- W i r u s P C - polskie centrum antywirusowe - Przed nami czyste niebo: "cloud computing" oraz bezpieczeństwo "in-the-cloud"

Bądź na bieżąco! Kanały RSS

Artykuły

Przed nami czyste niebo: "cloud computing" oraz bezpieczeństwo "in-the-cloud"

Magnus Kalkuhl
Starszy analityk zagrożeń, Kaspersky Lab

Wprowadzenie
- Dlaczego chmury?
Cloud computing
Bezpieczeństwo “in-the-cloud"
Wnioski

Wprowadzenie

Każda epoka posiada swoje "słowa-wytrychy" i branża IT nie jest tutaj wyjątkiem: w latach osiemdziesiątych takie słowo brzmiało "multimedia", w latach dziewięćdziesiątych - "interaktywny", a przez ostatnie kilka lat - "web 2.0". Jednak gdy wszyscy zaczną się oswajać z najnowszym terminem, pojawia się kolejny. Obecnie takim terminem jest "in-the-cloud". Podobnie jak chmury, koncepcja ta wydaje się dość mglista. Celem tego artykułu jest wyjaśnienie niejasności oraz różnicy między terminem "cloud computing" oraz bezpieczeństwem "in-the-cloud".

Dlaczego chmury?

Jeżeli kiedykolwiek widziałeś diagram sieciowy obejmujący informacje o Internecie, być może zauważyłeś, że standardowym symbolem Globalnej Sieci jest chmura. Taka reprezentacja ma sens: do chmury nie można zajrzeć; podobnie, nie możesz dokładnie zobaczyć, które komputery znajdują się obecnie "w Internecie". Jeżeli na niebie są chmury, możesz spodziewać się deszczu - i wcale nie musisz wiedzieć, co się dzieje wewnątrz chmury. W przypadku "chmury" internetowej, wszystko, co powinieneś wiedzieć, to to, że istnieje i że możesz się do niej podłączyć. Nie musisz wiedzieć dokładnie, co się dzieje w środku.

Cloud computing

Prekursor koncepcji "cloud computing"

"Cloud computing" istniał na długo, zanim Windows, Mac OS i Linux zaczęły swój marsz na komputery użytkowników. Jednak, w tamtym czasie koncepcja cloud computing posiadała inną nazwę. "Cloud computing" określano jako "mainframe + terminal". Mainframe był potężnym serwerem, na którym uruchamiane były wszystkie programy i przechowywane wszystkie dane, natomiast terminal był prostym systemem wykorzystywanym tylko do podłączenia się do mainframe’u. Naturalnie takie systemy musiały mieć zarówno szybki (a tym samym kosztowny) mainframe, jak i odpowiednią infrastrukturę sieciową. Jednak ani pecety firmy IBM, ani komputery domowe nie potrzebowały tego - zostały tak zaprojektowane, żeby zapewnić wszystko w jednej maszynie i dość szybko sprawiły, że koncepcja mainframe’ów stała się przestarzała.

Firmy takie jak Hewlett-Packard, Sun i Citrix próbowały jednak utrzymać tę koncepcję przy życiu, zastępując terminal czymś, co dzisiaj określamy jako uproszczony klient oraz dużymi mainframe’ami z potężnymi niestandardowymi serwerami. Serwery te zwykle wykorzystują standardową technologię PC (jednak z szybszymi i droższymi procesorami, większą pamięcią RAM i pojemniejszym dyskiem w porównaniu z przeciętnym komputerem biurkowym). Mimo to, cały koncept nadal opiera się na posiadaniu potężnego serwera i szybkiego połączenia sieciowego, co wyjaśnia, dlaczego aż do tej pory takie systemy nie przyjęły się u użytkowników domowych - po prostu nie mieli dostępu do takich zasobów. Jednak w dzisiejszych czasach spora liczba gospodarstw domowych posiada szybkie łącze internetowe oraz możliwość pobierania danych z prędkością kilku MB na sekundę.

