Контакты
Подписка 2024
Статьи по информационной безопасности

Заметки об использовании антивирусного ПО в организациях

Артем Тиунов, 18/02/21

Авторы: Артем Тиунов, Александр Панкин, Денис Давид, ООО “ИНФОРИОН”

Ваш единственный начальник – это ваш покупатель. Этот человек способен разорить целую компанию или понизить ее директора в должности до охранника, просто начав регулярно покупать товары в другом магазине.
    - Сэм Уолтон, основатель Wal-Mart

Изначальная задача антивирусного программного средства – противодействие вредоносному коду, способному нанести ущерб информационной системе. Безусловно, эта функция осталась основополагающей, но на сегодняшний день каждый уважающий себя продукт оброс большим количеством дополнительной функциональности, обеспечивающей комплексную защиту не только от “зловредов” (см. таблицу).

Антивирусы с точки зрения ИБ

Основная цель

Основная цель использования антивирусного ПО – обеспечить максимальную защиту информационных систем организации при низких затратах на приобретение и относительно невысоких требованиях к производительности.

Оптимизация

Простота обучения сотрудников – системных инженеров и администраторов. Минимальное количество задействованного персонала при эксплуатации решений, а также возможность централизованного управления безопасностью рабочих станций и серверов.

Возможности

Использование антивирусов в окружении стороннего и даже самописного программного обеспечения, а также в свободно распространяемых операционных системах. Интеграция в имеющуюся информационную структуру компании.

Антивирусы с точки зрения комплаенса

Особенности законодательства

С этой точки зрения выбор антивирусного ПО осуществляется исходя из тех или иных требований к производителю (реестр российского ПО), сертификации (ФСТЭК, ФСБ), шифрованию (ГОСТ).

Государственный сегмент организаций

В этом сегменте важно низкое потребление антивирусом вычислительных ресурсов, возможность работы с морально устаревающими программно-аппаратными средствами и операционными системами, а также простота в использовании без дополнительного обучения сотрудников.

Соответствие высоким параметрам защищенности

Выполнение требований в соответствии с указаниями регуляторов, но не больше, чтобы случайно не быть заподозренным в нецелевом расходовании бюджетных средств.

Возможно ли представить организацию без антивируса?

Как показывает практика, не защищенные антивирусом персональные компьютеры подвергаются заражениям гораздо чаще.

Каким бы опытным ни был пользователь, наличие антивирусной защиты в разы снижает уровень заражений и повышает безопасность обрабатываемой в организации информации, что сокращает финансовые убытки и сохраняет конфиденциальность критически важных сведений.

Разворачиваем продукт

Централизация управления и дистанционная установка компонентов стали стандартом де-факто, что позволяет обеспечить инфраструктуру минимальным набором функций защиты уже через несколько часов работы. Производители антивирусного ПО стремятся предложить базовую, компромиссную конфигурацию между защитой и производительностью. В особенно важных аспектах, однако, упор делается на включение полноценной локальной антивирусной защиты.

После этого, как и для большинства решений других типов, наступает долгий период кропотливой точечной настройки, в течение которого происходит оптимизация и добавление новых логических правил, специфичных для конкретной инфраструктуры. Продолжаться это может бесконечно.

После этапа установки мы рекомендуем произвести обязательные действия:

  • настроить график, а также источник обновления антивирусного решения;
  • сформировать список ресурсов и приложений, к которым доступ пользователей будет ограничен через серверные оснастки (нежелательные ресурсы, социальные сети, торренты, видеоресурсы, не относящиеся к рабочему процессу).

Как защититься "на удаленке"

Все больше организаций предоставляют служебные лэптопы для работы дома или допускают использование личных ноутбуков и ПК сотрудников. Во втором случае, впрочем, придется решать вопрос увеличения необходимого количества антивирусных лицензий, а также находить решения для маломощных домашних устройств или альтернативных ОС.

Несмотря на это, существуют механизмы защиты рабочих станций даже в таких условиях. Антивирусная защита позволяет провести гибкую настройку для работы в домашних условиях, чтобы обеспечить безопасность внутренней инфраструктуры организации.

К таким настройкам относятся:

  • ограничение доступа к внутренним ресурсам организации извне;
  • дополнительные аутентификации для доступа в безопасные зоны;
  • логирование и сбор данных на компьютере управления;
  • выведение отчетов о происшествиях на защищаемом ПК из интерфейса программы управления.

Острые вопросы заказчиков

Мы собрали несколько отзывов от реальных пользователей антивирусных средств защиты из нашей практики:

  • сложности в освоении и настройке;
  • высокая нагрузка на центральный процессор, жесткий диск и сеть, при полных проверках;
  • недоработка бесплатных решений, что в итоге заставляет пользователя купить лицензию (бесплатный сыр только в мышеловке);
  • при покупке лицензии нет гарантии полной защиты от вредоносных программ (как и многое другое ПО, антивирусное решение – это лишь инструмент);
  • постоянное выделение в отдельные модули компонентов защиты, что в итоге делает решение дороже.

Мнение практиков

Особенности инсталляции

Перед инсталляцией важно проверить настройки устройства, на которое устанавливается программа управления и устройств, где будут устанавливаться агенты:

  • наличие необходимых для работы открытых портов (подробную информацию можно получить на сайтах производителей1);
  • настроенные (административные) права доступа учетной записи, из-под которой будет производиться установка ПО.

Нетипичное применение

Антивирусы можно использовать для управления установкой и обновления сторонних приложений2.

Нерешенные проблемы

Так как любой антивирус – это в первую очередь программа, то у него есть свои уязвимые места, чему злоумышленники уделяют особое внимание. Уже само наличие установленного антивирусного решения добавляет определенное количество возможных векторов атак.

Особенности лицензирования

Лицензирование по числу защищаемых рабочих станций, клиентов, подключающихся к терминальному или виртуальному серверу, – основное и главное правило лицензирования всех антивирусных продуктов, но существуют и некоторые исключения, присущие каждому решению в отдельности.

Существует ли универсальный продукт?

В данный момент универсального продукта не существует по причине полярных запросов заказчиков. Для каждой организации необходим свой подход как в технических потребностях, так и в финансовых аспектах.

Подытожим

Антивирусные решения стали намного функциональнее и практичнее, но с ростом функционала продукты становятся "громоздкими", и разработчики вынужденно их дробят на отдельные модули для удобства подбора под определенные задачи, бюджет и размеры компании.

Применение антивирусных продуктов, несомненно, снизит вероятность заражения систем и повысит общий уровень ИБ организации, но антивирус далеко не панацея от всех болезней ИБ.

Стоит ли в ближайшем будущем ожидать, что обычный антивирусный продукт обрастет настолько большими функциональными возможностями, что вытеснит другие узконаправленные решения? По нашему мнению, вряд ли. Несомненно, суперантивирус может быть плюсом с точки зрения удобства работы, но возрастут требования к знанию продукта, необходимой квалификации обслуживающих специалистов и требуемым вычислительным ресурсам.

Многие решения, возможно, будут интегрированы в набирающие большую популярность платформы для работы и управления инцидентами информационной безопасности, что позволит расширить их функционал, тем самым убирая с рынка потребность в использовании отдельного решения.

Комментарий эксперта

Виктор Сердюк, генеральный директор АО “ДиалогНаука”

На сегодняшний день антивирусное ПО входит в число базовых средств защиты, которые должны быть установлены на любом компьютере. При этом функциональные возможности антивирусов постоянно расширяются. Если раньше антивирус был предназначен только для выявления вредоносного кода, то сейчас он может использоваться и как клиентская DLP-система, персональный межсетевой экран, антиспам, средство для инвентаризации и управления программами, установленными на защищаемых узлах, и др. Некоторые производители уже стали добавлять в антивирус функции EDR (Endpoint Detection and Response), позволяющие автоматизировать действия по реагированию и расследованию выявленных инцидентов безопасности.

Несмотря на то что сейчас на российском рынке представлено достаточно большое количество антивирусов, к сожалению ни один из них не может гарантировать 100%-ную защиту от вредоносного кода. Именно поэтому в соответствии с лучшими практиками и целым рядом стандартов по безопасности рекомендуется одновременно использовать несколько антивирусов от разных производителей. В рамках такого эшелонированного подхода антивирус одного производителя, например, может устанавливаться на рабочие станции, а другой антивирус – на файловые и почтовые серверы.

На крупных предприятиях антивирус должен быть интегрирован в общую систему обеспечения информационной безопасности, в том числе иметь возможность отправлять информацию о выявленных инцидентах в SIEM-систему. 

 

Комментарий эксперта

Вячеслав Медведев, ведущий аналитик отдела развития компании “Доктор Веб”

Мир антивирусной безопасности за годы существования оброс мифами. Вот, скажем, все знают, что вредоносные программы в обиходе называют вирусами, так как такой тип вредоносных программ появился исторически первым. А уж потом появились трояны и прочие типы вредоносного ПО. На самом же деле разрыв по времени между первым вирусом и первым червем невелик. А называют вирусы вирусами только потому, что это название было придумано раньше, чем создали первый вредоносный вирус.

И вот перед нами бестелесная программа, которой сейчас пугают все кому не лень. Но если посмотреть определение, то мы увидим, что вирусы как тип вредоносного ПО – именно бестелесны. Вирусы – это вредоносный код, внедряемый в файлы, и в виде самостоятельного файла вирусы не могут встречаться. Это бестелесное ПО живет в реестре или извлекается из иного файла для запуска. И для антивируса совершенно нет разницы, где искать вредоносный код – в картинке, исполняемом файле или реестре.

А еще нас уверяют, что современный антивирус – это не только собственно антивирус, но еще и, скажем, блокировка детям доступа к нерекомендуемым ресурсам. В общем-то это правда. Но весь этот дополнительный функционал на самом деле предназначен опять же для борьбы с вирусами.

Антиспам блокирует письма с вредными вложениями по признакам спама, блокировщик доступа к сайтам ограничивает доступ к зараженным ресурсам и т.д. Даже менеджер паролей – это защита от стилеров, похитилей паролей.

Маркетинг немного перестарался, рассказывая о комплексных возможностях современного антивируса, и пользователи решили, что от части предлагаемого функционала надо отказываться. Но правда заключается в том, что в антивирусе нет неантивирусных модулей, и, отказываясь от якобы ненужного функционала, пользователь открывает дверь в "железном занавесе".

Ну и самый-самый миф – о назначении антивируса. Но об этом, пожалуй, в другой раз.
Темы:Журнал "Информационная безопасность" №4, 2020Корпоративные антивирусы

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024
Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
23 мая. Инструменты миграции на защищенный Linux
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2024, ООО "ГРОТЕК"