed tym zagrożeniem.

W segmencie klientów biznesowych (B2B), którzy muszą zabezpieczyć większą liczbę urządzeń niż w segmencie SOHO, są oferowane rozwiązania zapewniające kompleksową ochronę urządzeń końcowych i jednocześnie wyposażone w narzędzia dla administratorów (niezbędne do zdalnego zarządzania zabezpieczeniami). Produkty te przeznaczone są zarówno dla małych i średnich firm, jak i dużych korporacji posiadających rozbudowaną infrastrukturę IT. W segmencie B2B warto zachęcić klientów do instalacji najnowszych wersji oprogramowania zabezpieczającego. Rozwój technologii postępuje bowiem bardzo szybko i pojawiło się ostatnio wiele ułatwień dla administratorów. Podział między segmentami SOHO i B2B jest umowny. Z reguły przyjmuje się, że produkty dla biznesu zaczynają się od licencji na 10 urządzeń.

W ofercie producentów antywirusów pojawia się coraz więcej elementów chmurowych, tzn. wybrane funkcje tych programów są realizowane w modelu cloud. Przykładowo, do chmury mogą być przesyłane próbki plików w celu weryfikacji. W analogiczny sposób może być dostarczana konsola administracyjna. Dzięki takiemu rozwiązaniu reseller, oprócz sprzedaży oprogramowania, może dodatkowo świadczyć usługi zarządzania systemem bezpieczeństwa z wykorzystaniem konsoli dostępnej przez Internet z dowolnego miejsca.

Mówiąc o ochronie punktów końcowych, warto wspomnieć o systemach wbudowanych (embedded), które są stosowane, np. w bankomatach czy urządzeniach POS (Point of Sale). Ze względu na ograniczone zasoby sprzętowe, wykorzystywanie w nich standardowych rozwiązań do ochrony punktów końcowych może nie zapewnić odpowiedniego balansu między bezpieczeństwem i wydajnością. Dlatego w tym przypadku stosuje się oprogramowanie antywirusowe, zaprojektowane z myślą o specyfice tych urządzeń.

Krzysztof Gołda

Channel Manager, Trend Micro

Klienci rzadko przykładają należytą wagę do jakości rozwiązania chroniącego urządzenia końcowe. Kierują się, niestety, regułą: im taniej, tym lepiej. Posiadanie antywirusa jest czymś obowiązkowym, ale przez analogię do ubezpieczeń samochodowych, powinien to być raczej pakiet AC niż podstawowa wersja OC. Dlatego Trend Micro walczy z mitem mówiącym, że zwykły antywirus zapewnia całkowitą ochronę. Dzięki uświadamianiu użytkowników możemy ich przekonać do zmiany tradycyjnej formy ochrony na skuteczniejsze rozwiązania antymalware.