Антивирусная защита предприятия

    В статье Как ответить на вопрос — что такое «компьютерный вирус» мы рассмотрели эволюцию данного понятия. В этот раз рассмотрим вариант построения эшелонированной антивирусной защиты.

    Сразу отметим, что в статье вы не найдёте:

    • сравнения существующих на рынке решений с целью «найти самый-самый лучший антивирус». Такими сравнениями успешно занимаются маркетологи, найти подобные «исследования» не сложно;
    • инструкций по настройкам конкретного программного продукта, которые обеспечат 100% (или 99.999… %) защиту от всех угроз.

    Очевидно, что построение комплексной защиты требует не только установки антивирусного ПО, но и проведение, в т.ч. на регулярной основе, целого ряда мероприятий:

    • разработка и актуализация политик, инструкций, регламентов (реакции на инциденты, по распределению прав доступа, требований к паролям и др., как бы кто ни относился к такой «бумажной безопасности», но это важный, а иногда и обязательный компонент);
    • обучение пользователей;
    • патч-менеджмент;
    • резервное копирование информации;
    • внедрение дополнительных систем (IPS/IDS, сканеры уязвимостей, сервисы фильтрации DNS трафика и др.)
    • возможно привлечение независимых подрядчиков для проведения аудита/пентеста.

    Чтобы «не прыгать в ширину», оставим эти вопросы для следующего раза, сосредоточившись на построении именно эшелонированной антивирусной защиты.

    Рассмотрим упрощенную схему сети предприятия. В ней, как правило, присутствуют рабочие станции пользователей, серверы для внутренних сервисов (AD, file-server, print-server, ERP и т.д.) и серверы обеспечивающие связь с внешним миром (Mail, Proxy, FTP и т.д.). На схеме следует учесть такое явление как BYOD.


    На какие параметры смотрим



    При выборе антивирусного решения полагаем обязательным наличие единой консоли управления всеми продуктами, в которой можно отслеживать состояние и собирать статистику со всех узлов, распространять и контролировать состояние обновлений баз и других компонент, возможно централизованное распространение антивируса (для большинства платформ).

    Далее, помимо стоимости, целесообразно обратить внимание на следующие параметры:

    • покрытие используемых на предприятии платформ (типов и версий версий ОС, аппаратного обеспечения);
    • влияние на производительность основных задач;
    • качество обнаружения (с учетом сферы бизнеса организации и страны её расположения);
    • качество лечения (этот параметр часто забывают);
    • наличие квалифицированной тех.поддержки, желательно на родном языке;
    • наличие сертификатов — при наличии соответствующих требований.

    При внимательном рассмотрении перечисленных параметров становится ясно, что выбор только усложняется: WinXP не спешит уходить, в тоже время, от его поддержки производители отказываются, даже у мировых лидеров рынка поддержка некоторых платформ может быть «для галочки» (линейка Windows может поддерживаться начиная уже только с Win7, не на все дистрибутивы Linux / Unix удастся установить продукт, специальные версии продуктов для мобильных платформ или систем виртуализации), сравнений антивирусов много и часто только по критерию обнаружения, но достоверность сравнений и применимость полученных результатов в вашей ситуации может вызывать вопросы.

    Единое антивирусное решение


    Владение одним антивирусным решением, по объективным показателям, таким как стоимость лицензий, обучение персонала, выделение ресурсов для консоли администрирования, обычно выходит дешевле. Но это верно при отсутствии заражений, а оценить заранее масштабы последствий практически невозможно.

    Отметим только, что в случае заражения новым вредоносным кодом локализовать его распространение практически невозможно, а выявить источник и справиться с последствиями может помочь служба поддержки и вирлаб, именно для такой ситуации важны поддержка на родном языке и функционал лечения.

    Эшелонированное антивирусное решение


    Предлагаем рассмотреть и оценить подход, когда в ущерб простоты управления системой антивирусной защиты и стоимости владения предлагается использовать эшелонированную антивирусную защиту, которая включает в себя решения от нескольких производителей.

