45%. На этой цифре стоит остановиться подробней. Дело в том, что у количественного показателя эффективности антивирусных продуктов существует минимум два варианта. Вариант первый — процент обнаруживаемых известных образчиков цифровой заразы — применяется самими вендорами, когда нужно антивирус продать: здесь речь всегда идёт о 95% и выше. Вариант второй — процент обнаруживаемых неизвестных образчиков заразы — применяется в основном независимыми исследователями, зарплата которых не зависит от продаж антивирусного софта: здесь речь идёт о 5% и ниже.
Что именно имел в виду Дай, когда говорил о 45%, непонятно, но можно предположить, что он желал умеренно «опустить» свой продукт в глазах слушателей, не втаптывая имя компании в грязь (для чего — станет ясно далее).
Впрочем, какие бы цели ни преследовались, это фактическое признание на самом высоком уровне бесполезности антивирусного ПО как инструмента. А значит, уместно задаться следующими вопросами. Во-первых, почему антивирусы более неэффективны? Во-вторых, способно ли что-то их заменить?
Что касается потери эффективности, ответ лежит на поверхности: вирусы одолели числом и качеством. Если вспомнить, какой ситуация была ещё пятнадцать лет назад, станет очевидно, что вредоносный софт изменил манеру поведения: раньше его задачей было уничтожить жертву, сегодня — предоставить её вычислительные ресурсы или данные в распоряжение злоумышленников. Это, в свою очередь, не только сделало вирусы менее заметными, но и породило коммерческую заинтересованность, а та спровоцировала взрыв разнообразия, зафиксированный во второй половине «нулевых» и продолжающийся поныне.
Количество векторов распространения инфекции и ежесуточно проявляющихся новых штаммов теперь рекордно велико, а способность среднестатистического антивирусного продукта самостоятельно (без помощи специалистов) обнаружить «неизвестный науке» штамм беспрецедентно низка: по результатам исследования, проведённого пару лет назад компанией Imperva, антивирусы ловят лишь каждый двадцатый новый (то есть не прописанный в их базах) вирус. От момента обнаружения нового штамма до момента внесения его в антивирусные базы проходит больше четырёх недель — и всё это время пользователи фактически беззащитны.
Однако мы не испытали ещё даже десятой части тех трудностей, которые обещает цифровая зараза в обозримом будущем. Акцент вирусостроения уже перенесён с персоналок на мобильные устройства. Вирусописатели активно пробуют и «интернет вещей» — страшный своей спецификой (уязвимости в «умных» вещах, предположительно, не будут патчить десятилетиями: см. «Слишком умные вещи»). Всё это, несмотря на обнадёживающие новые веяния — пришедшее к крупным разработчикам (начиная с Microsoft) понимание, что «дыры» нужно патчить быстро, и раз уж писать без ошибок невозможно, то следует максимально усложнить эксплуатацию уязвимостей, — позволяет предположить, что головные боли от «компьютерных» вирусов станут чаще и сильнее.
Увы, стопроцентной замены антивирусу — такой же удобной в обращении, понятной, функционально предсказуемой — пока не существует. Несмотря на то что дискуссии десять лет в обед (см. колонку «Синдром врождённого иммунодефицита» от 2005 года), к настоящему моменту уместно говорить лишь о достижении общего понимания задачи. От «реактивной» модели поведения, построенной на вере во всемогущество защитных средств («изучить новый вирус как можно скорее и разослать пользователям его сигнатуры»), индустрия переходит к модели «проактивной» (простите за этот американизм), предполагающей неприятное признание: в перспективе заражение неизбежно, а значит, следует подготовиться к нему — и затруднить кражу данных, минимизировать риск их потери, научиться распознавать атипичное поведение системы, чтобы поднять тревогу как можно раньше.
