Достаточно часто, приходя к заказчикам, мне в той или иной форме приходится задавать вопрос: а зачем вам нужен антивирус? Как правило, на меня смотрят, как на идиота — это же всем известно! Но в большинстве случаев дальнейшая дискуссия показывает, что подавляющая часть заказчиков не знает ответа на детский вопрос. Если быть точным, за прошедший год правильно ответили всего в двух (двух!) компаниях. И кстати, по статистике, это беда не только России — ситуация за рубежом аналогична.

Данная часть не была изначально запланирована, но, видимо, насущно необходима. Ряд комментариев к предыдущим статьям показывают, что даже ИТ-специалисты не понимают разницы между понятиями «антивирус» и «антивирусная система защиты». Достаточно четко это проявляется в комментариях, когда вместо антивируса в форме вызова предлагают использовать иное ПО — как правило, системы ограничения прав, доступа и т. д.

Поэтому предлагаю вернуться к сказанному ранее. Давайте определим, есть ли у кого возражения против замены антивируса на альтернативные решения и отличается ли антивирус от антивирусной системы безопасности.

Антивирус, данный нам в определениях

В первой части нашего цикла мы осознали, что на данный момент в мире отсутствует определение вредоносной программы — регуляторы в общем-то не знают, от чего нужно защищаться. Перейдем на противоположную сторону и посмотрим, что есть антивирус с точки зрения регуляторов нашей страны и мира:

  • программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления заражённых (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом. (Википедия)
  • программа, делающая вид, что ищет вирусы, трояны, червиё и прочую заразу в иммунодефицитной среде Microsoft® Windows©, но в реальности не делает ничего, замедляя работу девайса, на который установлена. Пытается защищать от угроз, которых нет в антивирусных базах, но хреново умеет это делать (Луркмор)
  • программа, целью которой является обнаружить, предотвратить размножение и удалить компьютерные вирусы и другие вредоносные программы
  • программа, которая предотвращает заражение ПК компьютерными вирусами и позволяет устранить последствия заражения (Два последних определения широко распространены по Рунету, но первоисточник мне не известен.)
  • Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации (Приказ ФСТЭК № 17 www.rg.ru/2013/06/26/gostajna-dok.html)
  • защита информационной системы, включающая обнаружение компьютерных программ либо иной компьютерной информации, предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации (Методический документ ФСТЭК. Меры защиты информации в государственных информационных системах)
  • программа, которая выявляет, предотвращает и выполняет определенные действия, чтобы блокировать или удалять вредоносные программы, такие как вирусы и черви ( www.microsoft.com/ru-ru/security/resources/antivirus-whatis.aspx)
  • результат интеллектуальной деятельности в виде программы для ЭВМ (объект авторского права), исключительное право на который принадлежит Правообладателю (Лицензиару) (достаточно типичное определение из тендерной документации)

Таким образом, видно, что определения как минимум не определяют момент, когда система защиты должна обнаруживать вредоносную программу, либо включают в себя устаревшие определения мер защиты (модификация).

Занимаемся ловлей блох? Отнюдь. Несмотря на то, что в предыдущих статьях достаточно четко было указано, что главная задача антивируса — обнаружение и удаление ранее неизвестных вредоносных программ — комментарии к двум статьям рекомендовали заменить антивирус на системы, предотвращающие заражения. То есть миф укоренился, и если мы не пропишем правильное определение — система защиты автоматически не получит нужных функций.

Ситуацию иллюстрирует замечательная байка. Говорят, что когда Кеннеди сказал «мы будем первыми на Луне!», специальная комиссия внесла лишь мелкую правку в цель миссии — «Система должна доставить астронавтов на Луну и вернуть их обратно». А ведь можно было и сэкономить.

Также распространенной ошибкой является включение в определение системы защиты перечисления типов вредоносных программ или их действий. В связи с этим появление новых типов вредоносных программ или их действий автоматически выводит их из-под действия нормативных документов.

Почему антивирус пропускает вирусы?

Прежде чем ввести определение системы антивирусной защиты, еще раз определим возможности вредоносных программ по обходу систем антивирусной защиты (уровень риска).

