Глубокая антивирусная защита

В последнее время при проверке почты я постоянно натыкаюсь на новую статью о глубокой защите. Это не может не радовать, так как глубокая защита имеет крайне важное значение в борьбе с вирусами. К сожалению, большинство статей не рассматривает её двух важных составляющих. Чтобы понять упущенные моменты, рассмотрим, что имеется в виду под «глубокой защитой» в нашем мире злонамеренных программ. Обсуждая глубокую защиту в рамках этой статьи, мы будем говорить об использовании антивирусных программ и других способах обеспечения многоуровневой защиты от злонамеренных программ в корпоративной среде.

Говоря о глубокой защите, мы подразумеваем защиту системы на трех уровнях:

Лично я включаю домашних пользователей в первый уровень, и взял себе за правило бороться с этим при помощи своего поставщика антивирусов. Все-таки многие люди берут работу домой (причем это поощряется начальством). Что будет, когда они принесут свою работу назад?

Когда я впервые озаботился концепцией глубокой защиты, объектами защиты были сервера и рабочие станции. В то время большинство специалистов считало, что неэффективно защищать оба уровня. Я помню, как известные люди публично утверждали, что антивирусная защита на серверах не нужна, так как она только увеличивает нагрузку на сервера, и обеспечивает слабую защиту, потому что большинство вирусов поражают загрузочные сектора. Это были люди, которым в то время доверяли и считали «экспертами».

Сегодня, специалисты, отвечающие за безопасность, проповедуют защиту каждого уровня инфраструктуры. Необходимо определить точки соприкосновения с внешним миром и другие возможные точки входа вируса, а также постоянно обновлять установленный антивирус. Все должно быть именно так. Для меня и вас это должно является основой защиты. Не хочу никого обидеть, но это всего лишь начало в борьбе со зловредными программами. Два ключевых компонента глубокой защиты, часто упускаемые из вида, это 1) централизованные контроль и отчетность, и 2) ловля сетью, как я её называю.

Ловля сетью: лучшие антивирусы и фильтрация контента

Сначала рассмотрим второй компонент, так как его легче объяснить. Очевидно, что люди идут «браконьерничать», так как поймают больше рыбы сетью, чем удочкой. В компьютерной области это называется избыточностью. Когда один из компонентов системы выходит из строя, у вас остается вторая система для замены вышедшей из строя. Относительно антивирусной защиты многие люди утверждают, что надо использовать лучшее антивирусное программное обеспечение и, когда что-то выходит из строя, следует использовать продукты только одного поставщика для решения проблемы.

Такой подход был бы хорошим, если бы на рынке существовал ярко выраженный лидер для всех платформ. К сожалению, это не так. Давайте рассмотрим обычную организацию, использующую Microsoft Windows. В таких организациях используются файловые, принт-сервера, а также сервера приложений, основанные на Windows. Windows стоит на рабочих станциях, и в качестве почты используется Exchange. Основываясь на рецензиях независимых экспертов, мы можем выделить несколько лидеров, чьи продукты хорошо работают на данной платформе. В то же время мы можем заметить, что конкретно для Exchange какой-то поставщик лучше остальных, в то время как продукт другого поставщика лучше подходит для рабочих станций,  а третий предоставляет наиболее эффективные продукты для серверов. Добавьте к этому то, что в большинстве больших и средних компаний все-же используют и различные виды *nix. Теперь очевидно, что ваш первоначальный выбор не был наилучшим.

Различные антивирусные решения используют разные подходы. Одни антивирусные компании обнаруживают «семью» вирусов, используя эвристический анализ. Их продукты способны обнаруживать новые вирусы, не имея конкретного примера. Другие компании предпочитают использовать метод точной идентификации, что делает антивирус более точным в определении вирусов. Эвристический анализ требует больше вычислительных ресурсов и может давать неправильные результаты, в то время как точная идентификация позволяет существовать маленьким дыркам в сети, через которые проходят 0-day вирусы. В наших интересах защитить корпоративные ресурсы, поэтому мы должны найти лучшее решение из всех возможных.

