Статья задумывается не сильно большая и в общем-то продолжает тему, затронутую уже в мифах об антивирусах. Фактически это итог серии статей о назначении, возможностях и ограничения антивирусов. Так сказать конспект.
Прежде всего нужно сказать (и в комментариях к статьям серии это неоднократно подчеркивалось) о том, что единственного и уникального решения для всех ситуаций не существует и (наверно) существовать не может. Скажем если планшет используется для серфинга и работы с корпоративной почтой корпоративной почты, критично важных данных на нем нет или их можно быстро восстановить, то (если мы не рассматриваем необходимость защиты от утечки информации и/или ее подмены) в принципе можно ограничиться созданием резервных копий. Но если тот же планшет используется в командировках, то антивирус уже необходим, так как не в любо месте мира можно получить доступ к резервным копиям (хотя бы по причине качества связи).
Выбор того или иного решения зависит от уровня рисков — и в наибольшей степени это положение применимо к защите рабочих станций. В свое время на конференции Кода безопасности в Челябинске был проведен опрос — зачем устанавливают антивирус. Вариантов оказалось три: так как требуют регуляторы, поскольку все так делают и «а как иначе?». То есть по сути дела оценки необходимости защиты от вредоносных программ именно антивирусом не производится (за исключением необходимости защиты слабых машин, высоконагруженных машин и машин, выполняющих процедуры, критичные ко времени исполнения).
Во многом это связано с широко распространенным мнением, что антивирус должен ловить все вредоносное в момент попытки проникновения в защищаемую систему. На самом деле антивирус (антивирусное ядро, включая эвристические механизмы и поведенческие анализаторы всех типов) может ловить только известные типы вредоносных программ и их новые варианты. Если же вредоносная программа создавалась с учетом особенностей работы антивируса, тестировалась на его актуальной версии (а так и происходит для наиболее опасных вредоносных программ), то антивирус ее пропустит.
Соответственно для защиты от проникновения нужно использовать не только антивирус (оценки разнятся, но не менее 50 процентов вредоносных программ на входе он перехватит), но в первую очередь системы ограничения прав, белые списки запускаемых программ. Иначе знакомство с шифровальщиками или банковскими троянами вполне возможно произойдет не в ходе изучения логов. Ну и естественно резервирование данных — поскольку «случаи они разные бывают».
Роль же антивируса на рабочих станциях и файловых/терминальных серверах — удаление ранее проникших на защищаемую машину вредоносных программ. В этой роли антивирус может полностью заменяться резервным копированием — но только в том случае, если не критично время восстановления/прерывания бизнес-процессов.
Именно поэтому антивирус (в первую очередь антивирус для рабочих станций и файловых серверов) должен иметь самозащиту (никто не должен его снести до момента получения знаний о новом трояне), защищенные системы обновления и управления (обновление не должно быть перехвачено) и систему лечения активных заражений.
Количество установок антивируса на почтовые сервера куда меньше установок на рабочие станции. По простой причине — по мнению большинства наличие антиспама и антивируса на рабочих станциях делает ненужной аналогичную защиту на уровне почтового сервера. Рациональное зерно в этом мнении есть. Действительно возможности предоставляемые продуктами от Microsoft, IBM, Kerio для антивирусных/антиспам плагинов не очень велики. А почтовые сервера на Linux, где возможности фильтрации в таких плагинах действительно очень мощные, встречаются не так часто, как хотелось бы. В результате аргумент продавцов, аргументирующих необходимость закупки антиспама для сервера уменьшением нагрузки на него — не работает.
На самом деле антивирус для почтовых серверов необходим по той же причине, что и для рабочих станций. Неизвестные вирусы — вот сейчас основная проблема. Установка антивируса на почтовый сервер обеспечивает возможность периодического сканирования почтовых ящиков на ранее неизвестные вредоносные программы — напомним, что для Exchange/Lotus/Kerio и тд — проверка почтовых баз файловым антивирусом невозможна.
Внимание! В MS Exchange 2013 был удален механизм VSAPI, обеспечивавший возможность периодического сканирования почтовых баз/проверки при обращении. В связи с этим данный почтовый сервер не рекомендуется тем, кому требуется обеспечить защиту от вирусов на уровне почтового сервера.
Ну а тем, кто хочет обеспечить действительно надежную защиту от вирусов и спама нужно смотреть в сторону почтовых прокси, реализованных на основе собственных механизмов анализа SMTP/POP3/IMAP трафика — не в виде плагинов для почтовых серверов и потому не имеющих ограничений по функционалу.