    Компьютеры, серверы и другие устройства целесообразно разделить на классы по их основному использованию. Для приведенной ранее схемы предприятия это будут:

    1. серверы, обеспечивающие коммуникации с внешним миром;
    2. серверы, обеспечивающие внутренние сервисы;
    3. рабочие станции пользователей (сюда же отнесем BYOD).

    При разделении на классы не следует увлекаться, одновременная поддержка более 4 решений может приводить к низким знаниям каждой из применяемых систем.

    Прямой обмен данными (файлами) между устройствами одного класса должен быть запрещен и ограничен техническими мерами. В таком случае данные (файлы) от точки попадания в защищаемую систему до использования на следующем устройстве будут проверены двумя антивирусами:

    • Интернет — [антивирус на mail/proxy сервере] — [антивирус на рабочей станции];
    • Зараженный сменный носитель — [антивирус на АРМ] — [антивирус на сервере] — [антивирус на АРМ];
    • Зараженный сменный носитель — [антивирус на АРМ] — [антивирус на mail/proxy сервере];
    • и т.д.

    Это, естественно, не дает 100% гарантий от заражений, но снижает риск эпидемий, способствует локализации и своевременному выявлению заражения.



    При выборе антивирусного решения для отдельного класса устройств, который явно меньше, чем весь парк компании, упрощается выбор решений по критерию поддержки применяемых платформ.
    Отдельное внимание хочется обратить на то, что для класса «серверы, обеспечивающие коммуникации с внешним миром», в отличие от других классов, функционал лечения практически не имеет значения, а обнаружение — особенное высокое.

    А не слишком ли надумано это всё


    Вполне резонный вопрос — зачем усложнять и теоретизировать, придумывать классы, внедрять несколько антивирусных решений, с учетом потенциального увеличения стоимости владения?
    Практика применения нескольких антивирусных решений по приведенной или схожей схеме встречается и, как правило, обоснована теми же соображениями, которые приведены в статье.

    UPD 1

    (благодарность muon за точную ссылку)

    Показатель М4.7 (стр. 28 СТО БР ИББС-1.2-2014)

    Организована ли в организации БС РФ эшелонированная централизованная система антивирусной защиты, предусматривающая использование средств антивирусной защиты различных производителей на:
    • рабочих станциях;
    • серверном оборудовании, в том числе серверах электронной почты;
    • технических средствах межсетевого экранирования?

    Only registered users can participate in poll. Log in, please.

    Сколько антивирусных решений (разных производителей) применяется в Вашей организации?

    • 18.1%не используем!15
    • 55.4%146
    • 20.5%217
    • 4.8%34
    • 1.2%41
    • 0.0%5+0

    Чем обусловлено применение нескольких антивирусных решений (разных производителей)?

    • 45.4%у нас от 0 до 1 антивирусов в компании, это видно из первого опроса!5
    • 0.0%так сложилось исторически и это тяготит, будем отказываться;0
    • 18.2%так сложилось исторически и всех всё устраивает;2
    • 0.0%сейчас переходный этап смены вендоров, в ближайшее время количество решений уменьшится;0
    • 36.4%сознательно построена эшелонированная антивирусная защита.4
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 47

      0
      Замутил хавки, приготовился к хардкору, а тут себе =)
        +2
        А я за чаем сходил… эх.
        Кстати, ЦБ требует иметь антивирусы хотя бы двух разных производителей.
        0

        С BYOD — точно надумано.


        Ибо антивирусы для Андроида — это обычные программы,
        работающие НЕ на уровне ядра системы,
        а в такой же песочнице, как и все остальные,


        т.е. покупка "мобильного" антивируса — это покупка воздуха,
        только воздух не создаёт ЛОЖНОЙ уверенности в защищённости устройства.

