Журнал "Information Security/ Информационная безопасность" #6, 2023

Основная разница между поточным и обычным движ- ками – это то, что поточный движок предназначен для анализа файлов еще в про- цессе их получения, без сохранения всего объема файла в памяти, и должен делать это на лету с мини- мальной задержкой. Роль потокового антиви- руса как дополнительного слоя в эшелонированной системе защиты, которую реализуют NGFW-решения, будет укрепляться. В этом процессе в том числе производится определение типа передаваемых данных, и в слу- чае, если в потоке обнаружива- ется файловый тип данных, он может быть передан на анализ потоковому антивирусу, который подключается в виде внешнего исполняемого модуля. Такой модуль специализи- рован на анализе именно пото- ка данных. Другими словами, он проводит анализ по мере передачи данных и ему не тре- буется сохранять содержимое файла в память, и сигнатуры для него подготовлены в рас- чете именно на это – в этом их принципиальное отличие от традиционных антивирусных сигнатур. В момент заверше- ния передачи файлового пото- ка NGFW передает антивирус- ному ядру сигнал, и в этот момент антивирусный модуль выносит вердикт о наличии или отсутствии признаков вре- доносного кода в переданном файловом объекте. Обычный и потоковый антивирус: в чем разница? Компания "Доктор Веб" пред- лагает два движка для NGFW, поточный и непоточный. Давай- те посмотрим, в чем разница между ними. В целом различия между потоковым и обычным анти- вирусом обусловлены их при- менением и контекстом использования. Основная разница между поточным и обычным движка- ми – это то, что поточный дви- жок предназначен для анализа файлов еще в процессе их полу- чения, без сохранения всего объема файла в памяти, и дол- жен делать это на лету с мини- мальной задержкой. Обычный движок предназначен анализи- ровать весь файл целиком и не имеет столь строгих ограниче- ний на время обработки отдель- ного образца. Потоковый антивирус опти- мизирован для быстрого и эффективного сканирования файловых объектов из сетевого трафика в реальном времени без значительного влияния на производительность сети. В то же время он не может позво- лить себе затратить заметную часть системных ресурсов на анализ, вследствие чего пред- назначен выявлять наиболее массовые известные угрозы, отсекая их на внешнем пери- метре. Обычный антивирус имеет возможность тратить больше времени и сосредотачиваться на глубоком и тщательном сканировании файлов и систем. Чаще всего он ориен- тирован на сканирование фай- лов и данных, хранящихся на устройствах конечных пользо- вателей. Тренды развития потоковых антивирусов Искусственный интеллект и машинное обучение Современные потоковые антивирусные решения все чаще оснащаются технология- ми искусственного интеллекта и машинного обучения. Эти методы позволяют создавать более точные и адаптивные модели обнаружения угроз, способные выявлять новые и эволюционирующие виды вредоносного программного обеспечения. Облачные технологии Интеграция с облачными тех- нологиями становится ключе- вым трендом. Перенос функ- циональности потокового анти- вируса в облако позволяет эффективнее масштабировать решения, обеспечивать более быстрый доступ к обновлениям сигнатур и улучшать общую гиб- кость систем безопасности. Углубленный анализ поведения Трендом становится усиление анализа поведения сетевого трафика. Вместо статического анализа файлов более совре- менные потоковые антивирусы акцентируют внимание на обна- ружении подозрительных пове- денческих паттернов, что поз- воляет выявлять угрозы, осно- ванные на их действиях в сети. Гибридные решения Наблюдается стремление к созданию решений, объединяю- щих потоковый антивирус с дру- гими средствами защиты, таки- ми как системы IPS. Это позво- ляет обеспечивать более ком- плексную защиту, охватываю- щую различные виды угроз. Специализированные версии для отраслей В ответ на растущие требова- ния кибербезопасности в различ- ных отраслях (здравоохранение, финансы, промышленность) раз- работчики потоковых антивиру- сов стали предлагать специали- зированные версии, адаптиро- ванные под уникальные потреб- ности конкретных секторов. Автоматизированный анализ больших данных С увеличением объемов дан- ных, передаваемых по сети, потоковые антивирусные реше- ния все чаще внедряют авто- матизированные методы ана- лиза больших данных. Это поз- воляет обнаруживать и реаги- ровать на угрозы в реальном времени при обработке огром- ных объемов информации. Фокус на управлении угрозами С появлением более сложных и целенаправленных кибератак потоковые антивирусные реше- ния стали акцентировать вни- мание на управлении угрозами (Threat Intelligence). Интеграция с базами данных угроз и систе- мами обмена информацией о безопасности позволяет быстрее реагировать на новые угрозы. Заключение Тренды в развитии потоковых антивирусных решений свиде- тельствуют о постоянном стрем- лении к совершенствованию технологий безопасности и адаптации к меняющемуся киберпространству. Эти инно- вации направлены на более эффективное обнаружение и предотвращение современных киберугроз, делая сетевую без- опасность более надежной и прогрессивной. С уверенностью можно ска- зать, что роль потокового анти- вируса как дополнительного слоя в эшелонированной систе- ме защиты, которую реализуют NGFW-решения, будет укреп- ляться. Компания "Доктор Веб" пред- лагает российским разработчикам использовать в своих решениях технологии Dr.Web. Чтобы узнать больше, пишите нам на почту ngfw_research@drweb.com. l • 33 NGFW www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ ДОКТОР ВЕБ см. стр. 70 NM Реклама