Как защитить сеть предприятия от вирусов
Kaspersky Lab
Данная статья посвящена безопасности крупной и средней компьютерной сети. Необходимо отметить, что с расширением роли информационных технологий в деятельности компаний говорить только о врусной атаке становится не вполне корректно, так как увеличивается число программ, которые не являясь вирусами, тем не менее способны принести не меньший вред. В первую очередь это относится к программам, ворующим пароли и позволящим осуществлять котроль за работой компьютеров незаметно для сотрудников вашей компании.
Рассмотрим стандартные составляющие корпоративной сети (рисунок 1).
Для начала рассмотрим основные принципы безопасности, которые позволяют многократно уменьшить вероятность попадания вируса в сеть.
- Должно быть четкое разграничение задач и доступа различных пользователей (групп пользователей) в сети. Так, лучше иметь выделенную директорию для обмена данными между всеми пользователями сети или использовать для этого внутренний почтовый сервер компании.
- Наличие в сети антивирусной программы.
- Регулярное (не реже 1 раза в неделю, а общей директории — ежедневно) тестирование всего сервера на наличие вирусов всех типов с максимально возможными настройками.
- Компьютер (компьютеры), связанные с внешним миром через модемы или выделенные каналы должны проверяться особенно тщательно и до того, как файлы, скачанные из Интернет, попадут в локальную сеть. При этом крайне желательна установка специального программного обеспечения, проверяющего внешний сетевой трафик как на наличие вирусов, так и на предмет попыток несанкционированного проникновения.
Как видно из перечисленного списка, покупка и установка антивирусного программного обеспечения является одним из ряда требований по обеспечению безопасности сети.
Анализируя критические для проникновения вирусов составляющие компьютерных сетей предприятий и тенденции развития антивирусного программного обеспечения, можно выделить следующие элементы, которые требуют антивирусной защиты:
- Рабочие станции и переносные компьютеры;
- Файловые сервера;
- Серверы приложений (включая Почтовые системы, WEB-сервера);
- Каналы обмена данными с внешним миром (например Интернет).
Необходимо отметить, что только подобная многослойная структура построения антивирусной защиты способна обеспечить максимальную защиту от вирусной угрозы. При этом вирус лишается возможности найти в сети нишу, в которой его существованию ничто не угрожает.
Анализируя современную динамику развития программ для проникновения в компьютерные сети компаний следует иметь в виду, что традиционные вирусы, которые способны заполнить диски или стереть информацию, являются лишь одной из разновидностей данного класса программ. Более того, широкое распространение информационных технологий, которые стали необходимым условием успешного развития компаний в любых областях, привело к тому, что практически вся информация хранится в электронном виде. Следствием этого стало широкое распространение так называемых вредоносных кодов. Данная категория программного обеспечения не является вирусом в традиционном понимании этого термина. Основной целью в данном случае является сбор информации (в первую очередь, паролей доступа) или даже полный контроль над работой компьютера, с последующей пересылкой данной информации заинтересованному лицу за пределами компании. При этом вред, наносимый компании, может во много раз превышать потери от традиционной вирусной атаки, которые могут быть к тому же сведены к минимуму при помощи грамотной системы резервного копирования информации.
С другой стороны, в настоящее время наблюдаются значительные изменения в традиционных вирусах. Прежде всего это связано с внедрением большого числа новых технологий компонентного построения систем, которые создают новые среды для распространия вирусов. При этом огромное количество файлов, из которых состоят современные программные продукты, привело к тому, что размеры перестали быть ограничивающим фактором в распространении вирусов и вредоносных кодов. Более того, многие из них даже не стремятся к полному внедрению в файлы, а просто копируют себя в системные директории. Действительно, определить наличие лишнего файла в этом случае оказывается практически невозможно.
