Контакты
Подписка 2025
Статьи по информационной безопасности

Можно ли обойтись без потокового антивируса в NGFW?

Василий Севостьянов, 27/12/23

Современные межсетевые экраны следующего поколения (NGFW) помимо других модулей обработки трафика включают в себя и потоковый антивирус – инновационную технологию, спроектированную для эффективного обнаружения и блокирования вирусов и вредоносного программного обеспечения на уровне сетевого трафика. Давайте рассмотрим ключевые аспекты работы этой технологии и выясним, в чем заключаются ее отличия от традиционных методов борьбы с угрозами.

Автор: Василий Севостьянов, начальник отдела технического сопровождения продаж ООО “Доктор Веб"

Зачем нужен потоковый антивирус в NGFW

Многофункциональный межсетевой экран (так теперь называется NGFW по версии профилей ФСТЭК России) является первым рубежом обороны периметра. Основная его функция – не допустить злоумышленника внутрь защищаемого периметра. Такое проникновение может быть реализовано различными способами, в том числе и с помощью вредоносного программного обеспечения, переданного внутреннему пользователю.

Безусловно, трафик проходит целый ряд формальных фильтров от L4 до L7, чтобы выявить признаки, по которым его можно будет заблокировать. Но анализ содержимого сетевого трафика с помощью потокового антивируса создает дополнительный эшелон защиты, который повышает шанс выявления такого вредоносного программного обеспечения еще до его попадания вовнутрь защищаемого периметра.

Потоковый антивирус анализирует трафик в реальном времени по мере его передачи, что позволяет выявлять и блокировать вредоносные файлы и угрозы на самых ранних этапах, задолго до достижения конечного устройства.

Потоковый антивирус может интегрироваться с другими функциями NGFW, такими как системы предотвращения вторжений (IPS), контентная фильтрация, идентификация приложений и др. для обеспечения комплексной защиты сети. Он может быть настроен в соответствии с политиками безопасности организации, что позволяет контролировать и блокировать определенные типы файлов или вредоносные паттерны.

Кто и как его делает?

Архитектурно потоковый антивирус можно условно разложить на две компоненты – собственно сканирующий движок и сигнатурные базы. Задача движка – быстрый анализ загружаемых данных на лету, задача сигнатурных баз – дать движку знать, что именно вылавливать в анализируемом потоке данных.

Движок делается командой программистов, сигнатурные базы – командой вирусных аналитиков, занимающихся мониторингом угроз, – они выявляют наиболее актуальные угрозы и формируют перечень сигнатур, по которым их можно выявлять в потоке сетевого трафика.

Движок потокового антивируса представляет собой программное ядро, которое выполняет анализ файловых объектов, выявленных NGFW в потоке сетевого трафика на предмет вирусов и вредоносного программного обеспечения.

Движок включает сканер, который работает в режиме реального времени и анализирует поступающие файлы. Сканер проверяет каждый передаваемый файловый объект на наличие признаков вредоносного кода.

Движок может включать в себя различные оптимизации производительности, такие как кеширование результатов предыдущих анализов, распараллеливание обработки и другие техники для эффективной обработки сетевого трафика без значительного снижения производительности.

Что будет без антивируса в NGFW?

Очевидно, что отсутствие потокового антивируса в качестве одного из модулей NGFW снижает количество защитных механизмов на страже внешнего периметра, что повышает риск проникновения вредоносного кода на компьютеры. А это, в свою очередь, повышает нагрузку на последующие рубежи обороны: как известно, безупречных средств защиты не существует и всегда есть риск, что тот или иной образец вредоносного кода пройдет через защитный слой. Поэтому чем больше у него на пути будет выстроено барьеров, тем ниже шанс, что вредоносный код сможет пройти их все.

Многие современные кибератаки проходят с использованием файлов как контейнеров для распространения и доставки вредоносного кода. Потоковый антивирус способен обнаруживать и блокировать такие атаки на ранних этапах.

Место потокового антивируса в NGFW

Любой межсетевой экран нового поколения реализует определенную цепочку обработки сетевого потока, которая состоит из последовательности тех или иных операций. По мере их выполнения NGFW принимает решение о том, что делать с анализируемой порцией данных.

