Наделавшие много шума вирусные эпидемии прошлого года заставляют задуматься о том, каким же образом предприятия смогут защитить себя в будущем. При этом ведущие разработчики антивирусного программного обеспечения исходят из еще большего обострения ситуации. Так, в июле 2004 г. было обнаружено 1400 вредоносных кодов, а в августе — 3300. Для сравнения еще в январе насчитывалось «всего лишь» 550 новых угроз.

Многие предприятия уже инвестировали немалые средства в свои структуры обеспечения безопасности и установили антивирусное решение. Однако, по данным исследования Computer Economics, вирусы наносят все больший ущерб: в одном только 2003 г. последствия вирусных атак оцениваются в 12,5 млрд долларов. Это указывает на то, что инсталлированные пакеты не свободны от недостатков.

В первую очередь ответственность за ущерб несут недостаточно продуманная стратегия обеспечения безопасности и неудовлетворительная адаптация продуктов к требованиям конкретного предприятия. Значительно растет не только количество вирусов, но и их «качество». Современные вредоносные коды комбинируют самые разные технологии атаки и способы размножения, поэтому антивирусная архитектура должна распространяться на все важные сетевые компоненты, среди которых — настольные компьютеры, шлюзы, почтовые и файловые серверы. Кроме того, не мешает задуматься и об интеграции мобильных устройств, даже если на данный момент они не используются в информационной среде предприятия.

Многие производители предлагают продукты, при помощи которых построение подобной инфраструктуры обеспечения безопасности в принципе было бы возможным, однако они не являются универсальными. К примеру, небольшие и средние предприятия располагают скромными бюджетами на ИТ, и штат соответствующих специалистов чаще всего далеко не велик, а значит, большое значение имеет концепция управления антивирусной архитектурой — не только с экономической точки зрения, но и в отношении безопасности. Поэтому при выборе антивирусной стратегии в первую очередь необходим анализ ситуации на предприятии. К наиболее важным вопросам относятся следующие:

  • какие критичные сетевые компоненты необходимо защитить (настольные компьютеры, шлюзы, почтовые и файловые серверы)?
  • одно ли решение будет использоваться для различных операционных систем и платформ?
  • подключаются ли мобильные устройства или подобное планируется в будущем?
  • имеется ли специально подготовленный обслуживающий персонал?

ПРОИЗВОДИТЕЛЬНОСТЬ ЗАЩИТЫ ОТ ВИРУСОВ

При планировании антивирусного решения прежде всего следует оценить производительность механизмов для распознавания и нейтрализации вредоносных кодов. Надежной отправной точкой могут служить результаты тестов, проведенных независимыми лабораториями, к примеру ICSA или West Coast. Сертификаты выдаются продуктам, которые способны распознать 100% широко распространенных и 90% редких вирусов.

Большинство доступных на рынке антивирусных решений добивается таких высоких степеней распознавания благодаря сочетанию сканирования на базе сигнатур и эвристического сканирования. Первое очень точно и тем самым может служить основой защиты от вирусов. Непременными условиями, конечно, являются предварительное обнаружение соответствующего вируса производителем решения и подготовка вслед за этим актуализированных сигнатур (файлов с шаблоном). Предприятиям следует особо обратить внимание на наличие у разработчика инфраструктуры, позволяющей быстро реагировать на новые вирусы. В конце концов, антивирусная программа хороша лишь настолько, насколько эффективно ее последнее обновление. Вопросы, которые необходимо прояснить, звучат следующим образом:

  • гарантирует ли производитель антивирусного решения определенное время реакции?
  • предоставляются ли файлы с шаблонами круглосуточно и ежедневно?
  • есть ли у производителя собственные экспертные команды и центры анализа вирусов (в идеальном случае распределенные по временным зонам)?

СТРАТЕГИИ ПРОТИВ НЕИЗВЕСТНЫХ УГРОЗ

Создатели вирусов постоянно находятся в поиске новых и еще более быстрых технологий их распространения. До сих пор высшим достижением был SQL-«червь» Slammer, инфицировавший 90% всех незащищенных компьютеров всего за 10 мин. Таким образом, антивирусным решениям постоянно будут противостоять вредоносные коды, для которых еще не создан файл с шаблоном. Некоторые производители пытаются ликвидировать разрыв между появлением новой угрозы и распространением файла с шаблоном для нее при помощи технологий, наподобие Sandboxing от Norman Data Defense Systems и Outbreak Prevention Services от Trend Micro.

В случае Sandboxing в закрытой области памяти системы симулируется виртуальный компьютер. Теоретически он работает как реальный, однако неуязвим в отношении доступа к массиву данных, поэтому вирус может быть безопасно выполнен и распознан. Несмотря на некоторые удачные подходы, эта технология не является панацеей, о чем недвусмысленно говорит и сам производитель. Сложности возникают, к примеру, при распознавании вирусов на Visual Basic, атакующих такие офисные продукты, как Word или Excel. Кроме того, создатели вирусов уже сегодня используют коды против отладки для распознавания и обхода «песочниц».

