12.03.2010

Эти опасные антивирусы. Цена ошибки и плата за доверие

image

Сейчас трудно найти человека, который бы отрицал необходимость использования антивирусных продуктов. Эти программы умеют не только поедать процессорное время, но и реально снижать риски, связанные с вредоносным и мобильным кодом, оптимизировать трудозатраты, направленные на поддержку рабочих станций и вообще позволяют спокойнее спать.

А. Циберман
acyberman@mailu.om

Сейчас трудно найти человека, который бы отрицал необходимость использования антивирусных продуктов. Эти программы умеют не только поедать процессорное время, но и реально снижать риски, связанные с вредоносным и мобильным кодом, оптимизировать трудозатраты, направленные на поддержку рабочих станций и вообще позволяют спокойнее спать. Даже долго державшееся сообщество *nix-гуру сдалось, и начало, скрипя сердцем устанавливать ClamAV на почтовые шлюзы и Squid.

Однако у этой милой пасторальной картины есть и обратная сторона - цена, которую порой приходится платить за полное и абсолютное доверие антивирусным компаниям.

Ведь если вдуматься - пользователь, установивший на свой компьютер антивирусную программу, внедряет в свой мир арбитра, решающего, что такое хорошо и что такое плохо. Понятно, что происходит это не от хорошей жизни, а скорее от невозможности разобраться в постоянно меняющемся мире кибер-угроз. Резковатые заявления антивирусных вендоров о «невозможности подтвердить отсутствие вирусов даже в только что установленной ОС» лишний раз подтверждают этот факт.

Но сколько стоит подобное доверие? Как понять, какие дополнительные затраты понесут пользователи и предприятие установившие и использующие антивирусные продукты?

Кроме вполне понятных затрат, связанных с закупкой, установкой, поддержкой и преодолением множества проблем, связанных с совместимостью существуют два, зачастую упускаемые из внимания фактора - это падение производительности пользователя и дополнительные риски, связанные с безопасностью.

Падение производительности - это объективная реальность, вытекающая из замедления выполнения рутинных операций, таких как открытие файлов, передача их по почте и т.д. Антивирусная система не может не вносить задержки в эти процессы, раздражая пользователей. Кроме того, вполне легитимные срабатывания системы могут оказывать негативное влияние на производительность пользователя. Наверняка, многие из вас сталкивались с ситуацией, когда антивирус блокировал доступ к важному письму или файлу (а то и вообще к базе почтового клиента), что не давало возможности оперативно сделать свою работу. Причем тот факт, что письмо было заражено вирусом не отменяет негативного влияния, поскольку стоимость конкретной несделанной работы может серьезно превышать негативный эффект от заражения компьютера вирусом. Как и в бухгалтерии, при анализе рисков дебет и кредит надо учитывать независимо.

Как это не тривиально звучит, антивирусные программы тоже создаются людьми и содержат ошибки. Если обратится к базам уязвимостей и провести поиск по любому популярному продукту, это класса, наверняка будет обнаружен не один десяток проблем.

Так, база знаний SecurityLab на настоящий момент содержит описание 25 уязвимостей в продуктах Лаборатории Касперского и не меньшее число для других производителей. Таким образом, не стоит исключать антивирусное программное обеспечение из цикла управления уязвимостями и patch-management.

Еще одним негативным моментом являются ложные срабатывания. Нередки ситуации когда антивирус блокирует вполне легитимное ПО или даже всю операционную систему. Причем «отметиться» успели практически все крупные антивирусные вендоры, такие как Symantec, McAffee.

http://www.securitylab.ru/news/363228.php

http://www.securitylab.ru/news/264376.php

http://www.securitylab.ru/news/263875.php

Ущерб от подобных инцидентов зачастую может превысить пользу, которую в состоянии принести антивирусы. Недавно я участвовал в разборе инцидента, связанного с подобной ситуацией и по просьбе заказчика рассчитал ущерб от инцидента.

Приведу немного обусфицированные выкладки:

Ситуация: ложное срабатывание антивируса на сервере документооборота.

Последствия: заблокирован исполняемый модуль системы документооборота.

Количество пользователей системы: 50.

Коэффициент использования системы в работы: 0,6.

Средняя заработная плата сотрудника: 50 000 рублей в месяц.

Время решения проблемы: 12 рабочих часов.