          0
          BYOD не ограничен Android, здесь встречаются разные платформы.
          Сценарий использования определяет класс, а не ОС.
            –1
            ойФоны только у топов и студентов,
            блекбери только у иносранцев
              0
              Далеко не всегда так как вам кажется.
                –1
                я не утверждаю, что всегда
                из примерно 2000 моих бывших коллег
                у десяти — айфоны (из них 7 — топы или учередители)
                и у двух — блэкбери (но они — в Канаде)

                в заМКАДье процент, наверное, ещё выше
                но, конечно встречаются «странные фирмы»

                например, мой знакомый, который купил себе айфон,
                ищет на LinkedIn работу с зарплатой 5000 $
                а тот, который с блекбери — уже нашёл с 3000 $

                но представить себе фирму,
                где обратное соотношение
                (99% работников — гики или с зарплатами по 200000 руб./мес.)
                в России в 2017 году — я не могу

                ГАЗПРОМ?
                  0
                  Ноутбуки, планшеты… На иллюстрации, возможно, не самая удачная картинка.
                    –2
                    iPadы — да = используются в моём окружении, примерно 10%
                    но у меня непропорционально много мажориков (заМКАДных) и состоятльных людей

                    а вот в профессиональной среде именно Маков очень мало
                    даже когда есть выбор (контора платит)

                    был один инженер с макбуком на Убунте
                    и один топ с виндой в Parallels
                      +1
                      Ноутбуки и планшеты работают и под Windows/Linux разных версий
                        –1
                        Я никогда не видел BYOD-ноутбуков и BYOD-планшетов,
                        на которых именно работали бы.

                        Видел только «лопатофоны».
                          0
                          Что такое BYOD-ноутбук? Он чем-то отличается от обычного YOD, который можно B? Неужели люди не приносят на работу свои ноуты там, где это разрешено?
                            0
                            Разрешение приносить (точнее — отсутствие запрета) не означает автоматического разрешения на доступ к корпоративным данным, особенно если для этого необходимо специфическое ПО.
                    +1
                    ну это вы в крайности… у нас в компании на каждые 10 человек один не с айфоном.
                    Примерно 50% рабочих мест с маками (book pro и imac). Не у технической поддержки конечно, но в общем разброс по должностям имеется (не у всех топов маки, не у всех инженеров винда/никсы).

                    PS: з/п рыночные.
                      –3
                      Ну не знаю.

                      Есть даже дизайнеры знакомые с мировой известностью и признанием отрасли,
                      но монитор ACER, а память — с Савёловского рынка.

                      И не парятся, что «Стиви осудит»

                      У них уж точно нет недостатка в деньгах.

                      IMHO поголовно использующие Mac разработчики/ops-ы — это какие-то нездоровые инфантильные школолошки
                        +2
                        Мне кажется, что это просто в вашем воображение, люди, которые покупает макбук для работы, могут быть только инфантильными школолошками. Возможно дело в том, что вы считаете зрелость человека в умение, по вашему убеждению правильно, тратить деньги.
                        Вы опять вдаётесь в какие то крайности своего мира. Причины у всех разные и вряд ли вам должно быть дело до причин возникновения желания купить то, чем нравится пользовать. Дети моих друзей не могут ответить на вопрос, зачем им именно айфон, а не какой нибудь другой телефон в 5-6 классе. Но нам в среднем по 30.
                          –3
                          И вы тоже не можете

                          из вас — 80% используют возможности iPhone-jd на 20 процентов,
                          большинству великовозрастных эмобоев-вэйперов хватило бы и «кнопочного бабушкофона», но «не круто».

                            +2
                            Хорошо, что вы знаете, почему людям не надо покупать айфоны и что им на самом деле нужно. Мне кажется это идея поможет вам стать успешным тренером личности. Не упустите свою возможность!
                              –2
                              1) людям НАДО покупать айфоны
                              и я даже перечислил — в каких случаях:
                              а) руководитель, т.е. человек, не пренадлежащий себе
                              — его положение (должность) обязывает — идиоты вокруг
                              не понимают и не умеют быстро оценивать качества личности и соответствие её должности/функции,
                              а айфон является простым и доступным ограниченному пониманию маркером
                              iPhone — это в сране третьего мира — «трубка белых господ»
                              — карго-культ,
                              функция — демонстрировать крутизну, причём так, чтобы видно было всем, даже самым тупым
                              б) школьники, которые ничего из себя не представляют
                              в) люди, попавшие в окружение богатых идиотов — чтобы не выделяться,
                              к сожалению, и небогатых — тоже

