Мнения Эти опасные антивирусы. Цена ошибки и плата за доверие
Сейчас трудно найти человека, который бы отрицал необходимость использования антивирусных продуктов. Эти программы умеют не только поедать процессорное время, но и реально снижать риски, связанные с вредоносным и мобильным кодом, оптимизировать трудозатраты, направленные на поддержку рабочих станций и вообще позволяют спокойнее спать.
А. Циберман
acyberman@mailu.om
Сейчас трудно найти человека, который бы отрицал необходимость использования антивирусных продуктов. Эти программы умеют не только поедать процессорное время, но и реально снижать риски, связанные с вредоносным и мобильным кодом, оптимизировать трудозатраты, направленные на поддержку рабочих станций и вообще позволяют спокойнее спать. Даже долго державшееся сообщество *nix-гуру сдалось, и начало, скрипя сердцем устанавливать ClamAV на почтовые шлюзы и Squid.
Однако у этой милой пасторальной картины есть и обратная сторона - цена, которую порой приходится платить за полное и абсолютное доверие антивирусным компаниям.
Ведь если вдуматься - пользователь, установивший на свой компьютер антивирусную программу, внедряет в свой мир арбитра, решающего, что такое хорошо и что такое плохо. Понятно, что происходит это не от хорошей жизни, а скорее от невозможности разобраться в постоянно меняющемся мире кибер-угроз. Резковатые заявления антивирусных вендоров о «невозможности подтвердить отсутствие вирусов даже в только что установленной ОС» лишний раз подтверждают этот факт.
Но сколько стоит подобное доверие? Как понять, какие дополнительные затраты понесут пользователи и предприятие установившие и использующие антивирусные продукты?
Кроме вполне понятных затрат, связанных с закупкой, установкой, поддержкой и преодолением множества проблем, связанных с совместимостью существуют два, зачастую упускаемые из внимания фактора - это падение производительности пользователя и дополнительные риски, связанные с безопасностью.
Падение производительности - это объективная реальность, вытекающая из замедления выполнения рутинных операций, таких как открытие файлов, передача их по почте и т.д. Антивирусная система не может не вносить задержки в эти процессы, раздражая пользователей. Кроме того, вполне легитимные срабатывания системы могут оказывать негативное влияние на производительность пользователя. Наверняка, многие из вас сталкивались с ситуацией, когда антивирус блокировал доступ к важному письму или файлу (а то и вообще к базе почтового клиента), что не давало возможности оперативно сделать свою работу. Причем тот факт, что письмо было заражено вирусом не отменяет негативного влияния, поскольку стоимость конкретной несделанной работы может серьезно превышать негативный эффект от заражения компьютера вирусом. Как и в бухгалтерии, при анализе рисков дебет и кредит надо учитывать независимо.
Как это не тривиально звучит, антивирусные программы тоже создаются людьми и содержат ошибки. Если обратится к базам уязвимостей и провести поиск по любому популярному продукту, это класса, наверняка будет обнаружен не один десяток проблем.
Так, база знаний SecurityLab на настоящий момент содержит описание 25 уязвимостей в продуктах Лаборатории Касперского и не меньшее число для других производителей. Таким образом, не стоит исключать антивирусное программное обеспечение из цикла управления уязвимостями и patch-management.
Еще одним негативным моментом являются ложные срабатывания. Нередки ситуации когда антивирус блокирует вполне легитимное ПО или даже всю операционную систему. Причем «отметиться» успели практически все крупные антивирусные вендоры, такие как Symantec, McAffee.
http://www.securitylab.ru/news/363228.php
http://www.securitylab.ru/news/264376.php
http://www.securitylab.ru/news/263875.php
Ущерб от подобных инцидентов зачастую может превысить пользу, которую в состоянии принести антивирусы. Недавно я участвовал в разборе инцидента, связанного с подобной ситуацией и по просьбе заказчика рассчитал ущерб от инцидента.
Приведу немного обусфицированные выкладки:
Ситуация: ложное срабатывание антивируса на сервере документооборота.
Последствия: заблокирован исполняемый модуль системы документооборота.
Количество пользователей системы: 50.
Коэффициент использования системы в работы: 0,6.
Средняя заработная плата сотрудника: 50 000 рублей в месяц.
Время решения проблемы: 12 рабочих часов.
