Артем Тиунов, Александр Панкин, Денис Давид

Next Article

Михаил Кондрашин

Заметки об использовании антивирусного ПО в организациях

Артем Тиунов, Александр Панкин, Денис Давид,

ООО “ИНФОРИОН”

Ваш единственный начальник – это ваш покупатель. Этот человек способен разорить целую компанию или понизить ее директора в должности до охранника, просто начав регулярно покупать товары в другом магазине. Сэм Уолтон, основатель Wal-Mart

Каким бы опытным ни был пользователь, наличие антивирусной защиты в разы снижает уровень заражений и повышает безопасность.

Таблица.

Изначальная задача антивирусного программного средства –противодействие вредоносному коду, способному нанести ущерб информационной системе. Безусловно, эта функция осталась основополагающей, но на сегодняшний день каждый уважающий себя продукт оброс большим количеством дополнительной функциональности, обеспечивающей комплексную защиту не только от “зловредов” (см. таблицу).

Основная цель использования антивирусного ПО – обеспечить максимальную защиту информационных систем организации при низких затратах на приобретение и относительно невысоких требованиях к производительности. Оптимизация

Простота обучения сотрудников – системных инженеров и администраторов. Минимальное количество задействованного персонала при эксплуатации решений, а также возможность централизованного управления безопасностью рабочих станций и серверов. Возможности

Использование антивирусов в окружении стороннего и даже самописного программного обеспечения, а также в свободно распространяемых опера

Функция Описание

Защита от компьютерных вирусов Блокировка в онлайн-режиме компьютерных червей, троянских программ, руткитов и т.д. Защита от нежелательного Шпионские и рекламные программы, клавиатурные шпионы, программного обеспечения программы для целевого фишинга и др. Выявление "бесфайловых" вирусов Вирусы, расположенные в оперативной памяти Единая панель управления Центры для сбора анализа и управления защитными механизмами станций из единого операторского места Контроль доступа к устройству Инструментарий для защиты от несанкционированного доступа и модификации ресурсов Кросс-платформенность Способность программного обеспечения работать в любой среде операционных систем Низкая ресурсозатратность Потребление относительно небольшого количества ресурсов, что не мешает производительности систем Защита от кибератак Дополнение функциями обнаружения вторжений и межсетевого экранирования Разнонаправленность защиты Проверка не только файлов и трафика, но и опасных подключений к открытым сетям, а также оповещение о несанкционированном доступе к фото- и видеокамерам или данным о местоположении Менеджер паролей Сохранение и шифрование паролей

Производители антивирусного ПО стремятся предложить базовую, компромиссную конфигурацию между защитой и производительностью.

Основная цель

ционных системах. Интеграция в имеющуюся информационную структуру компании. Антивирусы с точки зрения комплаенса

Особенности законодательства С этой точки зрения выбор антивирусного ПО осуществляется исходя из тех или иных требований к производителю (реестр российского ПО), сертификации (ФСТЭК, ФСБ), шифрованию (ГОСТ). Государственный сегмент организаций

В этом сегменте важно низкое потребление антивирусом вычислительных ресурсов, возможность работы с морально устаревающими программноаппаратными средствами и операционными системами, а также простота в использовании без дополнительного обучения сотрудников. Соответствие высоким параметрам защищенности

Выполнение требований в соответствии с указаниями регуляторов, но не больше, чтобы случайно не быть заподозренным в нецелевом расходовании бюджетных средств. Возможно ли представить организацию без антивируса?

Как показывает практика, не защищенные антивирусом персональные компьютеры подвергаются заражениям гораздо чаще.