Дополнительные затраты: привлечение внешних аналитиков для анализа последствий возможной утечки и расследования инцидента - 70 000 рублей.

Итого, ущерб, связанный с инцидентом: 50 * (50 000 * 0,6 / 22 / 8) * 12 + 70 000 = 172 272,73

Таким образом, практически двести тысяч рублей было потеряно из-за ошибки производителя средств защиты. И это только прямые потери, не считая упущенной выгоды и нервной системы руководства, размышляющего о последствиях утечки информации из ключевой системы документооборота.

Примечательной оказалась и реакция производителя на инцидент.

«Detections of Suspicious.Insight type are based on Symantec’s reputation-based security technology. Suspicious.Insight is detection for files that have not yet developed a strong reputation among Symantec’s community of users and is not based on observed malicious or nefarious activity. »

Т.е. блокировка файла не была связана с его текущей или потенциально «зловредной» активностью, а произошла из-за того, что в «сообществе пользователей Symantec» файл не заслужил «достойной репутаций». На более конкретный вопрос, «кто эти люди, представляющие собой сообщество пользователей Symantec и кому бить лицо?» вендор ответил достаточно неконкретно, упомянув, что он сам к этому сообществу не имеет никакого отношения, и все это очень модной и облачные вычисления. И за ущерб он тоже не отвечает, конечно.

Как видно вышеприведенной информации – антивирусные системы далеко не всегда полезны и в некоторых ситуациях затраты, связанные с эксплуатацией антивируса может превысить потенциальную выгоду. Как говорится в старой русской пословице: «Доверяй, но проверяй».