                              2) мне не нужно
                              становиться УСПЕШНЫМ
                              ибо «успешность» — это навязанный СМИ
                              (средствами массовой идиотизации гоев)
                              стереотип поведения потребителя,
                              выгодного тому, кто этого потребителя доит

                              у меня цель не в том,
                              чтобы развести на секс любую дуру (успех)
                              а в том, чтобы всю жизнь прожить с одной (2,3)
                              самой лучшей женщин-ой(-ами), с которыми есть гармония
                              и получить от неё(них) в подарок наследников

                              мне не нужен успех — я уже счастлив

                              дебилов тренировать бесполезно,
                              а умные — сами могут меня натренировать
            0
            Прямой обмен данными (файлами) между устройствами одного класса должен быть запрещен и ограничен техническими мерами.

            То есть, например, "серверы, обеспечивающие внутренние сервисы" между собой прямого обмена иметь не должны? Вы уверены, что хорошо продумали решение? :)

              0
              Серверы, как правило, предоставляют сервисы, в т.ч. друг другу, опишите задачи, при которых необходим обмен файлами между серверами, кроме резервного копирования и централизованного распространения обновлений, которые не требуют контроля со стороны администраторов или другого квалифицированного персонала, который может выполнить необходимую антивирусную проверку.
                0

                Ну вот просто что сходу перечисляется — СЭД, хранящая файлы на файл-сервере, веб-портал, хранящий их там же, файл-сервера, реплицирующие между собой разные наборы файлов, и т.д., и т.п. А если учесть, что для серверов опасность представляют вовсе не хранящиеся на них файлы, а эксплойты в сетевых протоколах и службах, то всё ещё интереснее становится. То, о чем вы пишете (ограничить прямой обмен между серверами) — попросту технически невозможно, за исключением каких-то очень примитивных сред, где ни о какой эшелонированной защите вообще речи не пойдет в силу их примитивности.

                  0
                  Файлы в СЭД (в файл-сервер и т.д.) попадают не из воздуха, а с АРМ пользователей.
                  Для каких задач, файл-сервер или веб-портал используются другими серверами для получения файлов без участия администраторов, которые могут выполнять необходимые мероприятия по антивирусной проверке?

                  Исключения, очевидно, будут, отказываться от репликации БД внутри кластера, также как и блокировать обращения к AD/DHCP/DNS/внутреннему репозиторию/WSUS не следует, но это, обычно, не сильно [в отдельных сценариях сильно] снижает защиту от вредоносного кода.
                    0
                    Файлы в СЭД (в файл-сервер и т.д.) попадают не из воздуха, а с АРМ пользователей.

                    Во-первых, не всегда именно оттуда — могут и автоматически генериться по шаблонам, и с какого-нибудь почтового сервера. Во-вторых, ну и что? Каким образом это делает правильным подход "надо запретить прямой обмен между серверами"?


                    Исключения, очевидно, будут,

                    Взаимодействие между собой серверов и передача данных между ними — это норма, а не исключения, понимаете?

                      0
                      Серверы СЭД и почтовый могут находиться в разных классах, как на схеме.
                      Обмен данными норма, но он должен быть регламентирован, а не абстрактно-хаотичным.
                        0
                        Серверы СЭД и почтовый могут находиться в разных классах, как на схеме.

                        Ну и что? Обмен между разными классами вы как раз не ограничиваете, а пишете о каких-то специальных ограничениях для серверов одного класса:


                        Прямой обмен данными (файлами) между устройствами одного класса должен быть запрещен и ограничен техническими мерами.