Каким бы опытным ни был пользователь, наличие антивирусной защиты в разы снижает уровень заражений и повышает безопасность обрабатываемой в организации информации, что сокращает финансовые убытки и сохраняет конфиденциальность критически важных сведений. Разворачиваем продукт

Централизация управления и дистанционная установка компонентов стали стандартом де-факто, что позволяет обеспечить инфраструктуру минимальным набором функций защиты уже через несколько часов работы. Производители антивирусного ПО стремятся предложить базовую, компромиссную конфигурацию между защитой и производительностью. В особенно важных аспектах, однако, упор дела

Комментарий эксперта

На сегодняшний день антивирусное ПО входит в число базовых средств защиты, которые должны быть установлены на любом компьютере. При этом функциональные возможности антивирусов постоянно расширяются. Если раньше антивирус был предназначен только для выявления вредоносного кода, то сейчас он Виктор Сердюк, может использоваться и как клиентская DLP-система, пергенеральный сональный межсетевой экран, директор антиспам, средство для инвенАО “ДиалогНаука” таризации и управления программами, установленными на защищаемых узлах, и др. Некоторые производители уже стали добавлять в антивирус функции EDR (Endpoint Detection and Response), позволяющие автоматизировать действия по реагированию и расследованию выявленных инцидентов безопасности.

Несмотря на то что сейчас на российском рынке представлено достаточно большое количество антивирусов, к сожалению ни один из них не может гарантировать 100%-ную защиту от вредоносного кода. Именно поэтому в соответствии с лучшими практиками и целым рядом стандартов по безопасности рекомендуется одновременно использовать несколько антивирусов от разных производителей. В рамках такого эшелонированного подхода антивирус одного производителя, например, может устанавливаться на рабочие станции, а другой антивирус – на файловые и почтовые серверы.

На крупных предприятиях антивирус должен быть интегрирован в общую систему обеспечения информационной безопасности, в том числе иметь возможность отправлять информацию о выявленных инцидентах в SIEM-систему. l

Антивирусная защита позволяет провести гибкую настройку для работы в домашних условиях, чтобы обеспечить безопасность внутренней инфраструктуры организации. ется на включение полноценной локальной антивирусной защиты.

После этого, как и для большинства решений других типов, наступает долгий период кропотливой точечной настройки, в течение которого происходит оптимизация и добавление новых логических правил, специфичных для конкретной инфраструктуры. Продолжаться это может бесконечно.

После этапа установки мы рекомендуем произвести обязательные действия: l настроить график, а также источник обновления антивирусного решения; l сформировать список ресурсов и приложений, к которым доступ пользователей будет ограничен через серверные оснастки (нежелательные ресурсы, социальные сети, торренты, видеоресурсы, не относящиеся к рабочему процессу).

Как защититься "на удаленке"

Все больше организаций предоставляют служебные лэптопы для работы дома или допускают использование личных ноутбуков и ПК сотрудников. Во втором случае, впрочем, придется решать вопрос увеличения необходимого количества антивирусных лицензий, а также находить решения для маломощных домашних устройств или альтернативных ОС.

Несмотря на это, существуют механизмы защиты рабочих станций даже в таких условиях. Антивирусная защита позволяет провести гибкую настройку для работы в домашних условиях, чтобы обеспечить безопасность внутренней инфраструктуры организации.

К таким настройкам относятся: l ограничение доступа к внутренним ресурсам организации извне; l дополнительные аутентификации для доступа в безопасные зоны; l логирование и сбор данных на компьютере управления; l выведение отчетов о происшествиях на защищаемом ПК из интерфейса программы управления.

Острые вопросы заказчиков

Мы собрали несколько отзывов от реальных пользователей антивирусных средств защиты из нашей практики: l сложности в освоении и настройке; l высокая нагрузка на центральный процессор, жесткий диск и сеть, при полных проверках; l недоработка бесплатных решений, что в итоге заставляет пользователя купить лицензию (бесплатный сыр только в мышеловке); l при покупке лицензии нет гарантии полной защиты от вредоносных программ (как и многое другое ПО, антивирусное решение – это лишь инструмент); l постоянное выделение в отдельные модули компонентов защиты, что в итоге делает решение дороже.

Мнение практиков

Особенности инсталляции

Перед инсталляцией важно проверить настройки устройства, на которое устанавливается программа управления и устройств, где будут устанавливаться агенты: l наличие необходимых для работы открытых портов (подробную информацию можно получить на сайтах производителей 1 ); l настроенные (административные) права доступа учетной записи, из-под которой будет производиться установка ПО.

Нетипичное применение

Антивирусы можно использовать для управления установкой и обновления сторонних приложений 2 .