или введите имя

CAPTCHA
Страницы: 1  2  3  4  5  6  7  
12-03-2010 13:15:09
имхо: на домашнем компе антивируснику быть (дабы не разводились большие ботнеты) в корпоративных сетях админ сам должен решать где и что стоит, зачем это нужно, делать бэкап, ставить кластер, и так далее и далее. Даже долго державшееся сообщество *nix-гуру сдалось, и начало, скрипя сердцем устанавливать ClamAV на почтовые шлюзы и Squid.кламав ставят для того что бы в почте не валялось письмо с вирусом для винды а не для *nix (по крайней в большинстве случаев), хотя как вы сами заметили "Как говорится в старой русской пословице: «Доверяй, но проверяй»" З.Ы. статья хорошая, хотя отчасти с ней не согласен
0 |
12-03-2010 14:51:28
а то что начали ставить и на *nix системы антивирусы, это вызвано в том числе требованиями PCI DSS
0 |
19-10-2010 05:26:42
У меня Антивирусник стоит но в выключенном состоянии.
0 |
Ping
12-03-2010 13:47:43
Даже долго державшееся сообщество *nix-гуру сдалось, и начало, скрипя сердцем устанавливать ClamAV на почтовые шлюзы и Squid.Для прикрытия машинок с мелкомягкими ОС на борту, разве нет? Однако у этой милой пасторальной картины есть и обратная сторона - цена, которую порой приходится платить за полное и абсолютное доверие антивирусным компаниям.Не знаю ни одного *nix-гуру, кто рискнул бы установить подобные отношения доверия с разработчиками того же ClamAV. Но сколько стоит подобное доверие? Как понять, какие дополнительные затраты понесут пользователи и предприятие установившие и использующие антивирусные продукты?Или такой провокационный вопрос: стоит ли включать эти дополнительные затраты в TCO мелкомягких решений?
0 |
12-03-2010 14:46:44
Вам будет интересно узнать, что производители ClamAV делают ещё и NIDS snort, который предназначен для того, чтобы прикрывать не только винду но и глюкавые *NIX сервисы, всякие там dovecot'ы sendmail'ы apache с дырявыми php-битриксами. И вот тут оказывается, ВНЕЗАПНО, что мы доверяем и производителям IDS/IPS решений, которые тоже в состоянии заблокировать работу нашего бизнеса.
0 |
Ping
12-03-2010 16:42:27
[/QUOTE]но и глюкавые *NIX сервисы, всякие там dovecot'ы Толсто. И вот тут оказывается, ВНЕЗАПНО, что мы доверяем и производителям IDS/IPS решений, которые тоже в состоянии заблокировать работу нашего бизнеса.[/QUOTE] Да, и "вот тут" оказывается. Но далеко не везде и всюду, как в случае с виндой. Не согласны?
0 |
31347
12-03-2010 21:40:38
Походу I[PD]S сигнатуры в подавляющем большинстве вполне читаемы и понимаемы. В отличие от.
0 |
Юзернейм
12-03-2010 13:49:48
Интересно, как руководство компании пригласило для оценки инцидента школьника, не отличающего правописание наречия "потерянно" и глагола "потеряно"? Почему антивирус на сервере документооборота был настроен на проверку исполняемых модулей, к которым доступ на запись должен быть только у администратора системы документооборота? Это не просто потеря производительности и нецелесообразное использование серверной лицензии антивируса - это просто грязная работа администратора. Производитель здесь не причем. Что такое "обусфицированные" выкладки?
0 |
29777
15-03-2010 10:11:44
Дошкольника: 50 человек ничего (!) не делают те 12 часов, пока Лотус чинится
0 |
56788
15-03-2010 10:21:29
Это натянуто, чтобы ущерб не состоял на 94% из привлечения онолитегов.
0 |
Bad-XxX
12-03-2010 13:55:33
Статья конечно интересная, но по мне так - это "жирный троллинг" о вреде антивирусников, ибо в статье была рассмотрена только одна сторона медали. Давайте посмотрим с другой стороны, т.е. плюнем на антивирусник на всех компьютерах. И что в итоге? А в итоге, первый же червь разбежится по всей сети и заблокирует компьютер с просьбой отправить СМС. Или, что ещё хуже, заразит exe и doc'и на всех компах. А если не заразит, а перепишет своим вредоносным файлом? Ущерб будет многократно выше, возможно даже на порядки. 172 тысячи покажутся детским лепетом.
0 |
90368
12-03-2010 16:31:10
А в итоге, первый же червь разбежится по всей сети и заблокирует компьютер с просьбой отправить СМС.Интересно, а какого черта у Вас рабочие машины имеют доступ не только к серверу но и друг к другу?
0 |
мимокрокодил
13-03-2010 01:55:50
более того, какого чeрта рабочие машины выполняют повседневные задачи с админскими правами? средствами групповых политик домена рабочая лошадь конечного пользователя превращается если не в неубиваемого терминатора ТX, то в Т800 точно: выполняет строго свои задачи и не позволяет запускать даже косынку. ибо нех.
0 |
44681
14-03-2010 15:05:35
Интересно, а какого чертаболее того, какого чeртаЭто ж Bad-XxX - местный дурачок и недоадмин, что вы от него хотите.
0 |
12-03-2010 14:01:26
Итого, ущербПроизводить расчет ущерба по одному инциденту это очковтирательство. Необходимо сравнивать выгоду от использования системы и общие убытки за весь жизненный цикл существования этой системы. И тогда выяснится, что выгоды при наличии в системе даже самого плохого антивируса значительно превышают ущерб от ложных срабатываний и потери производительности.
0 |
А. Циберман
12-03-2010 14:10:42
А например так, один инцидент... В своем последнем финансовом отчете, Heartland Payment Systems сообщила, что понесла убытки в размере 129 миллионов долларов по причине произошедшего инцидента в прошлом году. Heartland Payment Services выступает как стандартный банковский провайдер для почти 250 тысяч организаций. http://devteev.blogspot.com/2010/02/sql.html
0 |
malotavr
12-03-2010 14:19:43
Только там, все-таки, была SQL-инъекция
0 |
12-03-2010 15:16:30
А например такА хоть как. Понятие "ТСО" и "экономический эффект" не зря придумали. А есть еще понятия "управление рисками" и "страхование ущерба". Обрати внимание - все эти понятия основаны на статистике эксплуатации систем за некий период. И при грамотном подходе эти риски заложены в себестоимость продукции предприятия или застрахованы. По одному инциденту иногда можно сделать вывод о квалификации админа, и о его руководстве. Но никак нельзя делать глобальных выводов по типу как в заголовке - "Эти опасные антивирусы". Они не опасные. Они в некоторой степени снижают риски. И все. Снижают "в целом по колхозу", а не устраняют совсем. Риски остаются. Иногда добавляются другие, но в целом антивирь на windows риски снижает. А по статье выходит, что антивирус приносит убытки. А про 129 лимонов... Хотелось бы, что бы все приводимые цифры давались в контексте. Этот ущерб равен доходу предприятия за пятилетку? Или за час работы?
0 |
Страницы: 1  2  3  4  5  6  7