                        То есть по каким-то не описанным вами соображениям надо "запретить" серверу СЭД класть документы на файл-сервер, файл-серверу — реплицировать файлы на другой сервер в филиале, и т.п. Зачем? Что это за причины? Почему с почтовика в СЭД — можно, а из СЭД на файл-сервер — нельзя?

                          0
                          Вы предполагаете, что перечисленные вами серверы в одном классе, но это может быть не так.
                            0

                            Я уже вообще ничего не предполагаю, а просто задаю прямые вопросы, от ответа на которые вы уходите. Впрочем, ладно, мой изначальный вопрос был насчет продуманности, тут, думаю, всё предельно ясно. :))

                              0
                              Надо продумать деление на классы для конкретной системы, а не сферического коня в вакууме, это предельно ясно.
              0
              В данной статье сознательно не рассмотрены вопросы сегментации сетей, ограничениях трафика, сбора и анализа событий о нарушениях правил движения трафика, чтобы сократить размер и акцентировать внимание на антивирусном ПО.
                +1
                Компьютеры, серверы и другие устройства целесообразно разделить на классы по их основному использованию. Для приведенной ранее схемы предприятия это будут:
                серверы, обеспечивающие коммуникации с внешним миром;
                серверы, обеспечивающие внутренние сервисы;
                рабочие станции пользователей (сюда же отнесем BYOD).

                Отлично — рабочие станции и приносимые устройства сотрудниками в одну группу.

                  0
                  Деление на классы каждый делает сам, имея разные исходные данные.
                  С т.з. платформ рабочие устройства и устройства BYOD могут иметь значительное пересечение (ноутбуки с настольными ОС, планшеты и др.). По сценарию использования эти устройства схожи. Поэтому на иллюстрации эти устройства включены в один класс.
                    0
                    Если у применяете несколько антивирусных решений, как это аргументируете?
                      0
                      наверное самый очевидный вариант — увеличения вероятности обнаружения угроз за счёт проверки несколькими реализациями защиты (написанными разными компаниями) + покрытие потенциальных угроз возможно разным набором сигнатур.
                      НО т.к.
                      Отметим только, что в случае заражения новым вредоносным кодом локализовать его распространение практически невозможно

                      является фактом, то денег можно потратить много, а результата не будет.

