Как поймать то, чего нет. Часть печальная: что такое антивирус?

    Достаточно часто, приходя к заказчикам, мне в той или иной форме приходится задавать вопрос: а зачем вам нужен антивирус? Как правило, на меня смотрят, как на идиота — это же всем известно! Но в большинстве случаев дальнейшая дискуссия показывает, что подавляющая часть заказчиков не знает ответа на детский вопрос. Если быть точным, за прошедший год правильно ответили всего в двух (двух!) компаниях. И кстати, по статистике, это беда не только России — ситуация за рубежом аналогична.

    Данная часть не была изначально запланирована, но, видимо, насущно необходима. Ряд комментариев к предыдущим статьям показывают, что даже ИТ-специалисты не понимают разницы между понятиями «антивирус» и «антивирусная система защиты». Достаточно четко это проявляется в комментариях, когда вместо антивируса в форме вызова предлагают использовать иное ПО — как правило, системы ограничения прав, доступа и т. д.

    Поэтому предлагаю вернуться к сказанному ранее. Давайте определим, есть ли у кого возражения против замены антивируса на альтернативные решения и отличается ли антивирус от антивирусной системы безопасности.

    Антивирус, данный нам в определениях

    В первой части нашего цикла мы осознали, что на данный момент в мире отсутствует определение вредоносной программы — регуляторы в общем-то не знают, от чего нужно защищаться. Перейдем на противоположную сторону и посмотрим, что есть антивирус с точки зрения регуляторов нашей страны и мира:

    • программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления заражённых (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом. (Википедия)
    • программа, делающая вид, что ищет вирусы, трояны, червиё и прочую заразу в иммунодефицитной среде Microsoft Windows, но в реальности не делает ничего, замедляя работу девайса, на который установлена. Пытается защищать от угроз, которых нет в антивирусных базах, но хреново умеет это делать (Луркмор)
    • программа, целью которой является обнаружить, предотвратить размножение и удалить компьютерные вирусы и другие вредоносные программы
    • программа, которая предотвращает заражение ПК компьютерными вирусами и позволяет устранить последствия заражения (Два последних определения широко распространены по Рунету, но первоисточник мне не известен.)
    • Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации (Приказ ФСТЭК № 17 www.rg.ru/2013/06/26/gostajna-dok.html)
    • защита информационной системы, включающая обнаружение компьютерных программ либо иной компьютерной информации, предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации (Методический документ ФСТЭК. Меры защиты информации в государственных информационных системах)
    • программа, которая выявляет, предотвращает и выполняет определенные действия, чтобы блокировать или удалять вредоносные программы, такие как вирусы и черви ( www.microsoft.com/ru-ru/security/resources/antivirus-whatis.aspx)
    • результат интеллектуальной деятельности в виде программы для ЭВМ (объект авторского права), исключительное право на который принадлежит Правообладателю (Лицензиару) (достаточно типичное определение из тендерной документации)

    Таким образом, видно, что определения как минимум не определяют момент, когда система защиты должна обнаруживать вредоносную программу, либо включают в себя устаревшие определения мер защиты (модификация).

    Занимаемся ловлей блох? Отнюдь. Несмотря на то, что в предыдущих статьях достаточно четко было указано, что главная задача антивируса — обнаружение и удаление ранее неизвестных вредоносных программ — комментарии к двум статьям рекомендовали заменить антивирус на системы, предотвращающие заражения. То есть миф укоренился, и если мы не пропишем правильное определение — система защиты автоматически не получит нужных функций.

    Ситуацию иллюстрирует замечательная байка. Говорят, что когда Кеннеди сказал «мы будем первыми на Луне!», специальная комиссия внесла лишь мелкую правку в цель миссии — «Система должна доставить астронавтов на Луну и вернуть их обратно». А ведь можно было и сэкономить.

    Также распространенной ошибкой является включение в определение системы защиты перечисления типов вредоносных программ или их действий. В связи с этим появление новых типов вредоносных программ или их действий автоматически выводит их из-под действия нормативных документов.

    Почему антивирус пропускает вирусы?

    Прежде чем ввести определение системы антивирусной защиты, еще раз определим возможности вредоносных программ по обходу систем антивирусной защиты (уровень риска).