Infrastruktura jest prawie przygotowana

Chociaż koncepcję mainframe’u i uproszczonego klienta uważa się za prekursora "cloud computing", między tymi pojęciami istnieje różnica. Firma, która wdraża technologię uproszczonego klienta, zwykle musi kupić własny serwer, zapewnić elektryczność itd. Natomiast koncepcja "cloud computing" zakłada, że sprzęt zakupuje dostawca "in-the-cloud", który następnie wydzierżawia dostępną przepustowość każdemu, kto chce. Interesujące jest to, że klienci nie wydzierżawiają serwera, a tylko pewną ilość pamięci lub cykli procesora. Klient nie musi wiedzieć, czy wszystko znajduje się na jednym komputerze czy jest rozłożone na kilka maszyn. Dostawca może bez zauważalnego wpływu zastąpić inną maszynę sprzętem, na którym działa oprogramowanie klienta, ponieważ istnieją technologie opracowane w celu umożliwienia tego rodzaju wymiany "na gorąco" - bez żadnych przerw w działaniu. Na tym właśnie polega "chmura" - jako klient nie musisz się martwić o szczegóły; jeżeli będziesz potrzebował więcej pamięci lub większej mocy procesora, możesz poprosić o takie usługi, klikając odpowiedni przycisk.

Jednym z pierwszych głównych graczy na polu cloud computing była firma Amazon, która w 2008 roku wprowadziła koncepcję "Amazon Elastic Compute Cloud". Canonical, firma stojąca za Ubuntu Linux, ogłosiła niedawno, że usługa firmy Amazon zostanie zintegrowana przyszłej jesieni do Ubuntu 9.10 Linux. Do rynku przystąpiły również inne firmy, takie jak Microsoft i Google, które będą walczyły o potencjalne zyski. Istnieją również tysiące firm hostingowych oferujących "wirtualne usługi" niewielkim przedsiębiorstwom lub osobom fizycznym, które potrzebują taniego serwera sieciowego, co również można uznać jako rodzaj usługi "in-the-cloud".

A zatem rynek już istnieje i wszystko wskazuje na to, że będzie się szybko rozwijał. Zadaniem dostawców usług będzie oferowanie sprzętu, który spełnia potrzeby klientów. "Postawienie" takich maszyn będzie stanowiło jedno z największych wyzwań: na skutek dużego zainteresowania usługami "in-the-cloud" pojawi się zapotrzebowanie na coraz więcej centrów serwerowych. Takie centra muszą znajdować się geograficznie blisko klientów, ponieważ każdy kilometr zwiększa opóźnienie między klientem a serwerem. Nawet w przypadku minimalnego opóźnienia, dla użytkowników potrzebujących dużej wydajności, takich jak gracze, nawet 200 milisekund będzie nie do przyjęcia, ponieważ takie opóźnienie zmniejszy przyjemność grania w czasie rzeczywistym. Gdy indywidualni użytkownicy zaczną interesować się usługami "in-the-cloud", dostawcy będą musieli zakupić dużo dodatkowego sprzętu, aby pokryć dodatkowe zapotrzebowanie. W przeciągu następnej dekady w każdym mieście będą znajdowały się centra serwerowe, a niektóre z nich mogą być zlokalizowane w budynkach mieszczących ponad 100 osób.

