Мнимая простота антивируса. Что может быть ясней и спорней?

 КОНСТАНТИН ЧЕРЕЗОВ, менеджер по продуктам информационной безопасности LETA IT-company

Мнимая простота антивируса
Что может быть ясней и спорней?

Это слово найдешь в лексиконе любого ИТ-специалиста, а область знаний, казалось бы, давно изучена вдоль и поперек. Так, да не так!

Что мы имеем на российском рынке?

Средство обеспечения антивирусной защиты первым развертывается в ИТ-инфраструктуре нового офиса. Антивирус – это де-факто один из столпов любой корпоративной информационной системы любой организации.

Казалось бы, что может быть проще? Ведь антивирусы – это:

• Устоявшиеся лидеры-производители – спросите любого айтишника, он с ходу назовет с десяток компаний, разрабатывающих антивирусное ПО, и приведет аргументы в пользу своего выбора антивируса (как домашнего, так и корпоративного).
• Самая освещенная тема в специализированной прессе и на просторах Интернета – доступная в любой момент информация о новых версиях ПО, новых угрозах, технологиях, сравнениях, тестированиях, о новых проблемах и прочее.
• Технологическое совершенство антивирусного ПО (относительно других программных и аппаратных средств обеспечения безопасности) – действительно удобный и отлаженный инструмент по развертыванию решений, простая и наглядная настройка параметров защиты, широкие возможности по конфигурированию для самых требовательных запросов, четкая схема обновления антивирусных баз и самого ПО.
• Доступность самого ПО – простота обоснования бюджета на приобретение или продление антивируса, гибкие политики лицензирования у каждого производителя, приемлемые стоимости, а также наличие бесплатных программ, имеющих положительную репутацию и успешный опыт применения в «боевой» обстановке.

Но, несмотря на всё это, проблемы антивирусной безопасности вот уже длительный срок продолжают оставаться одной из самых актуальных тем информационной безопасности (ИБ). Почему? Потому что антивирус – это всё же не так просто.

Лидеры продаж

В середине 2009 года  Anti-Malware.ru опубликовал результаты исследования российского рынка антивирусной защиты. Рынок оценивался на основе экспертных мнений и информации, взятой из открытых источников, критерий оценки – объемы продаж в ценах для конечного пользователя.

Основные лидеры уверенно держатся рядом из года в год:

• «Лаборатория Касперского»;
• ESET;
• Symantec;
• «Доктор Веб»;
• Trend Micro;
• McAfee.

По большому счёту, результаты таких исследований часто игнорируются айтишниками, т.к. на первый взгляд не несут в себе никакой полезной составляющей для технических специалистов, эксплуатирующих тот или иной антивирусный продукт от производителя, возможно, даже отсутствующего в списках лидеров. Но на самом деле лидерство в подобных обзорах, где основным мерилом являются конкретные деньги конкретных потребителей, говорит о многом. Начиная от того, что в нынешние неспокойные времена такой лидер продаж скорее всего не объявит завтра о банкротстве и самоликвидации, оставив без поддержки своих пользователей. И заканчивая тем, что, выбрав продукт от одного из лидирующих производителей, можно быть уверенным в отсутствии большинства проблем, присущих всем не очень успешным компаниям.

Например:

• Отсутствие проблем при закупке – канал продаж налажен, нештатные ситуации давно стали штатными. Скажем, бухгалтерии требуются дополнительные документы от производителя или дистрибьютора.
• Высокий уровень технической поддержки – отлаженный процесс приёма запросов, ранжирования уровня критичности, четкие сроки реакции.
• Подробнейшая эксплуатационная документация на русском языке, входящая в комплект поставки, и так далее.

Таким образом, лидерство в подобных обзорах действительно может и должно являться одним из критериев выбора для технического специалиста, принимающего решение о закупке или замене антивирусной защиты для своей организации.

Отдельно хотелось бы сказать о бесплатных антивирусных программах. Зачастую они предназначены в основном для домашних пользователей. Причем не столько экономных, сколько достаточно опытных, чтобы обеспечить достойный уровень антивирусной защиты с помощью грубого технического инструмента. Иногда приходится слышать о том, что маленькие организации в качестве системы антивирусной защиты используют именно бесплатные антивирусы. Это имеет свой смысл только в том случае, если администрированием данного решения занимается грамотный технический специалист с большим опытом и высоким уровнем ответственности.

Технологические тесты

Если говорить о технологических тестированиях, проводимых, например, тем же Anti-Malware.ru, то на самом деле их результаты, с одной стороны, точны, понятны и аргументированы, а с другой – как бы не совсем показательны и однозначны.