Совершенно иная задача у антивируса для шлюзов сети Интернет/внутренних шлюзов. В данном случае антивирус обеспечивает снижение риска проникновения вредоносных программ на те устройства/компьютеры, установка антивируса на которые невозможна по тем или иным причинам. От систем АСУТП до принтеров и холодильников.
Особая головная боль — защита домашних компьютеров/личных устройств. Здесь в первую очередь нужны средства разграничения доступа к данным. Антивирус же обеспечивает защиту от анализа трафика (в том числе перехвата паролей), защиты от фишинга и банковских троянов.
В обязательном порядке домашние компьютеры и мобильные устройства рекомендуется защищать у тех, кто обслуживает различные системы за пределами офиса. Практика показывает, что уровень защиты таких устройств ниже, чем у компьютеров в локальной сети и заражение через сменные носители обсуживающего персонала — повседневная реальность.
Комментарии (63)
lamaz
14.09.2015 16:30Антивирус, на ряду с firewall, уже давно считается стандартом де-факто в enterprise секторе. Никто даже не думает, нужен он или нет. Все понимают на уровне подсознания, что его использование позволяет снять большинство угроз при минимальных затратах. Причём это понимание в большей степени относится к ИТ, именно они чаще закладывают антивирус в бюджеты, а не ИБ (которого может и не быть вовсе).
А на вопрос, где ставить антивирус (АРМ, канал, серверы и пр.), ответ — везде и чем больше, тем лучше :)
Выбор состоит только в том, какого вендора предпочесть.teecat
14.09.2015 16:47Про требования регуляторов молчим, но:
> Все понимают на уровне подсознания, что его использование позволяет снять большинство угроз при минимальных затратах
1. Вот в этом и беда, что так не получится. Каков бы не был антивирус — свежего шифровальщика он пропустит.
2. В том случае, если резко появляется возможность израсходовать бюджет — админы не имеют аргументов, чтобы обосновать необходимость антивируса на том или ином узле. Постоянные тоже запросы на такой документlamaz
14.09.2015 16:54+11. Свежий шифровальщик входит в 20% угроз, которые должны закрывать другие средства (песочницы, honeypot и т.д.). Приведу пример, антивирус как невысокий забор под напряжением (не мешает людям и не портит пейзаж), он позволяет отпугнуть только диких животных, случайно попадающих в контролируемую зону (а таких большинство), но не защищает от человека на танке, для которого за забором установлена буферная зона из ежей и окопов, РЛС и артиллерия.
2. Для этого есть интеграторы.teecat
14.09.2015 17:061. Именно так.
2. К сожалению они не дотягиваются до малого и среднего бизнеса. Крупные компании в любом случае не обделены вниманием вендоров — тем более в текущей ситуации. Для них главное уметь сформировать вопросы и выбрать добросовестного поставщика. А вот тут проблемы. Ну не вижу я по статистике адекватного количества закупок почтовых серверов/шлюзов/решений для мобильныхlamaz
14.09.2015 17:11Боюсь малый и средний бизнес будут не очень рады ценам на Ironport, например :)
Здесь стоит вернуться к характеристике стоимость защиты << стоимость информации.
Возможно для малого и среднего бизнеса будет интереснее модель типа SaaS для той же почты.
Delphinum
Вот уже много лет пользую компьютером без антивируса, да еще и чужие флеш-накопители в него вставляю и не боюсь вложения в письмах от незнакомых лиц открывать — ни одного вируса еще не подхватил. Почему в подобных статьях перестают уточнять ОСь?
xforce
Вот только это тактика неуловимого джо. Точно так-же и линукс и маоксь пробиваются эксплойтами. Нет никакой принципиальной проблемы сделать шифровальщика под линукс или макось. Принципиальной разницы межу ОС нет, кроме той, что одна из них более распространена и заражать её выгоднее.
Delphinum
Мало сделать шифровальщика под линукс, нужно еще отупить пользователей этой ОСи, которые в большенстве случаев более компетенты в вопросах IT и безопасности, нежели «домохозяйки» и «дизайнеры».
xforce
Это опять вопросы массовости внедрения. Секретарша за линуксом/фрёй/виндой всё так-же останется секретаршей без какого-либо понимания ОС, если эту ОС будет настраивать админ.