Так как это требует больших денег и координации с несколькими поставщиками, наиболее приемлемый подход, на мой взгляд, заключается в использовании лучшего продукта для различных уровней, или хотя бы в выделении максимального числа уровней. Например, вы можете использовать продукт одного поставщика на прокси-сервере  и почтовом шлюзе, а продукт второго на сервере Exchange, файл сервере, принт-сервере и на рабочих станциях. Это является глубокой защитой на самом минимальном уровне. Такой поход обеспечивает, что если вирус если и пройдет незамеченным через один продукт, то второй может предотвратить дальнейшее распространение вируса в компании или, что еще хуже, за её пределами.

Одна из самых тяжелых задач администратора безопасности - это очистка системы после заражения. После попадания злонамеренного кода в систему, он может находиться там продолжительное время и, в зависимости от антивирусного пакета, может пройти много времени, прежде чем администратор узнает, что система заражена. Используя два или более продукта на различных уровнях, вы повышаете шансы получить уведомление о заражении вовремя, что уменьшит время вашей реакции и предоставит вам информацию о проблеме от нескольких поставщиков.

Наряду с традиционным сканированием на вирусы, настоящая глубокая защита подразумевает некоторые виды нетрадиционных методов, например, фильтрацию содержимого. Являясь нетрадиционным подходом к антивирусной защите, блокировка получения исполняемых файлов (exe, com, bat) значительно ограничивает распространение злонамеренных программ. Обычно пользователю не требуется получать эти файлы по электронной почте или скачивать их с веб сайтов. Фильтрация содержимого может сделать файл доступным для конечного пользователя, не давая ему возможности автоматически запустить злонамеренный код. Фильтрация может использоваться для удаления нежелательных программ, которые засоряют канал компании и требуют места для хранения в почтовом ящике.

Фильтрацию целесообразно также применять на уровне прокси-сервера, ввиду увеличивающегося количества враждебных Java скриптов и Active-X компонентов. Их блокировка на уровне прокси-сервера, исключает возможность заражения системы и дальнейшего распространения заражения в компании.

Централизованная отчетность и контроль

На данный момент для меня является большой проблемой отсутствие централизованного контроля. Бесчисленное множество раз я слышал заявления, что рабочая группа должна иметь контроль над антивирусным продуктом, потому что она отвечает за приложения на сервере. Они аргументируют это тем, что именно им приходится отчитываться за неработоспособность сервера. В то же самое время эти люди не являются ответственными за прорыв вируса в компанию, даже если это произошло по их вине по причине несвоевременного обновления базы вирусов, отключения антивируса по той или иной причине или потому что они не следовали установленным инструкциям.

Многие компании не имеют централизованного управления по борьбе со злонамеренными программами. В них может работать опытный сотрудник технической поддержки, хорошо разбирающийся в вирусах и антивирусах на определенной платформе, но отсутствовать корпоративная «архитектура» для планирования стратегии. Бывают и такие компании (и это весьма распространенная ситуация), в которых сотрудник отдела информационной безопасности стоит ниже по иерархии, чем основная часть пользователей, и не имеет права давления на них. Все попытки специалиста по безопасности ограничить каким-либо образом использование опасных программ и методов (к примеру, использование ICQ или пересылка по электронной почте запускаемых файлов) заканчиваются «нагоняем» от начальства – мол «пользователи недовольны, они зарабатывают деньги для компании, а ты им мешаешь». Такие компании не могут выяснить, откуда пришел вирус, и у них нет четкой цели или политики для формирования стратегии защиты. Что еще более важно, у них не всегда есть сотрудник или группы сотрудников, отвечающих за то, чтобы антивирусы стояли на своих местах и нормально функционировали. Нет также сотрудника, занятого обнаружением вирусов и предпринимающего определенные действия в случае, если вирус обнаружен.

В такой среде легко потерять бдительность. Так как каждая рабочая группа отвечает за свои политики и процедуры, появляется ложная уверенность в том, что они действительно их обеспечивают. На самом деле часто происходит совсем наоборот. Для обеспечения доступности служб, требуемых для работы группы, часто проще отключить антивирусные программы, чем разбираться в причинах вызванных ими проблем. Например, сотрудники могут заметить, что антивирус сейчас использует 90% ресурсов процессора. Может быть, это происходит из-за того, что машина борется с последствиями заражения или произошло что-то, нарушившее работу программы? Вместо того чтобы отыскать корень проблемы, первой реакцией обычно является отключение или даже деинсталяция антивируса. А потом в течение нескольких дней, недель или месяцев выясняется причина сбоя. В это время системы остаются беззащитными и являются благодатной почвой для распространения вирусов.