На данный момент наиболее опасные вредоносные программы разрабатываются не хакерами-одиночками — это хорошо организованныи? криминальныи? бизнес, вовлекающии? в свою преступную деятельность высококвалифицированных системных и прикладных разработчиков ПО.

Внимание! Неважно, кто и какую роль играл в данной «фирме». Возможно, роль простого системного администратора. Незнание не освобождает от ответственности.

Тестирование на необнаружение разрабатываемых вредоносных программ актуальными антивирусными решениями обеспечило возможность выпуска только вредоносных программ, не обнаруживаемых (до получения обновлений) системами защит, предположительно используемых группами пользователей, на которых планируется атака — в том числе с помощью эвристических механизмов. Число таких программ, выпускаемых одной группировкой, может достигать сотен образцов — и ни один из них не будет обнаруживаться антивирусным ПО, используемым целевой группой жертв.

Какие проблемы имеются с обеспечением антивирусной безопасности?

Повторим сказанное в предыдущих статьях:

  • На данный момент основную проблему для систем антивирусной безопасности составляют вредоносные программы, не обнаруживаемые системами защиты (проблему безграмотности и наивности пользователей оставим за кадром, ибо без гипноизлучателей на орбите ее вряд ли можно решить). Данная угроза существовала и ранее, но ранее она была связана лишь с задержкой обнаружения образцов новых вредоносных программ в «дикой природе».
  • Число необнаруживаемых программ составляет не менее 25 процентов от общего их количества.
  • Традиционные эвристические механизмы обнаружения в связи с современной системой разработки вредоносных программ существенно потеряли значимость, что привело к необходимости разработки новых технологий обнаружения вредоносных программ.
  • Обеспечить антивирусную защиту от проникновения силами антивируса невозможно. Но использование иных методов также не дает 100% гарантии, с одной стороны, и требует высокой квалификации специалистов — с другой.

Кстати. Ранее мы говорили, что производство наиболее опасных вредоносных программ поставлено на поток. Но верно ли это для остальных вредоносных программ? По данным компании AVG (http://now.avg.com/kids-writing-trojans-show-computer-skills-friends), треть современного вредоносного ПО создано детьми.

Зачем нужен антивирус?

Соответственно, система антивирусной защиты должна обеспечивать:

  1. защиту от проникновения всех уже известных типов вредоносных программ (в том числе с помощью технологий, позволяющих обнаруживать модификации ранее найденного). Слово «всех» выделено не просто так — типичной является просьба удалить из баз старые вирусы. Не поверите — OneHalf еще жив!
  2. после получения обновлений — обнаружение и уничтожение (но не откат действий!) уже запущенных и активно противодействующих обнаружению вредоносных программ.

Определение показывает, что данные в нормативных документах определения антивирусной защиты не просто ложные, а заведомо приносящие вред компаниям, ориентирующимся на данные определения. Поэтому и реализованные на основе этих определений функции, и состав систем антивирусной защиты оказываются также неверными.

Комментарии к предыдущим статьям показывают, что многие, определяя задачу антивирусной защиты, забывают про вторую часть.

Выполнить задачу по предотвращению внедрения вредоносных программ можно и без антивируса — никто вам не мешает, и, более того, иногда наличие антивируса противопоказано. Но вот удаление уже активной заразы без антивируса невозможно. Да, я знаю о наличии специалистов, которые могут сделать это вручную (и даже есть компании, которые формируют такие группы быстрого реагирования). Но есть три но:

  • большинство пользователей на такое не способны;
  • современные вредоносные программы зачастую рассчитаны на длительное незаметное присутствие в системе (и более того, могут закрывать уязвимости, удалять иные вирусы и даже устанавливать антивирус). Протестированные на системах защиты, они могут оставаться незамеченными годы;
  • антивирус при наличии знаний о вредоносной программе удалит ее быстрее.

В чем разница между антивирусом и антивирусной системой защиты?

Система антивирусной защиты — это не всегда антивирус. Это любая программа / настройка ОС / процедура, с помощью которой вы снижаете риск заражения.