Delphinum
Опять таки, как правило админы под линукс более компетентны админов под другие ОСи (без обид), что позволит настроить рабочую станцию секретарши более качественно и безопасно, что и антивирус не понадобится.
fshp
Самые важные файлы лежат в домашней директории пользователя, к которой у пользователя есть полные права, и никто не помешает шифровальщику их потрогать.
Delphinum
Вы путаете опытного линуксойда и домохозяйку/дизайнера.
fshp
Ну ка расскажите мне, где опытные линуксоиды файлы хранят? В /root?
Delphinum
Все что мне важно зеркалируется на github, raspberry pi и во флешку.
fshp
Ключи от github так же лежат в домашней директории пользователя. Хорошо, если они защищены паролем. Хорошо, если длинным. Но на каждое действие придётся вводить длиннючий пароль, что довольно утомительно. Связку ключей можно разблокировать на время или до конца сессии, что сводит на нет всю защиту. Здравствуй force push. Github потерян.
Raspberry Pi такой же компьютер, с тем же линуксом. При этом с более простой и менее защищённой аппаратно архитектурой, чем Intel. Захотят — залезут.
Флешку вы подключаете к потенциально заражённому компьютеру. Была в Linux уязвимость, когда код исполнялся из структуры ext. От рута и прочими прелестями. На 100% нельзя быть уверенным, что нет никаких дырок.
У вас и у меня нет проблем не потому, что Linux супер-пупер защищённый. Мы с вами просто пока никому не нужны.
Delphinum
Не, у меня нет ключей от github.
Ну не на каждое. Я ввожу раз в 12 часов и вполне себе доволен.
Могу дать IP этой малинки, сможете сломать? )
Нет не подключаю, она в шкафу у меня лежит и кушать не просит вот уже несколько месяцев.
Если я стану кому то нужен, антивирус это последнее, что меня защитит )))
fshp
Т.е. в течении этих 12 часов любая хрень может делать всё, что угодно, без запроса пароля.
Я не специалист.
Какой толк от пустых флешек в шкафу? Хотя бы бекап хранили бы на ней.
Delphinum
Что значит — в открытом виде?
Почему это?
Почему же пустая, она не пустая, в ней много полезной информации.
fshp
Ну вы же разблокировали связку. Теперь любая программа может обратиться к ней без вашего ведома без ввода пароля.
Т.е. информация на ней возникла магическим образом?
Delphinum
Я знаю что запущено на моей машине в момент работы с ней.
Ничего я не разблокировал, я просто не часто делаю коммиты.
Когда то я на нее скинул информацию. Эта инфомрация не зашифрована и в нее не затисался вирус.
fshp
Значит вы подключали флешку. Значит в структуре fs может сидеть руткит, который активизируется при подключении.
Вы побайтно глазами проверяли файловую систему флешки? Или проводили аудит драйвера fs? Нет? Тогда вы не можете быть уверенным (хотя скорее так и есть) в безопасности. Говорю же, были случаи, когда вирус можно было спрятать в структуре fs (не в файлах, а в служебных областях).
Delphinum
Но чтоб код работал на машине и перехватывал ввод с клавиатуры, он должен работать, не так ли? А что мне мешает отслеживать запущенный в каждый момент времени код?
Может быть много чего, но там не сидит руткит и он не активизируется при подключении )
Не, там все проще намного.
fshp
Delphinum
Я думаю в этом случае антивирус мне мало поможет.
fshp
Простой антивирус — да. Фаервол может обнаружить некоторые атаки (а может и нет).
Delphinum
Потому я и настаиваю в подобных статьях уточнять ОСи, ибо под линуху есть куда более действенные, да еще и бесплатные методы и программы.
teecat
Вот тут не факт. Очень многие не ставят заплатки безопасности (а вдруг все обвалится/лениво/пиратка). Постоянные обращения в саппорт с вирусами, возможность запуска которых перекрывается обновлениями.
Беда пользователей в том, что они читают антивирус панацеей от всего и пренебрегают иными методами защиты
Delphinum
Тем более антивирус не спасет.
teecat
Перехватываем при анализе трафика вирусы, которые используют давно закрытые уязвимости. Но естественно при этом антивирус должен не интегрироваться в ПО, а работать на уровне драйвера, корректно анализируя протоколы
Delphinum
А может лучше повысить компетенцию администраторов, чтобы они вовремя обновляли ПО чем пользоваться костылями в виде антивирусов?
lamaz
Антивирус — не костыль. Это один из элементов системы защиты, причём один из самых дешёвых.
