26.12.2016 22:48
nvv 42 2200 Источник
В статье Как ответить на вопрос — что такое «компьютерный вирус» мы рассмотрели эволюцию данного понятия. В этот раз рассмотрим вариант построения эшелонированной антивирусной защиты.

Сразу отметим, что в статье вы не найдёте:

  • сравнения существующих на рынке решений с целью «найти самый-самый лучший антивирус». Такими сравнениями успешно занимаются маркетологи, найти подобные «исследования» не сложно;
  • инструкций по настройкам конкретного программного продукта, которые обеспечат 100% (или 99.999… %) защиту от всех угроз.

Очевидно, что построение комплексной защиты требует не только установки антивирусного ПО, но и проведение, в т.ч. на регулярной основе, целого ряда мероприятий:

  • разработка и актуализация политик, инструкций, регламентов (реакции на инциденты, по распределению прав доступа, требований к паролям и др., как бы кто ни относился к такой «бумажной безопасности», но это важный, а иногда и обязательный компонент);
  • обучение пользователей;
  • патч-менеджмент;
  • резервное копирование информации;
  • внедрение дополнительных систем (IPS/IDS, сканеры уязвимостей, сервисы фильтрации DNS трафика и др.)
  • возможно привлечение независимых подрядчиков для проведения аудита/пентеста.

Чтобы «не прыгать в ширину», оставим эти вопросы для следующего раза, сосредоточившись на построении именно эшелонированной антивирусной защиты.

Рассмотрим упрощенную схему сети предприятия. В ней, как правило, присутствуют рабочие станции пользователей, серверы для внутренних сервисов (AD, file-server, print-server, ERP и т.д.) и серверы обеспечивающие связь с внешним миром (Mail, Proxy, FTP и т.д.). На схеме следует учесть такое явление как BYOD.


На какие параметры смотрим



При выборе антивирусного решения полагаем обязательным наличие единой консоли управления всеми продуктами, в которой можно отслеживать состояние и собирать статистику со всех узлов, распространять и контролировать состояние обновлений баз и других компонент, возможно централизованное распространение антивируса (для большинства платформ).

Далее, помимо стоимости, целесообразно обратить внимание на следующие параметры:

  • покрытие используемых на предприятии платформ (типов и версий версий ОС, аппаратного обеспечения);
  • влияние на производительность основных задач;
  • качество обнаружения (с учетом сферы бизнеса организации и страны её расположения);
  • качество лечения (этот параметр часто забывают);
  • наличие квалифицированной тех.поддержки, желательно на родном языке;
  • наличие сертификатов — при наличии соответствующих требований.

При внимательном рассмотрении перечисленных параметров становится ясно, что выбор только усложняется: WinXP не спешит уходить, в тоже время, от его поддержки производители отказываются, даже у мировых лидеров рынка поддержка некоторых платформ может быть «для галочки» (линейка Windows может поддерживаться начиная уже только с Win7, не на все дистрибутивы Linux / Unix удастся установить продукт, специальные версии продуктов для мобильных платформ или систем виртуализации), сравнений антивирусов много и часто только по критерию обнаружения, но достоверность сравнений и применимость полученных результатов в вашей ситуации может вызывать вопросы.

Единое антивирусное решение


Владение одним антивирусным решением, по объективным показателям, таким как стоимость лицензий, обучение персонала, выделение ресурсов для консоли администрирования, обычно выходит дешевле. Но это верно при отсутствии заражений, а оценить заранее масштабы последствий практически невозможно.

Отметим только, что в случае заражения новым вредоносным кодом локализовать его распространение практически невозможно, а выявить источник и справиться с последствиями может помочь служба поддержки и вирлаб, именно для такой ситуации важны поддержка на родном языке и функционал лечения.

Эшелонированное антивирусное решение


Предлагаем рассмотреть и оценить подход, когда в ущерб простоты управления системой антивирусной защиты и стоимости владения предлагается использовать эшелонированную антивирусную защиту, которая включает в себя решения от нескольких производителей.