Нерешенные проблемы

Так как любой антивирус –это в первую очередь программа, то у него есть свои уязвимые места, чему злоумышленники уделяют особое внимание. Уже само наличие установленного антивирусного решения добавляет определенное количество возможных векторов атак.

Особенности лицензирования

Лицензирование по числу защищаемых рабочих станций, клиентов, подключающихся к терминальному или виртуальному серверу, – основное и главное правило лицензирования всех антивирусных продуктов, но существуют и некоторые исключения, присущие каждому решению в отдельности.

Существует ли универсальный продукт?

В данный момент универсального продукта не существует по причине полярных запросов заказчиков. Для каждой организации необходим свой подход как в технических потребностях, так и в финансовых аспектах.

Например, https://download.drweb.ru/esuite/doc_ru/index.html? 1_5.htm, https://support.kaspersky.ru/9297#block2 Например, https://support.kaspersky.com/ksc/sp3/ru-ru/25656.htm

Комментарий эксперта

Мир антивирусной безопасности за годы существования оброс мифами. Вот, скажем, все знают, что вредоносные программы в обиходе называют вирусами, так как такой тип вредоносных программ появился исторически первым. А уж потом появились трояны и прочие типы вредоносного ПО. На самом же деле разрыв по времени между первым вирусом и первым червем невелик. А называют вирусы вирусами только Вячеслав потому, что это название было придумано раньше, чем создали первый вреМедведев, доносный вирус. ведущий аналитик И вот перед нами бестелесная проотдела развития грамма, которой сейчас пугают все кому компании “Доктор Веб” не лень. Но если посмотреть определение, то мы увидим, что вирусы как тип вредоносного ПО – именно бестелесны. Вирусы – это вредоносный код, внедряемый в файлы, и в виде самостоятельного файла вирусы не могут встречаться. Это бестелесное ПО живет в реестре или извлекается из иного файла для запуска. И для антивируса совершенно нет разницы, где искать вредоносный код – в картинке, исполняемом файле или реестре.

А еще нас уверяют, что современный антивирус – это не только собственно антивирус, но еще и, скажем, блокировка детям доступа к нерекомендуемым ресурсам. В общем-то это правда. Но весь этот дополнительный функционал на самом деле предназначен опять же для борьбы с вирусами.

Антиспам блокирует письма с вредными вложениями по признакам спама, блокировщик доступа к сайтам ограничивает доступ к зараженным ресурсам и т.д. Даже менеджер паролей –это защита от стилеров, похитилей паролей.

Маркетинг немного перестарался, рассказывая о комплексных возможностях современного антивируса, и пользователи решили, что от части предлагаемого функционала надо отказываться. Но правда заключается в том, что в антивирусе нет неантивирусных модулей, и, отказываясь от якобы ненужного функционала, пользователь открывает дверь в "железном занавесе".

Ну и самый-самый миф – о назначении антивируса. Но об этом, пожалуй, в другой раз. l

Подытожим

Антивирусные решения стали намного функциональнее и практичнее, но с ростом функционала продукты становятся "громоздкими", и разработчики вынужденно их дробят на отдельные модули для удобства подбора под определенные задачи, бюджет и размеры компании.

Применение антивирусных продуктов, несомненно, снизит вероятность заражения систем и повысит общий уровень ИБ организации, но антивирус далеко не панацея от всех болезней ИБ.

Стоит ли в ближайшем будущем ожидать, что обычный настолько большими функциональными возможностями, что вытеснит другие узконаправленные решения? По нашему

антивирусный продукт обрастет мнению, вряд ли. Несомненно, суперантивирус может быть плюсом с точки зрения удобства работы, но возрастут требования к знанию продукта, необходимой квалификации обслуживающих специалистов и требуемым вычислительным ресурсам.

Многие решения, возможно, будут интегрированы в набирающие большую популярность платформы для работы и управления инцидентами информационной безопасности, что позволит расширить их функционал, тем самым убирая с рынка потребность в использовании отдельного решения. l

Ваше мнение и вопросы присылайте по адресу is@groteck.ru