Korzyści

Chociaż większość dostawców "in-the-cloud" obsługije obecnie głównie klientów biznesowych, to właśnie użytkownicy indywidualni - stanowiący dużą liczebnie grupę - mogą zadecydować o powodzeniu tej koncepcji. O ile firmy zatrudniają specjalistów IT, dla zwykłego użytkownika posiadanie komputera może być stresujące. Najpierw trzeba kupić sprzęt - dobrze pasuje tu powiedzenie "łatwiej powiedzieć niż zrobić". Czy lepiej postawić na laptopa, który zapewnia dużą mobilność, czy raczej na tańszy, ale często szybszy komputer biurkowy? W świecie "cloud computing" możesz mieć i jedno, i drugie: za mniej niż 300 Euro możesz kupić laptopa w stylu uproszczonego klienta (który jeśli chcesz, możesz podłączyć do monitora i klawiatury). Później musisz już tylko połączyć się ze swoim dostawcą "in-the-cloud" i mieć do swojej dyspozycji tak dużą wydajność i pamięć, jakiej tylko zapragniesz (i na jaką będzie Cię stać). Dwa lata później, gdy normalnie musiałbyś wymienić swój przestarzały laptop, nadal będzie się on nadawał do roli uproszczonego klienta, ponieważ to dostawca oferuje wydajność, a nie sama maszyna, przy której pracuje użytkownik.

Stresy związane z posiadaniem komputera nie ograniczają się do bólu głowy, jakiego może przysporzyć Ci sprzęt: aktualizowanie systemu operacyjnego i aplikacji, jak również łatanie luk w zabezpieczeniach może być nie lada wyzwaniem. Cloud computing oszczędza Ci wszystkich tych problemów, sprawiając, że korzystanie z komputera w domu jest tańsze, bezpieczniejsze i bardziej niezawodne.

Cloud computing zapewnia również korzyści tzw. branży treści. W przeszłości wykorzystywano wiele metod w celu powstrzymania nielegalnego kopiowania muzyki i filmów, jednak żadna z tych metod nie jest wolna od wad. Zdarzało się, że zabezpieczone przed kopiowaniem płyty CD nie działały w niektórych odtwarzaczach, a podejmowane przez firmę Sony próby ochrony treści zakończyły się skandalem medialnym i wycofaniem wykorzystywanej technologii. Coraz więcej sklepów sprzedających muzykę w formacie MP3 rezygnuje z materiału chronionego za pomocą systemu DRM i zamiast tego oferuje niezabezpieczone pliki muzyczne. Jednak "cloud computing" poprawi sytuację systemów DRM - umożliwiając "producentom treści" oferowanie filmów, gier i muzyki bezpośrednio klientowi. Takie treści będą tworzone w taki sposób, aby mogły działać w systemie "cloud computing", a wykonanie nielegalnych kopii filmów i muzyki dostarczanych w ten sposób będzie wymagało więcej czasu i wysiłku. Przyczyni się to do spadku liczby nielegalnych kopii oraz wyższych zysków dla producentów, a tym samym potencjalnie do obniżenia cen multimediów.

Ryzyko

"Cloud computing" oferuje wyraźne korzyści, ale jednocześnie wiąże się z ryzykiem. Praktycznie nie ma dnia bez doniesień o wycieku lub utracie danych. Korzystanie z usług "in-the-cloud" oznacza duże zaufanie do dostawcy. Czy istnieje firma, której ufasz tak bardzo, że jesteś gotowy dać jej pełny dostęp nie tylko do Twoich e-maili, ale również do Twoich prywatnych dokumentów, danych dotyczących konta bankowego, haseł, logów z czatów oraz zdjęć przedstawiających Ciebie i Twoją rodzinę? Nawet jeśli masz zaufanie do firmy, nie ma żadnej gwarancji, że Twoje informacje nie wpadną w niepowołane ręce. Należy pamiętać, że wyciek danych nie jest problemem, który dotyczy tylko "cloud computing", jednak w przypadku tego podejścia dostawcy będą mieli dostęp do wszystkich Twoich danych, a nie tylko do wybranych ich części. Dlatego, jeżeli dojdzie do wycieku, konsekwencje mogą być rozległe.

