Контакты
Подписка 2024
Статьи по информационной безопасности

Можно ли обойтись без потокового антивируса в NGFW?

Василий Севостьянов, 27/12/23

Современные межсетевые экраны следующего поколения (NGFW) помимо других модулей обработки трафика включают в себя и потоковый антивирус – инновационную технологию, спроектированную для эффективного обнаружения и блокирования вирусов и вредоносного программного обеспечения на уровне сетевого трафика. Давайте рассмотрим ключевые аспекты работы этой технологии и выясним, в чем заключаются ее отличия от традиционных методов борьбы с угрозами.

Автор: Василий Севостьянов, начальник отдела технического сопровождения продаж ООО “Доктор Веб"

Зачем нужен потоковый антивирус в NGFW

Многофункциональный межсетевой экран (так теперь называется NGFW по версии профилей ФСТЭК России) является первым рубежом обороны периметра. Основная его функция – не допустить злоумышленника внутрь защищаемого периметра. Такое проникновение может быть реализовано различными способами, в том числе и с помощью вредоносного программного обеспечения, переданного внутреннему пользователю.

Безусловно, трафик проходит целый ряд формальных фильтров от L4 до L7, чтобы выявить признаки, по которым его можно будет заблокировать. Но анализ содержимого сетевого трафика с помощью потокового антивируса создает дополнительный эшелон защиты, который повышает шанс выявления такого вредоносного программного обеспечения еще до его попадания вовнутрь защищаемого периметра.

Потоковый антивирус анализирует трафик в реальном времени по мере его передачи, что позволяет выявлять и блокировать вредоносные файлы и угрозы на самых ранних этапах, задолго до достижения конечного устройства.

Потоковый антивирус может интегрироваться с другими функциями NGFW, такими как системы предотвращения вторжений (IPS), контентная фильтрация, идентификация приложений и др. для обеспечения комплексной защиты сети. Он может быть настроен в соответствии с политиками безопасности организации, что позволяет контролировать и блокировать определенные типы файлов или вредоносные паттерны.

Кто и как его делает?

Архитектурно потоковый антивирус можно условно разложить на две компоненты – собственно сканирующий движок и сигнатурные базы. Задача движка – быстрый анализ загружаемых данных на лету, задача сигнатурных баз – дать движку знать, что именно вылавливать в анализируемом потоке данных.

Движок делается командой программистов, сигнатурные базы – командой вирусных аналитиков, занимающихся мониторингом угроз, – они выявляют наиболее актуальные угрозы и формируют перечень сигнатур, по которым их можно выявлять в потоке сетевого трафика.

Движок потокового антивируса представляет собой программное ядро, которое выполняет анализ файловых объектов, выявленных NGFW в потоке сетевого трафика на предмет вирусов и вредоносного программного обеспечения.

Движок включает сканер, который работает в режиме реального времени и анализирует поступающие файлы. Сканер проверяет каждый передаваемый файловый объект на наличие признаков вредоносного кода.

Движок может включать в себя различные оптимизации производительности, такие как кеширование результатов предыдущих анализов, распараллеливание обработки и другие техники для эффективной обработки сетевого трафика без значительного снижения производительности.

Что будет без антивируса в NGFW?

Очевидно, что отсутствие потокового антивируса в качестве одного из модулей NGFW снижает количество защитных механизмов на страже внешнего периметра, что повышает риск проникновения вредоносного кода на компьютеры. А это, в свою очередь, повышает нагрузку на последующие рубежи обороны: как известно, безупречных средств защиты не существует и всегда есть риск, что тот или иной образец вредоносного кода пройдет через защитный слой. Поэтому чем больше у него на пути будет выстроено барьеров, тем ниже шанс, что вредоносный код сможет пройти их все.

Многие современные кибератаки проходят с использованием файлов как контейнеров для распространения и доставки вредоносного кода. Потоковый антивирус способен обнаруживать и блокировать такие атаки на ранних этапах.

Место потокового антивируса в NGFW

Любой межсетевой экран нового поколения реализует определенную цепочку обработки сетевого потока, которая состоит из последовательности тех или иных операций. По мере их выполнения NGFW принимает решение о том, что делать с анализируемой порцией данных.

В этом процессе в том числе производится определение типа передаваемых данных, и в случае, если в потоке обнаруживается файловый тип данных, он может быть передан на анализ потоковому антивирусу, который подключается в виде внешнего исполняемого модуля.

Такой модуль специализирован на анализе именно потока данных. Другими словами, он проводит анализ по мере передачи данных и ему не требуется сохранять содержимое файла в память, и сигнатуры для него подготовлены в расчете именно на это – в этом их принципиальное отличие от традиционных антивирусных сигнатур. В момент завершения передачи файлового потока NGFW передает антивирусному ядру сигнал, и в этот момент антивирусный модуль выносит вердикт о наличии или отсутствии признаков вредоносного кода в переданном файловом объекте.

Обычный и потоковый антивирус: в чем разница?

Компания "Доктор Веб" предлагает два движка для NGFW, поточный и непоточный. Давайте посмотрим, в чем разница между ними.

В целом различия между потоковым и обычным антивирусом обусловлены их применением и контекстом использования.

Основная разница между поточным и обычным движками – это то, что поточный движок предназначен для анализа файлов еще в процессе их получения, без сохранения всего объема файла в памяти, и должен делать это на лету с минимальной задержкой. Обычный движок предназначен анализировать весь файл целиком и не имеет столь строгих ограничений на время обработки отдельного образца.

Потоковый антивирус оптимизирован для быстрого и эффективного сканирования файловых объектов из сетевого трафика в реальном времени без значительного влияния на производительность сети. В то же время он не может позволить себе затратить заметную часть системных ресурсов на анализ, вследствие чего предназначен выявлять наиболее массовые известные угрозы, отсекая их на внешнем периметре.

Обычный антивирус имеет возможность тратить больше времени и сосредотачиваться на глубоком и тщательном сканировании файлов и систем. Чаще всего он ориентирован на сканирование файлов и данных, хранящихся на устройствах конечных пользователей.

Тренды развития потоковых антивирусов

Искусственный интеллект и машинное обучение

Современные потоковые антивирусные решения все чаще оснащаются технологиями искусственного интеллекта и машинного обучения. Эти методы позволяют создавать более точные и адаптивные модели обнаружения угроз, способные выявлять новые и эволюционирующие виды вредоносного программного обеспечения.

Облачные технологии

Интеграция с облачными технологиями становится ключевым трендом. Перенос функциональности потокового антивируса в облако позволяет эффективнее масштабировать решения, обеспечивать более быстрый доступ к обновлениям сигнатур и улучшать общую гибкость систем безопасности.

Углубленный анализ поведения

Трендом становится усиление анализа поведения сетевого трафика. Вместо статического анализа файлов более современные потоковые антивирусы акцентируют внимание на обнаружении подозрительных поведенческих паттернов, что позволяет выявлять угрозы, основанные на их действиях в сети.

Гибридные решения

Наблюдается стремление к созданию решений, объединяющих потоковый антивирус с другими средствами защиты, такими как системы IPS. Это позволяет обеспечивать более комплексную защиту, охватывающую различные виды угроз.

Специализированные версии для отраслей

В ответ на растущие требования кибербезопасности в различных отраслях (здравоохранение, финансы, промышленность) разработчики потоковых антивирусов стали предлагать специализированные версии, адаптированные под уникальные потребности конкретных секторов.

Автоматизированный анализ больших данных

С увеличением объемов данных, передаваемых по сети, потоковые антивирусные решения все чаще внедряют автоматизированные методы анализа больших данных. Это позволяет обнаруживать и реагировать на угрозы в реальном времени при обработке огромных объемов информации.

Фокус на управлении угрозами

С появлением более сложных и целенаправленных кибератак потоковые антивирусные решения стали акцентировать внимание на управлении угрозами (Threat Intelligence). Интеграция с базами данных угроз и системами обмена информацией о безопасности позволяет быстрее реагировать на новые угрозы.

Заключение

Тренды в развитии потоковых антивирусных решений свидетельствуют о постоянном стремлении к совершенствованию технологий безопасности и адаптации к меняющемуся киберпространству. Эти инновации направлены на более эффективное обнаружение и предотвращение современных киберугроз, делая сетевую безопасность более надежной и прогрессивной.

С уверенностью можно сказать, что роль потокового антивируса как дополнительного слоя в эшелонированной системе защиты, которую реализуют NGFW-решения, будет укрепляться.

Компания "Доктор Веб" предлагает российским разработчикам использовать в своих решениях технологии Dr.Web. Чтобы узнать больше, пишите нам на почту ngfw_research@drweb.com.

ris2-Dec-26-2023-12-26-55-5316-PM

ДОКТОР ВЕБ
125124, Москва, 3-я ул. Ямского поля, 2, к. 12А
Тел.: 8 (800) 333-7932, +7 (495) 789-4586
www.drweb.ru 

Реклама ООО "Доктор Веб",  ИНН 7714533600, ERID 2SDnjeXzt9W
Темы:"Доктор Веб"антивирусыNGFWЖурнал "Информационная безопасность" №6, 2023

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024
Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Российские NGFW глазами заказчика: основные проблемы
    Андрей Нуйкин, Начальник отдела обеспечения безопасности информационных систем, блок вице-президента по ИТ компании ЕВРАЗ
    Pоссийские заказчики сталкиваются с рядом барьеров, которые мешают бесшовной миграции на отечественные NGFW.
  • О необходимости типизации российских многофункциональных межсетевых экранов
    Алексей Петухов, руководитель отдела по развитию продуктов InfoWatch ARMA
    Об особенностях разработки российских решений, соответствующих требованиям ФСТЭК России по типу ММЭ уровня сети, а также о возможностях и сценариях их использования.
  • Российские NGFW успешно захватывают долю мирового рынка информационной безопасности
    Дмитрий Хомутов, директор компании “Айдеко”
    Успешные компании рождаются не только в американских гаражах или Силиконовой долине, но и в общежитиях российских вузов. Дмитрий Хомутов, директор компании Ideco, рассказал о саморазвитии, импортозамещении, госрегулировании ИБ-рынка и влиянии заказчиков на вендоров.
  • NGFW по-русски: вчера, сегодня, завтра
    Федор Дбар, коммерческий директор компании “Код Безопасности”
    Несмотря на то что российские решения, по сути, не имеют альтернативы, у компаний все равно остаются сомнения. Считается, что любые отечественные продукты, если дело не касается танков, априори не могут быть качественными. Но так ли это на самом деле?
  • Гарда NGFW. Баланс между софтом и железом без legacy-атавизмов
    Павел Мерещук, директор по развитию специальных проектов группы компаний “Гарда”
    Своим видением того, как выглядит оптимальное соотношение между выполнением требований законодательства и сохранением нужной заказчикам функциональности в NGFW, поделился директор по развитию специальных проектов группы компаний “Гарда” Павел Мерещук.
  • И снова про ZeroTrust: реализуема ли концепция без защиты периметра?
    Вячеслав Половинко, Руководитель направления собственных продуктов АМТ-ГРУП
    Чем точно не является концепция ZeroTrust, и как создать предпосылки для ее использования

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
23 мая. Инструменты миграции на защищенный Linux
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2024, ООО "ГРОТЕК"