Прежде чем переходить к описанию конкретных программных продуктов, предназначенных для защиты компьютеров и сетей от вирусов, хотелось бы отметить, что данную проблему нельзя рассматривать в отрыве от общей стратегии информационной безопасности компании. Здесь весьма уместно провести аналогии с традиционной медициной. Действительно, антивирусное программное обеспечение является лекарством, однако самый лучший способ быть здоровым — это избежать заражения. С этой точки зрения крайне важным является построение комплексной системы, которая бы позволила бы минимизировать возможные пути проникновения вирусов во внутреннюю сеть компании. Это тем более важно, что любое антивирусное программное обеспечение обеспечивает 100 % лечение только уже известных вирусов. В то время как новые модификации и, особенно, новые типы вирусов с очень большой вероятностью остаются незамеченными. Частично данная проблема решается при помощи программ для контроля за целосностью данных (типа AVP Inspector), однако они, как правило, лишь констатируют факт несанкционарованного изменения файлов, а лечение возможно лишь после появления новых версий антивирусов.
В настоящее время “Лаборатория Касперского” выпускает серию продуктов под общим названием AVP для защиты корпоративной сети и различных ее составляющих. Данные продукты можно разделить на 4 группы:
- AVP для рабочих станций и автономных компьютеров;
- AVP для файловых серверов;
- AVP для серверов приложений;
- Модули и продукты для сетевого администрирования и управления семейством продуктов AVP.
Прежде всего отметим, что практически все продукты (за исключением 16-битных) построены на основе единого ядра.
В данную категорию продуктов входят следующие основные продукты: AVP для Windows, AVP для OS/2, AVP для DOS (16-ти и 32-битные версии), AVP для Linux. При этом 16-битная версия для DOS в настоящий момент заменяется на 32-битную. При этом все версии (кроме 16-битных) имеют единое унифицированное ядро.
В настоящее время данная категория продуктов представлена версиями AVP для Novell Netware 3, 4, 5; AVP для NT Server; AVP Daemon для Linux.
AVP для Exchange, WEB Inspector. К данной категории можно отнести также AVP для Linux, который имеет открытое API для интеграции с прикладными приложениями различного типа.
В настоящий момент данная категория продуктов представлена Сетевым Центром Управления, который позволяет централизовать управление продуктами AVP в сетях, построенных на продуктах компании Microsoft и протоколе ТСР/IP. В других сетевых средах предлагается интеграция с системы сетевого управления таких компаний, как Microsoft, Novell, Tivoli, HP, CA и других компаний, работающих на данном рынке.
Avp Lite — это простой антивирусный пакет для MS-DOS и Windows 95/98. Он состоит из двух компонентов:
- AVP Monitor для Windows 95/98;
- AVP Scanner для MS-DOS.
AVP Monitor — это программа, которая во время работы компьютера постоянно находится в памяти и тестирует открываемые (то есть читаемые, исполняемые и т.п.) документы на локальном компьютере. Программа снабжена стандартными настройками, которые обеспечивают наилучшую безопасность Вашего компьютера и предотвращение заражения системы.
AVP Scanner для MS-DOS — это 32-битное DOS-приложение с графическим интерфейсом для сканирования файлов по запросу пользователя. К AVP Scanner приложен файл со стандартными настройками, что существенно облегчает использование продукта. Данная программа рекомендована для использования в тех ситуациях, когда невозможна загрузка компьютера. Запишите AVP Scanner на системную дискету, а антивирусные базы на другую дискету, тогда в случае вирусной атаки загрузите компьютер с системной дискеты и запустите программу-сканер.
Антивирусный пакет AVP Lite рекомендован “Лабораторией Касперского” начинающим пользователям для домашнего использования.
Avp Silver — антивирусный пакет для MS-DOS и Windows 95/98. В состав пакета входят следующие компоненты:
- AVP Monitor для Windows 95/98;
- AVP Scanner для Windows 95/98;
- AVP Scanner для MS-DOS.
AVP Monitor — начиная с даной версии в программе предусмотрена возможность настройки списка проверяемых объектов и реакции на зараженные файлы. Таким образом, Вы можете настроить монитор для обеспечения наилучшей безопасности компьютера и предотвращения заражения системы.
AVP Scanner для Windows 95/98 — это Windows-приложение, предназначенное для проверки файлов на локальном компьютере по запросу пользователя. Наличие этой программы позволит Вам осуществлять регулярный контроль за состоянием системы, а гибкая система настроек обеспечит полный перечень возможностей для ликвидации последствий заражения компьютера.