Czy ryzyko wykluczy "cloud computing" z biznesu? Wydaje się to nieprawdopodobne, ponieważ cloud computing jest zarówno wygodny dla użytkowników, jak i opłacalny dla dostawców. Całkowita rezygnacja z korzystania z usług "in-the-cloud" oznaczałaby dla firmy izolację, podobnie jak dzisiaj taką izolację spowodowałaby rezygnacja z poczty elektronicznej. Zamiast bojkotować tę technologię, można zastosować bardziej produktywne podejście polegające na stworzeniu nowych regulacji i ścisłych wytycznych dla dostawców, jak również technologii, które (prawie całkowicie) uniemożliwią pracownikom dostawców przechwytywanie danych klienta. Obecnie każda firma, która chce oferować usługi "in-the-cloud", może to robić bez przeszkód, jednak za dziesięć lat sytuacja będzie wyglądała zupełnie inaczej. Dostawcy chcący oferować takie usługi będą musieli spełnić pewne standardy.

Wprowadzenie standardów przyciągnie również twórców szkodliwego oprogramowania i hakerów; mogliśmy to zaobserwować już wcześniej na przykładzie standaryzacji komputerów PC, które w ogromnej większości działają pod kontrolą systemu Windows. Gdy tylko "cloud computing" osiągnie masę krytyczną, prawdopodobnie znajdzie się kilku wysoce wyspecjalizowanych hakerów, którzy będą potrafili włamać się do systemów w celu kradzieży lub manipulacji danych, zarabiając na tym duże pieniądze. Pojawią się również oszuści, którzy, nie wykazując szczególnego zainteresowania technologią, posłużą się stosowanymi dzisiaj trikami, takimi jak e-maile wysyłane w ramach "oszustw 419", aby zdobyć pieniądze swoich ofiar. Nie zabraknie również cyberprzestępców zajmujących się tworzeniem i wykorzystywaniem trojanów, robaków i innych rodzajów szkodliwego oprogramowania, a po drugiej stronie: firm z branży bezpieczeństwa chroniących swoich klientów przed takimi zagrożeniami. Ogólnie mówiąc, niewiele się zmieni z wyjątkiem faktu, że wszyscy - zarówno użytkownicy, dostawcy, jak i cyberprzestępcy - będą działali "w chmurze".

Bezpieczeństwo "in-the cloud"

Głównym założeniem koncepcji "cloud computing" jest możliwość wykorzystywania zasobów komputerowych bez konieczności posiadania do nich fizycznego dostępu. Zupełnie inaczej jest w przypadku bezpieczeństwa "in-the-cloud": klienci korzystają ze świadczonych przez zewnętrzną firmę usług bezpieczeństwa, które są oferowane "w chmurze", jednak system operacyjny nadal działa lokalnie na komputerze PC na biurku użytkownika. Bezpieczeństwo "in-the-cloud" przybiera różne formy: przykładem mogą być oferowane przez firmę Kaspersky Lab usługi Kaspersky Hosted Security Services, które chronią przed spamem i szkodliwym oprogramowaniem poprzez filtrowanie ruchu w celu wykrycia szkodliwej zawartości, zanim dotrze do użytkownika końcowego. Produkty Kaspersky Lab dla użytkowników indywidualnych również oferują bezpieczeństwo "in-the-cloud" w postaci systemu Kaspersky Security Network. Dalsza cześć tego artykułu jest poświęcona głównie temu drugiemu rodzajowi usługi bezpieczeństwa oferowanej w rozwiązaniach dla komputerów stacjonarnych.

Już w lutym 2006 roku Bruce Schneier pisał w swoim blogu na temat bezpieczeństwa "in the cloud". Nie był jedynym, który poruszył ten temat, i chociaż sposoby zaimplementowania tej koncepcji wywołały sporo dyskusji, powszechnie zgadzano się, że implementacja była koniecznością, a nie opcją. Dlaczego zatem z rozpoczęciem implementacji tej technologii w swoich produktach branża oprogramowania antywirusowego czekała ponad dwa lata?