    На данный момент наиболее опасные вредоносные программы разрабатываются не хакерами-одиночками — это хорошо организованный криминальный бизнес, вовлекающий в свою преступную деятельность высококвалифицированных системных и прикладных разработчиков ПО.

    Внимание! Неважно, кто и какую роль играл в данной «фирме». Возможно, роль простого системного администратора. Незнание не освобождает от ответственности.

    Тестирование на необнаружение разрабатываемых вредоносных программ актуальными антивирусными решениями обеспечило возможность выпуска только вредоносных программ, не обнаруживаемых (до получения обновлений) системами защит, предположительно используемых группами пользователей, на которых планируется атака — в том числе с помощью эвристических механизмов. Число таких программ, выпускаемых одной группировкой, может достигать сотен образцов — и ни один из них не будет обнаруживаться антивирусным ПО, используемым целевой группой жертв.

    Какие проблемы имеются с обеспечением антивирусной безопасности?

    Повторим сказанное в предыдущих статьях:

    • На данный момент основную проблему для систем антивирусной безопасности составляют вредоносные программы, не обнаруживаемые системами защиты (проблему безграмотности и наивности пользователей оставим за кадром, ибо без гипноизлучателей на орбите ее вряд ли можно решить). Данная угроза существовала и ранее, но ранее она была связана лишь с задержкой обнаружения образцов новых вредоносных программ в «дикой природе».
    • Число необнаруживаемых программ составляет не менее 25 процентов от общего их количества.
    • Традиционные эвристические механизмы обнаружения в связи с современной системой разработки вредоносных программ существенно потеряли значимость, что привело к необходимости разработки новых технологий обнаружения вредоносных программ.
    • Обеспечить антивирусную защиту от проникновения силами антивируса невозможно. Но использование иных методов также не дает 100% гарантии, с одной стороны, и требует высокой квалификации специалистов — с другой.

    Кстати. Ранее мы говорили, что производство наиболее опасных вредоносных программ поставлено на поток. Но верно ли это для остальных вредоносных программ? По данным компании AVG (http://now.avg.com/kids-writing-trojans-show-computer-skills-friends), треть современного вредоносного ПО создано детьми.

    Зачем нужен антивирус?

    Соответственно, система антивирусной защиты должна обеспечивать:

    1. защиту от проникновения всех уже известных типов вредоносных программ (в том числе с помощью технологий, позволяющих обнаруживать модификации ранее найденного). Слово «всех» выделено не просто так — типичной является просьба удалить из баз старые вирусы. Не поверите — OneHalf еще жив!
    2. после получения обновлений — обнаружение и уничтожение (но не откат действий!) уже запущенных и активно противодействующих обнаружению вредоносных программ.

    Определение показывает, что данные в нормативных документах определения антивирусной защиты не просто ложные, а заведомо приносящие вред компаниям, ориентирующимся на данные определения. Поэтому и реализованные на основе этих определений функции, и состав систем антивирусной защиты оказываются также неверными.

    Комментарии к предыдущим статьям показывают, что многие, определяя задачу антивирусной защиты, забывают про вторую часть.

    Выполнить задачу по предотвращению внедрения вредоносных программ можно и без антивируса — никто вам не мешает, и, более того, иногда наличие антивируса противопоказано. Но вот удаление уже активной заразы без антивируса невозможно. Да, я знаю о наличии специалистов, которые могут сделать это вручную (и даже есть компании, которые формируют такие группы быстрого реагирования). Но есть три но:

    • большинство пользователей на такое не способны;
    • современные вредоносные программы зачастую рассчитаны на длительное незаметное присутствие в системе (и более того, могут закрывать уязвимости, удалять иные вирусы и даже устанавливать антивирус). Протестированные на системах защиты, они могут оставаться незамеченными годы;
    • антивирус при наличии знаний о вредоносной программе удалит ее быстрее.

    В чем разница между антивирусом и антивирусной системой защиты?

    Система антивирусной защиты — это не всегда антивирус. Это любая программа / настройка ОС / процедура, с помощью которой вы снижаете риск заражения.