Антивирусный пакет AVP Silver рекомендован “Лабораторией Касперского” для домашнего использования.
AVP Gold — это программный антивирусный пакет для следующих ОС:
- MS-DOS;
- Windows 95/98;
- Windows NT Workstation.
В состав пакета входят следующие компоненты:
- AVP Monitor для Windows 95/98/NT Workstation;
- AVP Scanner для Windows 95/98/NT Workstation;
- AVP Scanner для MS-DOS;
- AVP Центр Управления.
AVP Центр Управления — это программа-планировщик, которая позволяет управлять всеми компонентами пакета AVP Gold. При помощи нее Вы можете задать расписание проверки файлов, добавить или удалить компоненты, а также обновить антивирусные базы и посмотреть отчет о работе компонентов.
“Лаборатория Касперского” рекомендует использование антивирусного пакета AVP Gold как дома, на домашнем компьютере, так и в небольших офисах.
AVP Platinum — это антивирусный пакет, рассчитанный на многопользовательские лицензии. Он предназначен для работы в следующих ОС:
- MS-DOS;
- Windows 95/98;
- Windows NT Workstation.
В состав пакета входят следующие компоненты:
- AVP Monitor для Windows 95/98/NT Workstation;
- AVP Scanner для Windows 95/98/NT Workstation;
- AVP Scanner для MS-DOS;
- AVP Центр Управления.
AVP Центр Управления — это программа-планировщик, которая позволяет управлять всеми компонентами пакета AVP Platinum. При помощи нее Вы можете задать расписание проверки файлов, добавить или удалить компоненты, а также обновить антивирусные базы и посмотреть централизованный отчет о работе компонентов. Отличительная особенности данной версии - в ее интеграции с Сетевым Центром Управления, который обеспечивает дистанционное управление антивирусной защитой рабочей станции.
Пакет может поставляться вместе с Сетевым Центром Управления, который позволяет управлять работой программ из пакета AVP Platinum по локальной сети.
Пользователи AVP Platinum обеспечиваются круглосуточной поддержкой по телефону и электронной почте на русском и английском языках.
“Лаборатория Касперского” рекомендует использовать антивирусный пакет AVP Platinum предприятиям и организациям, имеющим локальные сети.
AVP для Windows NT Server предназначен для защиты файловых серверов, работающих под управлением ОС Windows NT Server. В состав системы входят:
- AVP Monitor;
- AVP Scanner;
- AVP Центр Управления.
AVP Monitor — это программа, которая после загрузки компьютера загружается в память и в течение сеанса работы проверяет открываемые (то есть читаемые, исполняемые и т.п.) документы (в том числе и сетевые). В программе предусмотрена возможность настройки списка проверяемых объектов и реакции на зараженные файлы. При этом основное отличие заключается в контроле за доступом к файлам из любого места локальной сети и Интернета.
AVP для Novell Netware — это антивирусный пакет, обеспечивающий высокий уровень защиты корпоративным сетям, работающим под управлением Novell Netware. Продукт выполнен в виде загрузочного модуля NetWare. Он использует хорошо зарекомендовавшее себя под Windows 32-разрядное ядро AVP. Пакет оснащен возможностью автоматической инсталляции, для чего используется графический инсталлятор для Windows, который сразу производит установку в NDS. Продукт абсолютно не имеет интерфейса, поэтому администрирование проводится через NDS с консоли администратора. Огромным удобством является использование NWAdmin для управления антивирусным пакетом. Поддерживается обновление через Интернет, а также оповещение администратора стандартными средствами NetWare об опасных событиях (например, заражение вирусом) на сервере.
Пользователи AVP для Novell Netware обеспечиваются круглосуточной поддержкой по телефону и электронной почте на русском и английском языках.
AVP Inspector — это программа-ревизор дисков, разработанная для ОС Windows 95/98/NT Workstation. Она регистрирует изменения в структуре файлов, директорий и секторов дисков, которые могут нести отрицательные последствия, с целью последующего восстановления модифицированных объектов. Таким образом обеспечивается устойчивая защита от различных вредоносных изменений, а не только тех, которые вызваны вирусной атакой.