Kwestia konieczności

Implementacja nowych technologii nie tylko wymaga czasu i pieniędzy, ale często posiada również inne wady. Najbardziej oczywistą wadą usług "in-the-cloud" - zarówno jeżeli chodzi o "cloud computing", jak i bezpieczeństwo "in-the-cloud" - jest to, że aby czerpać korzyści, trzeba być online. Tak długo, jak istniejące technologie były w stanie zapewnić ochronę przed najnowszymi szkodliwymi programami, nie wymagając od użytkownika, aby był online, nie było potrzeby niczego zmieniać. Jednak jak zwykle, zmiany w krajobrazie zagrożeń wymusiły zmiany w branży antywirusowej.

Tradycyjnym sposobem wykrywania szkodliwego oprogramowania jest wykorzystywanie tak zwanych sygnatur. Sygnatura przypomina odcisk palca - jeżeli jest taka sama jak fragment szkodliwego programu, szkodnik zostanie wykryty. Między odciskami palców a sygnaturami istnieje jednak różnica - jeden odcisk palca odpowiada tylko jednej osobie, natomiast dobra sygnatura nie identyfikuje tylko jednego, unikatowego pliku, ale jego kilka modyfikacji. Wysokiej jakości sygnatury oznaczają nie tylko wyższe współczynniki wykrywania, ale również potrzebę mniejszej liczby sygnatur, a tym samym mniejsze zużycie pamięci. Dlatego liczba sygnatur dostarczanych przez firmy antywirusowe jest zazwyczaj dużo niższa niż całkowita liczba plików, o których wiadomo, że są szkodliwe.

Naturalnie, dobre sygnatury mogą przyczynić się do ograniczenia wielkości baz sygnatur, jednak nie rozwiązuje to fundamentalnego problemu: im więcej szkodliwych plików, tym więcej potrzeba sygnatur. Jak pokazuje wykres powyżej, w ciągu ostatnich kilku lat w odpowiedzi na eksplozję liczby szkodliwych programów znacznie wzrosła liczba sygnatur.

Wzrost liczby sygnatur oznacza nie tylko większe zużycie pamięci oraz dodatkowy ruch związany z pobieraniem, ale również spadek wydajności skanowania. W momencie pisania tego artykułu bazy sygnatur firmy Kaspersky Lab wykorzystywane w produktach dla użytkowników indywidualnych miały rozmiar 45 MB. Jeżeli przedstawiony wyżej trend będzie postępował (a nie ma powodu uważać, ze tak nie będzie), w ciągu trzech do czterech lat bazy te rozrosną się do ponad 1 000 MB. To więcej pamięci niż niektóre komputery posiadają RAM-u. Tak duże bazy danych nie pozostawiłyby miejsca na system operacyjny, przeglądarkę lub gry, a wykorzystywanie zasobów komputera jedynie do skanowania samej maszyny, a nie do pracy czy zabawy nie jest rozwiązaniem, które zadowoliłoby użytkowników.

Jakie jest więc rozwiązanie? Usuwanie z bazy danych starych wpisów dotyczących szkodliwych programów dla MS-DOS-a na nic się nie zda; ilość zyskanej w ten sposób pamięci byłaby mniejsza niż dzienny wzrost liczby nowych sygnatur. Rozwiązaniem mogą być efektywniejsze sygnatury, jednak w ten sposób bardziej zwalczamy symptomy niż samą chorobę i z pewnością nie powstrzymamy wzrostu liczby wpisów do bazy danych.

W 2007 roku niektóre firmy antywirusowe doszły do wniosku, że jedynym wyjściem z tej sytuacji jest bezpieczeństwo "in-the-cloud". Konieczność bycia przez cały czas online wciąż uważana była za minus w porównaniu ze standardowymi rozwiązaniami bezpieczeństwa, jednak zalety tej technologii przeważają wady.