В этом процессе в том числе производится определение типа передаваемых данных, и в случае, если в потоке обнаруживается файловый тип данных, он может быть передан на анализ потоковому антивирусу, который подключается в виде внешнего исполняемого модуля.

Такой модуль специализирован на анализе именно потока данных. Другими словами, он проводит анализ по мере передачи данных и ему не требуется сохранять содержимое файла в память, и сигнатуры для него подготовлены в расчете именно на это – в этом их принципиальное отличие от традиционных антивирусных сигнатур. В момент завершения передачи файлового потока NGFW передает антивирусному ядру сигнал, и в этот момент антивирусный модуль выносит вердикт о наличии или отсутствии признаков вредоносного кода в переданном файловом объекте.

Обычный и потоковый антивирус: в чем разница?

Компания "Доктор Веб" предлагает два движка для NGFW, поточный и непоточный. Давайте посмотрим, в чем разница между ними.

В целом различия между потоковым и обычным антивирусом обусловлены их применением и контекстом использования.

Основная разница между поточным и обычным движками – это то, что поточный движок предназначен для анализа файлов еще в процессе их получения, без сохранения всего объема файла в памяти, и должен делать это на лету с минимальной задержкой. Обычный движок предназначен анализировать весь файл целиком и не имеет столь строгих ограничений на время обработки отдельного образца.

Потоковый антивирус оптимизирован для быстрого и эффективного сканирования файловых объектов из сетевого трафика в реальном времени без значительного влияния на производительность сети. В то же время он не может позволить себе затратить заметную часть системных ресурсов на анализ, вследствие чего предназначен выявлять наиболее массовые известные угрозы, отсекая их на внешнем периметре.

Обычный антивирус имеет возможность тратить больше времени и сосредотачиваться на глубоком и тщательном сканировании файлов и систем. Чаще всего он ориентирован на сканирование файлов и данных, хранящихся на устройствах конечных пользователей.

Тренды развития потоковых антивирусов

Искусственный интеллект и машинное обучение

Современные потоковые антивирусные решения все чаще оснащаются технологиями искусственного интеллекта и машинного обучения. Эти методы позволяют создавать более точные и адаптивные модели обнаружения угроз, способные выявлять новые и эволюционирующие виды вредоносного программного обеспечения.

Облачные технологии

Интеграция с облачными технологиями становится ключевым трендом. Перенос функциональности потокового антивируса в облако позволяет эффективнее масштабировать решения, обеспечивать более быстрый доступ к обновлениям сигнатур и улучшать общую гибкость систем безопасности.

Углубленный анализ поведения

Трендом становится усиление анализа поведения сетевого трафика. Вместо статического анализа файлов более современные потоковые антивирусы акцентируют внимание на обнаружении подозрительных поведенческих паттернов, что позволяет выявлять угрозы, основанные на их действиях в сети.

Гибридные решения

Наблюдается стремление к созданию решений, объединяющих потоковый антивирус с другими средствами защиты, такими как системы IPS. Это позволяет обеспечивать более комплексную защиту, охватывающую различные виды угроз.

Специализированные версии для отраслей

В ответ на растущие требования кибербезопасности в различных отраслях (здравоохранение, финансы, промышленность) разработчики потоковых антивирусов стали предлагать специализированные версии, адаптированные под уникальные потребности конкретных секторов.

Автоматизированный анализ больших данных

С увеличением объемов данных, передаваемых по сети, потоковые антивирусные решения все чаще внедряют автоматизированные методы анализа больших данных. Это позволяет обнаруживать и реагировать на угрозы в реальном времени при обработке огромных объемов информации.

Фокус на управлении угрозами

С появлением более сложных и целенаправленных кибератак потоковые антивирусные решения стали акцентировать внимание на управлении угрозами (Threat Intelligence). Интеграция с базами данных угроз и системами обмена информацией о безопасности позволяет быстрее реагировать на новые угрозы.

Заключение

Тренды в развитии потоковых антивирусных решений свидетельствуют о постоянном стремлении к совершенствованию технологий безопасности и адаптации к меняющемуся киберпространству. Эти инновации направлены на более эффективное обнаружение и предотвращение современных киберугроз, делая сетевую безопасность более надежной и прогрессивной.

С уверенностью можно сказать, что роль потокового антивируса как дополнительного слоя в эшелонированной системе защиты, которую реализуют NGFW-решения, будет укрепляться.

Компания "Доктор Веб" предлагает российским разработчикам использовать в своих решениях технологии Dr.Web. Чтобы узнать больше, пишите нам на почту ngfw_research@drweb.com.

ris2-Dec-26-2023-12-26-55-5316-PM

ДОКТОР ВЕБ
125124, Москва, 3-я ул. Ямского поля, 2, к. 12А
Тел.: 8 (800) 333-7932, +7 (495) 789-4586
www.drweb.ru 

Реклама ООО "Доктор Веб",  ИНН 7714533600, ERID 2SDnjeXzt9W
Темы:"Доктор Веб"антивирусыNGFWЖурнал "Информационная безопасность" №6, 2023

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Обзор китайского рынка NGFW
    Азиатско-Тихоокеанский регион, где доминирует Китай, стал вторым по величине рынком NGFW в мире и уже в 2023 г. генерировал свыше 30% мирового спроса. При этом глобальный рынок по-прежнему возглавляют западные вендоры, тогда как из китайских компаний в топ-5 присутствует только Huawei с долей около 3,5%. Совокупная доля китайских производителей на мировом рынке остается скромной и оценивается в 5–10%.
  • Выбор NGFW: венчурные инвестиции или ставки на спорт?
    Наталья Онищенко, эксперт по ИБ в компании энергетической отрасли
    Для заказчиков выбор решения NGFW превращается в сложный компромисс, ведь рынок предлагает множество вариантов, каждый из которых силен в чем-то своем. Одни устройства отличаются высокой производительностью, но ограничены по функциональности, другие предлагают широкий набор возможностей, но уступают в стабильности. Ситуация осложняется, когда требуется учитывать отраслевую специфику или особенности существующей инфраструктуры. В итоге заказчикам приходится искать баланс между требованиями безопасности, удобством управления и техническими характеристиками, что далеко не всегда просто.
  • Из истории одного проекта по замене NGFW
    Алексей Хмыров, руководитель отдела по развитию бизнеса АО “ЭЛВИС-ПЛЮС”
    Комплексный проект по созданию системы защиты объекта КИИ, о котором пойдет рассказ, стартовал до ввода в действие нормативно-правовой базы о технологической независимости, но к завершающей стадии проекта мы все же столкнулись с этими изменениями в законодательстве. Рассмотрим, каким образом удалось перестроить проект и преодолеть возникшие сложности в части использования решений класса NGFW.
  • Секреты эффективного взаимодействия NGFW и SOC
    Андрей Ларшин, руководитель направления NGFW, RED Security
    NGFW и SOC – это передовые инструменты для обеспечения безопасности корпоративных сетей. RED Security предлагает услуги собственного SOC в формате MSS-сервиса, а также ведет разработку собственных решений в области сетевой безопасности. Рассмотрим, основываясь на накопленном опыте, как эти технологии связаны между собой, как дополняют друг друга и какие сложности в связи с этим возникают.
  • Без паники, интегратор знает путь
    Сергей Мотовилов, операционный директор ООО “Глобал АйТи”
    В России насчитывается как минимум четыре десятка производителей NGFW с широким разбросом функциональных возможностей. Но сложность выбора лежит не только в технической плоскости, но и в адаптации понравившегося решения к задачам бизнеса. В такой ситуации партнерство с системным интегратором, обладающим опытом работы с отечественными продуктами, становится не просто желательной, а необходимой мерой.
  • Отечественные NGFW против зарубежных: стоит ли сравнивать?
    Юрий Лукович, президент АО “ЦИКАДА”
    Центробанк обяжет банки России внедрить передовые технологии защиты инфраструктуры, что станет новым этапом развития для разработчиков программно-аппаратных решений, в том числе в сегменте NGFW. И в ноябре 2024 г. Банк России начал сравнительное тестирование отечественных межсетевых экранов нового поколения. Методика тестирования уже разработана, но пока не опубликована.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"