Антивирусное решение уровня Enterprise (часть I)

Антивирусное решение уровня Enterprise (часть I)

Данной статьей начинается цикл публикаций на тему корпоративных антивирусных систем, применяемых на больших предприятиях с распределенной информационной структурой. Все данные, приводимые в этом цикла, будут касаться только антивирусных решений уровня Enterprise, о подходах к их выбору, о достоинствах и недостатках одних перед другими и прочих подводных камнях, на которые может наступить владелец данной системы.

Данной статьей я начинаю цикл публикаций на тему антивирусных систем, применяемых на больших предприятиях с распределенной информационной структурой. Все данные, приводимые в статьях из этого цикла, будут касаться только антивирусных решений уровня Enterprise, о подходах к их выбору, о достоинствах и недостатках одних перед другими и прочих подводных камнях, на которые может наступить владелец данной системы.

Что касаемо достоверности источников, используемых в написании статей – это достаточно известные компании (аудиторы), на конкретные их исследования я буду давать ссылки. Помимо этого в статье используется мой собственный опыт (более 5 лет) тестирования различных антивирусных решений, построения и внедрения подобных систем.

1. Вредоносный код вчера и сегодня

В нынешнее время развития вирусной индустрии, никто не станет отрицать, важность системы антивирусной безопасности на предприятии – это в большинстве случаев наиболее актуальная система, из всего ряда развернутых систем обеспечения информационной безопасности. Конечно подобная ситуация возникла не сама по себе, а обусловлена в первую очередь лавинообразным ростом числа новых компьютерных вирусов.

Данное положение вещей подтверждается неоднократными исследованиями различных авторитетных компаний. Так, например, из отчета по итогам 2004 года, приведенного на рисунке 1 – исследование (опрос) компании Ernst & Young (http://www.ey.com/cis), явно видно, что большинство опрошенных специалистов, проблему вирусной опасности поставили именно на первое место.

Рисунок 1: Наибольшие угрозы для бизнеса (исследование компании Ernst & Young)

Наибольшие угрозы для бизнеса (исследование компании Ernst & Young)

Помимо этого, сети российских компаний находятся в постоянном развитии, соответственно растет и число точек проникновения вирусов в корпоративные сети. Когда-то вредоносный код попадал на компьютер к пользователю только посредством переносных носителей информации. В настоящее время, как правило, основными точками проникновения являются, в первую очередь – электронная почта, шлюзы (центральная точка входа в корпоративную сеть) и серверы Интернет (Web browsing – различные CGI скрипты и прочий вредоносный код скачиваемый пользователем).

В следующем предложение я приведу истину, которую возможно понимают все специалисты по информационной безопасности, но добиться такого положения вещей удается в небольшом количестве компаний, но для обеспечения адекватной антивирусной безопасности на предприятии к этому в любом случае надо стремиться.

Одновременно с развитием корпоративной сети, необходимо, что бы система антивирусной защиты, в лучшем случае опережала ее развитие на шаг или же изменялась одновременно и в соответствии с расширением количества или качества сервисов, предоставляемых пользователям данной сети.

В дальнейшем я буду именно так выделять важные моменты, на которые стоит обратить особое внимание.

2. Проблемы корпоративных сетей

Обычная корпоративная сеть включает в себя сотни рабочих станций, десятки серверов, активное и пассивное телекоммуникационное оборудование и, как правило, имеет очень сложную структуру. При этом стоимость обслуживания такой сети катастрофически растет вместе с увеличением числа подключаемых объектов сети. Очевидно, расходы на антивирусную защиту являются не последним пунктом в списке общих расходов. Однако существует принципиальная возможность их снижения путем реализации централизованной установки, управления и обновления всем антивирусным комплексом защиты корпоративной сети.

Важно отметить, что при начальном построении системы антивирусной безопасности важно точно определить точки, которые мы будем защищать и свести огромную архитектуру сети к четкой функциональной модели.

Пример простейшей функциональной модели приведен на рисунке 2.

Рисунок 2: Функциональная модель корпоративной сети

Наибольшие угрозы для бизнеса (исследование компании Ernst & Young)

На данной модели не показан, например, сервисный и сетевой уровень, т.е. если имеется необходимость обеспечения антивирусного контроля на данных уровнях автоматизированной системы, то необходимо добавить их в функциональную модель.

Взглянув на конкретную функциональную модель, становится, очевидно, что антивирусную безопасность в данной корпоративной сети не обеспечить за счет антивирусов устанавливаемых на рабочих станциях и серверах. Да, бесспорно, есть решения, включающие несколько антивирусных продуктов (для разных точек проникновения), но нет одного продукта, который бы мог контролировать все участки корпоративной сети.

При таком положении дел важно помнить о централизованном контроле и управлении всеми антивирусными продуктами, которые используются на предприятии.

Необходимо, чтобы администратор мог с единой консоли отслеживать все точки проникновения вирусов и, эффективно управлять всеми присутствующими в сети предприятия точками антивирусной защиты. В нынешних условиях развития вирусной индустрии, отсутствие подобного рычага у администратора приведет в лучшем случае к потере контроля над несколькими объектами сети предприятия (устаревшие базы вирусных сигнатур, отключенный режим сканирования в реальном времени, вообще не установленное антивирусное ПО), а в худшем – к потере контроля вообще над частью системы антивирусной защиты. И, как правило, это происходит в момент появления новой уязвимости и в то же время червя, который использует данную уязвимость – так называемая угроза «Zero-day».

Сложность создания комплексного централизованного управления и стала камнем преткновения для успешного создания эффективных корпоративных систем антивирусной защиты, что, в конечном счете, и приводит к столь вероятной угрозе (по оценкам специалистов – см. рисунок 1) проникновения компьютерных вирусов в корпоративные сети.

Автор: Николай Терещенко
Эксперт Anti-Malware.ru

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru