Кризис антивирусной безопасности в условиях экспоненциального роста угроз: от сигнатурного подхода к EDR и правовому регулированию РФ

Введение: Диагностика проблемы и актуальность перехода к проактивной защите

Ежедневное обнаружение сотен тысяч новых вредоносных файлов служит бесспорным свидетельством того, что традиционные методы защиты информации вступили в фазу глубокого технологического кризиса. В 2024 году решения «Лаборатории Касперского» ежедневно фиксировали в среднем 467 тысяч новых вредоносных объектов, что на 14% превышает показатели предыдущего года. Этот экспоненциальный рост угроз, подтвержденный увеличением числа обнаруживаемых файлов в 25 раз за последнее десятилетие, превращает реактивный подход в борьбу с заведомо проигрышным отставанием.

Проблема, которую мы называем «кризисом традиционной антивирусной безопасности», заключается в фундаментальном несоответствии архитектуры классических сигнатурных антивирусов и динамики развития современного вредоносного программного обеспечения. Злоумышленники активно используют полиморфизм, шифрование и уязвимости «нулевого дня» (Zero-day), эффективно обходя системы, основанные на распознавании уже известных образцов, и что из этого следует? Это означает, что даже при максимально быстрой реакции разработчиков защитного ПО, критически важные системы остаются незащищенными в течение первых часов или даже дней существования новой угрозы.

Актуальность настоящего Доклада определяется острой необходимостью перехода от парадигмы обнаружения (AV) к парадигме обнаружения и реагирования (EDR), а также интеграции этих технических решений в строгий контекст обеспечения национальной кибербезопасности. Данный анализ не только диагностирует технологические ограничения, но и определяет, как требования российского законодательства, в частности Федеральный закон № 187-ФЗ, формируют императив для внедрения проактивных, аналитических систем защиты.

Технологические ограничения традиционных антивирусов и индикаторы «кризиса»

Ключевой тезис современной кибербезопасности гласит: традиционные сигнатурные антивирусы, разработанные в эпоху относительно низких объемов угроз, не могут обеспечить надежную защиту в современной агрессивной среде. Их неспособность к стопроцентной фильтрации новейших образцов вредоносного ПО и определяет суть текущего кризиса, ведь очевидно, что в условиях сегодняшних глобальных кибервойн ставка на устаревшие технологии равносильна добровольной сдаче позиций.

Экспоненциальный рост вредоносного ПО как главный вызов

«Гонка вооружений» между разработчиками защитного ПО и создателями вредоносных программ достигла критической точки. Рост числа уникальных вредоносных файлов, ежедневно попадающих в сети, является наглядным подтверждением того, что реактивный сигнатурный подход, требующий времени на анализ и включение новой сигнатуры в базу, фатально запаздывает.

Год (Примерный Период)	Ежедневное Число Новых Вредоносных Файлов	Увеличение (За 10 Лет)
Начало 2015 г.	≈ 20 000	—
2024 г.	≈ 467 000	В 25 раз

Эти цифры, демонстрирующие рост в 25 раз за десятилетие, показывают, что модель «догоняющего» реагирования исчерпала себя. Сигнатурный подход эффективно борется только с уже известными угрозами. Однако, учитывая, что десятки тысяч новых зловредов появляются ежедневно, большинство систем защиты остаются уязвимыми в течение критически важного периода времени между созданием вредоносной программы и выпуском соответствующего обновления антивирусной базы.

Недостатки сигнатурного метода

Суть сигнатурного метода заключается в поиске специфических последовательностей байтов (сигнатур) в исполняемых файлах, которые соответствуют ранее зафиксированным вредоносным программам.

Основные технологические ограничения сигнатурного метода:

1. Неэффективность против Zero-day атак. Угрозы «нулевого дня» (Zero-day) — это атаки, использующие уязвимости, о которых разработчик ПО еще не знает или для которых еще не выпущен патч. Поскольку сигнатуры для них отсутствуют, традиционный антивирус абсолютно бессилен. Тестирования показывают, что даже лучшие решения могут иметь уровень обнаружения до 94–97% для новейших образцов, оставляя значительный процент необнаруженных атак.
2. Полиморфизм и мутации. Современное вредоносное ПО использует полиморфные движки, которые изменяют код каждой копии зловреда, сохраняя при этом его функциональность. Это требует от антивируса распознавать не только новые модификации уже известных программ, но и производить сканирование в упакованных файлах и инсталляторах, что увеличивает нагрузку и снижает скорость работы.
3. Проблема ошибок первого и второго рода. Эти ошибки являются критическим фактором, влияющим на итоговую оценку антивирусных систем:
   • Ошибки первого рода (False Positive, FP, Ложные срабатывания): Антивирус ошибочно классифицирует легитимный файл как вредоносный. Это не только создает неудобства, но и может нарушить стабильную работу критических систем. В независимых тестах продукты с высоким уровнем ложных срабатываний (более 12 FP) получают пониженную награду, что указывает на их негативное влияние на доверие и удобство.
   • Ошибки второго рода (False Negative, FN, Пропуск вредоносного ПО): Антивирус пропускает действительно вредоносный файл. В условиях «гонки вооружений» этот тип ошибки является наиболее опасным, поскольку гарантирует проникновение угрозы в систему.

Современная парадигма защиты: Endpoint Detection and Response (EDR) и роль ИИ/МО

Технологический кризис традиционных антивирусов привел к формированию новой парадигмы защиты, ориентированной не на статическое сканирование, а на непрерывный мониторинг, глубокий анализ поведения и автоматизированное реагирование. Но не означает ли это, что мы просто перекладываем ответственность с человека на машину, доверяя ИИ защиту наших самых критических данных?

EDR: От блокировки к непрерывному мониторингу и расследованию

В ответ на угрозы «нулевого дня» и бесфайловые атаки, которые не оставляют сигнатур, на смену классическому антивирусу пришла концепция EDR (Endpoint Detection and Response) — Обнаружение и реагирование на конечных точках. Внедрение EDR-систем стало необходимостью, чтобы обеспечить адекватную защиту корпоративного периметра.

Ключевое отличие EDR от классического AV:

Характеристика	Традиционный Антивирус (AV)	EDR-система
Основная задача	Блокировка известных угроз по сигнатурам.	Непрерывный мониторинг и анализ активности, обнаружение неизвестных угроз.
Методология	Реактивная (основана на базах данных).	Проактивная и ретроспективная (поведенческий анализ, машинное обучение).
Область действия	Сканирование файлов при доступе или по расписанию.	Глубокий анализ всех системных процессов, сетевых соединений и изменений в реестре.
Реагирование	Удаление или помещение в карантин.	Изоляция конечной точки, автоматическое или ручное устранение последствий, визуализация цепочки атаки.

EDR использует агенты, установленные на конечных точкой (рабочие станции, серверы), для сбора телеметрии. Эта технология позволяет специалистам по безопасности проводить ретроспективное расследование инцидентов, точно восстанавливая хронологию атаки (цепочки атак) и понимая, как злоумышленник получил доступ и какие действия он предпринял. Какой важный нюанс здесь упускается? Точность этого расследования напрямую зависит от полноты и качества собираемой с конечной точки информации, что требует тщательной настройки агентов и минимизации ложных срабатываний.

Поведенческий анализ (UEBA) и автоматизация реагирования (SOAR)

Решающую роль в современных системах EDR играют технологии искусственного интеллекта (ИИ) и машинного обучения (МО). Они позволяют перейти от анализа статичных данных к динамическому поведенческому анализу (UEBA — User and Entity Behavior Analytics).

Поведенческий анализ позволяет системе построить модель нормального поведения для каждого пользователя и сущности в сети. Любое отклонение от этой модели (например, вход в систему в нерабочее время, попытка доступа к закрытым ресурсам или аномальный объем исходящего трафика) мгновенно классифицируется как потенциальная угроза. Именно этот метод дает возможность обнаруживать ранее неизвестные угрозы, включая атаки «нулевого дня», которые не оставляют известных сигнатур.

Интеграция ИИ/МО с системами SOAR (Security Orchestration, Automation and Response) обеспечивает критически важное сокращение времени реагирования на инциденты.

Применение технологий автоматизации и оркестрации, интегрированных с ИИ/МО, позволяет сократить время, необходимое специалисту для проверки 1–2 сложных инцидентов, с двух и более часов до нескольких секунд (выполняя более 200 проверок).

Ускорение сортировки и первичной обработки событий безопасности до двух раз, по сравнению с ручной обработкой аналитиком SOC, является жизненно важным для инцидентов I уровня критичности, требующих реакции в течение 15 минут. Таким образом, ИИ и автоматизация не просто дополняют, а принципиально меняют операционную модель киберзащиты, делая ее проактивной и масштабируемой.

Особенности обеспечения антивирусной безопасности на мобильных устройствах

С ростом доли мобильных устройств в корпоративных и личных сетях (доля рынка Android составляет около 72,2%), этот сегмент превратился в одну из самых привлекательных мишеней для киберпреступников.

Масштаб и фокус мобильных угроз в РФ

Статистические данные по России подчеркивают критический характер угрозы мобильной безопасности. Распространение мобильных устройств привело к взрывному росту числа атак:

В первом квартале 2024 года количество кибератак на мобильные устройства в России выросло в 5,2 раза по сравнению с аналогичным периодом 2023 года и составило более 19 миллионов случаев.

За первые восемь месяцев 2024 года было зафиксировано более 30 млн атак на Android-устройства в России. Android является основной мишенью в силу своей открытости и доминирующей доли рынка, что подтверждается увеличением количества банковских зловредов для этой ОС на 80%.

Злоумышленники активно используют мобильный фишинг, вредоносное ПО, маскирующееся под легитимные приложения, и уязвимости «нулевого дня» в мобильных ОС для кражи личных и финансовых данных.

Ограничения встроенных механизмов и ключевые рекомендации

Многие пользователи полагаются на встроенные механизмы защиты, предоставляемые разработчиками мобильных операционных систем (например, Google Play Защита или политики Apple App Store). Однако эти меры часто оказываются недостаточными против продвинутых целевых атак.

Критический анализ показывает, что встроенная система Google Play Защита, несмотря на ежедневную проверку сотен миллиардов приложений, была оборонена сложными угрозами (например, Mandrake) и не смогла предотвратить заражение сотен тысяч устройств в 2024 году, что указывает на ее ограниченную эффективность против целевых и продвинутых угроз. Встроенная защита обеспечивает базовый уровень безопасности, но не способна заменить комплексные решения, использующие поведенческий анализ и облачные технологии.

Ключевые рекомендации по обеспечению безопасности мобильных устройств:

1. Профессиональное Антивирусное ПО: Использование мобильных антивирусных программ, дополняющих встроенные механизмы защиты и способных выполнять поведенческий анализ.
2. Двухфакторная Аутентификация (2FA): Обязательное использование 2FA для всех критически важных сервисов (банки, почта, социальные сети).
3. Шифрование Данных: Активация полного шифрования данных на устройстве.
4. Защищённые Соединения: Использование VPN для подключения к публичным Wi-Fi сетям.
5. Регулярное Обновление: Своевременное обновление ОС и приложений для закрытия известных уязвимостей.

Правовая основа кибербезопасности РФ как регуляторный фактор перехода к EDR-подходу

Технологический переход к проактивным методам защиты, таким как EDR и ИИ/МО, в Российской Федерации не является исключительно рыночным трендом. Он становится императивом, диктуемым государственной политикой и нормативно-правовыми актами в области обеспечения национальной информационной безопасности.

Доктринальные и общие правовые основы

Основой системы регулирования ИБ в России является Доктрина информационной безопасности Российской Федерации, утвержденная Указом Президента РФ № 646 от 5 декабря 2016 г.

Доктрина определяет информационную безопасность как состояние защищенности национальных интересов в информационной сфере от внутренних и внешних угроз. Она устанавливает, что обеспечение ИБ осуществляется путем реализации взаимоувязанных правовых, организационных, оперативно-разыскных, научно-технических и иных мер.

Правовую основу обеспечения ИБ также составляют:

• Конституция РФ;
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации», который устанавливает общие требования к обеспечению доступа к информации и ее защите.
• Федеральный закон от 21.07.1993 № 5485-1 «О государственной тайне».

Система обеспечения информационной безопасности является частью системы обеспечения национальной безопасности РФ, в состав которой входят федеральные органы исполнительной власти (например, ФСБ, ФСТЭК), а также собственники и эксплуатанты объектов критической информационной инфраструктуры.

ФЗ № 187 о КИИ: Приоритет предотвращения и требования к системам защиты

Ключевым нормативным актом, напрямую требующим внедрения проактивных и комплексных мер защиты, является Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (КИИ).

Цель ФЗ № 187-ФЗ — обеспечение устойчивого функционирования объектов КИИ (включая здравоохранение, транспорт, связь, банки, энергетику) при проведении в отношении них компьютерных атак.

Наиболее важным положением ФЗ № 187-ФЗ является установление принципа приоритета предотвращения компьютерных атак. В контексте анализа угроз, это требование не может быть удовлетворено исключительно традиционными сигнатурными антивирусами, которые по своей природе являются реактивными. Именно поэтому для выполнения требований закона необходима интеграция с современной парадигмой защиты.

