12.03.2010

Эти опасные антивирусы. Цена ошибки и плата за доверие

image

Сейчас трудно найти человека, который бы отрицал необходимость использования антивирусных продуктов. Эти программы умеют не только поедать процессорное время, но и реально снижать риски, связанные с вредоносным и мобильным кодом, оптимизировать трудозатраты, направленные на поддержку рабочих станций и вообще позволяют спокойнее спать.

А. Циберман
acyberman@mailu.om

Сейчас трудно найти человека, который бы отрицал необходимость использования антивирусных продуктов. Эти программы умеют не только поедать процессорное время, но и реально снижать риски, связанные с вредоносным и мобильным кодом, оптимизировать трудозатраты, направленные на поддержку рабочих станций и вообще позволяют спокойнее спать. Даже долго державшееся сообщество *nix-гуру сдалось, и начало, скрипя сердцем устанавливать ClamAV на почтовые шлюзы и Squid.

Однако у этой милой пасторальной картины есть и обратная сторона - цена, которую порой приходится платить за полное и абсолютное доверие антивирусным компаниям.

Ведь если вдуматься - пользователь, установивший на свой компьютер антивирусную программу, внедряет в свой мир арбитра, решающего, что такое хорошо и что такое плохо. Понятно, что происходит это не от хорошей жизни, а скорее от невозможности разобраться в постоянно меняющемся мире кибер-угроз. Резковатые заявления антивирусных вендоров о «невозможности подтвердить отсутствие вирусов даже в только что установленной ОС» лишний раз подтверждают этот факт.

Но сколько стоит подобное доверие? Как понять, какие дополнительные затраты понесут пользователи и предприятие установившие и использующие антивирусные продукты?

Кроме вполне понятных затрат, связанных с закупкой, установкой, поддержкой и преодолением множества проблем, связанных с совместимостью существуют два, зачастую упускаемые из внимания фактора - это падение производительности пользователя и дополнительные риски, связанные с безопасностью.

Падение производительности - это объективная реальность, вытекающая из замедления выполнения рутинных операций, таких как открытие файлов, передача их по почте и т.д. Антивирусная система не может не вносить задержки в эти процессы, раздражая пользователей. Кроме того, вполне легитимные срабатывания системы могут оказывать негативное влияние на производительность пользователя. Наверняка, многие из вас сталкивались с ситуацией, когда антивирус блокировал доступ к важному письму или файлу (а то и вообще к базе почтового клиента), что не давало возможности оперативно сделать свою работу. Причем тот факт, что письмо было заражено вирусом не отменяет негативного влияния, поскольку стоимость конкретной несделанной работы может серьезно превышать негативный эффект от заражения компьютера вирусом. Как и в бухгалтерии, при анализе рисков дебет и кредит надо учитывать независимо.

Как это не тривиально звучит, антивирусные программы тоже создаются людьми и содержат ошибки. Если обратится к базам уязвимостей и провести поиск по любому популярному продукту, это класса, наверняка будет обнаружен не один десяток проблем.

Так, база знаний SecurityLab на настоящий момент содержит описание 25 уязвимостей в продуктах Лаборатории Касперского и не меньшее число для других производителей. Таким образом, не стоит исключать антивирусное программное обеспечение из цикла управления уязвимостями и patch-management.

Еще одним негативным моментом являются ложные срабатывания. Нередки ситуации когда антивирус блокирует вполне легитимное ПО или даже всю операционную систему. Причем «отметиться» успели практически все крупные антивирусные вендоры, такие как Symantec, McAffee.

http://www.securitylab.ru/news/363228.php

http://www.securitylab.ru/news/264376.php

http://www.securitylab.ru/news/263875.php

Ущерб от подобных инцидентов зачастую может превысить пользу, которую в состоянии принести антивирусы. Недавно я участвовал в разборе инцидента, связанного с подобной ситуацией и по просьбе заказчика рассчитал ущерб от инцидента.

Приведу немного обусфицированные выкладки:

Ситуация: ложное срабатывание антивируса на сервере документооборота.

Последствия: заблокирован исполняемый модуль системы документооборота.

Количество пользователей системы: 50.

Коэффициент использования системы в работы: 0,6.

Средняя заработная плата сотрудника: 50 000 рублей в месяц.

Время решения проблемы: 12 рабочих часов.

Дополнительные затраты: привлечение внешних аналитиков для анализа последствий возможной утечки и расследования инцидента - 70 000 рублей.

Итого, ущерб, связанный с инцидентом: 50 * (50 000 * 0,6 / 22 / 8) * 12 + 70 000 = 172 272,73

Таким образом, практически двести тысяч рублей было потеряно из-за ошибки производителя средств защиты. И это только прямые потери, не считая упущенной выгоды и нервной системы руководства, размышляющего о последствиях утечки информации из ключевой системы документооборота.

Примечательной оказалась и реакция производителя на инцидент.

«Detections of Suspicious.Insight type are based on Symantec’s reputation-based security technology. Suspicious.Insight is detection for files that have not yet developed a strong reputation among Symantec’s community of users and is not based on observed malicious or nefarious activity. »

Т.е. блокировка файла не была связана с его текущей или потенциально «зловредной» активностью, а произошла из-за того, что в «сообществе пользователей Symantec» файл не заслужил «достойной репутаций». На более конкретный вопрос, «кто эти люди, представляющие собой сообщество пользователей Symantec и кому бить лицо?» вендор ответил достаточно неконкретно, упомянув, что он сам к этому сообществу не имеет никакого отношения, и все это очень модной и облачные вычисления. И за ущерб он тоже не отвечает, конечно.

Как видно вышеприведенной информации – антивирусные системы далеко не всегда полезны и в некоторых ситуациях затраты, связанные с эксплуатацией антивируса может превысить потенциальную выгоду. Как говорится в старой русской пословице: «Доверяй, но проверяй».

comments powered by Disqus