Данной статьей начинается цикл публикаций на тему корпоративных антивирусных систем, применяемых на больших предприятиях с распределенной информационной структурой. Все данные, приводимые в этом цикла, будут касаться только антивирусных решений уровня Enterprise, о подходах к их выбору, о достоинствах и недостатках одних перед другими и прочих подводных камнях, на которые может наступить владелец данной системы.
Данной статьей я начинаю цикл публикаций на тему антивирусных систем, применяемых на больших предприятиях с распределенной информационной структурой. Все данные, приводимые в статьях из этого цикла, будут касаться только антивирусных решений уровня Enterprise, о подходах к их выбору, о достоинствах и недостатках одних перед другими и прочих подводных камнях, на которые может наступить владелец данной системы.
Что касаемо достоверности источников, используемых в написании статей – это достаточно известные компании (аудиторы), на конкретные их исследования я буду давать ссылки. Помимо этого в статье используется мой собственный опыт (более 5 лет) тестирования различных антивирусных решений, построения и внедрения подобных систем.
1. Вредоносный код вчера и сегодня
В нынешнее время развития вирусной индустрии, никто не станет отрицать, важность системы антивирусной безопасности на предприятии – это в большинстве случаев наиболее актуальная система, из всего ряда развернутых систем обеспечения информационной безопасности. Конечно подобная ситуация возникла не сама по себе, а обусловлена в первую очередь лавинообразным ростом числа новых компьютерных вирусов.
Данное положение вещей подтверждается неоднократными исследованиями различных авторитетных компаний. Так, например, из отчета по итогам 2004 года, приведенного на рисунке 1 – исследование (опрос) компании Ernst & Young (http://www.ey.com/cis), явно видно, что большинство опрошенных специалистов, проблему вирусной опасности поставили именно на первое место.
Рисунок 1: Наибольшие угрозы для бизнеса (исследование компании Ernst & Young)
Помимо этого, сети российских компаний находятся в постоянном развитии, соответственно растет и число точек проникновения вирусов в корпоративные сети. Когда-то вредоносный код попадал на компьютер к пользователю только посредством переносных носителей информации. В настоящее время, как правило, основными точками проникновения являются, в первую очередь – электронная почта, шлюзы (центральная точка входа в корпоративную сеть) и серверы Интернет (Web browsing – различные CGI скрипты и прочий вредоносный код скачиваемый пользователем).
В следующем предложение я приведу истину, которую возможно понимают все специалисты по информационной безопасности, но добиться такого положения вещей удается в небольшом количестве компаний, но для обеспечения адекватной антивирусной безопасности на предприятии к этому в любом случае надо стремиться.
В дальнейшем я буду именно так выделять важные моменты, на которые стоит обратить особое внимание.
2. Проблемы корпоративных сетей
Обычная корпоративная сеть включает в себя сотни рабочих станций, десятки серверов, активное и пассивное телекоммуникационное оборудование и, как правило, имеет очень сложную структуру. При этом стоимость обслуживания такой сети катастрофически растет вместе с увеличением числа подключаемых объектов сети. Очевидно, расходы на антивирусную защиту являются не последним пунктом в списке общих расходов. Однако существует принципиальная возможность их снижения путем реализации централизованной установки, управления и обновления всем антивирусным комплексом защиты корпоративной сети.
Пример простейшей функциональной модели приведен на рисунке 2.
Рисунок 2: Функциональная модель корпоративной сети
На данной модели не показан, например, сервисный и сетевой уровень, т.е. если имеется необходимость обеспечения антивирусного контроля на данных уровнях автоматизированной системы, то необходимо добавить их в функциональную модель.
Взглянув на конкретную функциональную модель, становится, очевидно, что антивирусную безопасность в данной корпоративной сети не обеспечить за счет антивирусов устанавливаемых на рабочих станциях и серверах. Да, бесспорно, есть решения, включающие несколько антивирусных продуктов (для разных точек проникновения), но нет одного продукта, который бы мог контролировать все участки корпоративной сети.
Необходимо, чтобы администратор мог с единой консоли отслеживать все точки проникновения вирусов и, эффективно управлять всеми присутствующими в сети предприятия точками антивирусной защиты. В нынешних условиях развития вирусной индустрии, отсутствие подобного рычага у администратора приведет в лучшем случае к потере контроля над несколькими объектами сети предприятия (устаревшие базы вирусных сигнатур, отключенный режим сканирования в реальном времени, вообще не установленное антивирусное ПО), а в худшем – к потере контроля вообще над частью системы антивирусной защиты. И, как правило, это происходит в момент появления новой уязвимости и в то же время червя, который использует данную уязвимость – так называемая угроза «Zero-day».
Сложность создания комплексного централизованного управления и стала камнем преткновения для успешного создания эффективных корпоративных систем антивирусной защиты, что, в конечном счете, и приводит к столь вероятной угрозе (по оценкам специалистов – см. рисунок 1) проникновения компьютерных вирусов в корпоративные сети.
Автор: Николай Терещенко
Эксперт Anti-Malware.ru
