Thread-topic: Прогнозы изменений в антивирусной индустрии
http://www.kaspersky.ru/threats?chapter=188269734
Прогнозы изменений в антивирусной индустрии
Автор - Евгений Касперский,
руководитель антивирусных исследований
"Лаборатории Касперского"
За последние несколько лет антивирусная индустрия претерпела значительные
изменения. Сменился лидер рынка: компания McAfee уступила первенство Симантеку.
Исчезли - были поглощены - некоторые независимые антивирусные решения
(например, румынский RAV, австралийский VET). Появились новые игроки:
BitDefender, ClamAV.
Как ситуация будет развиваться дальше? Это и есть предмет наших рассуждений.
Однако сразу оговоримся:
1. Речь пойдёт об <обычных> антивирусных решениях, которые защищают домашние
компьютеры, рабочие станции, файловые и корпоративные почтовые сервера.
Возможно, в рассматриваемые решения следует включить и антивирусы для
смартфонов - проблема телефонных вирусных атак пока не слишком актуальна, но
через несколько ближайших лет ситуация может кардинально измениться (в худшую
сторону, естественно). Не рассматриваются в статье "железные" решения (гейтвеи,
роутеры, модемы со встроенной антивирусной проверкой), решения для "больших"
UNIX-систем, а также различные прочие антивирусные фильтры, специализированные
под конкретные задачи.
2. При анализе ситуации не учитывается маркетинговая составляющая индустрии.
Она, безусловно, влияет на текущую и будущую расстановку сил, но решения по
безопасности (к которым относятся и антивирусные программы) - это не стиральный
порошок и не зубная паста. Маркетинговое промывание мозгов при выборе решения
по любой безопасности (не только компьютерной) часто является далеко не самым
важным для пользователя аргументом.
Очевидно, что среди рассматриваемых <обычных> антивирусов будут происходить и
дальнейшие подвижки. Для того чтобы понять их природу и попытаться разобраться
в тенденциях, необходимо определить основные факторы, влияющие на современную
антивирусную индустрию.
Фактор 1. Продолжающаяся криминализация Интернета
В любом сообществе достаточного размера (городе, стране) присутствуют
криминальные элементы. Уровень преступности при этом определяется следующими
показателями:
* размером сообщества (чем оно больше - тем больше потенциальных и не
потенциальных преступников);
* уровнем экономического развития (в богатых странах больше шансов
заработать на жизнь не воруя);
* способностью компетентных органов (полиции) раскрывать преступления и
отсаживать виновных в специально огороженные пространства.
Интернет тоже можно назвать таким сообществом. Размер его - необъятен,
экономические показатели в разных странах - далеко не всегда на высоте. При
этом существуют различные программы из серии <дешевый компьютер для бедных
стран третьего мира>, что еще более подогревает криминальную ситуацию в сети.
Частично это подтверждается количеством вредоносных программ, которые поступают
из разных стран. Лидером по написанию вредоносов является Китай, за ним следует
Латинская Америка, затем идёт Россия плюс страны восточной Европы.
Если же говорить о полиции - то раскрытие компьютерных преступлений в
большинстве случаев является весьма нетривиальной задачей, особенно если
учесть, что у Интернета нет границ.
Таким образом, все три показателя криминогенности Интернета говорят только о
том, что криминала в нём очень много - а дальше будет только больше.
Доказательством этого является удвоение количества новых криминальных программ,
произошедшее за один 2005 год, - то есть уровень криминальной активности в сети
за год вырос в два раза. И не видно никаких причин для снижения таких темпов
роста.
Как следствие возрастает нагрузка на антивирусные компании - им приходится
обрабатывать всё большее и большее количество зловредного материала. Те
компании, которые не будут успевать отслеживать новое вредоносное ПО и оставят
своих клиентов незащищенными (что естественным образом уменьшит долю рынка,
которую занимает их антивирус), не смогут выстоять в этой <гонке вооружений>.
