Третья по счету публикация на тему корпоративных антивирусных систем, применяемых на больших предприятиях. В этой части автором производится общий анализ и сравнение возможностей корпоративных антивирусных систем: Dr.Web Enterprise Suite, Eset Enterprise Edition, Kaspersky Corporate Suite, McAfee Enterprise Security,Panda EnterpriSecure, Symantec Antivirus Enterprise Edition, Trend Micro NeatSuite Enterprise Edition, а также детально анализируются возможности файловых антивирусов в этих системах.
Итак, давайте попробуем проанализировать возможности антивирусов от различных производителей.
Будем рассматривать антивирусное программное обеспечение (ПО), предназначенное для предотвращения, проникновения и распространения вредоносного, кода в корпоративную информационную сеть (по алфавиту):
- Dr.Web - пакет Dr.Web Enterprise Suite;
- Eset Nod32 – пакет Eset Enterprise Edition;
- Kaspersky – пакет Kaspersky Corporate Suite;
- McAfee – пакет McAfee Enterprise Security;
- Panda Software – пакет Panda EnterpriSecure;
- Symantec – пакет Symantec Antivirus Enterprise Edition;
- Trend Micro – пакет Trend Micro NeatSuite Enterprise Edition.
1. Анализ возможностей антивирусных систем
1.1. Общие данные
1.1.1. Лицензии на ПО от государственных органов РФ
Лицензиями государственных органов Российской Федерации на актуальные, в данный момент времени, версии антивирусных продуктов могут обладать только антивирусные средства российского производства. Данное заключение сделано на основе особенностей российского законодательства (необходимо лицензировать производство, что невозможно для западных компаний) и реальной ситуации по имеемым лицензиям на ПО (у зарубежных производителей если, и имеются лицензии РФ, то только на устаревшие версии).
Вследствие этого, если вам необходимо сертифицированное в России программное обеспечение, тогда вам стоит обратить внимание только на Российских производителей – Dr.Web и Kaspersky. Какими конкретно лицензиями обладают продукты этих производителей можно легко узнать на их интернет-сайтах.
1.1.2. Техническая поддержка и стоимость продления
Каждый из производителей, рассматриваемого антивирусного ПО, обладает на территории России русскоязычной службой технической поддержки. Практически у всех производителей, в начальную стоимость покупаемого антивирусного ПО входит один год базовой технической поддержки:
- В течение года обновление антивирусов, в том числе и новые версии ПО;
- Время технической поддержки 8х5 - бизнес часы;
- Оказание технической поддержки по телефону и e-mail.
Исключением является компания McAfee, которая по умолчанию включает в стоимость расширенную техническую поддержку:
- В течение года обновление антивирусов, в том числе и новые версии ПО;
- Время технической поддержки 24x7x365 – круглосуточно;
- Оказание технической поддержки по телефону, e-mail.
За дополнительную стоимость, каждый из производителей предлагает расширенную техническую поддержку, с возможностью выездов технических специалистов к заказчику, например, для решения проблем на стороне заказчика.
Важно понимать, что для получения дальнейшей технической поддержки (и работоспособности ПО), после окончания годового периода необходимо продление лицензий на антивирусные средства. В данном вопросе каждая из антивирусных компаний придерживается своей политики, приведенной в следующей таблице.
Таблица 1: Стоимость продления лицензии на антивирусные средства
|
Обладая этими данными, можно достаточно просто подсчитать – во сколько обойдется система антивирусной защиты со сроком эксплуатации в несколько лет.
1.1.3. Технология обновления
У всех антивирусных производителей входит в состав ПО возможность автоматического обновления (без постороннего вмешательства) антивирусных баз и сканирующего ядра. У производителей – Trend Micro, Symantec, McAfee существует возможность автоматического обновления версий самих антивирусных программ.
Ежедневный объем скачиваемых обновлений у всех производителей примерно одинаков и объем его сильно зависит от вирусной ситуации в мире. Наименьшее по размеру обновление антивирусных продуктов у компании Eset Software. Это связано с тем (как утверждает сама компания), что основной принцип работы их антивирусов основан на эвристическом анализе, а не на сигнатурном.