    Соответственно, никто вам не мешает (кроме регуляторов, но и там все не так очевидно) не использовать антивирус для предотвращения заражения, но для лечения без антивируса не обойдешься. Но есть одно но ( www.infosec.ru/news/8119):

    Наиболее распространенные уязвимости и недостатки:
    1. Не настроены или некорректно настроены парольные политики.
    2. Администрирование сетевого оборудования с помощью небезопасного протокола TELNET.
    3. Аудит событий не настроен или настроен некорректно.
    4. Межсетевые экраны содержат избыточные правила.
    5. Некорректно проведена сегментация сети, в частности серверные сегменты не отделены от пользовательских сегментов.
    6. Не реализован или некорректно реализован процесс управления обновлениями, в результате чего, например, используется устаревшее ПО, содержащее известные уязвимости
    7. Отсутствие настроек безопасности коммутаторов доступа, в частности, защиты от уязвимости к атакам класса «ARP Cache Poisoning».
    8. Отсутствие обновления сигнатур и настроек оповещения для средства обнаружения вторжений.
    9. Использование небезопасных протоколов для удаленного доступа с помощью технологии VPN.
    10. Некорректно настроены ограничения прав доступа к системным файлам.

    Можно использовать автомат Калашникова, а можно выточить снайперскую винтовку самому. Если вы готовы не просто настроить систему, но в режиме реального времени анализировать новости ИБ и соответственно также в режиме реального времени совершенствовать защиту — ни я, ни регуляторы (особенно в разрезе 31го приказа ФСТЭК) — совершенно не против.

    Ну а в следующей статье мы поговорим о том, требуют ли регуляторы и создатели стандартов использования именно антивируса, а также какую пользу можно извлечь, если читать на ночь документы по ИБ
    Share post