Дополнительные затраты: привлечение внешних аналитиков для анализа последствий возможной утечки и расследования инцидента - 70 000 рублей.
Итого, ущерб, связанный с инцидентом: 50 * (50 000 * 0,6 / 22 / 8) * 12 + 70 000 = 172 272,73
Таким образом, практически двести тысяч рублей было потеряно из-за ошибки производителя средств защиты. И это только прямые потери, не считая упущенной выгоды и нервной системы руководства, размышляющего о последствиях утечки информации из ключевой системы документооборота.
Примечательной оказалась и реакция производителя на инцидент.
«Detections of Suspicious.Insight type are based on Symantec’s reputation-based security technology. Suspicious.Insight is detection for files that have not yet developed a strong reputation among Symantec’s community of users and is not based on observed malicious or nefarious activity. »
Т.е. блокировка файла не была связана с его текущей или потенциально «зловредной» активностью, а произошла из-за того, что в «сообществе пользователей Symantec» файл не заслужил «достойной репутаций». На более конкретный вопрос, «кто эти люди, представляющие собой сообщество пользователей Symantec и кому бить лицо?» вендор ответил достаточно неконкретно, упомянув, что он сам к этому сообществу не имеет никакого отношения, и все это очень модной и облачные вычисления. И за ущерб он тоже не отвечает, конечно.
Как видно вышеприведенной информации – антивирусные системы далеко не всегда полезны и в некоторых ситуациях затраты, связанные с эксплуатацией антивируса может превысить потенциальную выгоду. Как говорится в старой русской пословице: «Доверяй, но проверяй».
(Голосов: 9, Рейтинг: 4.01) |
на домашнем компе антивируснику быть (дабы не разводились большие ботнеты)
в корпоративных сетях админ сам должен решать где и что стоит, зачем это нужно, делать бэкап, ставить кластер, и так далее и далее.
| Даже долго державшееся сообщество *nix-гуру сдалось, и начало, скрипя сердцем устанавливать ClamAV на почтовые шлюзы и Squid. |
кламав ставят для того что бы в почте не валялось письмо с вирусом для винды а не для *nix (по крайней в большинстве случаев), хотя как вы сами заметили "Как говорится в старой русской пословице: «Доверяй, но проверяй»"
З.Ы. статья хорошая, хотя отчасти с ней не согласен
У меня Антивирусник стоит но в выключенном состоянии. 
| Даже долго державшееся сообщество *nix-гуру сдалось, и начало, скрипя сердцем устанавливать ClamAV на почтовые шлюзы и Squid. |
Для прикрытия машинок с мелкомягкими ОС на борту, разве нет?
| Однако у этой милой пасторальной картины есть и обратная сторона - цена, которую порой приходится платить за полное и абсолютное доверие антивирусным компаниям. |
Не знаю ни одного *nix-гуру, кто рискнул бы установить подобные отношения доверия с разработчиками того же ClamAV.
| Но сколько стоит подобное доверие? Как понять, какие дополнительные затраты понесут пользователи и предприятие установившие и использующие антивирусные продукты? |
Или такой провокационный вопрос: стоит ли включать эти дополнительные затраты в TCO мелкомягких решений?
Толсто.
[/QUOTE]И вот тут оказывается, ВНЕЗАПНО, что мы доверяем и производителям IDS/IPS решений, которые тоже в состоянии заблокировать работу нашего бизнеса.[/QUOTE]
Да, и "вот тут" оказывается. Но далеко не везде и всюду, как в случае с виндой. Не согласны?
Почему антивирус на сервере документооборота был настроен на проверку исполняемых модулей, к которым доступ на запись должен быть только у администратора системы документооборота? Это не просто потеря производительности и нецелесообразное использование серверной лицензии антивируса - это просто грязная работа администратора. Производитель здесь не причем.
Что такое "обусфицированные" выкладки?
Давайте посмотрим с другой стороны, т.е. плюнем на антивирусник на всех компьютерах. И что в итоге? А в итоге, первый же червь разбежится по всей сети и заблокирует компьютер с просьбой отправить СМС. Или, что ещё хуже, заразит exe и doc'и на всех компах. А если не заразит, а перепишет своим вредоносным файлом? Ущерб будет многократно выше, возможно даже на порядки. 172 тысячи покажутся детским лепетом.
| А в итоге, первый же червь разбежится по всей сети и заблокирует компьютер с просьбой отправить СМС. |
Интересно, а какого черта у Вас рабочие машины имеют доступ не только к серверу но и друг к другу?
