Не лает, не кусает, в 1С не пускает. Что поможет спасти ваши базы 1С от критической уязвимости BDU:2025-07182

[caduser]

компании часто ограничиваются базовыми средствами защиты — антивирусом и устаревшим («не обновляемым») межсетевым экраном. Отсутствие полноценной системы защиты информации делает такие атаки практически незаметными

Антивирус, конечно, всем нужен, однако от шифровальщиков он не спасет

Спасибо за полезный материал. Вы говорите о низкой эффективности антивируса, с этим сложно не согласиться. Но какова тогда роль антивируса? Какую именно защиту он обеспечивает, и обеспечивает ли?

[batkov_av]

Здравствуйте!

Не смог ранее ответить, уезжал, связь была не постоянной.

В целом ситуация с антивирусом не такая уж простая. Как прикладной математик по образованию скажу, что наличие антивируса необходимо, но не достаточно))). Как и в мат.моделях, также и в жизни. Как было указано в статье, я не противник антивирусов, наоборот считаю наличие антивируса нужным делом, однако есть несколько больших и весомых НО:

1)     Многие как дома (повсеместно), так и на работе использует Windows, а в нем уже встроенный антивирус Microsoft Defender, и в общем-то он неплохой…. Зря не использовать то, что дается без оплаты…. Дополнительный антивирус может и не понадобится, от простых вирусов Microsoft Defender уже спасет.
       Кстати, в эту тему и переход на linux. Зачастую сам по себе переход серверов с Windows на linux повышает безопасность, например, количество вирусов по linux существенно меньше таковых под Windows (не закидывайте за это камнями, я лишь пишу все усредненно, как средняя температура в больнице). На практике были случаи еще задолго до сегодняшнего хайпа с импортозамещением, что админы именно следуя вопросам безопасности, а не только надежности, переходили на linux.

2)    Многие знают, я точно такое встречал, что на серверах у некоторых админов вообще не стоит антивирус…. Это как с «бандитами»: можно запастись газовым баллончиком и надеяться, что сумеете воспользоваться, но ведь надежнее ходить вечером в таких местах, где они просто не появляются…. Не секрет, что основная проблема в ИБ – сам человек и его слабости, т.е. пресловутый «человеческий фактор». Не нужно открывать письма от неизвестных источников, скачивать непонятные файлы, заходить на сомнительные сайты!!! Я искренно уверен, что первая линия обороны – это профилактика в ИБ, с рядовыми клиентами это будет называться «повышением осведомленности» пользователей). Понимание опасности уже очень важно само по себе!… Какая безопасность может быть если вы поставили хорошую железную дверь с несколькими замками и не научили ребенка не открывать ее незнакомым?

3)    Но ведь стоимость антивируса небольшая и каждый может купить годовую подписку, так что лучше воспользоваться антивирусом, выбор то сейчас не большой (многие вендоры ушли из РФ): взять помажорнее, по дороже антивирус с известной фамилией или доктора по дешевле)))) Выбор есть, есть альтернатива. Для работы если следовать формальным законам то антивирус обязателен, например, согласно 152-ФЗ о защите персданных каждая организация, даже если она не заявляла об этом как положено в Роскомнадзор, – субъект обработки ПДн начиная с обработки кадровых данных.  В работе наших специалистов в качестве ИСПДн (информсистем персданных) попадали далеко не только базы бухгалтерии или расчета зарплаты, но другие системы, например домен AD или почтовый сервер, многое открывается если посмотреть внимательнее…

4)   Я считаю со своей колокольни, что если уже без приобретения антивируса не обойтись, то при отсутствии иных систем защиты необходимо использовать все функции антивируса, а не только онлайн защиту от вирусов. Сами вендоры говорят, что многие покупают, но решения используют частично, не обращая внимание на то, что сегодняшний антивирус уже совсем не антивирус в типовом понимании: современный антивирус содержит персональный межсетевой экран, защиту браузера от опасных сайтов и прочие полезности. Возможности антивируса нужно выжимать по максимуму уходя от понятия антивируса к международному понятию EDR (для неспециалистов, - Endpoint Detection & Response, система «обнаружения и реагирование на конечных точках»).

В целом я бы советовал для коммерческих целей обратить внимание не на какой-либо отдельный антивирус или антивирус с межсетевым экраном, а на систему EDR со встроенным антивирусом как части функционала. Получится немного дороже, но зато появится полноценный компонент будущей единой системы защиты!!! Это важно! Важно, чтобы ваши купленные программы были приобретены в рамках единой цели для построения системы защиты. И по мере наличия бюджета каждая финансовая трата должны удовлетворять этой важной цели! Тогда и денег не будет жалко, как сейчас многим жалок выделять деньга на кибербезопасность как на что-то далекое и непонятное….. Кибербезопасность такая же близкая для нас всех как мошенничество с переводом на безопасный счет, ведь попадаются на удочку и доктора наук….

На практике, EDR на хосте (персональном АРМ) с функцией антивируса, СКН (средство контроля носителей), контроль запуска приложений по белому списку, и все это при централизованном управлении с централизованным сбором метрик - будет достаточно чтобы защитить АРМ от основных угроз ИБ. Антивирус лучше дополнить дополнительными функциями в режиме централизованного управления и сбора логов и появится уже значимая подсистемам ИБ!!! А дополнив EDR межсетевым экраном на границе сети (лучше с детекцией приложений по L7, IPS, контент фильтрацией, т.е. одним словом NGFW) и вот у вас уже полноценная система защиты для небольшой организации. Правильно настроить такую систему, мониторить, поработать с сотрудниками, чтобы не открывали лишние письма и на сайты не нужные не заходили – вот и есть первичная защита от шифровальщиков.

Вот такой антивирус и нужен, хотя это уже не совсем совсем не антивирус…