Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems

Нередко приходится видеть, что пользователи обновляют свои антивирусные программы (это же касается обновлений систем обнаружения атак, антиспамовых систем и т.п.) один раз в день, как правило, утром в момент загрузки компьютера. Достаточно ли этого? Можно с уверенностью сказать, что нет. Ежедневно появляется 30-50 новых вирусов, которые начинают распространяться по сетям и заражать все новые и новые жертвы. Если вы обновляете свою антивирусную базу один раз в день, то вероятность заражения компьютера между обновлениями возрастает многократно. Особенно опасно такое бездействие во время эпидемий, когда вредоносная программа распространяется по Интернет с огромной скоростью. Уже математически доказан факт создания червя (Warholl Worm), способного заразить все узлы Интернет (при современном развитии информационных технологий) всего за 15 минут! Даже при ежечасном обновлении антивируса такой червь 4 раза "обогнет" всю Сеть, прежде чем его "засекут" антивирусные сторожа.

Рекомендация однократного обновления родилась в то время, когда об Интернете никто и не думал и основной парк вычислительной техники составляли автономные компьютеры, никак между собой не связанные. Обмен информацией происходил на 5-тидюймовых дискетах, программное обеспечение не обновлялось годами и вирусной эпидемией считалось распространение обычного загрузочного вируса в рамках одного отдела в течение нескольких недель. Тогда обновление антивируса один раз в день считалось колоссальным (но не всегда достижимым на практике) достижением, которое должно было свести на нет все усилия вредоносных программ. Еще в 95-м году, когда я работал в одном холдинге и у нас было несколько площадок только по Москве, мне приходилось ездить по офисам с целью обновления антивируса… несколько раз в год. Чаще просто не получалось – было много иной работы, а систем централизованного обновления тогда еще просто не придумали. Да и сама загрузка новых антивирусных баз проводилось не через Интернет, а через BBS или сеть Fidonet. Последний способ считался большим достижением, т.к. позволял распределять обновления в рамках всей России и не ждать часами, когда освободится телефонная линия BBS.

С тех пор много воды утекло, компьютеры объединились не только в локальные, но и в глобальные сети, скорости обмена информации возросли многократно (когда-то я считал крупным достижением выход в Интернет на скорости 14400 бод, а сегодня мне не хватает 7-мимегабитного ADSL-канала). А вот рекомендация обновлять свои антивирусы один раз в день почему-то осталась и кочует из пособия в пособие, из статьи в статью, из курса в курс. Даже обычные человеческие лекарства надо принимать не один, а 2-3 раза в день (а гомеопатию и того чаще - каждый час при первых симптомах заболевания).

Компьютерные вакцины не исключение и аналогичные действия надо производить и для защиты компьютерного организма - обновлять свою систему защиты от вредоносных программ надо как можно чаще. Хотя, разумеется, и перегибать палку тоже не стоит. Если производитель антивируса не выпускает обновления своего продукта чаще чем раз в день, то и настраивать купленный антивирус на проверку новых сигнатур по несколько раз в день тоже не стоит - это будет лишней тратой ресурсов.

Какая частота будет оптимальной на сегодняшний день? Например, рекомендуемый период обновления последней версии решения Kaspersky Internet Security 2009 – раз в два часа. Но это при том, что решение от Лаборатории Касперского действительно обновляется несколько раз в день. Частота обновлений других антивирусных продуктов показана в таблице 1.

Таблица . Частота обновления некоторых антивирусов по состоянию на 18 октября 2008 года

Антивирус

Частота обновлений,
в день

BitDefender

13

ClamAV

5,6

Dr.Web

21

F-Secure

8,9

Kaspersky Antivirus

22,5

McAfee VirusScan

0,8

Nod32

3,3

Norton Antivirus 2008

3

Norton Antivirus 2009

282

Panda Antivirus

2,1

Sophos

6,7

Примечание: Данная таблица построена на основе данных портала AV.TEST, посвященного вопросам тестирования различных антивирусов.

Мы видим, что если двухчасовой интервал обновления для антивируса Касперского является вполне закономерным, то тот же McAfee VirusScan обновляется реже, чем раз в сутки. Лидирующие позиции занимает Norton Antivirus 2009. А все потому, что в этом продукте обновления очень маленькие (около 3 Кб) и Symantec выпускает их мере появления новой сигнатуры, а не объединяет несколько сигнатур в один выпуск, как делают многие другие производители.

Однако в отличие от конца 90-х, сегодня качество антивируса определяется уже не только скоростью его реакции на новые угрозы. Нельзя забывать про то, что сейчас многие производители все чаще стали оснащать свои классические сигнатурные решения поведенческой составляющей, которую еще называют проактивным (behavior based) детектированием. По такому пути пошла компания F-Secure с механизмом Deepguard, Symantec с функцией Sonar или Panda с TruPrevent. Есть производители, которые используют только поведенческие механизмы (например, IBM ISS с подсистемой Proventia VPS) и для них обновление сигнатур вирусов вообще не имеет смысла. Третьим примером является решение Cisco Security Agent, которое изначально использовало только проактивные механизмы обнаружения вредоносной активности, а затем Cisco включила в его состав классический сигнатурный антивирус ClamAV. В таких случаях необходимость немедленного обновления уже выглядит не такой уж и важной.

Подводя итог, необходимо заметить, что классическая рекомендация ежедневного обновления антивируса уже не соответствует реалиям современных угроз – обновление должно осуществляться гораздо чаще. Но вот не каждый антивирус может себе это позволить.


Любой текст, опубликованный автором книги «Мифы и заблуждения информационной безопасности» не отражает официальную позицию компании, в которой автор работает. Этот текст не может быть использован в качестве основания для любых юридических и иных исков и обвинений компании, в которой работает автор.