Korzyści bezpieczeństwa "in-the-cloud"

Cała koncepcja, na której opiera się bezpieczeństwo "in-the-cloud" zgodnie z definicją Kaspersky Lab, zakłada, że potencjalnie szkodliwy plik lub strona internetowa są sprawdzane online, a nie w oparciu o lokalne sygnatury przechowywane na komputerze. Najprościej jest dokonać tego poprzez obliczenie sumy kontrolnej (tj. cyfrowego odcisku palca) pliku, a następnie zapytanie wyznaczonego serwera, czy plik z taką sumą kontrolną został już zidentyfikowany jako szkodliwy. Jeżeli odpowiedź jest twierdząca, użytkownikowi wyświetla się komunikat ostrzegawczy, a szkodnik zostaje umieszczony w kwarantannie.

Z punktu widzenia użytkownika, nie ma żadnej istotnej różnicy między tym a starym podejściem, z wyjątkiem większej wydajności komputera. Stworzenie sumy kontrolnej dla pliku nie wymaga wielu zasobów procesora, co oznacza, że proces ten jest kilka razy szybszy niż przeprowadzenie złożonego skanowania opartego na sygnaturach. Nowe podejście daje użytkownikowi również wiele innych korzyści, których początkowo może nie zauważać:

Mniejsze zużycie pamięci i mniej miejsca zajmowanego przez pobierane sygnatury. Jak już wspomniałem wcześniej, za kilka lat rozmiar baz sygnatur stanie się nie do zaakceptowania przez użytkowników. Rozwiązania "in-the-cloud" łatwo rozwiązują ten problem: wszystkie "odciski palców" są przechowywane na serwerach należących do firmy antywirusowej. Na maszynie użytkownika końcowego znajduje się tylko oprogramowanie antywirusowe oraz pewne dane wykorzystywane jako pamięć podręczna. Kontakt z serwerem następuje jedynie wtedy, gdy na lokalnym dysku zostanie znaleziony nowy, jeszcze niezidentyfikowany program. Jeżeli użytkownik nie zainstaluje żadnych nowych programów, nie ma potrzeby pobierać żadnych nowych danych. Zupełnie inaczej wygląda to w przypadku obecnych rozwiązań, gdy sygnatury muszą być stale uaktualniane na wypadek, gdyby został zainstalowany nowy program (który mógłby okazać się szkodliwy).

Lepszy czas reakcji. Czas reakcji zawsze stanowił gorący temat w branży antywirusowej. Udostępnić nową sygnaturę to jedna rzecz, jeśli jednak sygnatura ta dotrze kilka godzin po otworzeniu przez użytkownika zainfekowanego załącznika, w wielu przypadkach może być za późno: komputer prawdopodobnie stanowi już część botnetu i pobrał dodatkowe szkodliwe komponenty, które nie są jeszcze wykrywane. Z tego powodu Kaspersky Lab zaczął dostarczać aktualizacje co jedną godzinę, w czasie gdy wiele firm antywirusowych nadal stosowało dzienny cykl aktualizacji. Mimo to odstęp czasu pomiędzy pojawieniem się nowego wirusa a opublikowaniem sygnatury nadal może wynosić godzinę lub więcej. Metody wykrywania proaktywnego oraz technologie emulacji po stronie klienta mogą zrekompensować takie opóźnienie, jednak problem pozostanie. Wpływ bezpieczeństwa "in-the-cloud" jest wyraźny; ponieważ sprawdzanie sygnatur jest przeprowadzane na żądanie i w czasie rzeczywistym, znacznie poprawia się czas reakcji. Jak tylko analityk zidentyfikuje plik jako szkodliwy, informacja ta zostaje przesłana do klienta, przez co reakcja nastąpi w przeciągu minut lub nawet sekund.