Эта программа может использоваться как дополнение к AVP Scanner, так как после проверки дисков на наличие изменений AVP Inspector может передать на проверку программе-сканеру только новые и измененные файлы.
Кроме того, AVP Inspector следит за изменением состояния оперативной памяти и количеством установленных винчестеров.
AVP Web Inspector — это дополнительная утилита для контроля за любыми несанкционированными изменениями на Web-сервере. Эта утилита регистрирует изменения в структуре данных на Web-сервере, которые могут нести отрицательные последствия, с целью последующего восстановления модифицированных объектов. К особенностям данной утилиты можно отнести:
- возможность передачи отчета по электронной почте;
- расширенные возможности редактирования области проверки;
- специфические возможности для проверки данных на Web-серверах (например, проверка файлов с расширениями.cgi и.asp и т.п.)
Данный продукт рекомендуется компанией как надежный инструмент защиты Web-серверов.
AVP для OS/2 — это антивирусный пакет для операционной системы OS/2 Warp/Merlin. В состав пакета входят следующие компоненты:
- AVP Monitor;
- AVP Scanner с графическим интерфейсом;
- AVP Scanner Lite для запуска из командной строки.
AVP Monitor — это программа, которая после загрузки компьютера загружается в память и в течение сеанса работы проверяет открываемые (то есть читаемые, исполняемые и т.п.) документы. В программе предусмотрена возможность настройки типов проверяемых объектов и реакции на зараженные файлы.
AVP Scanner с графическим интерфейсом — это приложение, предназначенное для проверки файлов по запросу пользователя. Наличие этой программы позволит Вам осуществлять регулярный контроль за состоянием системы, а гибкая система настроек обеспечит полный перечень возможностей для ликвидации последствий заражения компьютера.
AVP Scanner Lite для запуска из командной строки по своим функциональным возможностям эквивалентен программе-сканеру с графическим интерфейсом. Отсутствие графического интерфейса делает программу удобной для использования в пакетных файлах.
AVP для Linux — это пакет антивирусных программ для ОС Linux. Пакет включает в себя следующие компоненты:
AVP Scanner — это приложение, предназначенное для проверки файлов на локальном компьютере по запросу пользователя. Наличие этой программы позволит Вам осуществлять регулярный контроль за состоянием системы, а гибкая система настроек обеспечит полный перечень возможностей для ликвидации последствий заражения компьютера.
AVP Daemon — это приложение, которое позволяет другим программам управлять процессом проверки на наличие вируса. Будучи загруженным в память, AVP Daemon проверяет объекты в соответствии со своими настройками, а затем остается в памяти. Далее любая клиентская программа может создать с ним соединение, послать Daemon параметры командной строки с целью проверки соответствующих объектов, а далее считать результаты тестирования. AVP Daemon имеет открытый программный интерфейс (API).
AVP Monitor — это приложение, которое постоянно находится в памяти и тестирует открываемые (то есть читаемые, исполняемые и т.п.) документы на локальном компьютере. Программа снабжена стандартными настройками, которые обеспечивают наилучшую безопасность Вашего компьютера. AVP Monitor является программой-клиентом для AVP Daemon. Для установки этого компонента необходимо заменить ряд файлов ядра Linux.
AVP для Microsoft Exchange Server — это средство антивирусной защиты для Microsoft Exchange Server. Эта программа позволяет обнаруживать и удалять вирусы из электронной почты, таким образом обеспечивая эффективную защиту получателей на сервере Microsoft Exchange, работающих под управлением Microsoft Windows NT Server. К особенностям данного продукта можно отнести:
- полный контроль над внутренней и внешней почтой;
- возможность персональной настройки программы для каждого почтового ящика/группы Exchange;
- возможность пересылки зараженных и подозрительных сообщений на адрес администратора;
- расширенные функции проверки (например, проверка сообщений, присоединенных файлов, архивов, вложенных архивов, а также файлов почтовых форматов и т.п.);
- совместимость с настройками пользовательского интерфейса Microsoft Exchange.
