# Нир Зук: «Антивирус мертв, и мы забиваем последний гвоздь в его гроб»

Источник: https://www.youtube.com/watch?v=wSPEWjK5Ruw
Канал: Palo Alto Networks
Опубликовано: 02.07.2014

---

Нир Зук, основатель и CTO компании Palo Alto Networks, выступил на конференции Ignite 2014 с программной речью, посвященной трансформации подходов к кибербезопасности. В своем выступлении он представил стратегическое видение развития платформы защиты, объяснил важность перехода от обнаружения к предотвращению и обосновал экспансию компании на рынок защиты конечных точек.

## 🚀 Будущее архитектуры безопасности: Сеть, Хост и Облако
[[JUMP:01:28]]

Нир Зук выделил два ключевых тематических направления, которые определяют стратегию Palo Alto Networks: развитие единой платформы (сеть, хост и облако) и безоговорочный фокус на предотвращении атак (prevention), а не просто на их обнаружении (detection) [01:41]. По словам спикера, современное сетевое защитное устройство должно выполнять три базовые функции:

1.  **Понимание трафика и контроль**: идентификация пользователя, приложения и конкретных действий внутри него [02:33].
2.  **Применение сигнатур**: проверка файлов (исполняемых, PDF и др.) и трафика на наличие вредоносного ПО, команд управления (C&C), вредоносных DNS и URL [02:48].
3.  **Сбор и передача данных в облако**: отправка неочевидной информации для глубокого анализа, что позволяет выявлять новые типы угроз в режиме реального времени [03:54].

Отдельное внимание Нир Зук уделил производительности: текущая платформа 7050 уже способна обрабатывать сигнатуры на скорости до 100 Гбит/с, а в будущем компания планирует достичь терабитных скоростей [03:14].

## 🛡️ Философия предотвращения против обнаружения
[[JUMP:08:30]]

Спикер жестко раскритиковал концепцию «обнаружения и устранения последствий» (detect and remediate), которой придерживаются многие конкуренты. По мнению Нира Зука, под «устранением» конкуренты часто подразумевают лишь идентификацию зараженного компьютера, который нужно переустановить, когда данные уже украдены [09:35]. 

«Я всегда спрашиваю себя: что они имеют в виду под устранением последствий? — иронизирует Зук. — Неужели они собираются поехать в Россию и вернуть 200 миллионов долларов, которые у меня украли?» [09:08]. Спикер подчеркнул, что цель Palo Alto Networks — сделать так, чтобы атаки в принципе не были успешными, а интеллектуальная собственность и деньги оставались внутри организации [09:59].

Важные тезисы о сигнатурном анализе:

*   Сигнатуры — единственный механизм, способный останавливать атаки на высоких скоростях с задержкой менее миллисекунды [10:26].
*   Для обнаружения компания использует поведенческий анализ и песочницы, но как только угроза выявлена, она превращается в сигнатуру для мгновенного предотвращения на всех устройствах клиентов по всему миру [11:08].
*   По утверждению Нира Зука, эффективность традиционных антивирусов падает: вендоры вроде Symantec могут пропускать до 60–70% угроз, которые обнаруживает Palo Alto Networks [11:36].

## 💻 Смерть традиционных антивирусов и покупка Cyvera
[[JUMP:18:17]]

Одним из главных анонсов стала интеграция технологий компании Cyvera (недавно приобретенной Palo Alto Networks) в общую платформу. Нир Зук выразил уверенность, что технология защиты конечных точек (endpoint protection) от Cyvera станет «последним гвоздем в гроб» традиционных антивирусов [19:50].

Преимущества подхода Cyvera по версии Зука:

*   **Остановка эксплойтов**: система блокирует сами методы эксплуатации уязвимостей, что делает практически невозможным обход защиты [06:57].
*   **Легковесность**: в отличие от классических антивирусов, решение не «съедает» ресурсы процессора даже при высокой файловой активности [28:40].
*   **Универсальность**: технология применима не только к десктопам (Windows, OS X), но и потенциально к мобильным устройствам (iOS, Android) [29:32].

Спикер отметил, что рынок готов к переменам: крупные клиенты из финансового сектора и госучреждений массово разочарованы в текущих решениях от McAfee и Symantec, зачастую пытаясь заменить одного неэффективного вендора на другого [21:23].

## 🌩️ Облачные технологии и конкуренция с FireEye
[[JUMP:12:54]]

Нир Зук подробно остановился на преимуществах облачной песочницы WildFire по сравнению с локальными решениями конкурентов (например, FireEye). Основной аргумент против локальных «железных» песочниц — их крайне низкая пропускная способность [38:50]. 

Спикер привел результаты тестов:

*   Типичное устройство FireEye стоимостью около $90 000 способно сканировать всего около 55 файлов в час [40:09]. 
*   Облако Palo Alto Networks на момент выступления обрабатывало 3 файла в секунду (более 10 000 файлов в час) с возможностью практически неограниченного масштабирования [40:23].

Облако также позволяет обновлять алгоритмы анализа ежемесячно, не требуя от клиента переустановки ПО на локальных устройствах [39:02]. Кроме того, подразделение Unit 42 использует облачные данные для предоставления контекста: кто атакует, какие цели преследует и как перемещается внутри сети [13:07].

## ⚖️ Регулирование и конфиденциальность
[[JUMP:33:52]]

Отвечая на вопросы из зала, Нир Зук затронул тему государственных стандартов и комплаенса. Он выразил мнение, что требования регуляторов часто тормозят безопасность, так как организации стремятся быть «соответствующими нормам», а не реально защищенными [34:20]. В качестве примера была приведена компания Target, которая была полностью PCI-совместима на момент масштабной утечки данных [34:34].

Относительно сквозного шифрования (end-to-end encryption) в приложениях вроде Skype, Зук отметил, что вендоры должны учитывать потребности служб безопасности в инспекции трафика. Если приложение нельзя контролировать, корпоративные клиенты просто будут вынуждены его блокировать [26:36].