Przy użyciu technologii "in-the-cloud" można przesyłać nie tylko sygnatury trojanów, wirusów i robaków, ale również wszystko, co wchodzi w skład standardowych uaktualnień sygnaturowych: adresy URL niebezpiecznych stron internetowych, tematy e-maili i słowa kluczowe, które pojawiają się w najświeższych wysyłkach spamowych oraz pełne profile programów, które mogą być użyte przez systemy HIPS (Host Intrusion Prevention Systems), takie jak ten zawarty w programie Kaspersky Internet Security 2009. Technologia ta nie ogranicza się do komputerów PC. Można ją również wykorzystywać do ochrony urządzeń przenośnych, zwłaszcza że smartfony nie posiadają tak dużo RAM-u jak komputery PC, przez co liczy się każdy bajt. Większość rozwiązań antywirusowych dla telefonów komórkowych koncentruje się głównie na wykrywaniu zagrożeń mobilnych, ponieważ wykrywanie wszystkich szkodliwych programów, które atakują system Windows XP oraz Vista pochłonęłoby zbyt wiele zasobów. Technologia "in-the-cloud" pozwala rozwiązać ten problem.

Komunikacja dwukierunkowa

Naturalnie, systemy "in-the-cloud" mogą pomóc klientowi ustalić, czy plik na jego maszynie jest zainfekowany czy nie: maszyna-klient pyta, serwer odpowiada. Jednak w zależności od sposobu implementacji technologii, proces ten może również działać w drugą stronę: klienci mogą pomóc firmie antywirusowej zidentyfikować i wykryć nowe zagrożenia. Przypuśćmy, że plik jest analizowany na maszynie-kliencie przy użyciu technologii emulacji lub ochrony proaktywnej. Na podstawie analizy ustalono, że plik jest szkodliwy. Taki plik może zostać przesłany do dalszej analizy przez analityków firmy antywirusowej. Naturalnie, to oznacza, że klient musi udostępnić swój plik innym osobom, przed czym może mieć opory. Istnieje jednak inna opcja: zamiast wysyłać plik binarny, oprogramowanie klienckie może po prostu wysłać "odcisk palca" pliku wraz z informacjami (takimi jak rozmiar pliku, klasyfikacja zagrożenia itd.) pochodzącymi z modułów, które przeprowadziły analizę. Jeżeli nowy robak rozprzestrzenia się w szybkim tempie, analitycy z firmy antywirusowej wiedzą, że istnieje nowy plik, oflagowany jako podejrzany, który nagle pojawił się na tysiącach komputerów, i tylko od nich będzie zależało, czy plik ten zostanie zidentyfikowany jako szkodliwy. Jeżeli dojdą do wniosku, że istnieje rzeczywiste zagrożenie, dodanie wykrywania nie będzie stanowiło żadnego problemu, ponieważ będzie już istniał "odcisk palca" dla tego pliku. Pozostanie tylko umieścić go w bazie sygnatur, do której komputery klienckie wysyłają swoje żądania.

Nie istniej coś takiego jak darmowy lunch

Oprócz wymienionych zalet bezpieczeństwo "in-the-cloud" posiada również kilka wad. Przykład wyżej pokazuje, w jaki sposób dodawanie wykrywania na podstawie monitorowania statystycznego może stanowić skuteczny sposób zwalczania nagłych epidemii. Z drugiej strony znacznie zwiększa się ryzyko fałszywych trafień. Wyobraźmy sobie, że została opublikowana nowa wersja popularnego programu typu shareware; wieści o tym rozejdą się szybko i w krótkim czasie bardzo wiele osób pobierze ten program. Jeżeli program będzie oddziaływał na pliki systemowe, nie będzie podpisany i będzie pobierał inne pliki wykonywalne w celu uaktualnienia się, istnieje duże prawdopodobieństwo, że zostanie oflagowany jako szkodliwy przez zautomatyzowany system "in-the-cloud". Po kilku sekundach taki program spowodowałby tysiące fałszywych trafień na całym świecie. Naturalnie, taka sytuacja nie miałaby miejsca, gdyby analityk przyjrzał się programowi, jednak to zajęłoby mu trochę czasu, a wtedy nie byłoby mowy o żadnej potencjalnej korzyści wynikającej z szybkiego wykrywania. Chociaż rozwiązanie problemu fałszywych trafień zajęłoby kilka sekund (w przeciwieństwie do fałszywych trafień w klasycznej bazie sygnatur, które można usunąć dopiero po pobraniu kolejnej aktualizacji), nadal miałoby to negatywne konsekwencje. Ludzie nie lubią fałszywych trafień, dlatego jeśli ktoś zauważy, że bezpieczeństwo "in-the-cloud" wiąże się z coraz większą liczbą fałszywych alarmów, istnieje duże prawdopodobieństwo, że wyłączy tę funkcję lub przejdzie do innej firmy antywirusowej, która nadal stosuje klasyczne podejście. Aby zapobiec takiej sytuacji, firmy antywirusowe muszą stworzyć i utrzymywać własne kolekcje plików, o których wiadomo, że są "czyste". W przypadku opublikowania nowej łaty lub programu, firma antywirusowa musi bardzo szybko przeanalizować te zasoby i umieścić na białej liście, zanim klienci zaczną pobieranie.