                      Но статья конечно жиденькая. Много где вилами по воде, а вышеприведённая цитата резко уменьшает желание покупать разные антивирусные решения, так как вероятность попасть на зловред, сигнатура которого уже есть в одном антивирусном продукте, но нет в другом, настолько мала, что лучше уделить побольше внимание бэкапу.
                      Когда то давно, здесь на Хабре, прочитал статью, про логику выстраивания бэкапа, суть которой заключалась в том, что бэкап должен быть слит как минимум в два других хранилища, одно из которых находится в другой географической локации, а другое имеет другой тип хранения, отличный от первых двух. К сожалению было это так давно, что не смог её найти и поделить линком.
                        0
                        Приведенная цитата из раздела, описывающего применение единого решения, показывающая недостаток единого решения — как это влияет на выбор внедрения нескольких антивирусных решений?
                          0
                          Приведу реальный пример: загрузчик (постоянно модифицируется) прорвался на конечную рабочую машину пользователя (что случается) в виде очень качественно составленного письма (антиспам и осторожность сотрудника не сработали) и мотивировал пользователя перейти по ссылке, но заражение не произошло, т.к. антивирус, контролирующий трафик заблокировал скачивание основной нагрузки.
                            0
                            Похоже я под «различными антивирусными решениями» подразумевал различных вендоров со своим «уникальным» продуктом… А вы тип защиты для разных мест её применения. Поэтому я и писал про разный набор сигнатур от разных вендоров.
                            Тогда суть статьи в том, что не надо ограничиваться антивирусом на компе у пользователя, а поставьте так же на сервачки специально под конкретные сервисы и могильники. Ну ок… вот только новый зловред всё равно не встретит на пути препятствий…
                              0
                              В статье и в опросе — антивирусные решения (разных производителей) — назовите производителей вендорами, это не меняет сути.
                              Компьютеры, серверы и другие устройства целесообразно разделить на классы по их основному использованию и для каждого класса выбрать решения разных производителей.
                              Целесообразно, чтобы обеспечивалась многоуровневая (хотя бы двух) проверка по всем основным каналам возможного распространения вредоносов, для этого и вводятся ограничения передачи данных/файлов внутри класса.
                                0
                                В таком случае использовать разных производителей даст результат лишь в очень удачном стечение обстоятельств. Новый зловред оба знать не будут, пока сами его не словят.
                                С одной стороны инфраструктура защиты, которую мониторить и администрировать придётся разными средствами, с другой стороны некая вероятность, что одни уже успели создать сигнатуры или алгоритм анализа, а другие могли не успеть. Вот мне кажется только между этими вариантами и надо взвешиваться, нужно ли брать. Точечная атака пройдёт успешно (если положить только на антивирусную защиту, как мы все понимаем).
                                  0
                                  Поддержка (фактическая, а не только по рекламе) производителями применяемых платформ также важный вопрос, который частично решается делением на классы.
                                    0
                                    Да, важный. Вот только когда «всё уже украдено до нас», поздно метаться, так как система скомпрометирована. Разве что найти и устранить дыру. Но нет гарантий, что не заложили бэкдорчик и пр. в общем дальше мне кажется рассуждение сведётся к философии в разрезе вечности…
                                    Когда вошли в моду шифровальщики, из 7 моих запросов в хелпдески (двух разных вендоров) (я тогда занимался проектом по IT аутсорсу юрлиц) — помогли только 2 раза. В остальных 5 ничего не получилось восстановить.
                                      0
                                      А как была (и была ли) построена защита предприятий от вредоносного кода, которые были поражены шифровальщиками?
                                      Были ли среди них организации, где два или более антивирусных решения от разных разработчиков?
                                        +1
                                        Персональные инсталляции антивируса на рабочие станции. Шары и терминального сервера общего не было на тот момент. прилетело всё через почту с вызывающими текстами (типа требование из налоговой или от сбербанка)…

                                        Соответственно двойной защиты не было, НО был момент, когда на одной и той же неделе это происходило с двумя компаниями одновременно: одна использовала Касперский, который покупали сами, а другая ESET, который мы продавали нашим клиентам. Было это больше 6 лет назад, поэтому подробностей по версиям сказать не могу, но суть в том, что версии антивирусов стояли актуальные, а на рабочих станциях была WinXP по соображениям наличия только этой лицензии. В аутлуке почта проверялась антивирусами.

                                        И как итог — никто не определили свежеупакованный зловред, хоть и по отдельности.
                                          0
                                          Зловред (загрузчик или др.компонент) был один и тот же или разные? Если второе, сравнивать в этих случаях нечего, кроме близости по времени.
                                          Как правило, пересылка исполняемых файлов блокируется (принудительно в карантин) на почтовом сервере компании.
                                          С поступающими ссылками сложнее, они часто сразу ведут на часто обновляемую копию зловредя
                                            0
                                            который может не детектироваться, антивирусные списки блокировки доменов/URL на прокси подстраховывают, но естественно не дают 100% защиты
                                              0
                                              почта была личная/рабочая на mail.ru в одной компании и не помню что — в другой, обычный домашний роутер… маленькие компании, на 10-12 человек.
                                              не помню, один и тот же зловред в плане упаковщика был или нет, но адрес для запроса стоимости и получения дешифровальщика — одинаковые. Да и какая разница? Даже если были разные и ни один из них не был обнаружен — это отсылка к такому утверждению, что спрятаться вообще не проблема в первые сутки распространения. А я как бы не просто пользуюсь этим утверждением, а сам знаю, что спрятаться не проблема (уже в институте без проблем писали модификации упаковщиков, которые скрывали уже на тот момент всем известный kaht… что уж говорить про мотивацию тех, кто решил заработать на это денег). (МИРЭА, ВМС)
                          0
                          del (не та ветка)

                          Only users with full accounts can post comments. Log in, please.