Если вы собираетесь использовать антивирусное ПО от одного производителя на всех точках проникновения вирусов в сеть (межсетевой экран, почта, рабочие станции, сервера и т.п.), тогда важно понимать как будет происходить обновление всего комплекса. Ведь необходимо не только сократить объем трафика, но и быть уверенным, что все объекты обновлены вовремя. Полноценная система централизованного принудительного обновления есть только у производителей:
- Kaspersky (к сожалению, пока не весь комплекс продуктов);
- McAfee;
- Panda Software;
- Symantec;
- Trend Micro.
И как обычно после этого вопроса все рассуждения плавно переходят в область централизованного контроля и управления всем комплексом.
1.1.4. Возможности централизованного контроля и управления
Для предприятий с распределенной инфраструктурой, где используется большое количество различных систем и приложений, требующих антивирусной защиты, очень важна возможность контролировать и управлять всем антивирусным комплексом из единой консоли. Так же, достаточно важно, что бы в данной консоли можно было создавать общие антивирусные политики (обновления и различных настроек), а не настраивать каждый модуль отдельно. Помимо этого, центральная консоль должна обладать возможностями единого центра сбора и анализа (отчеты, оповещения и т.п.) всех событий, связанных с вирусной активностью на предприятии.
По результатам анализа было определено, что подобная консоль (в тои или иной мере отвечающая вышеизложенным требованиям) существует в антивирусном ПО производителей Kaspersy (пока не охватывает весь комплекс), McAfee, Panda Software, Symantec и Trend Micro. Но только у производителей McAfee, Symantec и Trend Micro имеются дополнительные модули, которые непосредственно решают задачи по контролю жизненного цикла эпидемии.
Если рассматривать концепцию антивирусной защиты, то решение должно обеспечивать три ключевых этапа защиты от вирусов в гетерогенной сети:
- первый этап – предотвращение возможности заражения;
- второй этап – контроль над жизненным циклом эпидемии, если заражение произошло;
- третий этап – восстановление системы и оценка нанесенного ущерба.
В конечном итоге, по качеству обеспечения централизованного управления и контроля производители делится на три группы (в группах по алфавиту):
- McAfee, Symantec и Trend Micro;
- Kaspersky, Panda Software;
- Dr.Web, ESET Nod32.
В первую группу входят производители, у которых есть централизованная консоль управления всеми антивирусными средствами уровня Enterprise. Плюс к этому центральная консоль отвечает всем перечисленным выше требованиям.
Во вторую группу входят производители, у которых есть централизованная консоль управления всеми или почти всеми антивирусными средствами уровня Enterprise, но не отвечает всем перечисленным выше требованиям.
В третей группе производители, центральная консоль которых, поддерживает антивирусное ПО только для рабочих станций и серверов, плюс не обладает механизмами по контролю жизненного цикла эпидемии.
По функциональности центральной антивирусной консоли впереди продукты производства McAfee, Symantec и Trend Micro. Какая из них лучше определить тяжело, у каждой есть свои небольшие плюсы и минусы, тут, как говорится – на любителя. Основное их отличие – консоль Trend Micro полностью Web ориентированное приложение (администратору нужен только Web-браузер). В то время как консоли управления McAfee и Symantec сочетают в себе как Web технологию, так и технологию Microsoft Management Console (MMC), что подразумевает установку ПО на рабочем месте администратора безопасности.
1.1.5. Универсальность антивирусного ПО
По данному вопросу все антивирусные производители стараются охватить как можно больше операционных систем и различных платформ, но, к сожалению, «нельзя объять необъятное» … Легче сказать, какой из производителей и что не поддерживает:
- Windows 95 снята с поддержки McAfee с июня 2005 года;
- Windows 2003 64 bit / Windows XP 64 bit не поддерживается производителями Dr. Web, Panda Software (Kaspersky пока не поддерживает Windows XP 64 bit);
- FreeBSD/OpenBSD не поддерживаются Panda Software, Trend Micro и Symantec;
- Microsoft Exchange и IBM Lotus Domino – нет антивируса у Dr.Web;
Тем не менее, у Dr.Web есть решения для защиты большого количества почтовых систем под Unix/Linux системы:
- CommuniGate Pro;
- Courier-MTA;
- Exim;
- Mobico MIO Server;
- Postfix;
- QMail;
- Sendmail;
- Zmailer.
Поддержка Kerio Mail Server (если такое решение используется в вашей организации) есть только у ESET Nod32, McAfee и Symantec, а Kerio Winroute FireWall – только у ESET Nod32 и Symantec.
И только компания Symantec уже выпустила антивирус для Microsoft Windows Vista.
1.1.6. Данные по работе с различными архивами и упаковщиками
В различных антивирусных решениях одного производителя всегда используется один и тот же модуль проверки на вирусы и их очистки, в случае заражения. Вследствие чего, функциональные возможности по работе с различными архивами и упаковщиками одинаковы для всех решений, входящих в антивирусный комплекс одного производителя.
Что бы не повторяться, дам лишь ссылку на статью, в которой очень подробно расписан данный вопрос: "Сравнение возможностей детектирования упакованных вирусов в различных антивирусных продуктах".
По глубине сканирования архивов можно отметить, что возможностей ПО всех антивирусных производителей вполне достаточно (минимальная у Trend Micro – 20 уровней архивирования, далее Symantec – 50).
1.2. Файловые антивирусы
1.2.1. Различные возможности
Все антивирусное программное обеспечение имеет несколько вариантов установки конечных клиентских частей, однако лидерами в этом вопросе являются McAfee, Symantec и Trend Micro – восемь вариантов установки клиентских частей, наиболее ценным из них является тонко настраиваемый *.msi пакет.
По возможности интеграции файловых антивирусов с почтовыми клиентами (создавая тем самым дополнительный рубеж защиты) важно отметить два момента:
- Все из представленных антивирусов интегрируются с Microsoft Outlook по MAPI и могут проверять SMTP и POP3 протоколы;
- Только Symantec и McAfee могут интегрироваться с клиентом IBM Lotus Notes.
По удобству эксплуатации необходимо отметить следующие возможности:
- У каждого из представленных производителей имеется достаточно удобная (в той или иной степени) централизованная консоль управления и обновления файловыми антивирусами;
- Консоли файловых антивирусов Symantec и Trend Micro, предоставляют значительно больше возможностей по настройке, в сравнении с другими производителями;
- Возможность по сканированию сети на предмет обнаружения незащищенных объектов есть у всех производителей, но определение объектов, защищенных другими антивирусами есть только у McAfee (определяет только Symantec), а Panda Antivirus, Symantec и Trend Micro (определяют большое кол-во сторонних производителей).
1.2.2. Механизмы борьбы с вирусами
По механизмам борьбы с вирусами ситуация следующая, по утверждению производителей, только у Trend Micro нет механизмов эвристического анализа (за исключением распознания Макровирусов). Остальные производители утверждают о наличии данного механизма. В связи с трудность проверки данных параметров самим, можно воспользоваться открытыми независимыми источниками, например, прочитав статью "Анализ эффективности проактивных антивирусных технологий защиты". По данным на 19 августа 2005 года, более-менее адекватным механизмом эвристического анализа (из тестируемых антивирусов) обладают только антивирусное ПО производителей Eset Nod32 и Panda EnterpriSecure (технология TruPrevent).
1.2.3. Защита от выгрузки и блокирования
Как оказалось, очень важная функциональность для компаний уровня Enterprise – защита от несанкционированной выгрузки антивирусных модулей пользователями (в том числе и локальными администраторами) или различными программами (защита в полном объеме, подразумевается дополнительная защита от выгрузки (помимо возможностей самой ОС) – защита службы от остановки паролем, наличие службы контроля работы антивирусных сервисов и защита от локальных администраторов) существует только у Kaspersky, McAfee, Symantec и Trend Micro.