Компьютеры, серверы и другие устройства целесообразно разделить на классы по их основному использованию. Для приведенной ранее схемы предприятия это будут:

  1. серверы, обеспечивающие коммуникации с внешним миром;
  2. серверы, обеспечивающие внутренние сервисы;
  3. рабочие станции пользователей (сюда же отнесем BYOD).

При разделении на классы не следует увлекаться, одновременная поддержка более 4 решений может приводить к низким знаниям каждой из применяемых систем.

Прямой обмен данными (файлами) между устройствами одного класса должен быть запрещен и ограничен техническими мерами. В таком случае данные (файлы) от точки попадания в защищаемую систему до использования на следующем устройстве будут проверены двумя антивирусами:

  • Интернет — [антивирус на mail/proxy сервере] — [антивирус на рабочей станции];
  • Зараженный сменный носитель — [антивирус на АРМ] — [антивирус на сервере] — [антивирус на АРМ];
  • Зараженный сменный носитель — [антивирус на АРМ] — [антивирус на mail/proxy сервере];
  • и т.д.

Это, естественно, не дает 100% гарантий от заражений, но снижает риск эпидемий, способствует локализации и своевременному выявлению заражения.



При выборе антивирусного решения для отдельного класса устройств, который явно меньше, чем весь парк компании, упрощается выбор решений по критерию поддержки применяемых платформ.
Отдельное внимание хочется обратить на то, что для класса «серверы, обеспечивающие коммуникации с внешним миром», в отличие от других классов, функционал лечения практически не имеет значения, а обнаружение — особенное высокое.

А не слишком ли надумано это всё


Вполне резонный вопрос — зачем усложнять и теоретизировать, придумывать классы, внедрять несколько антивирусных решений, с учетом потенциального увеличения стоимости владения?
Практика применения нескольких антивирусных решений по приведенной или схожей схеме встречается и, как правило, обоснована теми же соображениями, которые приведены в статье.

UPD 1

(благодарность muon за точную ссылку)

Показатель М4.7 (стр. 28 СТО БР ИББС-1.2-2014)

Организована ли в организации БС РФ эшелонированная централизованная система антивирусной защиты, предусматривающая использование средств антивирусной защиты различных производителей на:
  • рабочих станциях;
  • серверном оборудовании, в том числе серверах электронной почты;
  • технических средствах межсетевого экранирования?

Сколько антивирусных решений (разных производителей) применяется в Вашей организации?

Проголосовало 76 человек. Воздержалось 25 человек.

Чем обусловлено применение нескольких антивирусных решений (разных производителей)?

Проголосовало 5 человек. Воздержалось 2 человека.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Поделиться с друзьями
-->

Комментарии (42)


  1. enc0de
    27.12.2016 07:25
    #9984608

    Замутил хавки, приготовился к хардкору, а тут себе =)


    1. muon
      27.12.2016 07:34
      #9984616
      +2

      А я за чаем сходил… эх.
      Кстати, ЦБ требует иметь антивирусы хотя бы двух разных производителей.


  1. Termux
    27.12.2016 09:40
    #9984758

    С BYOD — точно надумано.


    Ибо антивирусы для Андроида — это обычные программы,
    работающие НЕ на уровне ядра системы,
    а в такой же песочнице, как и все остальные,


    т.е. покупка "мобильного" антивируса — это покупка воздуха,
    только воздух не создаёт ЛОЖНОЙ уверенности в защищённости устройства.


    1. nvv
      27.12.2016 10:15
      #9984828

      BYOD не ограничен Android, здесь встречаются разные платформы.
      Сценарий использования определяет класс, а не ОС.


      1. Termux
        27.12.2016 16:48
        #9986066
        -1

        ойФоны только у топов и студентов,
        блекбери только у иносранцев


        1. nvv
          27.12.2016 17:13
          #9986166

          Далеко не всегда так как вам кажется.