    Comments 17

      +2
      Наконец-то «антипрививочники» добрались и до IT
        0
        Признаюсь, статью читал по диагонали. Но могу сказать точно, в ней нет призыва не использовать антивирус, а есть призыв использовать антивирусную защиту, в том числе антивирус, если он необходим.
          +2
          Именно так. не нужно быть в плену шаблонов. Не важно каких — антивирус фореве или винда масдай. В каждом конкретном случае нужно выбирать оптимальное решение в зависимости от условий.
          Нужно только помнить, что неуязвимых систем не бывает — даже если это системы защиты
        0
        Честно говоря все новое, это хорошо забытое старое, вспомните ADinf который был под dos, знаю что были версии под windows, но я их не видел и не знаю их функционал.
          0
          adinf.com/ru. согласно sdelano-u-nas.livejournal.com/7707707.html считается живым до сих пор :-)
          Если серьезно, то что умерло, то умерло. Ревизор дисков потом был и у Касперского. Да и сейчас решения на основе контрольных сумм предлагаются частенько (особенно в банкоматы). У решений на основе контрольных сумм много недостатков:
          — путем модификации системных переменных (того же path) можно запустить иной файл вместо контролируемого. Прецедент как минимум один был
          — контроль программы не означает ее незараженности. Заражение могло произойти пока неизвестным антивирусу вирусом. Соответственно по приходу каждого обновления контролируемую программу нужно перепроверять. А тогда какой смысл?
          По сути современные облачные антивирусы — наследники adinf. Но там свои большие засады
            0
            Если уж быть точным там еще аппаратная часть была, правда в глаза ее не видел и даже не интересовался, что именно она делала и давала. Модификации системных переменных так же можно контролировать, как и то что запускается до запуска проверять на основе тех же контрольных сумм и запускать только разрешенные файлы из разрешенных мест, поэтому как часть комплекса это вполне неплохой компонент. По мне так он больше умер из-за того, что сейчас в системах очень много файлов их обсчитывать и контролировать очень ресурсоемко, а эффективности получаешь довольно мало.
              0
              Про аппаратную часть я вспоминаю как-то смутно. Умерли они по причине:
              — неэффективности — нужно контролировать целостность всей системы, а не только файлов
              — включения в антивирусы системы подсчета контрольных сумм — достаточно часто быстрее проверить сумму, чем проверить файл. И на тот момент, когда обновления антивирусов можно было получать раз в неделю — это было выгодно. Сейчас, когда обновления нужно получать в момент их выхода — это имеет смысл, но гораздо меньше. Пожалуй только в момент загрузки, когда обновления недоступны, а дергаются одни и те же файлы, а также в изолированных сетях, куда перенос обновлений антивирусов затруднен
              Тем не менее количество проектов/продуктов, направленных на контроль целостности для банкоматов, достаточно велико. И самое неприятное, когда они заказчикам пишут о своем соответствии PCI-DSS/382-П, где антивирус прописан достаточно отчетливо
                0
                Сейчас проверка целостности осуществляется для ускорения работы, файл проверяется различными методами. если все хорошо. то считается контрольная сумма из записывается в базу и в следующий раз проверяется сначала контрольная сумма, если ничего не изменилось — файл пропускается, если изменилось — проверяется заново, впрочем технология эта отключаемая(для параноиков)
                  0
                  Именно это я и написал. Но одна поправка — по приходу очередного обновления все файлы с контрольными суммами должны быть перепроверены — ибо могут быть неизвестные вирусы. Поскольку у ведущих вендоров обновления раз в час, то раз в час нагрузка на систему растет. Получается раз в час три операции для всех используемых файлов — подсчет суммы, проверка антивирусом, запись суммы в хранилище
                  Да, забыл в качестве недостатков. Подсчет контрольных сумм выгоден, если мы опасаемся заражения. Но сейчас бал правят трояны, вероятность заражения есть, но достаточно низка. Я бы вместо этой технологии (на всякий случай — она у нас так же есть) шире применял расширенный офисный контроль — ограничение прав на изменение системы/запуск неизвестных программ
                    0
                    Тут может спасти облако, по крайне мере для системных файлов — достаточно, чтобы какой-нибудь файл был хотя бы раз полностью проверен со свежими базами в любом месте, чтобы не было необходимости проверять его везде.
                      0
                      этот плюс есть, но по сути только для локального облака. Более того с безопасностью у облака все еще хуже. По сути облачные антивирусы сделали для того, чтобы снять деньги с моды, не проработав все возможные проблемы, но давайте это отложим. Я планирую примерно через три статьи пройтись по некоторым модным технологиям с указанием их плюсов и минусов. Если я сейчас укажу все дыры в облаках, не очень интересно будет. Обещаю, что анализ будет максимально беспристрастный. К сожалению именно по облакам открытой информации мало, так что заранее приглашаю к дискуссии
                        0
                        Было бы весьма интересно почитать, постараюсь не пропустить :-)
                          0
                          Там очень просто, очевидно и сложно устранимо на самом деле :-(
                          Ключевое слово — неизвестные вредоносные программы
          0
          Что-то вы тут демагогию разводите. У вас и у гипотетических пользователей слово «антивирус» ассоциируется с совершенно разными программами — для пользователей они должны удалить все, что ему мешает и не позволять этому появиться снова, а в вашем понимании вы все довольно четко расписали в статьях. Я одного не пойму: зачем то, что вы описываете, называть антивирусом, еще больше заводя всех в заблуждение? Почему не взять собственное название для такого класса продуктов? Тогда и все эти бессмысленные дискуссии пропадут сами собой.
            0
            придумать можно все, что угодно, но пользователи все равно будут ожидать то, что они ждут сейчас. и потом мы не Майкрософт — как на внедрить новое понимание в мозги пользователей — мы не монополисты. Задача сравнима по сложности с задачей перебороть миф о том, что вендоры пишут вирусы
              +1
              Пользователи потому и ожидают того, что ожидают, что все антивирусы решают совсем не те задачи, на которые намекает их название. А вот назывались бы они более соответственно своему поведению — тогда и вопросов бы не было. правда, наверное, и продажи бы упали, ведь тогда многие поняли бы, что им, мягко говоря, толкают то, что есть, а не то, что им надо.

              Вас и не просят внедрять новое понимание — наоборот, я говорю, что не стоит слово «антивирус» наелять тем смыслом, который вы в своих статьях описываете — пользователи все рано не поймут, потому что для них антивирус должен ловить вирусы. И, черт возьми, из самого названия это ясно следует, так почему должно быть иначе!?

              Сейчас просто мода или тенденция в мире такая, печальная: знакомые слова наделять новым смыслом и потом спорить до усрачки с теми, кто описывает этими же словами старый смысл. Нафига?
                0
                Антивирусы никогда не ловили всего, что есть вредоносного. Поэтому никакого нового смысла они не несут. Другой вопрос, что антивирус ловит не только вирусы, но и прочее вредоносное ПО — на факте незнания чего паразитируют разные антируткиты и антиспуваре
                Теоретически можно было бы провести ребрендинг, назвав каким антизаразом, но сто пудов сразу появятся фейковые антивирусы — и пользователи будут покупать именно их

          Only users with full accounts can post comments. Log in, please.