Важны как технические контроли, так и организационные меры (в которые входит обучение пользователей). В комплексе они дают лучший результат. При этом одно заменять другим не всегда возможно.
teecat
Именно так. Причем немаловажно, что антивирус относится к средствам категории «поставил и работает». То есть при отсутствии необходимой квалификации он может работать «из коробки»
Delphinum
В результате имеем то что имеем. Народ ставит в надежде что у них работает, а на деле отыскать незараженный комп становится все сложнее и сложнее. По мне так лучше я пошаманю, чем буду пользовать подобные «коробочные» решения.
teecat
Альтернатива — поднять квалификацию. Поэтому вы правы — имеем ситуацию когда антивирус стоит почти у всех пользователей — и почти все им недовольны. Но при этом не знают, что они сами были не правы, когда выбирали средства защиты
Delphinum
Если есть некая программа, которая для работы требует другую программу, то вторую программу я называю костылем для первой.
teecat
Поднять квалификацию программистов и менеджеров до уровня, чтобы они делали программы без уязвимостей? Да вы батенька смерти отрасли желаете. Кто же тогда будет переходить на новые версии, если старые программы будут работать как часы? О чем будут писать журналисты? Куда пойдут хакеры?
Delphinum
Пользователей. Давайте пока остановимся на пользователях.
teecat
И как вендору повысить квалификацию всех пользователей всего мира? Это из анекдота: слушай мужик, а что ты говорил про мост до Австралии?
И как правильно уже ответили — антивирус — это одно из средств, имеющее свое назначение. И в своей роли он незаменим. Но естественно только в своей
Delphinum
Никак. Пусть домохозяйки/дизайнеры остаются на известных ОСях, на линуху я их не переманиваю (не дай бог).
teecat
Когда я читаю презентацию студентам скажем и спрашиваю, кто поймал шифровальщика — получается порядка одного-двух процентов. А тот же опрос на конференции админов меньше 30 процентов не дает. Есть такая штука — статистика.
И еще раз о рисках. Не важно заражались вы или нет — важна важность информации на вашей машине/непрерывность процессов и тд. Можно кучу лет ничего не получать — а потом залететь на потерю всей документации. Случаи известны. Как и случаи, когда правило второй снаряд не попадает в воронку от первого начинало резко нарушаться
Delphinum
Интересная у вас статистика. Значит я никогда не заражался, мои коллеги, пользующие ту же ОСь никогда не заражались, а статистика говорит, что мы вдруг возьмем и залетим? А можно посмотреть статистику по заражаемости этой ОСи? Возможно выборка не репрезентативна?
Мне кажется, все же важен риск заражения. Если информация на моей машине крайне важна, а риск заражения равен 0, то не важно насколько важна информация на моей машине )
xforce
А завтра в эксплойт-паке появится эксплойт ещё и под вашу ось и абзац, статистика от него защититься не поможет. Ну не так защита работает.
Delphinum
Таки о статистике не я упомянул.
То есть антивирусы надо покупать и ставить, чтоб завтра не было абзаца? Интересный маркетинг ))
А как?
Воп, в тему уже начали набегать молчаливые несогласные ) Пожалуй я лучше помолчу. Покупайте антивирусы. Разработчики этого ПО лучше знают, как нужно защитить ваши данные.
teecat
> Разработчики этого ПО лучше знают, как нужно защитить ваши данные.
Надо разделять разработчиков и маркетологов. Антивирусов много, подходы разные — а вот защищаться нужно клиенту.
teecat
Вы конкретно может и никогда не залетите. И коллеги ваши тоже. Это как лотерея. Кто-то не выигрывает ни разу. А вдруг выиграла вся деревня (в Испании по моему было)
И риска равного нулю не бывает. Уязвимости есть всегда.
Dolios
Вы, конечно же, правы. Но есть пара нюансов.
1. Точно ли поможет в такой ситуации антивирус? Я не знаю ни одного, который дает гарантии.
2. Будет ли антивирус лучше, например, ежедневного бэкапа в место, куда доступ с правами пользователя запрещен?
Я вовсе не против антивирусного ПО, даже наоборот, считаю, что во многих ситуациях оно обязательно для использования. Я против опасного заблуждения, навязываемого производителями антивирусного ПО: «поставь антивирус и спи спокойно, все будет хорошо».