Фактор 2. Рост разнообразия типов и реализаций атак
Десять лет назад (1996) все зловредные программы, среди которых тогда еще не
было криминальных, были только двух видов: вирусы и примитивные троянские
программы. Сейчас всё стало гораздо сложнее и многообразнее:
* сетевые черви;
* разнообразнейшие троянские программы, включая шпионские (SpyWare);
* нежелательные рекламные системы;
* злоумышленное использование легальных программ (кейлоггеры, системы
удалённого администрирования);
* спам различной направленности, от попрошайничества до мошенничества;
* фишинг, как отдельная группа финансового мошенничества;
* сетевые атаки и рэкет;
* и прочее подобное.
Огромное количество вредоносных программ для Win32-систем, и пока
незначительное для Linux, MacOS, смартфонов (несколько разных операционок),
первые <концептуальные> примеры для 64-битных систем.
Антивирусные компании должны иметь в виду все это разнообразие. Причём не
только выпускать соответствующие продукты, но и постоянно поддерживать их:
тестировать, выпускать обновления для всего этого хозяйства. Те компании,
которые не смогут угнаться за техническими новинками, будут вынуждены
оставаться внутри уже освоенного сегмента индустрии, они не смогут развиваться
или даже будут терять свои позиции на рынке. Новые направления достанутся
другим и/или новичкам.
Фактор 3. Microsoft
Компания Microsoft собирается со всей серьёзностью заняться решениями по
безопасности, включая безопасность антивирусную. Антивирусная индустрия в шоке
- все очень хорошо помнят Нетскейп и прочие независимые проекты, сильно
похудевшие или вовсе почившие в бозе после появления аналогичных продуктов от
Microsoft. Что Microsoft выводит на рынок:
* антивирус для домашних компьютеров;
* антивирус для рабочих станций (в дальнейшем);
* решения для MS Exchange (на базе многоядерного продукта Antigen от
компании Sybari).
Естественно, что появление подобного монстра нанесёт удар по бизнесу других
производителей. Насколько будет силён этот удар?
Что играет роль при покупке антивируса, чем пользователи руководствуются? По
этому критерию можно выделить четыре группы пользователей.
A. Коммодити. Покупают самый дешевый антивирус или в самой привлекательной
коробке.
B. Бренд. Покупают полюбившуюся или хорошо разрекламированную марку.
C. Тоже бренд, но ни в коем случае не от Microsoft. Такие покупатели не
доверяют решениям по безопасности операционной системы от этого производителя.
D. Тактико-технические характеристики (ТТХ) - насколько высоко качество (в
широком смысле) данного продукта.
Очевидно, что пользователей описанных типов в чистом виде практически не
бывает. Каждый пользователь - это комбинация A+B+C+D с различными весовыми
значениями данных параметров. Так вот, если говорить о домашнем рынке, то
Microsoft оттянет на себя пользователей с преобладанием типа B. Если о
корпоративном - B+D, поскольку Antigen использует несколько антивирусных ядер,
включая весьма неплохие. То есть для того чтобы подсчитать будущую долю
Microsoft на рынке (и, соответственно, потери других антивирусных компаний)
необходимо узнать значения A,B,C,D - для чего достаточно просто провести опрос.
Итак, три решающих фактора, меняющих состояние антивирусной индустрии, таковы:
1. Криминализация сети
2. Многообразие проявления криминала
3. Антивирус от Microsoft
От силы этих факторов и зависит ландшафт антивирусного рынка будущего.
Стоит ли сматывать удочки?
Ответ на данный вопрос неочевиден. Достаточно вспомнить первую попытку
Microsoft встроить антивирусное решение - 1994 год, MSAV for MS-DOS. Попытка
успеха не принесла. Два раза совершать одну и ту же ошибку - вещь достаточно
редкая. Но с 1994 года прошло 12 лет, и за это время многое изменилось. А
главное - возросли требования к качеству защиты (уровень распознавания
зловредов, скорость реакции на многократно возросшее число атак, частота
апдейтов, проактивные технологии).
