Как известно, раньше (как минимум) была трава зеленее. Но не будем о прекрасном. Что думают о возможностях антивируса современные регуляторы на Хабре обсуждалось не раз (например можно почитать тут). Естественно, что попытки выработать требования к средствам защиты предпринимались наверно с момента появления вирусов — это вполне в интересах как государства, так и частных пользователей. И вроде бы логично, что накопленный опыт должен был приводить к тому, что с течением времени требования становятся все детальнее и точнее.
Логично? А вот и нет!
Откроем документ под названием «Руководящий документ. Антивирусные средства. Показатели Защищенности и требования по защите от вирусов». Документ разработан ГосТехКомиссией при Президенте РФ. В Интернете можно найти два варианта данного документа — за 1997 год и за 1998. Документы очень сильно отличаются, для простоты будем рассматривать версию за 1998 год — как более новую.
Что есть антивирус по данному РД?
Кардинальное отличие от текущих определений. Антивирус не рассматривается как средство защиты от проникновения. И, в общем-то, в этом есть смысл, так как обеспечить защиту от проникновения антивирус гарантированно не может. Для этого нужно использовать как минимум ограничения прав и т.д. И действительно. Дальше читаем «Руководящий документ разработан в дополнение к Руководящим документам Гостехкомиссии России „Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.“». То есть защита рассматривалась как комплекс мер, в основе которых лежали ограничения доступа!
Далее РД указывает, что существуют требования к защите рабочих станций и серверов. Как и сейчас в обоих случаях требования разбиваются на 6 классов, а самый низкий класс — шестой. Забавно, что по документу постоянно заменяется цифра 1 на восклицательный знак — А! и Б!
Что же требовалось от антивируса?
Это антивирусный сканер. Он требуется и по текущим профилям, но куда как менее подробно там описан.
=> использование альтернативных, взаимодополняющих механизмов обнаружения, как минимум методы сканирования, эвристического анализа и контроля целостности файловой системы;
=> АВС должно обеспечивать обнаружение фактов вирусного заражения известными вирусами всех типов:
=> обнаружение фактов вирусного заражения неизвестными вирусами:
=> АВС должно обеспечивать обнаружение известных активных вирусов в оперативной памяти;
Список куда как более подробный, чем в текущих профилях. Отметим, что в РД отдельно прописано, что антивирус может противостоять как известным вирусам, так и неизвестным.
А вот дальше идут количественные показатели.
Весьма высокие требования отметим. И это для шестого класса — пятый класс еще более поднимал планку:
Отметим, что в отличие от текущих профилей, где классы защиты искусственно разделяются по функционалу средств защиты, в РД класс зависит от качества работы. И, по моему, так правильнее.
Далее по документу требования к качеству работы усиливаются с каждый классом. Но для простоты цитировать не будем.
Пятый класс добавлял:
Полноценный антируткит!
В текущих профилях требуется безоговорочно лечить — и никаких вариантов.
Пятый класс добавлял к этим требованиям:
Но это же бекап! Уже в 1998году требования предусматривали наличие функций резервирования и восстановления как части антивирусной системы защиты.
Интересно описывается, что такое текстовый формат:
Интересно, все ли продукты сейчас ведут логи в «понятном человеку» виде?
Наличие средств администрирования также требовалось: «В АВС должны быть предусмотрены средства администрирования»
Забавно описывались требования к процессу обновлений:
В век самозащиты требование о самопроверке выглядит забавно.
Забавно также, что на момент создания РД, когда память о Чихе была еще свежа, от антивируса требовали "=> восстановление областей системной энергонезависимой памяти (СМ08)" (здесь и далее все цитаты взяты из оригинала. Я лично не сразу сообразил, что имеется в виду).
Как ни странно, но блокирование воздействия «на прикладное ПО и данные пользователя» появлялось только во втором классе — вместе с требованием блокирования воздействия «на служебные области энергонезависимой памяти (ВЮ$, СМ08);».
В первом же классе появлялся файлвол и система защиты от атак: «блокировать вирусные воздействия по линиям (каналам) связи».
Также первый класс требовал защиты от " вирусов при декомпозиции вирусоносителя на подобъекты меньшего уровня иерархии (пакеты) в случае применения в распределенной АС". Подобного я и сейчас не помню.
Требования для файловых серверов в общем совпадали с требованиями для рабочих станций за исключением режима обработки расшаренных объектов.
Список для простоты несколько сокращен, но даже описанное внушает. Фактически РД предвосхитил развитие средств защиты как минимум на десятилетие вперед. Резервное копирование, поведенческий анализатор, система защиты от несанкционированных действий. По сути не хватает файлового монитора (хотя неявно он просматривается например в мерах по защите сменных носителей и атакам через линии связи). Ну и нет никакого вредоносного ПО кроме вирусов. Но на 1998 год это весьма и весьма простительно.