Михаил Калиниченко,
Технический директор
Kaspersky Lab
Какой антивирус нужен для комплексной защиты небольшой сети
Антивирусная защита является ключевой составляющей системы защиты информации в организациях. В небольших фирмах, как правило, нет необходимости контролировать сотрудников на предмет утечек информации (не нужны специализированные DLP-решения, системный администратор может перехватить нужные данные, например, через почтовый сервер), не нужно применять сложные криптографические инструменты (информация, конечно, может шифроваться, но штатными средствами), а также не возникает потребности в ПО для аудита информационной безопасности (систем учета инцидентов). В небольшой компании обычно организована одноранговая локальная сеть, объединяющая несколько десятков компьютеров, подключенных к серверу, на котором установлено необходимое программное обеспечение для организации доступа ПК в Интернет, работы с файлами, почтой и т. д. Соответственно, антивирус для организации должен уметь защищать как рабочие станции, так и сервер.
Известно, что офисная компьютерная техника – менее гибкая в отношении модернизации по сравнению с домашним ПК. То есть организация редко ставит задачу постоянно производить апгрейд компьютеров, и тем более применять топовые компоненты. Тем не менее в связи с потребностями бизнеса и в условиях ограниченных бюджетов на ИТ, администратор вынужден устанавливать на устаревшие рабочие станции ресурсоемкие операционные системы, например Windows Server 2008, поскольку под них создан весь корпоративный софт (особенно самописный). Поэтому при выборе антивируса имеет смысл обращать внимание в первую очередь на требования к системе.
Чем различаются антивирусы
На российском рынке антивирусной защиты представлены продукты как отечественных, так и западных разработчиков. В последние годы в силу ужесточения требований регуляторов отечественные решения стали преобладать над западными. При этом следует понимать, что в техническом (функциональном) отношении первые могут уступать вторым.
Из отечественных антивирусов можно отметить два продукта – Kaspersky Open Space Security и Dr.Web Enterprise Suite.
Возможностью выбора редакции, позволяющей подобрать защиту в зависимости от масштаба сети, отличается продукт Лаборатории Касперского. Например, для небольших сетей подойдут варианты Work и Business, которые позволяют защитить рабочие станции, мобильные устройства (смартфоны и коммуникаторы) и файловые серверы.
Оригинально реализована антивирусная защита (с помощью децентрализованной сети из серверов, объединенных между собой) продуктом Dr.Web Enterprise Suite, который позволяет легко расширить защиту в случае увеличения парка компьютеров или при открытии филиала. Отметим, что консоль управления Dr.Web Enterprise Suite выполнена в виде веб-интерфейса. Это делает процесс администрирования более простым и единообразным на разных платформах, а также быстрым – администратор видит перед собой все элементы в рамках веб-браузера (поддерживаются все существующие браузеров).
Благодаря консоли можно воспользоваться функцией централизованного карантина – в него будут попадать все обнаруженные подозрительные файлы со всех компьютеров сети, в нем же можно совершать различные операции над файлами. Для предотвращения фатальных сбоев в Dr.Web Enterprise Suite присутствует механизм резервного копирования критически важных данных и настроек сервера, а также восстановление всех данных из резервной копии.
Из интернациональных разработок любопытны решения ESET и Agnitum. Решение ESET является одним из немногих, лицензированных по ФСТЭК (для удовлетворения требований регулятора) продуктов, и выпускается в виде набора программ под названием ESET NOD32 Platinum Pack. Оно интересно наличием оптимизированного движка антивируса, производящего проверку на базе сигнатурного и расширенного эвристического анализа, что снижает количество ложных срабатываний и повышает скорость детектирования угроз. Продукт имеет гибкий пользовательский интерфейс, позволяющий работать в заранее установленных профилях – например, при подключении компьютера к той или иной сети (отслеживается по DHCP или DNS, также может работать по IP-адресации и по SSID беспроводной точки доступа) можно включить или отключить фильтрацию сетевого трафика, проверку почтовых портов.
Кроме того, в NOD32 Platinum Pack есть функция аутентификации пользователей, предназначенная для недопущения распространения вирусов на ноутбуках, когда те присоединяются к доверенной офисной сети. Для этого в последней должен быть установлен компонент под названием ESET Authentication Server.