Jak widać, przejście do chmury oznacza dla producentów rozwiązań antywirusowych dużo dodatkowej pracy. Oprócz aktywnego utrzymywania kolekcji "czystych" plików serwery firmy muszą być całkowicie stabilne 24 godziny na dobę. Naturalnie, klienci zawsze mieli takie oczekiwania, bo - jak wiadomo - serwery off-line nie mogą dostarczać uaktualnień. Z drugiej strony klasyczne podejście będzie działało z sygnaturami, które zostały opublikowane kilka godzin temu, nawet jeśli współczynniki wykrywania będą niższe. W tym miejscu widać różnicę między klasycznym podejściem a podejściem "chmury": podczas przestojów serwera klienci pozostają bez ochrony, ponieważ cała koncepcja opiera się na komunikacji na żądanie oraz w czasie rzeczywistym. W przypadku przestoju serwera, konieczne będzie użycie heurystyki w połączeniu z potężną technologią HIPS w celu zapewnienia ochrony klientom.

Co przyniesie przyszłość?

Oferując program KIS 2009 i wprowadzając związany z nim system Kaspersky Security Network, Kaspersky Lab znalazł się wśród pionierów bezpieczeństwa "in-the-cloud". Chociaż wiele firm z branży bezpieczeństwa zaczęło już implementować podejście "in-the-cloud" w swoich produktach, branża ta jako całość dopiero zaczyna wykorzystywać pełny potencjał tej technologii. Sytuację tę można porównać z sytuacją w branży samochodowej: chociaż samochody elektryczne w pewnym momencie zastąpią samochody na benzynę i z silnikiem diesla, na razie większość samochodów reklamowanych jako elektryczne w rzeczywistości stanowią hybrydy. W IT innowacje wprowadzane są szybciej niż w innych branżach, mimo to miną jeszcze dwa, trzy lata, zanim bezpieczeństwo "in-the-cloud" w pełni zastąpi wykorzystywane dzisiaj metody wykrywania oparte na sygnaturach.

Wnioski

Różnica między koncepcją "cloud computing" a bezpieczeństwem "in-the-cloud" powinna być już jasna. Minie jednak kilka lat, zanim "cloud computing" wystartuje pełną parą, ponieważ firmy będą musiały przywyknąć do myśli, że ich dane zostaną udostępnione dostawcom usług.

Produkty antywirusowe, które implementują technologię "in-the-cloud", już się pojawiły i wszystko wskazuje na to, że do końca roku technologia ta będzie powszechnie stosowna. W przyszłości te dwa podejścia zostaną połączone i zarówno użytkownicy indywidualni jak i organizacje będą wykorzystywali komputery "w chmurze" chronione przy użyciu usług bezpieczeństwa "in-the-cloud". Gdy to nastąpi, Internet będzie tak samo niezbędny do wykonywania codziennych czynności jak dzisiaj elektryczność.

Źródło:

Kaspersky Lab

WirusPC.pl

Zagrożenia

Porady

Polecamy

Sponsorzy