Все вышесказанное должно быть принято во внимание при построении системы глубокой защиты. Почти все поставщики антивирусов на данный момент предоставляют центральную консоль, позволяющую администратору видеть, что происходит. Эти консоли могут генерировать отчеты о количестве машин, на которых запущен антивирус, количестве машин, не подключившихся в определенный момент времени к центральному серверу, а также отчеты со стратегически важной информацией о заражениях. Просматривая отчеты, вы сможете выявить слабые места вашей защиты. Вы также сможете выяснить, какие группы отключают защиту или сбивают настройки программ. Нарушители должны понести ответственность. Этого можно добиться, продемонстрировав начальству, что на избавление от последствий заражения требуется в десятки раз больше времени, чем на предотвращение заражения.

Можно упомянуть еще несколько преимуществ централизации, в дополнение к уже перечисленным. Одно из них - это возможность управлять обновлениями, или идентифицировать машины, которые нуждаются в обновлении. Может показаться, что это не является частью борьбы со зловредными программами, но вспомните, что 80% вирусов используют эксплойты, против которых уже три и более месяцев существуют соответствующие обновления. Например, компании с централизованной структурой, следящей за обновлениями, меньше пострадали от SQL Slammer, чем те, где централизованной структуры не было.

Централизованные отчеты предоставляют администраторам возможность, соблюдая конфиденциальность, сообщить начальству о текущем уровне соответствия. Довольно сложно узнать со слов другого человека с достаточной степенью достоверности о количестве машин с обновленными версиями антивирусов. Используя схему централизованной отчетности, мы располагаем реальными данными о степени защиты, а не предположениями и догадками.

Необходимо наличие контрольного центра и ответственного за защиту корпорации от вирусов. Назначение ответственного за защиту, является хорошим шагом, так как никто не хочет ударить в грязь лицом, а, следовательно, будет принимать меры по предотвращению заражения и установке процедур и политик, обеспечивающих защиту корпорации. Назначая главных ответственных лиц, к тому же наделенных определенной властью, организация может установить процедуры для случаев заражения, и тогда можно с большей степенью уверенности утверждать, что распространение вируса будет приостановлено, а повреждения будут ликвидированы.

Заключение

Глубокая защита - это больше чем защита каждого из уровней потенциального вторжения. Это согласованное использование лучших продуктов для каждой платформы, на каждом уровне систем организации, использование фильтров содержимого для снижения риска поражения нетрадиционным злонамеренным кодом, а также использование централизованной отчетности и выделение полномочий для управления стратегией антивирусной защиты.

Напоследок я хочу упомянуть о важности обучения пользователей. Хотя это часто и не принимается, как часть глубокой защиты, но обучение пользователей может стать первой линией вашей защиты. Всегда есть пользователи, которые не захотят учиться или применять свои знания, но гораздо больше готовых к этому сотрудников, и их обучение окупится сполна. Так как не все компании имеют сотрудников-экспертов по вирусам, лучшей практикой остается защищать их, и глубокая защита здесь будет наиболее актуальна. Тем не менее, единственным путём, обеспечивающим выполнение всех требований, остается эффективное обучение пользователей.

=====================================================================================

В курсе БЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ обобщен и систематизирован многолетний опыт специалистов Учебного Центра и Научно-инженерного предприятия "ИНФОРМЗАЩИТА" по разработке систем обеспечения информационной безопасности, аналитических обследований крупнейших компьютерных сетей страны. Особое внимание уделяется технологии обеспечения информационной безопасности, рациональному распределению функций и организации эффективного взаимодействия по вопросам защиты информации всех подразделений и сотрудников, использующих и обеспечивающих функционирование автоматизированных систем. Подробно рассматриваются вопросы разработки нормативно-методических и организационно-распорядительных документов с учетом требований российского законодательства и международных стандартов (BS7799 - ISO 17799,BSI, ISO15408-99), необходимых для реализации рассмотренной технологии.

======================================================================================