Для защиты рабочих станций от сетевых угроз предназначен Agnitum Outpost Network Security. В качестве клиентского агента здесь выступает пакет Outpost Security Suite, объединяющий антивирус, антишпион и файервол (с двухсторонней сетевой фильтрацией). Решение основано на антивирусном движке, который дополнен антпишпионской разработкой Agnitum, а также консолью управления. Администратору доступны опции блокировки использования USB-носителей и ведение списков запрещенных к посещению веб-сайтов. Кроме того, разработчик рекомендует использовать свой продукт, например, для защиты сетей, в которых передается информация о платежных транзакциях (с применением банковских карт).
На комплексный контроль над уровнем защиты информации в сети рассчитан продукт TrendMicro Worry-Free Business Security Advanced, причем он интересен тем, что поддерживает не только защиту рабочих станций под Windows, но и компьютеров на базе Mac OS (под эту платформу в последнее время все чаще появляются вредоносные программы).
Возможна ли надежная антивирусная защита при помощи бесплатного ПО
Бесплатные антивирусы начали играть значительную роль в последние два года в связи с неблагоприятным для многих компаний состоянием рынка. Пользователи предпочитали выбирать или недорогие продукты с ограниченной функциональностью (дополняя ее бесплатными отдельными программными компонентами, которые чаще всего разрешены только к некоммерческому использованию), или находя бесплатные для коммерческого применения антивирусы. Естественно, подобная практика имеет право на существование, но для этого организация должна обладать хорошими познаниями в области защиты информации и разбираться в структуре корпоративной информационной системы. Классический минус всех бесплатных антивирусов – отсутствие техподдержки или ее ограниченность: максимум, на что вы можете рассчитывать в плане помощи, – это задать вопрос на форуме разработчика на английском языке, без гарантии получения своевременного квалифицированного ответа. Кроме того, есть и другой недостаток – сигнатуры обновляются нерегулярно, а новые версии антивируса тестируются на совместимость с другими приложениями довольно медленно. Это означает, что, внедрив бесплатный антивирус в локальной сети компании, можно столкнуться с тем, что какая-либо из его функций окажется нестабильно работающей сама по себе или в связке с установленным софтом, а значит, вендор не сможет устранить ту или иную проблему в разумные сроки или что в разгар вирусной эпидемии у продукта не будут вовремя обновлены сигнатуры или устранена проблема в антивирусном движке. Плюс же у бесплатных антивирусов один – отсутствие необходимости приобретения лицензий.
— Узнать IP - адрес компьютера в интернете
— Онлайн генератор устойчивых паролей
— Онлайн калькулятор подсетей
— Калькулятор инсталляции IP - АТС Asterisk
— Руководство администратора FreePBX на русском языке
— Руководство администратора Cisco UCM/CME на русском языке
— Руководство администратора по Linux/Unix
FreePBX и Asterisk
Настройка программных телефонов
Протоколы и стандарты
Антивирусное обеспечение организации
Зима сетевые угрозы близко
Антивирусная защита (AV-защита) компаний призвана обеспечить безопасность данных, составляющих коммерческую тайну, а также всех остальных, хранящихся и используемых в корпоративной компьютерной сети и извне нее, но имеющих отношение к организации.
Важно учитывать, что если пользовательские антивирусы в основном отражают атаки вирусов, распространяющихся автоматически сразу на всех, то коммерческий AV-продукт уже должен "уметь" отражать индивидуальные несанкционированные попытки завладения информацией. Если злоумышленникам нет особого смысла стараться проникнуть на частный компьютер, то на компьютерную сеть организации уже вполне может быть предпринято серьезное вторжение по чисто коммерческим соображениям. И, чем выше капитализация компании, тем лучше должна быть AV-защита.
Если частное лицо задается вопросом "платить за антивирус, или не платить", то даже для малого бизнеса такой вариант неприемлем, так как компьютеры там работают не только с информацией, но и с электронными деньгами. В случае вирусной атаки убытки будут слишком значительными.
От корпоративного и "гражданского" антивируса требуются различные задачи. Например, продукт для простого пользователя должен "уметь" инсталлироваться на зараженный компьютер. То есть, когда вирус уже сработал, и пользователь "спохватился" об установке антивируса. Такая типичная для простого человека ситуация не должна происходить в организации. Там всегда установлен тот или иной антивирусный софт, который обязан постоянно обновляться. При этом от корпоративного антивируса сохраняется требование сложной задачи - "лечение" зараженной системы с восстановлением большого количества файлов. Корпоративный продукт отличается, он гораздо сложнее и стоит дороже пользовательского.