1.2.4. Сравнение нагрузки антивируса на объект защиты
Из приведенной ниже таблицы можно представить, как сильно нагружает антивирус (обратите внимание, что тестировались антивирусы для рабочих станций из пакетов Enterprise, он не у всех производителей совпадает с антивирусом для домашнего использования) рабочую станцию пользователя при включенной защите реального времени и при принудительном сканировании.
Таблица 2: Требования антивирусных продуктов к системным ресурсам
|
Из таблицы сразу очевидно, какое решение предпочтительнее, если в корпоративной сети используется старый парк машин.
1.2.5. Система аудита и оповещения файловых антивирусов
В организации уровня Enterprise очень важной является централизованная система аудита, формирования отчетности о вирусной активности и оповещения. Данный вопрос более подробно рассмотрю в следующих статьях этого цикла (центральная консоль управления всем антивирусным комплексом). Что касаемо файловых антивирусов, то лидерами в данных вопросах являются продукты McAfee, Symantec и Trend Micro. У файловых антивирусов большинства производителей имеются базовые элементы систем аудита и оповещения, такие как:
- Запись событий сканирования, обновления, заражения, очистки и т.п. в свой собственный журнал;
- Отправка оповещения, о нахождении вируса и результате очистки, по электронной почте администратору;
- Система построения отчетов по журналу событий (табличный вид) – для технических специалистов.
Однако, указанных выше функций не достаточно для создания полноценной системы контроля вирусной активности на предприятии с распределенной вычислительной сетью. Функциональные возможности файловых антивирусов данных производителей (по вопросам отчетности и оповещения) так же значительно превышают своих конкурентов.
Система аудита:
- Наличие сканера, определяющего незащищенные объекты сети (или защищенные другим антивирусом);
- Возможность создавать задания на сканирования по времени, с генерацией отчетов (отправка их по почте) и автоматической установкой клиентской части антивируса на незащищенные объекты;
- Большая глубина детализации журналов аудита;
- Достаточно гибко настраиваемые журналы аудита.
Система оповещения:
- Большое количество вариантов доставки уведомления о событии:
- по e-mail;
- запись в Windows Event Log;
- по протоколу SNMP;
- по протоколу Syslog;
- windows message;
- всплывающее окно;
- отправка сообщения на Pager и многое другое.
- Наличие счетчиков заражений и настраиваемая система оповещений «количество заражений в единицу времени».
Система отчетов – встроено большое количество шаблонов отчетов, позволяющих оценить качество работы системы антивирусной защиты не только техническому специалисту, но и руководителю (различные ТОП-10, красивые диаграммы и графики).
Как уже упоминалось выше, у компаний McAfee, Symantec и Trend Micro были разработаны дополнительные продукты, отвечающие за контроль над всем комплексом. Данные продукты в значительной мере расширяют возможности систем аудита, оповещения и отчетов каждого продукта в отдельности.
1.3. Итоги
В итоге можно сказать только одно – нет лучшего или худшего антивирусного решения, каждый выбирает по собственным нуждам и желаниям. Самый простой способ определить, какое же конкретно антивирусное решение будет лучшим для использования в вашей организации, состоит из нескольких шагов:
- Необходимо определить перечень параметров, которые необходимо учесть при выборе антивируса;
- Проранжировать данный перечень по степени важности для вашей организации;
- Выбрать подходящий вам антивирус, в соответствии с полученным перечнем.
Например, в организации, в которой используется большое количество серверов (рабочих станций) под FreeBSD/OpenBSD не будут рассматриваться антивирусы, которые не поддерживают данную операционную систему. Или если в организации используется старый парк машин, будут рассматриваться только те антивирусы, которые обеспечивают минимальную нагрузку на защищаемый объект.
Автор: Николай Терещенко
Эксперт Anti-Malware.ru