Насколько мне известно, рассмотренный документ так и не вступил в силу, хотя и обсуждался в свое время в отрасли. А жаль. Несмотря на все недостатки документа он на голову превосходит текущие профили защиты, да и пожалуй требования NIST.
Логично? А вот и нет!
Откроем документ под названием «Руководящий документ. Антивирусные средства. Показатели Защищенности и требования по защите от вирусов». Документ разработан ГосТехКомиссией при Президенте РФ. В Интернете можно найти два варианта данного документа — за 1997 год и за 1998. Документы очень сильно отличаются, для простоты будем рассматривать версию за 1998 год — как более новую.
Что есть антивирус по данному РД?
Под антивирусными средствами (АВС) в данном документе понимаются специализированные средства защиты информации, предназначенные для обеспечения защиты средств вычислительной техники (СВТ) и автоматизированных систем (АС), создаваемых на их основе, от воздействия программ-вирусов и вирусоподобных воздействий.
Кардинальное отличие от текущих определений. Антивирус не рассматривается как средство защиты от проникновения. И, в общем-то, в этом есть смысл, так как обеспечить защиту от проникновения антивирус гарантированно не может. Для этого нужно использовать как минимум ограничения прав и т.д. И действительно. Дальше читаем «Руководящий документ разработан в дополнение к Руководящим документам Гостехкомиссии России „Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.“». То есть защита рассматривалась как комплекс мер, в основе которых лежали ограничения доступа!
Данные показатели содержат требования к антивирусным средствам, обеспечивающим защиту АС в условиях воздействия программ-вирусов и вирусоподобных воздействий как на отдельные элементы АС (СВТ), так и на АС в целом.
Далее РД указывает, что существуют требования к защите рабочих станций и серверов. Как и сейчас в обоих случаях требования разбиваются на 6 классов, а самый низкий класс — шестой. Забавно, что по документу постоянно заменяется цифра 1 на восклицательный знак — А! и Б!
Что же требовалось от антивируса?
=> АВС должно обеспечивать выполнение периодических проверок наличия фактов вирусного заражения в диалоговом и командном (автоматическом) режимах по запросам оператора (пользователя);
=> предварительную проверку критичных элементов ОС на наличие фактов вирусного заражения перед установкой. Процедуры установки АВС должны исключать возможность вирусного заражения устанавливаемых компонентов и дистрибутивных носителей;
Это антивирусный сканер. Он требуется и по текущим профилям, но куда как менее подробно там описан.
=> использование альтернативных, взаимодополняющих механизмов обнаружения, как минимум методы сканирования, эвристического анализа и контроля целостности файловой системы;
=> АВС должно обеспечивать обнаружение фактов вирусного заражения известными вирусами всех типов:
- служебных областей носителей информации;
- объектов на носителях информации;
- объектов в архивах, созданных различными средствами архивирования;
- объектов, упакованных различными средствами сжатия (компрессии);
=> обнаружение фактов вирусного заражения неизвестными вирусами:
- служебных областей носителей информации;
- объектов на носителях информации;
- объектов в архивах, созданных различными средствами архивирования;
- объектов, упакованных различными средствами сжатия (компрессии);
=> АВС должно обеспечивать обнаружение известных активных вирусов в оперативной памяти;
Список куда как более подробный, чем в текущих профилях. Отметим, что в РД отдельно прописано, что антивирус может противостоять как известным вирусам, так и неизвестным.
А вот дальше идут количественные показатели.
=> АВС должно обеспечивать обнаружение не менее 95 % фактов вирусного заражения, вызванного известными вирусами;
=> обнаружение не менее 70 % фактов вирусного заражения, вызванного неизвестными вирусами;
=> не более 3 % фактов ложного обнаружения вирусного заражения объектов;
=> АВС должно обеспечивать временную эффективность выполнения функций обнаружения и обработки зараженных объектов, сопоставимую с временем выполнения общесистемных процедур.
Весьма высокие требования отметим. И это для шестого класса — пятый класс еще более поднимал планку:
=> обнаружение полиморфных и сложно шифрованных вирусов;
=> обнаружение не менее 99 % фактов вирусного заражения, вызванного известными вирусами;
=> обнаружение не менее 75 % фактов вирусного заражения, вызванного неизвестными вирусами;
=> не более 2 % фактов ложного обнаружения вирусного заражения объектов;
Отметим, что в отличие от текущих профилей, где классы защиты искусственно разделяются по функционалу средств защиты, в РД класс зависит от качества работы. И, по моему, так правильнее.
Далее по документу требования к качеству работы усиливаются с каждый классом. Но для простоты цитировать не будем.
