Антивирусная защита для корпоративной сети (А. Теренин, "Финансовая газета. Региональный выпуск", N 9, 10, март 2007 г.)

Антивирусная защита для корпоративной сети

В настоящее время компьютерные вирусы знакомы всем пользователям компьютерных систем. Актуальность проблемы антивирусной защиты объясняется следующими причинами:

лавинообразный рост числа компьютерных вирусов. В настоящее время число известных вирусов превысило за 256 000 (данные за 21 февраля 2007 г.) и продолжает интенсивно расти. Данные независимых отчетов свидетельствуют о том, что средний уровень заражения вирусами корпоративных компьютерных сетей относительно их общего числа увеличился с 55% в 1995 г. и достиг максимальной отметки 99,9% в 2001 г.;

неудовлетворительное состояние антивирусной защиты в существующих корпоративных компьютерных сетях. Сегодня сети российских компаний находятся в постоянном развитии. Однако вместе с этим развитием постоянно растет и число точек проникновения вирусов в корпоративные сети. Как правило, такими точками являются шлюзы и серверы Интернета, серверы файл-приложений, серверы групповой работы и электронной почты, рабочие станции;

в последнее время получили распространение вирусы для мобильных устройств, включая телефоны, и для unix-подобных систем, на которых строятся корпоративные информационные сети.

Распространение вирусной инфекции можно предупредить, предотвратить, а также излечиться от нее посредством существующих антивирусных пакетов, профилактических и организационных действий.

В основном распределенные вычислительные корпоративные сети представляют собой гетерогенную информационную среду. Они создаются не один год и объединяют вычислительные машины (ВМ), операционные системы (ОС) и программное обеспечение (ПО) разного поколения.

Кроме того, на практике часто встречаются ситуации, когда в многофилиальной корпорации происходит разрозненная автоматизация бизнес-процессов в филиалах. Используются различные ВМ и ОС в каждом из отделений, а затем все локальные вычислительные сети (ЛВС) филиалов пытаются объединить в единую корпоративную сеть. Помимо этого предприятие может иметь подключение к сети Интернет или корпоративная система построена поверх Всемирной сети. Интернет является открытой информационной средой, представляющей широкие возможности для злоумышленных действий его участников, а также благоприятной средой для распространения компьютерных вирусов и других вредоносных программ.

В результате у руководителей отделов автоматизации и информационной безопасности возникает проблема, связанная с обеспечением антивирусной защиты всей корпоративной сети, для эффективного решения которой требуются комплексные подходы. Следует отметить, что в последнее время значимость антивирусной защиты в комплексной системе безопасности корпоративных вычислительных систем резко возросла. Это объясняется, с одной стороны, увеличением числа и разновидностей компьютерных вирусов, а с другой - уязвимостью вычислительных сетей за счет проникновения в них вредоносных программ из внешних систем: Интернета и по каналам электронной почты. Сохраняется и возможность проникновения вирусов с зараженных переносных носителей информации, используемых сотрудниками (флэш-память, CD-диски и дискеты).

Удовлетворительное состояние антивирусной защиты сети предприятия не может обеспечиваться исключительно за счет установки и запуска антивирусного ПО на его рабочих станциях и серверах. Эффективная корпоративная система антивирусной защиты - гибкая динамичная система с обратными связями, реализованная по технологии "клиент - сервер", позволяющая улавливать любое подозрительное действие в сети. Такая система тесно интегрирована с другими решениями в области безопасности компьютерных сетей.

Для крупных предприятий вопрос обеспечения антивирусной защиты вычислительных сетей с учетом неопределенности сроков его полного решения вырастает в сложную проблему, причем не только техническую, но и финансовую.

Обычно проблема борьбы с вирусами в локальной вычислительной сети предприятия решалась следующим образом:

устанавливались однопользовательские локальные версии антивирусного ПО на рабочие станции и серверы сети;

применялось ночное сканирование жестких дисков ВМ сети;

иногда на особо важных машинах запускались антивирусные мониторы;

в случае явных проявлений симптомов деятельности вируса производилось сканирование зараженного (подозрительного) компьютера;

иногда сканирование осуществлялось на всех вычислительных машинах, объединенных в сеть, но оно редко затрагивало резервные или архивные данные.

К сожалению, такая локализация данной проблемы не способна решить проблему эффективной антивирусной защиты и является минимальной мерой, не гарантирующей устойчивого функционирования корпоративной системы в течение продолжительного времени. Вместе с тем ее достаточно эффективное решение достигается путем разумного сочетания комплекса организационных мер и программно-технических методов, сопряженных по задачам, месту и времени применения.

Предлагается применять следующие принципы построения систем антивирусной защиты корпоративных сетей:

реализация единой технической политики при обосновании выбора и использование антивирусных продуктов для всех сегментов корпоративной сети;

полнота охвата системой антивирусной защиты всей корпоративной сети предприятия;

непрерывность контроля за состоянием корпоративной сети для своевременного обнаружения вирусов;

централизованное управление системой антивирусной защиты.

Реализация принципа единой технической политики предусматривает использование в сегментах корпоративной сети только рекомендованных подразделением защиты информации предприятия антивирусных программных продуктов для тех или иных операционных систем. Она утверждается руководством предприятия и является основой для целевого долговременного планирования затрат на приобретение антивирусных программных продуктов и их дальнейшего обновления.

Эффективная корпоративная система антивирусной защиты обязана предупреждать и останавливать распространение вирусов в рамках внутренней структуры корпоративной сети. Такая система обеспечивает обнаружение и нейтрализацию различных вирусных атак, как известных, так неизвестных, на самой ранней стадии их развития.

Антивирусная система должна отражать проникновение вредоносных программ как извне (подключение к Интернету, электронной почте), так и изнутри (открытие зараженного документа с дискеты, подключение зараженной рабочей станции).

Перед специалистами компьютерной безопасности встает сложная задача проектирования и реализации подобных систем антивирусной защиты корпоративного уровня.

Сегодня известны отечественные и западные системы антивирусной защиты "Лаборатории Касперского", "Диалог-Науки", Trend Micro, McAfee, Symantec, Computer Associates, Panda Software, позволяющие блокировать все возможные пути проникновения вирусов и других вредоносных программ в корпоративную сеть:

проникновение вирусов на рабочие станции с помощью зараженных переносимых источников, включая карманные компьютеры и флэш-память;

инфицирование посредством зараженной электронной почты, содержащей в приложениях исполняемые файлы или документы Excel и Word с макровирусами;

Java и ActiveX, письма электронной почты, а также HTML-страницы и скрипты.

Существенными особенностями данных систем являются:

сочетание централизованного и децентрализованного подходов к управлению антивирусной защитой корпоративной сети;

активное использование механизмов обратных связей для своевременного обнаружения и устранения как известных, так и не известных ранее вирусов и других вредоносных программ;

использование различных анализаторов, позволяющих осуществлять как синтаксическую, так и семантическую верификацию потоков данных, циркулирующих через входные и выходные шлюзы корпоративной сети;

устойчивость к неблагоприятным условиям внешней среды;

возможность назначения администратора антивирусной системы защиты.

В литературе часто приводят вариант построения системы антивирусной защиты корпоративной сети с централизованным управлением на базе единого пакета антивирусных продуктов. Однако для больших корпоративных сетей, таких, как вычислительные сети региональных предприятий, с учетом особенностей их построения, состава технических средств и ПО, а также в связи с отсутствием универсальных антивирусных пакетов, применяемых для любых операционных платформ, использовать типовые проекты на практике довольно затруднительно.

Выбор антивирусных средств защиты

Рассмотрим наиболее важные критерии оценки антивирусных пакетов.

Надежность работы антивируса. Даже лучшая антивирусная программа окажется бесполезной, если она не позволит довести процесс сканирования до конца, проверить часть дисков и файлов и, как следствие, "оставит" вирус не замеченным в системе. Если для ее работы от пользователя требуются специальные знания, то она также окажется бесполезной - большинство пользователей просто проигнорируют сообщения программы и отреагируют на них случайным образом.

Качество обнаружения вирусов. Прямая обязанность антивирусных программ - идентифицировать и лечить вирусы. Любой антивирус бесполезен, если он не в состоянии "ловить" вирусы или делает это не вполне качественно. Например, если антивирус не детектирует 100% какого-либо вируса, то при заражении системы этим вирусом он обнаружит только часть (допустим, 99%) зараженных на диске файлов. Необнаруженным останется всего 1%, но это позволит вирусу продолжить размножение с проверенной машины или произвести свои деструктивные действия.

Для эффективной антивирусной защиты корпоративных сетей современные антивирусные системы должны уметь обнаруживать деструктивный код типа "троянский конь" во вредоносных апплетах Java и ActiveX, писем электронной почты, а также на HTML-страницах посещаемых сайтов сети Интернет.

Если антивирус с высоким качеством детектирования вирусов вызывает большое количество "ложных срабатываний", то его "уровень полезности" резко падает, так как пользователь вынужден либо уничтожать незараженные файлы, либо самостоятельно производить анализ подозрительных файлов, либо привыкает к частым "ложным срабатываниям", перестает обращать внимание на сообщения антивирусной программы и в результате пропускает сообщение о реальном вирусе.

Гетерогенность (многоплатформенность) антивируса. Только программа, рассчитанная на конкретную операционную систему, может полностью использовать функции этой системы. Но как уже отмечалось, корпоративная сеть представляет собой гетерогенную среду, состоящую из различных вычислительных платформ.

Возможность проверки файлов налету. Моментальная и принудительная проверка приходящих на компьютер файлов и вставляемых дискет и CD-дисков является высокой гарантией от заражения вирусом. Полезными являются антивирусы, способные постоянно осуществлять мониторинг серверов - Novell NetWare, Windows NT, Unix/Linux, а в последнее время, после массового распространения макровирусов, и почтовых серверов, сканируя входящую/исходящую почту.

Если в серверном варианте антивируса присутствует возможность антивирусного администрирования сети, то его ценность еще более возрастает.

Управляемость. Возможность централизованного администрирования антивирусного программного обеспечения чрезвычайна актуальна, так как нельзя полагаться на то, что конечные пользователи будут поддерживать работоспособность и обновление антивирусной защиты на своих рабочих станциях.

Удаленное администрирование. Если администратор сам является удаленным пользователем, такой сервис дает ему возможность администрирования всего предприятия независимо от местонахождения.

Управление антивирусной защитой удаленных пользователей. Сейчас появилось большое количество пользователей, которые выполняют свою работу дома или в командировках, подключаясь к ресурсам корпорации через компьютерную сеть. В результате появляются новые точки проникновения вирусов, поэтому администратору необходимо поддерживать их на том же уровне антивирусной защиты, как и те, которые работают на локальных машинах.

Централизованное уведомление. К сожалению, невозможно получить мгновенную единую картину всех уязвимых точек сети, поэтому можно упустить из виду потенциальную, как правило, реальную вирусную атаку.

Кроме того, антивирус обязан контролировать все возможные точки проникновения вирусов. Вирусы и вредоносные программы могут проникать из различных источников. Необходима уверенность в том, что не осталось ни одной незащищенной точки проникновения вирусов.

Быстрое реагирование на появление новых видов угроз. Если достоверно известно, что сегодня обеспечена 100%-ная защита корпоративной вычислительной сети, то на следующий день могут появиться новые уязвимости или угрозы ее безопасности. В связи с этим важно, чтобы пользователь мог доверять антивирусному ПО.

Регулярное централизованное обновление вирусных сигнатур, сопровождение и поддержка, автоматическое распространение и обновление. Сегодня администраторы могут быть ответственны за сотни рабочих станций и десятки различных сегментов сети предприятия, поэтому понятно требование администратора, который хочет при помощи антивирусного ПО автоматизировать процесс обновления.

Не менее важным критерием является скорость работы. Если на полную проверку компьютера требуется несколько часов, то вряд ли большинство пользователей будут запускать его достаточно часто. В разных антивирусных программах используются различные алгоритмы поиска вирусов, один алгоритм может оказаться более быстрым и качественным, другой - медленным и менее качественным. Все зависит от способностей и профессионализма разработчиков конкретной программы.

Скорость проверки на проникновение вирусов влияет на комплексную производительность системы. Если антивирусная защита "конфликтует" с производительностью системы, доставкой почты или другими ключевыми аспектами современного процесса делового общения, у конечного пользователя появляется желание ее отключить.

Для защиты корпоративной сети целесообразно использовать один (базовый) антивирусный пакет. Однако анализ рынка антивирусных средств показывает, что в случае, когда мы имеем дело с большой корпоративной сетью, это не всегда возможно вследствие разнородности применяемых в сегментах сети операционных платформ.

После выбора антивирусных пакетов необходимо их протестировать. Тестирование производится администратором безопасности (администратором антивирусной защиты) на специальном стенде. Эта процедура позволяет выявить ошибки в антивирусном ПО, оценить его совместимость с системным и прикладным ПО, используемым на рабочих станциях и серверах сети. Результаты тестирования направляются разработчику пакета, что дает ему возможность провести необходимые доработки до начала установки пакета.

Методика построения корпоративной системы защиты от вирусов

Приведем основные положения методики построения корпоративной системы защиты вирусов*(1).

Проведение анализа объекта защиты и определение основных принципов обеспечения антивирусной защиты (АЗ).

На первом этапе необходимо выявить специфику защищаемой сети, выбрать и обосновать несколько вариантов АЗ:

проведение аудита состояния компьютерной системы и средств обеспечения антивирусной защиты;

обследование информационной системы;

анализ возможных сценариев реализации потенциальных угроз, связанных с проникновением вирусов.

Разработка политики антивирусной безопасности:

классификация информационных ресурсов - перечень и степень защиты различных информационных ресурсов предприятия;

создание сил обеспечения АЗ, разделение полномочий - структура и обязанности подразделения, ответственного за организацию антивирусной безопасности;

организационно-правовая поддержка обеспечения АЗ - перечень документов, определяющих обязанности и ответственность различных групп пользователей за соблюдение норм и правил АЗ;

определение требований к инструментам АЗ - к антивирусным системам, которые будут установлены на предприятии;

расчет затрат на обеспечение антивирусной безопасности.

Разработка плана обеспечения антивирусной безопасности:

выбор программных средств, средств автоматизированной инвентаризации и мониторинга информационных ресурсов;

составление перечня организационных мероприятий по обеспечению АЗ, разработка (корректировка) должностных и рабочих инструкций персонала с учетом политики АЗ и результатов анализа рисков.

Разработка внутренних организационно-распорядительных документов:

положение об АЗ, определяющее структуру, состав, задачи и функции подсистемы, а также порядок взаимодействия ее элементов;

инструкция администратора АЗ и др.

реализация плана антивирусной безопасности.

В ходе выполнения данного этапа реализуется утвержденный план антивирусной безопасности: поставка; внедрение; поддержка.

Установку антивирусных пакетов и их настройку выполняют специалисты подразделения, осуществляющего техническое обслуживание сети. Антивирусные монитор и сканер устанавливаются как на серверах, так и на рабочих станциях.

Организация централизованного управления антивирусной защитой сети крупного предприятия со сложной разветвленной структурой и распределенными филиалами.

Требования к создаваемой антивирусной системе защиты корпоративной вычислительной сети:

однообразный удаленный доступ с единой консоли управления к наиболее распространенным антивирусным продуктам, установленным в сети;

снижение требований к уровню знаний компьютерных платформ при администрировании разнородных антивирусных программ, установленных в сети;

обеспечение статистикой и информацией для анализа о вирусной активности в корпоративной сети;

автоматическое обновление вирусных сигнатур для антивирусных продуктов из одного источника;

простота инсталляции сервера для централизованного управления АЗ предприятия;

использование перспективных технологий для инсталляции, изменения конфигураций, обновлений вирусных сигнатур и администрирования АЗ;

поддержка наиболее распространенных Интернет-браузеров;

реализация корпоративной политики антивирусной безопасности.

Для повышения надежности системы и защиты от вирусов, поступающих по наиболее опасным с точки зрения возможности вирусного заражения каналам электронной почты, необходимо установить антивирусные пакеты на почтовых серверах корпоративной сети.

Практическая реализация антивирусной защиты информации на серверах и персональных компьютерах корпоративной сети осуществляется с использованием программно-технических методов, являющихся стандартными, но имеющих свою специфику, определяемую особенностями корпоративной сети. К ним относятся использование антивирусных пакетов, архивирование информации, ее резервирование, ведение базы данных о вирусах и их характеристиках.

ФАПСИ совместно с ведущими разработчиками антивирусного ПО выработали требования к антивирусным средствам, где устанавливается семь классов таких средств, каждый из которых описывается перечнем показателей (обнаружение, лечение, блокирование, восстановление, регистрация, обеспечение целостности, обновление базы данных компьютерных вирусов, защита доступа к антивирусным средствам паролем, средства управления, гарантии проектирования, документация) и совокупностью требований по обеспечению антивирусной защиты для каждого показателя.

Заключение

В 2006 г. основными тенденциями в развитии вредоносных программ, выявленными в прошлые годы, являлись преобладание троянских программ над "червями" и увеличение в новых "зловредах" доли программ, ориентированных на нанесение финансового ущерба пользователям. Рост числа всех новых вредоносных программ по сравнению с 2005 г. составил 41%.

В настоящее время эффективное построение системы антивирусной защиты является одной из приоритетных проблем комплексной безопасности корпоративных информационных ресурсов предприятия.

Установка антивирусных пакетов на серверах и компьютерах сети позволяет значительно снизить риск вирусного заражения, но не исключает его полностью в силу ряда случайных факторов: ошибок пользователей, неправильных настроек, несвоевременности обновления антивирусных баз пакета и т.д. Следовательно, чем больше будет выделено ресурсов, чем профессиональнее будут специалисты по антивирусной защите, тем меньше будет размер риска, которому подвергается информационная среда предприятия. Нельзя пассивно наблюдать за ходом вирусных атак и других вредоносных программ. Необходимо эффективно управлять защитой корпоративной сети с помощью специальных средств централизованного управления антивирусной защитой и обеспечивать устойчивое функционирование вычислительных сетей.

А. Теренин,

к.т.н, тест-менеджер ДжиИ Мани Банк

"Финансовая газета. Региональный выпуск", N 9, 10, март 2007 г.

-------------------------------------------------------------------------

*(1) По материалам, изложенным в статьях:

Шатунов В.М., Бабков И.Н. Антивирусная защита крупной корпоративной сети//Конфидент. Защита информации. 2001. N 6. С. 58-61.

Петренко С.А. Построение эффективной системы антивирусной защиты. Конфидент. Защита информации. Ноябрь-декабрь. N 6. 2001. С. 54-57.