Главная и почти единственная причина такого скепсиса – тот факт, что нередко тестированию подвергаются отдельные, конкретные технологические функции продуктов.

За наглядным примером далеко ходить не надо. Anti-Malware.ru в ноябрьском тестировании антивирусов на защиту от новейших (Zero-day) вредоносных программ проверяли комплексную эффективность антивирусов по противодействию новейшим образцам вредоносных программ, передаваемых пользователям наиболее распространенным сейчас способом – через зараженные веб-сайты. Как результат, абсолютным победителем признается специальная программа для проактивной защиты от новейших видов угроз класса HIPS (Hosted Intrusion Prevention System) DefenseWall HIPS 2.56. А на практике львиную долю всех используемых антивирусных решений составляют продукты, обеспечивающие комплексную защиту с применением различных методов детектирования и борьбы с вредоносными программами. И почти в любом из этих комплексных решений сегодня уже можно встретить и модуль класса HIPS.

При выборе антивируса специалисту совсем необязательно выбирать лучшее решение из тестируемых, достаточно выбрать из лучших, и именно в тех тестах, которые наиболее приближены к задачам, решаемым антивирусом в реальной практике.

Тенденции антивирусной защиты

У производителей антивирусных программ периодически возникает желание придумать какую-нибудь совершенно новую технологию, которая разом решит все проблемы с вредоносными программами – разработать этакую супертаблетку, которая защитит от всех компьютерных болезней раз и навсегда. Но вирусописатели тоже ребята не промах, и на каждую появившуюся на рынке технологию антивирусной защиты придумывают всё новые и новые виды вредоносного ПО, против которого она в итоге оказывается совершенно бессильной. И конца и края этому не видно, более того, судя по всему, подобное положение вещей обеспечивает работой и прибылью как одну, так и другую сторону, и в принципе всех устраивает. Тем не менее можно отметить несколько достаточно интересных явлений в области антивирусной защиты.

Во-первых, получает широкое распространение технология обеспечения антивирусной защиты на основе модели Software-as-a-Service (SaaS). За термином скрывается модель распространения программного обеспечения, при которой поставщик разрабатывает веб-приложение и самостоятельно управляет им, предоставляя своим заказчикам доступ к программному обеспечению через Интернет. Основное преимущество модели SaaS для конечного потребителя состоит в отсутствии затрат, связанных с установкой, обновлением и поддержкой работоспособности оборудования и программного обеспечения, работающего на нём. Сегодня многие из лидеров рынка антивирусной защиты имеют в своем портфеле решения по защите тех или иных каналов распространения вредоносного ПО на основе модели SaaS. Например, Symantec, TrendMicro, McAfee, «Лаборатория Касперского».

Во-вторых, в России начинает распространяться практика использования таких смежных к классическому антивирусу решений, как сканеры уязвимостей. Ведь по сути, чем меньше уязвимостей содержит используемое в организации ПО, тем меньше возможность успешного проникновения и распространения вредоносной программы. Более того, намечается тенденция по переходу от сканеров безопасности, как технических инструментов по сканированию уязвимостей в опытных руках специалистов, к построению в организации непрерывного процесса отслеживания свежих уязвимостей, их выявления и устранения.

В-третьих, совершенно чётко можно сказать, что практически стерлась грань между «чистым» антивирусом и сопутствующими решениями по обеспечению безопасности. В современном антивирусе помимо уже классического набора решений – персональный файрвол, HIPS, антируткит, антишпион, антиспам, контроль подключения внешних устройств и куча всего, как непосредственно в составе решения, так и в виде дополнительных утилит.

В-четвертых, есть отдельная тенденция, напрямую не связанная с технологиями антивирусной защиты, но непосредственно касающаяся каждого антивируса, используемого на территории страны. Речь идет о пресловутом Федеральном законе № 152 ФЗ «О персональных данных» и подзаконных актах к нему. С 1 января 2011 года любая организация, занимающаяся обработкой персональных данных, обязана использовать средства информационной безопасности, которые прошли сертификацию ФСТЭК России, в том числе средства антивирусной защиты.

С государственным реестром сертифицированных средств защиты информации можно ознакомиться на официальном сайте ФСТЭК России http://www.fstec.ru/_razd/_serto.htm. Информация на сайте представлена в соответствии с действующими нормативными правовыми документами Российской Федерации. В государственном реестре можно увидеть, что далеко не все антивирусные решения имеют требуемый сертификат. В настоящий момент исключение составляют лишь продукты компании ESET и «Лаборатории Касперского».