Соответственно, никто вам не мешает (кроме регуляторов, но и там все не так очевидно) не использовать антивирус для предотвращения заражения, но для лечения без антивируса не обойдешься. Но есть одно но ( www.infosec.ru/news/8119):

Наиболее распространенные уязвимости и недостатки:
  1. Не настроены или некорректно настроены парольные политики.
  2. Администрирование сетевого оборудования с помощью небезопасного протокола TELNET.
  3. Аудит событий не настроен или настроен некорректно.
  4. Межсетевые экраны содержат избыточные правила.
  5. Некорректно проведена сегментация сети, в частности серверные сегменты не отделены от пользовательских сегментов.
  6. Не реализован или некорректно реализован процесс управления обновлениями, в результате чего, например, используется устаревшее ПО, содержащее известные уязвимости
  7. Отсутствие настроек безопасности коммутаторов доступа, в частности, защиты от уязвимости к атакам класса «ARP Cache Poisoning».
  8. Отсутствие обновления сигнатур и настроек оповещения для средства обнаружения вторжений.
  9. Использование небезопасных протоколов для удаленного доступа с помощью технологии VPN.
  10. Некорректно настроены ограничения прав доступа к системным файлам.

Можно использовать автомат Калашникова, а можно выточить снайперскую винтовку самому. Если вы готовы не просто настроить систему, но в режиме реального времени анализировать новости ИБ и соответственно также в режиме реального времени совершенствовать защиту — ни я, ни регуляторы (особенно в разрезе 31го приказа ФСТЭК) — совершенно не против.

Ну а в следующей статье мы поговорим о том, требуют ли регуляторы и создатели стандартов использования именно антивируса, а также какую пользу можно извлечь, если читать на ночь документы по ИБ

Комментарии (15)


  1. Slaffko
    06.04.2015 16:02
    +2

    Наконец-то «антипрививочники» добрались и до IT


    1. m0hn
      06.04.2015 17:55

      Признаюсь, статью читал по диагонали. Но могу сказать точно, в ней нет призыва не использовать антивирус, а есть призыв использовать антивирусную защиту, в том числе антивирус, если он необходим.


      1. teecat Автор
        06.04.2015 20:31
        +2

        Именно так. не нужно быть в плену шаблонов. Не важно каких — антивирус фореве или винда масдай. В каждом конкретном случае нужно выбирать оптимальное решение в зависимости от условий.
        Нужно только помнить, что неуязвимых систем не бывает — даже если это системы защиты


  1. akden
    07.04.2015 09:58

    Честно говоря все новое, это хорошо забытое старое, вспомните ADinf который был под dos, знаю что были версии под windows, но я их не видел и не знаю их функционал.


    1. teecat Автор
      07.04.2015 11:13

      adinf.com/ru. согласно sdelano-u-nas.livejournal.com/7707707.html считается живым до сих пор :-)
      Если серьезно, то что умерло, то умерло. Ревизор дисков потом был и у Касперского. Да и сейчас решения на основе контрольных сумм предлагаются частенько (особенно в банкоматы). У решений на основе контрольных сумм много недостатков:
      — путем модификации системных переменных (того же path) можно запустить иной файл вместо контролируемого. Прецедент как минимум один был
      — контроль программы не означает ее незараженности. Заражение могло произойти пока неизвестным антивирусу вирусом. Соответственно по приходу каждого обновления контролируемую программу нужно перепроверять. А тогда какой смысл?
      По сути современные облачные антивирусы — наследники adinf. Но там свои большие засады


      1. akden
        07.04.2015 12:53

        Если уж быть точным там еще аппаратная часть была, правда в глаза ее не видел и даже не интересовался, что именно она делала и давала. Модификации системных переменных так же можно контролировать, как и то что запускается до запуска проверять на основе тех же контрольных сумм и запускать только разрешенные файлы из разрешенных мест, поэтому как часть комплекса это вполне неплохой компонент. По мне так он больше умер из-за того, что сейчас в системах очень много файлов их обсчитывать и контролировать очень ресурсоемко, а эффективности получаешь довольно мало.