=> АВС должно обеспечивать возможность удаления объектов (файлов), в которых обнаружены программы-вирусы;
=> АВС должно обеспечивать возможность переименования и (или) копирования зараженных объектов в заданный (целевой) каталог;
Пятый класс добавлял:
=> возможность удаления кода известных вирусов из тела объектов (лечение);
=> удаление известных активных вирусов из оперативной памяти и (или) блокирование исполнения их программного кода;
Полноценный антируткит!
Восстановление:
=> АВС должно обеспечивать возможность восстановления загрузочных записей носителей информации;
=> АВС должно обеспечивать восстановление данных на носителях информации, если они были обратимо изменены в результате вирусного воздействия.
В текущих профилях требуется безоговорочно лечить — и никаких вариантов.
Пятый класс добавлял к этим требованиям:
=> восстановление объектов, заранее определенных оператором (пользователем).
=> средства администрирования, позволяющие оператору (пользователю):
- сформировать список объектов, которые могут быть в дальнейшем восстановлены;
подготовить необходимые для восстановления объектов данные.
Но это же бекап! Уже в 1998году требования предусматривали наличие функций резервирования и восстановления как части антивирусной системы защиты.
Интересно описывается, что такое текстовый формат:
=> АВС должно обеспечивать возможность создания отчетов по результатам проверки в текстовом (понятном человеку) формате
Интересно, все ли продукты сейчас ведут логи в «понятном человеку» виде?
Наличие средств администрирования также требовалось: «В АВС должны быть предусмотрены средства администрирования»
Забавно описывались требования к процессу обновлений:
=> В АВС должны быть предусмотрены средства, обеспечивающие возможность подключения обновлений оператором (пользователем).
=> АВС должно обеспечивать возможность периодического обновления по мере появления новых программ-вирусов;
=> при запуске АВС должно автоматически выполнять проверку своих компонентов на предмет выявления фактов их заражения программами-вирусами;
В век самозащиты требование о самопроверке выглядит забавно.
Забавно также, что на момент создания РД, когда память о Чихе была еще свежа, от антивируса требовали "=> восстановление областей системной энергонезависимой памяти (СМ08)" (здесь и далее все цитаты взяты из оригинала. Я лично не сразу сообразил, что имеется в виду).
Как ни странно, но блокирование воздействия «на прикладное ПО и данные пользователя» появлялось только во втором классе — вместе с требованием блокирования воздействия «на служебные области энергонезависимой памяти (ВЮ$, СМ08);».
В первом же классе появлялся файлвол и система защиты от атак: «блокировать вирусные воздействия по линиям (каналам) связи».
Также первый класс требовал защиты от " вирусов при декомпозиции вирусоносителя на подобъекты меньшего уровня иерархии (пакеты) в случае применения в распределенной АС". Подобного я и сейчас не помню.
Требования для файловых серверов в общем совпадали с требованиями для рабочих станций за исключением режима обработки расшаренных объектов.
Список для простоты несколько сокращен, но даже описанное внушает. Фактически РД предвосхитил развитие средств защиты как минимум на десятилетие вперед. Резервное копирование, поведенческий анализатор, система защиты от несанкционированных действий. По сути не хватает файлового монитора (хотя неявно он просматривается например в мерах по защите сменных носителей и атакам через линии связи). Ну и нет никакого вредоносного ПО кроме вирусов. Но на 1998 год это весьма и весьма простительно.
Насколько мне известно, рассмотренный документ так и не вступил в силу, хотя и обсуждался в свое время в отрасли. А жаль. Несмотря на все недостатки документа он на голову превосходит текущие профили защиты, да и пожалуй требования NIST.
ttf
РД замечательный, но ни один современный антивирус не будет соответствовать приведённым требованиям, если их применять формально при сертификации.Плюс указанный функционал не нужен подавляющему большинству пользователей и организаций, а это значит, что разрабатывать его не выгодно. Отсутствие антивирусов подходящих для сертификации приведёт к коллапсу. Требования по обязательной сертификации есть, ИС где надо их использовать есть, а сертифицированных антивирусов нет.
Тем более, как показывает пример взлома Hacking Team (У которых украли несколько «полицейских троянов». И ни один из них не ловится современными антивирусами). Антивирусное средство не панацея, и должен использоваться совместно с другими средствами защиты.
teecat Автор
Я более скажу. Большинство современных антивирусов не будут соответствовать и текущим профилям. Там хотя считай и нет описания антивирусного функционала, но очень и очень много всякой мелочевки, к антивирусным вещам не относящейся.
А насчет описанного проекта РД — да, его требование по уровню детекта утопичны. Возможно из-за этого его и не приняли. Мне этот РД нравится тем, что он единственный, в котором опора была именно на описание антивирусных вещей. Ну и тем, что он с самого начала — уже тогда — рассматривал антивирус именно как часть антивирусной системы защиты. Это именно то, что не понимают нынешние разработчики стандартов