Delphinum
Согласен. Был в моей практике такой случай: на фирме пара десятков компьютеров объеденено сетью с серверным кластером. Парк не большой и ожидалось, что защитить его не составит труда. Все работало на Windows (кроме пары машин), в том числе и кластер. Все настраивал довольно опытный администратор, который отлично знал свое дело. Так же был установлен антивирус одной известной марки. Через некоторое время попадаем в бан по подозрению в спаме. Проблема была в машине начальника. Начальство совершенно не компетентно в вопросах IT, отчего антивирус не справлялся с требованиями пользователя запускать все подряд. Мораль сей басни такова: сначала компетентность и правильная конфигурация парка, а затем, если уже понадобится, антивирусы.
DrPass
Ну, то такое. Приказывать начальству системный администратор не вправе. Если смог разъяснить руководителю компании о том, как правильно соблюдать компьютерную «гигиену», то молодец. Если не смог, то… зарплата у админа, как правило, повременная, так что охота на подхваченные боссом вирусы в рабочее время уже оплачена.
Delphinum
Было бы все так же прекрасно. На деле почту мы отослать не можем, ибо в спам-листе у многих почтовых сервисов. Начальство ругается, ибо деньги заплатили, а толку нет. Админы нервничают, ибо не по их виде фирма попадает в эти листы. Все недовольны. Но антивирус таки стоит, и даже платный.
teecat
1. Нет конечно. Антивирус это средство обеспечения максимальной непрерывности рабочего процесса, если это не критично, то решать вам
2. Именно эту ситуацию я и описал в статье. Скажем если я мотаюсь по командировкам, то вероятность наличия интернета для скачивания бекапа не равна 100% — и тогда антивирус нужен
>Я вовсе не против антивирусного ПО…
Именно это я и написал
sergey-b
Использую такую же модель поведения в Windows 7. Только вложения проверяю на virustotal прежде, чем открывать. И никаких проблем.
Delphinum
Тот же антивирус, только без установки. Что вам не дает открывать вложения без проверки антивирусом?
sergey-b
Если вложение получено из ненадежного источника, то лучше проверить.
Delphinum
Зачем? Почему работа в ОСи не налажена так, чтобы заразиться открытием какого нибудь документа или картинки было нельзя?
sergey-b
А кто говорил про проверку картинок? Проверяю только exe, dll, bat, cmd и т. п.
ОС налажена, но я ей не доверяю. Береженого бог бережет.
Delphinum
То есть проблема с 0x202E (RLO) в имени файла вас не интересует?
Почему же?
sergey-b
Такие пустяки ловятся легко без антивируса.
Паниковский не обязан всему верить.
Delphinum
А именно?
Видимо на то есть причины? )
teecat
Нет. Сайты проверки файлов используют только антивирусное ядро и не более. Тоесть дают ответ на вопрос — что думает антивирусное ядро про некий файл.
Антивирус в первую очередь это перехватчик всего и вся и распаковщик всего и вся — в том числе в неизвестных форматах. Пользователь не может проверить все файлы. Например все открываемое при открытии сайта в браузере
Чего нет в подобных сайтах типа вирустотала — поведенческих механизмов — контроля за поведением файлов, обошедших антивирусное ядро
Если не ставить файловый монитор, то нужно оставить проверку трафика, контроль доступа к заведомо вредоносным ресурсам и поведенческие механизмы
lamaz
Идеальный мир — потоковый сверхбыстрый антивирус, который проверяет весь трафик десятком антивирусных движков, и в случае малейшего подозрения отправляет файл в песочницу для детального анализа в контролируемой среде.
teecat
Не будет такого. Современные группировки проверяют свои творения до выпуска в релиз на всех актуальных версиях (а иначе смысл?). В момент проникновения никакие проверки и вирустоталы не помогут. Только против пионеров и покупателей чужих творений.
Именно поэтому — ограничение запуска и прав — на этапе проникновения, антивирус — для убийства тех, кто обошел первый рубеж
lamaz
Ну я бы не был так категоричен, рано или поздно (довольно рано) все вирусы туда попадают и начинают детектироваться. А от oday и заточенных вирусов как раз и нужна песочница. После песочницы сигнатура уходит на тот же virus total и начинает детектироваться всеми.
Идеальный мир же :)
teecat
:-( Песочница опознается вирусом и во время нахождения в ней вирус не работает — или через уязвимости может чего выполнить. Не дураки же вирусы делают. Посмотрите отчет ЦБ по утечкам через ДБО (если не найдете, то после командировки постараюсь не забыть)