Таким образом, требования российского законодательства в 2010 году будут как никогда актуальны, и, возможно, имеет смысл поинтересоваться у компании-разработчика антивируса, уже используемого в организации сейчас, о перспективах его сертификации по требованиям безопасности ФСТЭК в рамках соответствия ФЗ № 152 «О персональных данных».

Повторение – мать учения

В заключение я постараюсь перечислить несколько основных золотых правил, значительно повышающих уровень антивирусной защиты всей организации. Итак, известный факт – большинство вредоносных программ попадает в организацию извне по двум каналам: через переносные внешние устройства и через WEB.

Семь золотых правил

Первое правило. О чем необходимо позаботиться при настройке антивирусной защиты? Это определить правила обращения внешних устройств в организации. В современном офисе сотрудникам порой трудно обойтись без переносных внешних устройств хранения информации, таких как USB flash-накопители, поэтому тотальный запрет флешек зачастую только усложняет ситуацию. В идеале использование только определенных флешек разрешить можно, при этом необходимо документально закрепить каждое конкретное устройство за каждым сотрудником, политикой безопасности запретить автозапуск флешки и разрешать её запуск только после проведения сканирования на предмет наличия вредоносных программ.

Второе правило. Необходимо подумать о модернизации уже установленной системы антивирусной защиты специализированным решением по обеспечению дополнительной веб-безопасности, например, таким как Websense Web Security Suite или eSafe. Это позволит обеспечить дополнительную высококлассную защиту от шпионских программ (в том числе загружаемых «на лету»), программ-ботов и их трафика, вредоносного кода, фишинга и фарминга. Кроме того, решения позволяют блокировать каналы обратной связи шпионских программ и перехватчиков клавиатуры с их серверами-хозяевами.

Третье правило. Многовендорная защита – это аксиома. Чем больше рубежей обороны, чем они разнообразнее, тем выше вероятность выявить и предотвратить угрозу на ранней стадии. На рабочие станции нужно установить антивирус от одного производителя, на почтовые серверы – от другого, на интернет-шлюз – от третьего.

Четвертое правило. Необходимо установить отдельную политику безопасности для мобильных пользователей с ноутбуками. Антивирус на ноутбуке должен иметь персональный файервол, а также специальный режим мобильной политики безопасности – т.е. усиление защиты вне корпоративной сети. При этом ещё крайне желательно использовать в организации такую технологию, как NAC. На российском рынке данная технология представлена в основном в решениях Cisco Network Admission Control (Cisco NAC), Symantec Network Access Control (Symantec NAC), Microsoft Network Access Protection (Microsoft NAP) и Juniper Networks Unified Access Control.

Идея NAC проста. Мы хотим получить информацию о любом устройстве, которое подключается к сети (ноутбук, принтер, IP-телефон, МФУ и т.п.) из любой точки и любым способом (Ethernet, Wi-Fi, VPN и пр.), и в автоматическом режиме принять решение по данному устройству или пользователю: пустить/не пустить/пустить с ограничениями. На этом этапе возникают вопросы, связанные с проверкой устройства на соответствие корпоративным политикам доступа в сеть. Технология NAC позволит гибко настроить соответствующие правила и политики, обеспечив более высокий уровень защиты корпоративной сети.

Пятое правило. Документируй деятельность по антивирусной защите (хотя это распространяется и на другие средства). Необязательно и более того совершенно нет необходимости создавать ворохи ненужных документов по стандартам ISO 27001, но подготовить несколько очень важных кратких документов под силу каждому ИТ-специалисту. В случае с антивирусной защитой такими документами могут являться корпоративный стандарт антивирусной защиты, процедура включения нового узла/пользователя в контур антивирусной защиты. И надо обязательно прописать и постоянно модернизировать процедуру реагирования на различные вирусные инциденты: куда бежать, кому звонить, что выключать, что восстанавливать в первую очередь и как?

Шестое правило. Не нужно скупиться на расширенную поддержку от компании производителя. Как показывает практика, более сжатые сроки реакции на запросы, повышенный приоритет при решении проблем и прочие условия сильно облегчают жизнь при возникновении проблем с антивирусным ПО, а такие проблемы бывают у всех производителей.

Седьмое правило. По сути самое главное – наиболее уязвимым звеном в любой системе обеспечения безопасности являлся, является и будет являться человек. Особенно немотивированный, неосведомленный и неграмотный в вопросах обеспечения антивирусной безопасности. Как бы банально это ни звучало, но периодическое навязчивое, настойчивое и доходчивое напоминание обычным пользователям основ информационной безопасности дает гораздо больший эффект, чем внедрение самых строгих политик.