          1. Termux
            27.12.2016 17:21
            #9986186
            -1

            я не утверждаю, что всегда
            из примерно 2000 моих бывших коллег
            у десяти — айфоны (из них 7 — топы или учередители)
            и у двух — блэкбери (но они — в Канаде)

            в заМКАДье процент, наверное, ещё выше
            но, конечно встречаются «странные фирмы»

            например, мой знакомый, который купил себе айфон,
            ищет на LinkedIn работу с зарплатой 5000 $
            а тот, который с блекбери — уже нашёл с 3000 $

            но представить себе фирму,
            где обратное соотношение
            (99% работников — гики или с зарплатами по 200000 руб./мес.)
            в России в 2017 году — я не могу

            ГАЗПРОМ?


            1. nvv
              27.12.2016 17:53
              #9986318

              Ноутбуки, планшеты… На иллюстрации, возможно, не самая удачная картинка.


              1. Termux
                28.12.2016 07:36
                #9987040
                -2

                iPadы — да = используются в моём окружении, примерно 10%
                но у меня непропорционально много мажориков (заМКАДных) и состоятльных людей

                а вот в профессиональной среде именно Маков очень мало
                даже когда есть выбор (контора платит)

                был один инженер с макбуком на Убунте
                и один топ с виндой в Parallels


                1. nvv
                  28.12.2016 08:31
                  #9987076
                  +1

                  Ноутбуки и планшеты работают и под Windows/Linux разных версий


                  1. Termux
                    28.12.2016 08:36
                    #9987084
                    -1

                    Я никогда не видел BYOD-ноутбуков и BYOD-планшетов,
                    на которых именно работали бы.

                    Видел только «лопатофоны».


                    1. muon
                      28.12.2016 09:39
                      #9987158

                      Что такое BYOD-ноутбук? Он чем-то отличается от обычного YOD, который можно B? Неужели люди не приносят на работу свои ноуты там, где это разрешено?


                      1. nvv
                        28.12.2016 12:15
                        #9987438

                        Разрешение приносить (точнее — отсутствие запрета) не означает автоматического разрешения на доступ к корпоративным данным, особенно если для этого необходимо специфическое ПО.


            1. bravo-ej
              28.12.2016 18:57
              #9988438
              +1

              ну это вы в крайности… у нас в компании на каждые 10 человек один не с айфоном.
              Примерно 50% рабочих мест с маками (book pro и imac). Не у технической поддержки конечно, но в общем разброс по должностям имеется (не у всех топов маки, не у всех инженеров винда/никсы).

              PS: з/п рыночные.


              1. Termux
                28.12.2016 19:14
                #9988466
                -3

                Ну не знаю.

                Есть даже дизайнеры знакомые с мировой известностью и признанием отрасли,
                но монитор ACER, а память — с Савёловского рынка.

                И не парятся, что «Стиви осудит»

                У них уж точно нет недостатка в деньгах.

                IMHO поголовно использующие Mac разработчики/ops-ы — это какие-то нездоровые инфантильные школолошки


                1. bravo-ej
                  28.12.2016 22:31
                  #9988652
                  +2

                  Мне кажется, что это просто в вашем воображение, люди, которые покупает макбук для работы, могут быть только инфантильными школолошками. Возможно дело в том, что вы считаете зрелость человека в умение, по вашему убеждению правильно, тратить деньги.
                  Вы опять вдаётесь в какие то крайности своего мира. Причины у всех разные и вряд ли вам должно быть дело до причин возникновения желания купить то, чем нравится пользовать. Дети моих друзей не могут ответить на вопрос, зачем им именно айфон, а не какой нибудь другой телефон в 5-6 классе. Но нам в среднем по 30.


                  1. Termux
                    29.12.2016 09:26
                    #9988928
                    -3

                    И вы тоже не можете

                    из вас — 80% используют возможности iPhone-jd на 20 процентов,
                    большинству великовозрастных эмобоев-вэйперов хватило бы и «кнопочного бабушкофона», но «не круто».