Компьютерный вирус - вредоносная программа, обладающая свойствами распространения, (аналогия с распространяющимися биологическими вирусами). Термин "вирус" применяют и к другим рукотворным объектам информационной среды, например "вирусные" рекламные ролики, информационные вбросы, фейки. Цели разработки компьютерных вирусов различные. Первоначально они возникли как любительские изыскания, затем перешли на серьезную коммерческую основу с появлением электронных денег, так как появилась прямая возможность их (деньги) похитить. Сейчас индустрия антивирусных программ защищает не только личные, коммерческие, но и корпоративные и государственные интересы.
Сигнатурный анализ невозможен без базы вирусов, которая содержит все опасные образцы кода. При этом нет никакой необходимости включать в базу буквально все, иначе она будет иметь слишком большой объем, и сравнение с ней затребует значительной вычислительной мощности. Достаточно добавить лишь те фрагменты кода, без которых создание программы, имеющей свойство самостоятельно распространяться (вируса), невозможно. Сигнатурный анализ повсеместно используется в антивирусном ПО, и сейчас переходит в интернет среду для анализа трафика на провайдерах.
База антивируса содержит не образцы вирусов, а сигнатуры - фрагменты кода, общие для многих вредоносных программ. Чем больше сигнатур содержит база - тем лучше защита, а чем меньше ее объем в байтах - тем меньше системных ресурсов потребляет антивирус.
Идеальный антивирус обеспечивает 100% защиту, потребляет ноль ресурсов и имеет ноль ложных срабатываний. Такого программного продукта не существует ни у одной компании в мире. К нему приближаются отдельные разработки, в различной степени и на основе чего составляются рейтинги. Но помните: кто обещает вам 100% гарантию защиты - эти люди просто напросто лукавят.
Для антивирусов важны объективные и независимые тесты надежности. Показатель защиты должен сопоставляться с потребляемой вычислительной мощностью, которая хотя и становится все более значительной, но не бесконечна. Вряд ли кому будут нужны антивирусы, сильно замедляющие работу компьютеров. Антивирусное ПО разрабатывается для различного железа: офисные компьютеры, мобильные устройства, специальное оборудование, например, медицинская техника, терминалы POS, промышленные компьютеры. В защите нуждается абсолютно все. Основные организации, тестирующие софт для AV-защиты и составляющие рейтинги и рекомендации:
- AV-Test.
- ICRT (Международная Ассамблея Потребительских Испытаний).
- Лаборатория Касперского.
- Роскачество.
AV-тест критически оценен лабораторией Касперского, которая официально призывает не доверять его сертификатам. Другие организации из этого списка отрицательных оценок в публичном поле не получали.
Самые первые антивирусы, появившиеся еще в 90-х годах, использовали только сигнатурный анализ. Количество всех известных вредоносных программ на то время было невелико, и их всех можно было занести в базу. Критерий защиты был простой - кто больше вирусов "знает", тот и лучше. Операционные системы того времени (на начало 2000-х годов) не обновлялись так часто, как сейчас, и поэтому имеющиеся уязвимости держались долго, что и использовалось многочисленными хакерскими группировками. Незначительное распространение вирусов при весьма слабых антивирусах связывалось с отсутствием прямой коммерческой заинтересованности. То есть автор вируса не получал денег напрямую от проводимых атак с помощью своего детища. С распространением электронных денег (и криптовалют в особенности), ситуация в корне поменялась.
После 2010 года антивирусы дополнились облачными технологиями, причем облако может быть не только файловым хранилищем, но еще и аналитическим центром по отслеживанию всех кибератак в мире, что чрезвычайно важно для их пресечения.
Чисто сигнатурный подход уже не актуален, так как производство компьютерных вирусов поставлено хакерскими группировками на поток. Их появляются тысячи в день.