Системы защиты, применяемые на объектах КИИ, должны обеспечивать:

1. Обнаружение, предупреждение и ликвидацию последствий компьютерных атак.
2. Оперативное реагирование на инциденты.
3. Мониторинг состояния защищенности объектов КИИ.

Эти требования к непрерывному мониторингу, глубокому анализу и оперативному реагированию объективно соответствуют функционалу и архитектуре именно современных EDR-систем, а не устаревшим AV-решениям. Таким образом, кризис традиционных антивирусов и появление EDR-технологий является не просто технической эволюцией, а прямым следствием и инструментом реализации правовых норм, направленных на повышение уровня национальной киберустойчивости.

Заключение

Кризис традиционных антивирусов — это не их окончательное исчезновение, а фундаментальный сдвиг требований к защите информации. Экспоненциальный рост числа новых вредоносных файлов (до 467 тысяч ежедневно) и распространение продвинутых угроз (Zero-day, полиморфизм) сделали реактивный сигнатурный подход нежизнеспособным как единственное средство защиты.

Современные решения, базирующиеся на технологиях Endpoint Detection and Response (EDR), поведенческом анализе (UEBA) и искусственном интеллекте/машинном обучении (ИИ/МО), представляют собой единственно эффективный ответ на этот кризис. EDR-системы, обеспечивая непрерывный мониторинг и автоматизированное реагирование (SOAR), позволяют сократить время реагирования на критические инциденты с часов до секунд, что критически важно для минимизации ущерба.

В Российской Федерации внедрение этих проактивных технологий является не просто техническим выбором, но и императивом, диктуемым национальной политикой информационной безопасности. Федеральный закон № 187-ФЗ, устанавливая принцип приоритета предотвращения компьютерных атак на объекты критической информационной инфраструктуры, фактически обязывает эксплуатантов КИИ применять комплексные, проактивные системы уровня EDR.

Таким образом, дальнейшее развитие антивирусной безопасности будет неразрывно связано с углублением аналитических возможностей систем защиты и их интеграцией в единую правовую и операционную инфраструктуру обеспечения национальной кибербезопасности. Крайне важно понять, что без постоянного совершенствования этих проактивных механизмов, мы не сможем обеспечить устойчивость критической информационной инфраструктуры в условиях постоянно меняющегося ландшафта угроз.

Список использованной литературы

1. Об утверждении Доктрины информационной безопасности Российской Федерации [Электронный ресурс]. – Режим доступа: https://cntd.ru (дата обращения: 23.10.2025).
2. АНАЛИЗ ОСНОВНЫХ МОБИЛЬНЫХ УГРОЗ И СПОСОБЫ ЗАЩИТЫ ОТ ВИРУСОВ [Электронный ресурс]. – Режим доступа: https://cyberleninka.ru (дата обращения: 23.10.2025).
3. УГРОЗЫ В ОБЛАСТИ МОБИЛЬНЫХ УСТРОЙСТВ: ЗАЩИТА ОТ АТАК НА СМАРТФОНЫ И ПЛАНШЕТЫ [Электронный ресурс]. – Режим доступа: https://cyberleninka.ru (дата обращения: 23.10.2025).
4. Оптимизация защиты на устройствах Android. – Москва: Лаборатория Касперского [Электронный ресурс]. – Режим доступа: https://kaspersky.ru (дата обращения: 23.10.2025).
5. Качество антивирусной защиты и проблемы антивирусных программ. Энциклопедия «Касперского» [Электронный ресурс]. – Режим доступа: https://kaspersky.ru (дата обращения: 23.10.2025).
6. Проблемы ложных срабатываний антивирусных средств [Электронный ресурс]. – Режим доступа: https://cyberleninka.ru (дата обращения: 23.10.2025).
7. Анализ применения искусственного интеллекта и машинного обучения в кибербезопасности [Электронный ресурс]. – Режим доступа: https://cyberleninka.ru (дата обращения: 23.10.2025).
8. Искусственный интеллект в киберзащите. Блог компании Positive Technologies [Электронный ресурс]. – Режим доступа: https://habr.com (дата обращения: 23.10.2025).
9. РАЗВИТИЕ И ПРОБЛЕМЫ ИСПОЛЬЗОВАНИЯ ИСКУССТВЕННОГО ИНТЕЛЛЕКТА В ОБЛА. Политехнический молодежный журнал [Электронный ресурс]. – Режим доступа: https://bmstu.ru (дата обращения: 23.10.2025).