Стоит только чихнуть… Каждый сегодня может стать носителям вируса

 ВАЛЕРИЙ АНДРЕЕВ, заместитель директора по науке и развитию компании ИВК

Стоит только чихнуть…
Каждый сегодня может стать носителям вируса

Тема так сильно перегрета, что любое высказывание может ее едва ли не взорвать. Но дело не в эмоциях.

Сегодня антивирусная защита затрагивает всех пользователей и все средства вычислительной техники (СВТ). Этот серьезный прорыв на все сегменты рынка без исключения заставляет задавать неудобные вопросы, глубже присматриваться к уже необходимой и достаточной системе защиты от несанкционированного проникновения. И ломать голову: что делать дальше?

Антивирусное ПО защищает не всех

Это связано прежде всего со временем реакции на неизвестную атаку. Первые пользователи, подвергшиеся новой атаке, страдают сильно. В это время поставщики антивирусов создают «противоядие», и после этого для тех, кто обновляет антивирус, риск гораздо меньше. Но и вирусописатели не теряют времени и успевают выпустить что-то новое…

В общем, статистическое большинство защищено прилично. Но тем, кто пострадал, от этого не легче. Разработчики вирусов дошли уже до того, что находят и используют уязвимости еще раньше, чем о них узнают разработчики ПО, антивирусные компании и ИТ-сообщество. Поэтому я сознательно использую слово «разработчики»: вирусы – это серьезный криминальный бизнес, и ресурсы, вкладываемые в поиск новых уязвимостей и разработку новых алгоритмов маскировки и проникновения, вероятно, очень значительны.

Особой угрозе подвергаются предприятия и организации, чья информация настолько ценна, что для проникновения в их сети разрабатываются специальные антивирусы, которые не распространяются вне атакуемой организации. Такие примеры уже есть. Соответственно разработчики антивируса в принципе не могут получить образцы вредоносного ПО. Конечно, должны помогать проактивные технологии, но никто точно не знает, насколько они эффективны в данном случае. К сожалению, отмеченные проблемы скорее всего могут перейти в разряд вечных, ибо решения, думается, не существует.

Малоприятные тенденции

Мы «на собственной шкуре» выявили новую тенденцию – композитные атаки. Они связаны с закладкой безобидного включения в виде обновления на диск СВТ. Атака активируется при помощи второй части вируса, заложенного в столь же безобидной корреспонденции, рассылаемой много позже с известной избирательностью. Мы все сегодня можем стать носителями вируса, для активизации которого нужен лишь «чих». Прямо как в жизни!

Еще одна неприятная тенденция – невозможность полностью удалить следы пребывания вируса на СВТ, что добавляет работы системным администраторам по переустановке общего ПО. Это очень серьезно, ведь часто теряются настройки, а то и данные. Да и время восстановления увеличивается очень сильно.

Что решаемо, что – нет

Первая проблема стара как мир. Уменьшение времени реакции на новую атаку и создание менее «тормозных» решений.

Вторая проблема новая. Это включение в антивирусные системы средств разграничения доступа (например, по портам и протоколам). Это не вполне  свойственно именно антивирусным средствам и часто приводит к конфликтам с иными средствами контроля НСД, потому разобраться бывает совсем непросто.

Третья проблема пока кажется неразрешимой. Зачастую антивирусное ПО обновляется не через файлы, а требует прямого коннекта с сайтом производителя. Во многих организациях такая модель неприемлема в принципе, что ограничивает сферу применения такого ПО.

Что важно понимать сисадминам

Пожалуй, они должны понимать серьезность проблемы. Знать, что сама возможность существования вирусов связана с архитектурными просчетами при создании современных ИС. Поэтому решить вопрос без кардинального изменения архитектуры невозможно. Я вижу единственный путь – использование системообразующего ПО промежуточного слоя с обязательным набором функций. Именно такого подхода мы придерживаемся, создавая крупные автоматизированные ИС на базе нашего ПО ИВК «Юпитер».