средствами групповых политик домена рабочая лошадь конечного пользователя превращается если не в неубиваемого терминатора ТX, то в Т800 точно: выполняет строго свои задачи и не позволяет запускать даже косынку. ибо нех.
| Итого, ущерб |
Производить расчет ущерба по одному инциденту это очковтирательство. Необходимо сравнивать выгоду от использования системы и общие убытки за весь жизненный цикл существования этой системы. И тогда выяснится, что выгоды при наличии в системе даже самого плохого антивируса значительно превышают ущерб от ложных срабатываний и потери производительности.
В своем последнем финансовом отчете, Heartland Payment Systems сообщила, что понесла убытки в размере 129 миллионов долларов по причине произошедшего инцидента в прошлом году. Heartland Payment Services выступает как стандартный банковский провайдер для почти 250 тысяч организаций.
| А например так |
А хоть как. Понятие "ТСО" и "экономический эффект" не зря придумали. А есть еще понятия "управление рисками" и "страхование ущерба". Обрати внимание - все эти понятия основаны на статистике эксплуатации систем за некий период. И при грамотном подходе эти риски заложены в себестоимость продукции предприятия или застрахованы. По одному инциденту иногда можно сделать вывод о квалификации админа, и о его руководстве. Но никак нельзя делать глобальных выводов по типу как в заголовке - "Эти опасные антивирусы". Они не опасные. Они в некоторой степени снижают риски. И все. Снижают "в целом по колхозу", а не устраняют совсем. Риски остаются. Иногда добавляются другие, но в целом антивирь на windows риски снижает. А по статье выходит, что антивирус приносит убытки.
А про 129 лимонов... Хотелось бы, что бы все приводимые цифры давались в контексте. Этот ущерб равен доходу предприятия за пятилетку? Или за час работы?
Моя вина. Большу часть писал на КПК в самолете и не уделил должного внимания редактуре.
>Почему антивирус на сервере документооборота был настроен на проверку исполняемых модулей
Дело в том, что специфика антивирусной защиты Windows-систем подразумевает высокую вероятность заражения компьютера вредоносной программой через системные службы, работающие с повышенными привилегиями. Например - Server/RPC(blast/kido). Ограничивать доступ от SYSTEM неразумно, да и бесполезно. Это подразумевает...
>обусфицированные
Прошу прощения за жаргонизм. Распространенный среди профессионалов термин - от "obsfucation".
> это "жирный троллинг"
Скорее я пытался обратить внимание на то, что при анализе рисков надо учитывать и "дебит", но и "кредит".
>Прошу прощения за жаргонизм. Распространенный среди профессионалов термин - от "obsfucation".
О да
Только тогда уж "обфусцированный". От слова obfuscation. Желание выпендриться? 
Есть и слово , это как у нас, например, слово "очепятка". А вот его транслитерация на русском кривовата получилась. Вы это подразумевали? | Дело в том, что специфика антивирусной защиты Windows-систем подразумевает высокую вероятность заражения компьютера вредоносной программой через системные службы, работающие с повышенными привилегиями. Например - Server/RPC(blast/kido). |
Заплатки, закрывающие дыры, через которые лезли эти черви, были выпущены до начала массового распространения этих гадов, так что у грамотных админов, вовремя ставящих заплатки, заражения не произошло. А правильная настройка фаерволла и самой системы, как правило, позволяет перекрыть пути проникновения этой заразы в сеть предприятия даже до установки заплаток.
P.S. Я отрицаю необходимость использовать антивирусы(впрочем, как и поделие дядюшки Билли, особенно на серверах).
Как ты собрался настроить систему, что-бы не использовать антивирус ВООБЩЕ?
Я так и слышу скрип сердец *nix-гуру. Со страшным скрипом старые unix-солдаты сдавались производителям антивирусных продуктов.
Скрепя сердце, автор. И никак иначе. Сердцем не скрипят, оно стучит.
TOP Новости 
Уязвимости 09 февраля, 2012
07 февраля, 2012
06 февраля, 2012
03 февраля, 2012
Подписка
Вирусы
Комментарии: