Контакты
Подписка
МЕНЮ
Контакты
Подписка

Антивирусная защита серверов: мифы и реальность

В рубрику "Защита информации и каналов связи" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Антивирусная защита серверов: мифы и реальность

Середина февраля 2016 г. прошла под знаком обсуждения планов ФСТЭК России по выпуску новых, действительно важных и не первый год ожидаемых документов. Новые приказы и методические рекомендации должны появиться уже вот-вот. Правда, радость омрачается воспоминанием, что и в прошлом (и позапрошлом) году нам обещали много "вкусного" – но не сложилось. Так что ждем… Однако никакие документы сами по себе обеспечить защиту не могут. Действующие приказы ФСТЭК России № 17 и 31 довольно неплохие – перечисленных в них мер защиты вполне достаточно для обеспечения безопасности компании любого размера. Но почему же ситуация с вирусами/утечками/вымогательством не становится лучше?
Вячеслав Медведев
Ведущий аналитик отдела развития, ООО "Доктор Веб"

Причин создавшейся ситуации с вирусами/утечками/вымогательством много – от засилья мифов среди тех, кто отвечает за антивирусную безопасность (от простых пользователей, обеспокоенных защитой своих домашних компьютеров и личных устройств, и до ИТ-профессионалов, отвечающих за комплексную безопасность компаний и организаций), и до невозможности закупки всего необходимого для обеспечения защиты. Охватить все проблемы невозможно, рассмотрим лишь некоторые.

Зачем нужен антивирус?

Первое и основное – для чего нужен антивирус? Кажется, глупый и детский вопрос, но попытайтесь ответить на него лично для себя. Типичных ответов несколько. Если отбросить варианты "Ставят все" и "Требуют регуляторы", то, как правило, ответ сводится к тому, что антивирус "должен ловить все поступающие в компанию вирусы". А это принципиально неверно и даже теоретически недостижимо!


Не меньший разброд царит в терминологии, связанной с антивирусной защитой. В итоге до сих пор встречаются рекомендации о необходимости установки, помимо антивируса, решений типа антиспуваре, антируткит и т.д. и т.п. По сути, этого не требуется – антивирус ловит все типы вредоносных файлов, никакое дополнительное ПО в добавление к антивирусу не нужно. Более того, поскольку наиболее правильное определение вредоносных файлов – "программы, функционал которых отличается от обещанного пользователю (вспоминаем фишинг и набивших оскомину троянцев для Android), а также файлы, установка и запуск которых не разрешены пользователем", то современные антивирусы могут не только перекрывать кислород известным антивирусному ядру вирусам, но и ограничивать запуск на компьютере всем программам, кроме разрешенных пользователем (к слову, на самом деле, это очень непростая задача).

Обнаружение неизвестных угроз

И сразу об известности вредоносных программ антивирусу. Подавляющее большинство пользователей считает, что антивирус должен знать все вредоносные программы ("а что тут странного – они же ими и пишутся"). В реальности, вопреки всем мифам, антивирус может определять только те вредоносные программы, которые могут перехватываться с помощью используемых технологий антивируса (как бы ни была хороша вирусная база, вирус сначала нужно поймать) и сигнатуры и процедуры для обнаружения которых вошли в вирусную базу (а значит, образцы уже попали ранее в антивирусную лабораторию). Похожий миф гласит, что эвристические механизмы могут определять неизвестные программы. Частично это действительно так, но только частично. С помощью эвристических механизмов можно определять вредоносные программы только известных типов, то есть антивирус может находить только угрозы, подобные ранее обнаруженным (есть, правда, одно исключение, но о нем ниже). Соответственно, если антивирус используется в качестве средства, предотвращающего попадание вредоносных программ на компьютер, устройство или сеть, то он бессилен против вредоносных программ, протестированных злоумышленниками на необнаружение на актуальных версиях продукта (точнее, продукта, установленного по умолчанию, – это крайне важно, так как большинство не использует входящие в состав антивирусов средства офисного контроля, существенно снижающие риск проникновения неизвестных программ).

Использование облачных сервисов бывает оправданно. Неоправданно – доверять защите данных на сервере, размещенном за пределами защищенного периметра компании и обслуживаемом не ее специалистами (все еще помнят взлом одного из серверов Tor). Поэтому, кроме защиты серверов, размещенных на удаленной площадке, весь трафик должен проверяться при получении, и это тоже выполняется на шлюзовом решении.

Но вернемся к неизвестным угрозам. Именно благодаря тому, что для защиты используется только антивирус, установленный по умолчанию, шифровальщики могут беспрепятственно пополнять кошельки злоумышленников. Для антивирусной защиты нужно использовать не только антивирус, а комплекс средств – систему ограничения доступа к заведомо вредоносным ресурсам, файлам и папкам и возможности запуска неизвестных программ. Даже если некая программа пошла проверку антивирусным ядром, она не должна запуститься. Задача антивируса (в выполнении которой его ничто не может заменить) – обнаружение ранее неизвестных, уже запущенных вредоносных программ. Никакие иные средства, кроме антивируса, не могут в автоматическом режиме удалить активную угрозу. Правда, и тут есть проблема…

Защита мобильных устройств

Мобильные устройства сотрудников и раньше представляли собой проблему безопасности. Подмена SMS-подтверждений от банков, контроль за переговорами и местоположением владельца аппарата – мобильные устройства всегда давали много возможностей злоумышленникам. Но до 2015 г. со всеми этими угрозами мог справиться антивирус – лишь бы пользователь его не отключил. В 2015 г. в десятку самых популярных вредоносных программ вошли троянцы, устанавливающиеся в системные области и имеющие Root-права. Тут надо пояснить, что в отличие от других операционных систем на Android антивирусы работают не с системными правами, а с правами обычных программ. В результате для лечения таких угроз нужно было разблокировать устройство для получения Root-прав. Обнаруживалась угроза и без наличия Root-прав. А вот в 2016 г. троянец Loki смог попасть в системную область, куда антивирусу доступа уже нет (спасибо корпорации, создавшей ОС, в которой работа вирусов должна быть невозможна, а антивирусы не нужны). И для устранения проблемы устройство можно только перепрошить.


На данный момент сложилась ситуация, в которой пользователи с зараженными устройствами имеют доступ к серверам и сервисам компании – и ни один антивирус не может ничего поделать. Хотя не совсем так – тут самое время разобраться еще с одним мифом.

Проверка трафика

Если антивирусная защита рабочих станций осуществляется почти всеми, а файловых серверов – большинством, то количество компаний, устанавливающих проверку трафика на шлюзах и почтовых серверах, невелико – традиционно считается, что этот функционал дублирует функционал, имеющийся на рабочих станциях. На самом деле назначение серверных продуктов совсем иное.


Почтовый антивирус нужен для проверки ранее полученных писем в поисках ранее неизвестных угроз. Клиент компании или ее сотрудник, присоединившись к серверу, не должен получить ранее неизвестное вредоносное вложение или ранее не определявшийся спам. Проверка трафика, в свою очередь, должна защитить от получения вредоносных программ те устройства и компьютеры, установка антивирусной защиты на которые невозможна или не контролируется. Именно поэтому весь входящий и исходящий трафик мобильных устройств и домашних компьютеров сотрудников (если их защита не включена в центр управления антивирусной защиты компании) должен проходить через шлюз.

Данные на облачном сервере

И не забываем об облаках. Использование облачных сервисов бывает оправданно. Неоправданно – доверять защите данных на сервере, размещенном за пределами защищенного периметра компании и обслуживаемом не ее специалистами (все еще помнят взлом одного из серверов Tor). Поэтому, кроме защиты серверов, размещенных на удаленной площадке, весь трафик должен проверяться при получении, и это тоже выполняется на шлюзовом решении.

Сохранность резервных копий

Еще одно частое заблуждение связано с резервными копиями, которые считаются защитой от заражений. К несчастью для полагающихся только на резервные копии, современные вредоносные программы определенных типов рассчитаны на длительное и незаметное пребывание на рабочих станциях и серверах и, соответственно, попадают на резервные копии. В итоге ситуация, когда все имеющиеся резервные копии заражены, вполне реальна.

Опубликовано: Каталог "Системы безопасности"-2016
Посещений: 4889


  Автор
Вячеслав Медведев

Вячеслав Медведев

Ведущий аналитик отдела развития, ООО "Доктор Веб"

Всего статей:  1

В рубрику "Защита информации и каналов связи" | К списку рубрик  |  К списку авторов  |  К списку публикаций