Последней новинкой в антивирусной индустрии являются алгоритмы машинного обучения вкупе с облачными технологиями big-data. Именно такое решение предлагается в сегменте корпоративной AV-защиты. Защита от кибератак переходит на надгосударственный уровень. Появляются ассоциации кибербезопасности. Особенность современных антивирусов - кроссплатформенность и наличие версий для защиты специализированного оборудования, например терминалов POS, банкоматов, критических объектов "интернета вещей". Железо в этих устройствах имеет очень небольшую вычислительную мощность, что учитывается при разработке защитного ПО для них.
Программное обеспечение от Microsoft лицензировано для применения во многих организациях, в том числе и в ряде компаний государственного сектора. Факт почти повсеместного доверия к ПО этого гиганта IT-индустрии упрощает регистрацию антивирусов в организации. Microsoft Defender Antivirus при тестировании в лаборатории AV-Comparatives (коммерческие версии) уверенно справляется с банковскими троянами MRG-Effitas.
Встроенный "защитник Windows 10" (пользовательское название Microsoft Defender Antivirus) стал корпоративным антивирусом лишь недавно. Ранее в его лицензионном соглашении стояла рекомендация "только для частного применения" и лицензия не позволяла его применять не по назначению. С изменением правил он стал чуть ли не единственным бесплатным коммерческим антивирусом. Правда, пока что только для мелкого бизнеса с числом рабочих станций не более 10.
Крупному бизнесу приходится сталкиваться с угрозами иного уровня, чем частым лицам и мелким компаниям. В профессиональной среде это отмечается термином "целевые атаки", которые проводятся именно на крупный бизнес во всех странах мира. С целью защиты от них задействуются технологии машинного обучения, облачные данные и весь предыдущий опыт, в который входят десятки тысяч отраженных угроз, постоянный учет и коррекция ошибок. Корпоративные продукты от Касперского используют более 270000 компаний по всему миру. Примеры решений AV-защиты от всем известной компании:
- KasperskyAtniTargetedAttack (Основной антивирусный продукт для крупного бизнеса, помимо стандартных функций безопасности нацелен на выявление ранее неизвестных атак, где не походит сигнатурный метод).
- Kaspersky Endpoint Detection and Response ("внутренний" антивирус для обнаружения и пресечения инцидентов на местах внутри корпорации, а не интернета извне).
- KasperskyEmbeddedSystemsSecurity (для банкоматов и POS-терминалов с учетом требований их маломощного "железа").
Типовой антивирус для малого бизнеса. Использует технологии облачной защиты - подключение к ESET Live Grid с динамически обновляемыми базами и своевременными оповещениями о киберугрозах со всего мира, что ставит его на один уровень с передовыми продуктами Касперского. ESET NOD32 Antivirus Business Edition не работает на мобильных устройствах, поэтому подходит преимущественно для офисов со стандартными рабочими станциями. Корпорация ESET имеет хорошую репутацию, а тысячи компаний - значительный положительный опыт использования ее продукции.
Антивирусная защита постоянно совершенствуется по мере роста IT-технологий. В нее вкладываются значительные инвестиции, так как любая организация вне зависимости от своего масштаба заинтересована в кибербезопасности. AV-защита проводится в комплексе с другими технологиями и правилами информационной безопасности - то есть используется "эшелонированный" подход - на периметре сети устанавливается межсетевой экран следующего поколения с включенной системой предотвращения угроз, отдельно защищается электронная почта и доступ в интернет, все подозрительные файлы отправляются в песочницу и пр. Таким образом, система защиты становится похожа на луковицу - тем, что у нее также много слоев, и из-за этого преодолеть ее становится сложнее.
Кроме того, очень популярна практика установки на предприятиях устанавливается система DLP, отслеживающая попытки несанкционированного доступа и неправильного использования данных. Сотрудники проходят тренинги, обучение "цифровой гигиене", правилам защиты коммерческой тайны. Все используемое программное обеспечение должно быть лицензионным, где разработчики ради сохранения репутации гарантирует сохранность данных. Сервера снабжаются функцией резервного копирования, доступ к информации обеспечивается только для проверенных лиц, что обеспечивается системой СКУД.
Нам жаль, что статья не была полезна для вас :( Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!
Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации :) Просто оставьте свои данные в форме ниже.
Читайте также: