Обзор Средства защиты информации и бизнеса 2006	подготовлен	При поддержке

Пять недостатков антивирусной защиты

Антивирусы являются одним из самых старых и распространенных средств защиты, по статистике их используют практически 100 % компаний. При этом вирусы пока остаются самой распространенной и самой дорого обходящейся проблемой.

Можно выделить несколько направлений, которые вызывают сложности у разработчиков антивирусов, по-прежнему считающих, что достаточно поставить их продукт на все рабочие станции и серверы, чтобы проблема решилась сама собой. То, что давно было решено другими корпоративными вендорами, до сих является камнем преткновения в антивирусных компаниях. К проблемам роста можно отнести: аккуратность обнаружения, механизм распределения обновлений, управление событиями и генерация отчетов, разнообразие поддерживаемых платформ, интеграция в инфраструктуру защиты.

Сложности в обнаружении

Большинство средств отражения malware построено на сигнатурных принципах и проводят в жизнь реактивный подход, позволяющий разработать и использовать шаблон уже известного червя или вируса. До недавнего времени этот метод был единственным, который использовали производители. Но то, что было эффективно 15 лет назад, перестало удовлетворять современным требованиям. Об этом говорит и компания Hewlett Packard в исследовательской лаборатории которой было доказано, что сигнатурная модель имеет фундаментальные слабости и не может использоваться в современных системах как основной метод обнаружения несанкционированной активности.

На сцену вышел второй метод — контроль поведения и идентификация аномального поведения процессов и приложений. Этот подход позволяет, зачастую, обнаруживать и пока неизвестные вредоносные программы, для которых пока не написаны сигнатуры. О таких разработках уже заявили многие «защитные» компании, в том числе и российские, например, «Лаборатория Касперского» или StarForce.

Распределение обновлений

Другим способом решения проблемы вирусной угрозы является не внедрение методов обнаружения аномальной активности, а снижение интервала между появлением новой вредоносной программы и сигнатуры для нее. На заре развития рынка считалось нормальным обновлять антивирус 1-2 раза в месяц. Постепенно ситуация менялась, новые вирусы и черви появлялись ежедневно и с такой же частотой понадобилось обновлять средства защиты. Сейчас среднее время разработки сигнатуры составляет около шести часов. Но основная проблема скрывается в другом. Сигнатуру мало разработать, ее надо доставить до всех заказчиков, а от них до всех средств защиты. Этот процесс может занимать несколько дней, за которые эпидемия успеет поразить всю сеть. Поэтому одним из направлений развития антивирусов можно назвать снижение интервала выпуска сигнатур и ускоренная их доставка до всех средств защиты.

Другая задача, связанная с обновлениями, особо актуальна для крупных и территориально-распределенных сетей. Как обновить удаленную систему, если она в момент рассылки обновлений не доступна? Как обеспечить уведомление удаленных агентов об обновлении? Ведь если тысячи агентов одновременно попытаются обратиться к системе управления за получением обновлений, то они «неосознанно» проведут против нее атаку «отказ в обслуживании». Как обеспечить обновление удаленных систем, находящихся за NAT’ом? Как обновить удаленные агенты, защищенные межсетевым экраном, который блокирует попытки инициировать соединение извне?

Управление событиями

Основная задача системы защиты — не просто обнаруживать и отражать атаки, а управлять ими. Для этого мы не только должны обладать всесторонним набором механизмов, работающих в реальном времени, но и уметь анализировать события, произошедшие в прошлом, сопоставлять их с текущей ситуацией и выполнять на основе проделанного анализа какие-либо действия. Пока, к сожалению, антивирусные системы могут только создать отчет с общим числом обнаруженных вирусов и вылеченных файлов.

Разнообразие поддерживаемых платформ

Еще одна задача, решить которую смогли далеко не все — разнообразие поддерживаемых платформ. Приобретая антивирусную систему, клиент хочет, чтобы с одной консоли управления можно было охватить как можно больше контролируемых платформ — Windows и Linux, Exchange и Lotus, КПК и сервера, периметровый шлюз и установленный МСЭ. Пока же большинство разработчиков не могут предложить решений, выходящих за рамки рабочих станций под управлением Windows. И уж тем более редкость, когда все эти решения управляются централизованно, с одной консоли. В результате заказчики становятся перед нелегкой задачей — управление разнородными антивирусными решениями, что в итоге увеличивает число администраторов, затраты на обучение людей, затраты на внедрение и сопровождение, на интеграцию и управление, увеличивается время реакции на инциденты и снижается общая эффективность системы защиты.

Интеграция в инфраструктуру защиты

Антивирусы не висят в вакууме — они тесно связаны с другими решениями по информационной безопасности, а также с ИТ-инфраструктурой (сетями, операционными системами, приложениями и т.д.). До недавнего времени антивирусы находились в стороне от тенденции интеграции «всего и вся». Но недавний выход на антивирусный рынок компаний Microsoft и Cisco продемонстрировал, что безопасность перестает быть «навесной», устанавливаемой «поверх» какой-либо операционной системы, приложения или сегмента сети (а антивирусы часто работают именно так). Гораздо эффективнее защитные возможности встроить в инфраструктуру, наделив ее функциями самозащиты. Представьте, что коммутатор или маршрутизатор по умолчанию может бороться с вирусными эпидемиями. В этом случае не нужны будут никакие другие антивирусные продукты, так как любой трафик будет обязательно проходить через сетевое оборудование и блокироваться еще на подступах к возможной цели атаки. С другой стороны, компьютерная «зараза» может быть занесена с каких-нибудь носителей (USB-флешка, CD, дискета и т.п.). В этом случае встроенная внутрь операционной системы защита сработает гораздо оперативнее и эффективнее, чем любое внешнее приложение (разумеется, при правильной реализации).

В ногу со временем

Как бы не хотели антивирусные производители ограничиться только поддержкой новых угроз, им придется следовать требованиям, которые предъявляют современные предприятия к средствам защиты. И если раньше антивирусы представляли собой сегмент рынка информационной безопасности, стоящий особняком от всех остальных, то постепенная консолидация всех защитных решений заставляет производителей средств борьбы с вредоносным ПО оснащать свои продукты все новыми и новыми возможностями. Возможно, именно поэтому, несмотря на наличие большого числа предложений, во главе антивирусного рынка расположились только три игрока, не покидающих вершину уже не первый год и понимающих специфику корпоративной безопасности — Symantec, McAfee и Trend Micro.

Алексей Лукацкий