                    1. bravo-ej
                      29.12.2016 11:11
                      #9989078
                      +2

                      Хорошо, что вы знаете, почему людям не надо покупать айфоны и что им на самом деле нужно. Мне кажется это идея поможет вам стать успешным тренером личности. Не упустите свою возможность!


                      1. Termux
                        29.12.2016 11:36
                        #9989146
                        -2

                        1) людям НАДО покупать айфоны
                        и я даже перечислил — в каких случаях:
                        а) руководитель, т.е. человек, не пренадлежащий себе
                        — его положение (должность) обязывает — идиоты вокруг
                        не понимают и не умеют быстро оценивать качества личности и соответствие её должности/функции,
                        а айфон является простым и доступным ограниченному пониманию маркером
                        iPhone — это в сране третьего мира — «трубка белых господ»
                        — карго-культ,
                        функция — демонстрировать крутизну, причём так, чтобы видно было всем, даже самым тупым
                        б) школьники, которые ничего из себя не представляют
                        в) люди, попавшие в окружение богатых идиотов — чтобы не выделяться,
                        к сожалению, и небогатых — тоже

                        2) мне не нужно
                        становиться УСПЕШНЫМ
                        ибо «успешность» — это навязанный СМИ
                        (средствами массовой идиотизации гоев)
                        стереотип поведения потребителя,
                        выгодного тому, кто этого потребителя доит

                        у меня цель не в том,
                        чтобы развести на секс любую дуру (успех)
                        а в том, чтобы всю жизнь прожить с одной (2,3)
                        самой лучшей женщин-ой(-ами), с которыми есть гармония
                        и получить от неё(них) в подарок наследников

                        мне не нужен успех — я уже счастлив

                        дебилов тренировать бесполезно,
                        а умные — сами могут меня натренировать


  1. ildarz
    27.12.2016 11:22
    #9984982

    Прямой обмен данными (файлами) между устройствами одного класса должен быть запрещен и ограничен техническими мерами.

    То есть, например, "серверы, обеспечивающие внутренние сервисы" между собой прямого обмена иметь не должны? Вы уверены, что хорошо продумали решение? :)


    1. nvv
      27.12.2016 11:31
      #9985002

      Серверы, как правило, предоставляют сервисы, в т.ч. друг другу, опишите задачи, при которых необходим обмен файлами между серверами, кроме резервного копирования и централизованного распространения обновлений, которые не требуют контроля со стороны администраторов или другого квалифицированного персонала, который может выполнить необходимую антивирусную проверку.


      1. ildarz
        27.12.2016 11:43
        #9985032

        Ну вот просто что сходу перечисляется — СЭД, хранящая файлы на файл-сервере, веб-портал, хранящий их там же, файл-сервера, реплицирующие между собой разные наборы файлов, и т.д., и т.п. А если учесть, что для серверов опасность представляют вовсе не хранящиеся на них файлы, а эксплойты в сетевых протоколах и службах, то всё ещё интереснее становится. То, о чем вы пишете (ограничить прямой обмен между серверами) — попросту технически невозможно, за исключением каких-то очень примитивных сред, где ни о какой эшелонированной защите вообще речи не пойдет в силу их примитивности.


        1. nvv
          27.12.2016 12:00
          #9985100

          Файлы в СЭД (в файл-сервер и т.д.) попадают не из воздуха, а с АРМ пользователей.
          Для каких задач, файл-сервер или веб-портал используются другими серверами для получения файлов без участия администраторов, которые могут выполнять необходимые мероприятия по антивирусной проверке?

          Исключения, очевидно, будут, отказываться от репликации БД внутри кластера, также как и блокировать обращения к AD/DHCP/DNS/внутреннему репозиторию/WSUS не следует, но это, обычно, не сильно [в отдельных сценариях сильно] снижает защиту от вредоносного кода.