        1. teecat Автор
          07.04.2015 13:16

          Про аппаратную часть я вспоминаю как-то смутно. Умерли они по причине:
          — неэффективности — нужно контролировать целостность всей системы, а не только файлов
          — включения в антивирусы системы подсчета контрольных сумм — достаточно часто быстрее проверить сумму, чем проверить файл. И на тот момент, когда обновления антивирусов можно было получать раз в неделю — это было выгодно. Сейчас, когда обновления нужно получать в момент их выхода — это имеет смысл, но гораздо меньше. Пожалуй только в момент загрузки, когда обновления недоступны, а дергаются одни и те же файлы, а также в изолированных сетях, куда перенос обновлений антивирусов затруднен
          Тем не менее количество проектов/продуктов, направленных на контроль целостности для банкоматов, достаточно велико. И самое неприятное, когда они заказчикам пишут о своем соответствии PCI-DSS/382-П, где антивирус прописан достаточно отчетливо


          1. tundrawolf_kiba
            07.04.2015 13:48

            Сейчас проверка целостности осуществляется для ускорения работы, файл проверяется различными методами. если все хорошо. то считается контрольная сумма из записывается в базу и в следующий раз проверяется сначала контрольная сумма, если ничего не изменилось — файл пропускается, если изменилось — проверяется заново, впрочем технология эта отключаемая(для параноиков)


            1. teecat Автор
              07.04.2015 14:06

              Именно это я и написал. Но одна поправка — по приходу очередного обновления все файлы с контрольными суммами должны быть перепроверены — ибо могут быть неизвестные вирусы. Поскольку у ведущих вендоров обновления раз в час, то раз в час нагрузка на систему растет. Получается раз в час три операции для всех используемых файлов — подсчет суммы, проверка антивирусом, запись суммы в хранилище
              Да, забыл в качестве недостатков. Подсчет контрольных сумм выгоден, если мы опасаемся заражения. Но сейчас бал правят трояны, вероятность заражения есть, но достаточно низка. Я бы вместо этой технологии (на всякий случай — она у нас так же есть) шире применял расширенный офисный контроль — ограничение прав на изменение системы/запуск неизвестных программ


              1. tundrawolf_kiba
                07.04.2015 14:49

                Тут может спасти облако, по крайне мере для системных файлов — достаточно, чтобы какой-нибудь файл был хотя бы раз полностью проверен со свежими базами в любом месте, чтобы не было необходимости проверять его везде.


                1. teecat Автор
                  07.04.2015 15:01

                  этот плюс есть, но по сути только для локального облака. Более того с безопасностью у облака все еще хуже. По сути облачные антивирусы сделали для того, чтобы снять деньги с моды, не проработав все возможные проблемы, но давайте это отложим. Я планирую примерно через три статьи пройтись по некоторым модным технологиям с указанием их плюсов и минусов. Если я сейчас укажу все дыры в облаках, не очень интересно будет. Обещаю, что анализ будет максимально беспристрастный. К сожалению именно по облакам открытой информации мало, так что заранее приглашаю к дискуссии


                  1. tundrawolf_kiba
                    07.04.2015 15:02

                    Было бы весьма интересно почитать, постараюсь не пропустить :-)


                    1. teecat Автор
                      07.04.2015 15:05

                      Там очень просто, очевидно и сложно устранимо на самом деле :-(
                      Ключевое слово — неизвестные вредоносные программы


  1. Mingun
    29.04.2015 21:21

    Что-то вы тут демагогию разводите. У вас и у гипотетических пользователей слово «антивирус» ассоциируется с совершенно разными программами — для пользователей они должны удалить все, что ему мешает и не позволять этому появиться снова, а в вашем понимании вы все довольно четко расписали в статьях. Я одного не пойму: зачем то, что вы описываете, называть антивирусом, еще больше заводя всех в заблуждение? Почему не взять собственное название для такого класса продуктов? Тогда и все эти бессмысленные дискуссии пропадут сами собой.


    1. teecat Автор
      30.04.2015 07:19

      придумать можно все, что угодно, но пользователи все равно будут ожидать то, что они ждут сейчас. и потом мы не Майкрософт — как на внедрить новое понимание в мозги пользователей — мы не монополисты. Задача сравнима по сложности с задачей перебороть миф о том, что вендоры пишут вирусы