Другая стратегия заключается в принятии немедленных мер (политика предотвращения эпидемии) еще до опубликования нового файла с шаблоном — к таковым относится, например, блокирование портов. Это можно сделать в кратчайшее время, поскольку однозначной идентификации не требуется — всего лишь блокируются очевидные пути распространения. Превентивные меры могут пересылаться через Internet корпоративным антивирусным решениям. Конечно, в таком случае должна быть реализована специфическая для производителя архитектура, способная инициировать немедленное принятие превентивных мер всеми компонентами сети. При этом администратор определяет, в каком объеме будут автоматически активироваться услуги предотвращения эпидемии.

При помощи двух описанных методов достичь стопроцентной безопасности невозможно. Тем не менее современное антивирусное решение должно предусматривать использование передовых технологий для отражения неизвестных атак или, по крайней мере, сдерживания распространения вирусов до публикации обновления шаблона. При этом необходимо получить ответы на следующие вопросы:

  • обладает ли решение наряду с эвристическим анализом развитыми функциями противодействия незнакомым атакам?
  • можно ли предотвратить распространение вредоносного кода в сети?

ЗАЩИТА ОТ СЕТЕВЫХ ВИРУСОВ

За последние годы вирусы прошли в своем развитии путь от выполняемых вредоносных программ для определенных приложений до сетевых вирусов, примером которых может служить Sasser. Одновременно постоянно росло количество потенциально слабых мест в системе безопасности сети, в связи с чем предприятиям необходимо обращать особое внимание на управление ими (оценка уязвимости) и предотвращение вторжений. Производители антивирусных решений все в большей степени делают ставку на так называемую оценку уязвимости для идентификации слабых мест до атаки и непосредственно во время нее. Так, Symantec предлагает технологию, которая должна обеспечить автоматизированный анализ слабых мест и предоставить упорядоченную в соответствии с приоритетами информацию для устранения ущерба. Для оценки уязвимостей Symantec использует собственную базу данных, причем их идентификация осуществляется в соответствии с индексом Common Vulnerability Exposure Organisation (CVE) и Bugtraq.

Кроме того, с начала прошлого года Trend Micro предлагает специализированное оборудование, устанавливаемое между сегментами локальной сети для блокировки инфицированных пакетов данных в ее пределах. Технология оценки уязвимости, при помощи которой выборочно изолируются сетевые компоненты, является существенным компонентом этого решения.

АДАПТИРОВАННОЕ УПРАВЛЕНИЕ

Вредоносные коды в одинаковой мере угрожают небольшим, средним и крупным предприятиям. Таким образом, приведенные требования к безопасности имеют силу для всех сред ИТ вне зависимости от количества сотрудников. Однако управление и реализация антивирусного решения должны быть четко ориентированы на возможности предприятия. Небольшим и средним предприятиям (SMB) требуются решения, отвечающие их ограниченным бюджетам и людским ресурсам. Однако часто производители предлагают для этого рынка продукцию корпоративного класса, которая выпускается просто под новым именем и с измененной политикой лицензирования. Так, для некоторых продуктов приходится выполнять до пяти процедур инсталляции, а для других, напротив, — лишь одну. После чего все остальные клиенты и серверы создаются и администрируются при помощи консоли на базе Web и сети.

Особенно опасным может быть отсутствие централизованного обновления: надежное автоматическое распределение файлов с шаблоном и обновление механизма сканирования имеют чрезвычайно важное значение, поскольку от этого зависит функционирование решения безопасности, а управление вручную было бы слишком дорогим. При выборе продукта SMB особое внимание необходимо обращать на следующие пункты:

  • проводится ли инсталляция централизованно для всех платформ?
  • сразу ли продукты готовы к работе или необходима дополнительная конфигурация?
  • имеется ли централизованный пользовательский интерфейс (например, см. Рисунок 1) для всего окружения?
  • проводится ли процесс обновления во всей сети автоматически и прозрачно?
  • соответствует ли функциональный охват потребностям рынка SMB?
Рисунок 1. Интерфейс работы с антивирусным программным обеспечением OfficeScan от Trend Micro: управление клиентами.

Крупные организации, имеющие специализированное подразделение ИТ, точно так же нуждаются в централизованном управлении на базе Web для своих сложных структур, а кроме того — в дополнительных функциях для развертывания решения по всему предприятию и в составлении детализированных отчетов. Помимо всего прочего, значительные преимущества дает консолидированное преобразование директив безопасности для клиентов на сетевом уровне, к примеру при помощи программы Cisco Network Admission Control (NAC). NAC позволяет осуществлять обмен касающейся безопасности информацией между конечными устройствами (персональными компьютерами, серверами или КПК). На базе определяемых пользователями правил и программного обеспечения третьих производителей сетевые компоненты Cisco (маршрутизаторы или коммутаторы) принимают решение о разрешении, запрете или ограничении доступа, а также о необходимости карантина. Программа NAC уже поддерживается Network Associates.

Райнер Линк — помощник президента Trend Micro по операциям в Европе. С ним можно связаться по адресу: sm@lanline.awi.de.

? AWi Verlag