И если ТТХ конкретного антивируса так себе и защищает он не лучше, чем
антивирус от Microsoft, - то целевой аудиторией данного продукта могут быть
пользователи с преобладанием типа "C". Если же качество продукта будет выше, да
цена пониже - то к потенциальным покупателям относятся все категории.
Далее, если антивирусное ядро конкретного производителя встроено в Antigen, то
вообще беспокоиться не о чем, - лишь о том, чтобы его оттуда не выкинули.
Microsoft сам будет продавать этот антивирус, а производитель получать
причитающиеся ему проценты - вот оно, счастье: сиди и бамбук кури. Да и вообще
идеология <многоядерное решение от разных производителей> превращает
антивирусный бизнес в торговлю <ядрами>, а не продуктами.
А вот если антивирусное ядро в Antigen не встроено, то песня совсем другая.
Заунывная.
Двойная защита
С другой стороны, может быть, не стоит торопиться сматывать удочки - рынок
IT-безопасности (включая антивирусный) перегрет, поскольку нет 100%-ного
решения проблемы. Владельцы компьютеров будут искать новые и новые способы
защиты, что обеспечит спрос на решения от разных производителей, не только от
такого монстра, как Microsoft. И чем сильнее болит в боку - тем на большее
количество лекарств готов раскошелиться пациент: пользователи, изрядно уставшие
от проблем, которые им создают вирусы, готовы хорошо платить, только чтобы их
от этих проблем освободили.
Отсюда вывод: антивирусным производителям - чтобы выжить, а лучше при этом еще
и бутерброд с икрой кушать регулярно - необходимо решить проблему совместимости
различных решений на одном компьютере. Научить ядра от разных производителей
жить вместе и не ссориться (как это сделано в Antigen), или научить продукты
опознавать уже установленных в системе конкурентов и вести себя соответствующим
образом, или придумывать еще какие-либо ухищрения - для того чтобы пользователь
при желании мог бы противостоять интернет-угрозам двойной или тройной защитой.
Инвестируй в ...?
Таким образом, совсем плохо, скорее всего, не будет. Но многим антивирусным
компаниям придётся порезать бюджеты и почистить кадры. Особенно компаниям
публичным, поскольку выход Microsoft на их рынок, несомненно, скажется на
стоимости акций этих компаний. А падение стока отразится еще негативнее:
* придется дороже привлекать инвестиции;
* произойдет девальвация опционов сотрудников;
* как следствие: начнут разбегаться топ-менеджеры и руководители среднего
звена.
Подводя итоги
Ландшафт антивирусной индустрии меняется и будет меняться еще долго. И не
исключено, что приход Microsoft на рынок систем безопасности будет решающим
фактором этих изменений. Все заметные антивирусные компании, безусловно,
почувствуют этот приход - и их местоположение в цеховой иерархии может сильно
измениться. Естественно, что эти изменения по-разному затронут разные компании.
По кому-то ударит достаточно жестко, кто-то почти ничего не заметит, кому-то
приход Microsoft только на руку.
Роли распределятся следующим образом.
Хуже всего будет компаниям:
* публичным;
* бизнес которых базируется в основном на сегменте, куда выходит Microsoft;
* у которых качество ядра, ниже, чем от Microsoft;
* ядро которых не включено в Antigen.
А лучше всего себя будут чувствовать компании:
* не публичные (ЗАО);
* которые имеют широкий спектр продуктов;
* у которых высокое качество ядра;
* ядро которых встроено в Antigen.
Хочется думать, что внимание софтверного гиганта благоприятно отразится на
развитии решений по компьютерной безопасности и на их качестве. Будем
надеяться, что выход Microsoft на антивирусный рынок сделает Интернет
безопаснее и что на каждом столе будет стоять не просто компьютер, а компьютер
безопасный.