          1. ildarz
            27.12.2016 12:30
            #9985200

            Файлы в СЭД (в файл-сервер и т.д.) попадают не из воздуха, а с АРМ пользователей.

            Во-первых, не всегда именно оттуда — могут и автоматически генериться по шаблонам, и с какого-нибудь почтового сервера. Во-вторых, ну и что? Каким образом это делает правильным подход "надо запретить прямой обмен между серверами"?


            Исключения, очевидно, будут,

            Взаимодействие между собой серверов и передача данных между ними — это норма, а не исключения, понимаете?


            1. nvv
              27.12.2016 13:37
              #9985464

              Серверы СЭД и почтовый могут находиться в разных классах, как на схеме.
              Обмен данными норма, но он должен быть регламентирован, а не абстрактно-хаотичным.


              1. ildarz
                27.12.2016 13:47
                #9985512

                Серверы СЭД и почтовый могут находиться в разных классах, как на схеме.

                Ну и что? Обмен между разными классами вы как раз не ограничиваете, а пишете о каких-то специальных ограничениях для серверов одного класса:


                Прямой обмен данными (файлами) между устройствами одного класса должен быть запрещен и ограничен техническими мерами.

                То есть по каким-то не описанным вами соображениям надо "запретить" серверу СЭД класть документы на файл-сервер, файл-серверу — реплицировать файлы на другой сервер в филиале, и т.п. Зачем? Что это за причины? Почему с почтовика в СЭД — можно, а из СЭД на файл-сервер — нельзя?


                1. nvv
                  27.12.2016 14:10
                  #9985608

                  Вы предполагаете, что перечисленные вами серверы в одном классе, но это может быть не так.


                  1. ildarz
                    27.12.2016 14:23
                    #9985646

                    Я уже вообще ничего не предполагаю, а просто задаю прямые вопросы, от ответа на которые вы уходите. Впрочем, ладно, мой изначальный вопрос был насчет продуманности, тут, думаю, всё предельно ясно. :))


                    1. nvv
                      27.12.2016 14:33
                      #9985692

                      Надо продумать деление на классы для конкретной системы, а не сферического коня в вакууме, это предельно ясно.


  1. nvv
    27.12.2016 14:05
    #9985582

    В данной статье сознательно не рассмотрены вопросы сегментации сетей, ограничениях трафика, сбора и анализа событий о нарушениях правил движения трафика, чтобы сократить размер и акцентировать внимание на антивирусном ПО.


  1. pnetmon
    27.12.2016 14:19
    #9985632
    +1

    Компьютеры, серверы и другие устройства целесообразно разделить на классы по их основному использованию. Для приведенной ранее схемы предприятия это будут:
    серверы, обеспечивающие коммуникации с внешним миром;
    серверы, обеспечивающие внутренние сервисы;
    рабочие станции пользователей (сюда же отнесем BYOD).

    Отлично — рабочие станции и приносимые устройства сотрудниками в одну группу.


  1. nvv
    27.12.2016 14:31
    #9985690

    Деление на классы каждый делает сам, имея разные исходные данные.
    С т.з. платформ рабочие устройства и устройства BYOD могут иметь значительное пересечение (ноутбуки с настольными ОС, планшеты и др.). По сценарию использования эти устройства схожи. Поэтому на иллюстрации эти устройства включены в один класс.


  1. nvv
    29.12.2016 11:55
    #9989172

    Если у применяете несколько антивирусных решений, как это аргументируете?


    1. bravo-ej
      29.12.2016 12:24
      #9989232

      наверное самый очевидный вариант — увеличения вероятности обнаружения угроз за счёт проверки несколькими реализациями защиты (написанными разными компаниями) + покрытие потенциальных угроз возможно разным набором сигнатур.
      НО т.к.

      Отметим только, что в случае заражения новым вредоносным кодом локализовать его распространение практически невозможно

      является фактом, то денег можно потратить много, а результата не будет.

      Но статья конечно жиденькая. Много где вилами по воде, а вышеприведённая цитата резко уменьшает желание покупать разные антивирусные решения, так как вероятность попасть на зловред, сигнатура которого уже есть в одном антивирусном продукте, но нет в другом, настолько мала, что лучше уделить побольше внимание бэкапу.
      Когда то давно, здесь на Хабре, прочитал статью, про логику выстраивания бэкапа, суть которой заключалась в том, что бэкап должен быть слит как минимум в два других хранилища, одно из которых находится в другой географической локации, а другое имеет другой тип хранения, отличный от первых двух. К сожалению было это так давно, что не смог её найти и поделить линком.


      1. nvv
        29.12.2016 12:32
        #9989258

        Приведенная цитата из раздела, описывающего применение единого решения, показывающая недостаток единого решения — как это влияет на выбор внедрения нескольких антивирусных решений?


      1. nvv
        29.12.2016 12:38
        #9989292

        Приведу реальный пример: загрузчик (постоянно модифицируется) прорвался на конечную рабочую машину пользователя (что случается) в виде очень качественно составленного письма (антиспам и осторожность сотрудника не сработали) и мотивировал пользователя перейти по ссылке, но заражение не произошло, т.к. антивирус, контролирующий трафик заблокировал скачивание основной нагрузки.


        1. bravo-ej
          29.12.2016 12:56
          #9989332

          Похоже я под «различными антивирусными решениями» подразумевал различных вендоров со своим «уникальным» продуктом… А вы тип защиты для разных мест её применения. Поэтому я и писал про разный набор сигнатур от разных вендоров.
          Тогда суть статьи в том, что не надо ограничиваться антивирусом на компе у пользователя, а поставьте так же на сервачки специально под конкретные сервисы и могильники. Ну ок… вот только новый зловред всё равно не встретит на пути препятствий…


          1. nvv
            29.12.2016 13:13
            #9989378

            В статье и в опросе — антивирусные решения (разных производителей) — назовите производителей вендорами, это не меняет сути.
            Компьютеры, серверы и другие устройства целесообразно разделить на классы по их основному использованию и для каждого класса выбрать решения разных производителей.
            Целесообразно, чтобы обеспечивалась многоуровневая (хотя бы двух) проверка по всем основным каналам возможного распространения вредоносов, для этого и вводятся ограничения передачи данных/файлов внутри класса.


            1. bravo-ej
              29.12.2016 13:29
              #9989406

              В таком случае использовать разных производителей даст результат лишь в очень удачном стечение обстоятельств. Новый зловред оба знать не будут, пока сами его не словят.
              С одной стороны инфраструктура защиты, которую мониторить и администрировать придётся разными средствами, с другой стороны некая вероятность, что одни уже успели создать сигнатуры или алгоритм анализа, а другие могли не успеть. Вот мне кажется только между этими вариантами и надо взвешиваться, нужно ли брать. Точечная атака пройдёт успешно (если положить только на антивирусную защиту, как мы все понимаем).


              1. nvv
                29.12.2016 13:32
                #9989426

                Поддержка (фактическая, а не только по рекламе) производителями применяемых платформ также важный вопрос, который частично решается делением на классы.


                1. bravo-ej
                  29.12.2016 13:43
                  #9989440

                  Да, важный. Вот только когда «всё уже украдено до нас», поздно метаться, так как система скомпрометирована. Разве что найти и устранить дыру. Но нет гарантий, что не заложили бэкдорчик и пр. в общем дальше мне кажется рассуждение сведётся к философии в разрезе вечности…
                  Когда вошли в моду шифровальщики, из 7 моих запросов в хелпдески (двух разных вендоров) (я тогда занимался проектом по IT аутсорсу юрлиц) — помогли только 2 раза. В остальных 5 ничего не получилось восстановить.


  1. nvv
    29.12.2016 13:32
    #9989420

    del (не та ветка)