Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Они не пройдут!

Они не пройдут!

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Они не пройдут!

Николай Романов,
инженер отдела информационной безопасности компании "Verysell Проекты"

Сегодня средства антивирусной и антиспам-защиты при построении корпоративной системы информационной безопасности являются наиболее популярными и востребованными. Это можно объяснить рядом факторов.

Во-первых, применение антивирусных (антиспам) средств в повседневной работе практически любой организации (как государственной, так и коммерческой) наиболее ощутимо. Это особенно заметно в сравнении с другими средствами защиты, эффективность использования которых не может быть оценена столь явно. Вместе с этим ситуация усугубляется огромным числом вирусных атак и увеличивающимся количеством спама.

Во-вторых, вирусную опасность (эпидемию) проще предупредить, чем тратить массу времени и средств, устраняя ее последствия.

Идем по схеме

Многолетний опыт работы с антивирусными решениями позволил выработать ряд гибких и эффективных схем внедрения систем для борьбы с вредоносными программами. Рассмотрим общие принципы и этапы построения корпоративной антивирусной системы.

Прежде всего, производится обследование существующей IT-инфраструктуры заказчика -для выяснения его потребностей и выбора оптимального решения.

На этом этапе мы учитываем несколько основных факторов:

  • масштабы компании;
  • род ее деятельности;
  • наличие удаленных офисов;
  • действующие политики безопасности.

    • Собранные данные позволяют:

  • выполнить предварительную оценку стоимости проекта;
  • определить примерные временные рамки;
  • изучить существующую антивирусную политику безопасности;
  • предложить заказчику программное (или программно-аппаратное) решение.

    • Большинство клиентов предпочитает использовать антивирусные продукты с централизованным управлением (в том числе внутренних серверов обновлений антивирусных продуктов), так как это существенно упрощает обслуживание и сокращает расходы на администрирование (особенно в крупномасштабных сетях). Кроме того, наличие центрального сервера карантина позволяет проводить анализ и обработку новых вирусов и нередко отследить начало вирусной эпидемии.

    При выборе решения для защиты корпоративной сети от вирусов нередко приходится приобретать продукты от разных производителей. Это связано, в первую очередь, с ориентированностью того или иного разработчика на решение определенного типа задач. Например, компания GFI считается признанным лидером в защите почтовых шлюзов, Symantec - в защите рабочих станций, McAfee -серверов. Но не только это считается значимым критерием при выборе. Нередко у компании-заказчика имеются свои специфические требования, в частности: работа с мобильными пользователями (большие компании с распределенными офисами); единое хранилище обновлений для всей линейки продуктов (также распространено в крупных компаниях).

    Если вам пишут

    Наряду с подбором антивируса заказчику требуется защита от спама, так как зачастую почтовые рассылки сопровождаются распространением вирусов. Программное решение для борьбы со спамом выбирается исходя из нескольких основополагающих критериев. Это, прежде всего, уровень обслуживания данной системы заказчиком и подбор индивидуального продукта в зависимости от эффективности (определяется методом тестирования нескольких продуктов). Дело в том, что ряд антиспам-систем требует длительной настройки, так называемого "обучения" (например, фильтры, основой которых является Байесовский алгоритм). В случаях, когда у заказчика наблюдается дефицит специалистов и процедура настройки антиспам-фильтра остается без квалифицированной поддержки, эту работу способна взять на себя компания, занимающаяся внедрением (техническим сопровождением). Может быть предложено альтернативное решение, в котором все "обучение" уже выполнено на стороне разработчика продукта.

    Следующая стадия - это определение мощностей оборудования, которое планируется использовать в качестве обслуживающего для системы антивирусной защиты. На этом этапе производится анализ предельной нагрузки для выявления слабых мест в существующей конфигурации, а также нужного для повышения отказоустойчивости числа резервных серверов. При необходимости парк оборудования расширяется до требуемого расчетного количества.

    После вышеперечисленных работ начинается этап последовательного внедрения. Происходит это следующим образом: на небольшом сегменте корпоративной сети разворачивается пилотный участок антивирусной системы, осуществляется ее конфигурирование и наладка. После успешного завершения тестирования выполняется дальнейшая инсталляция системы на остальных участках сети и введение всей системы антивирусной безопасности в повседневную эксплуатацию.

    Кроме технической стороны вопроса при построении корпоративной системы антивирусной безопасности (САБ) стоит отметить важность организационно-методических мероприятий.

    Комплекс работ включает в себя:

  • регулярное обновление антивирусных сигнатур;
  • разработку политики антивирусной безопасности компании;
  • подготовку инструкций, регламентирующих деятельность администраторов и пользователей САБ;
  • проведение среди пользователей системы консультаций и инструктажей по предотвращению вирусного заражения;
  • постоянный контроль за их деятельностью.

    • КОММЕНТАРИЙ ЭКСПЕРТА

    Владимир Бычек,
    руководитель направления контент-безопасности (eSafe) компании Aladdin

    ХОТЕЛОСЬ БЫ заметить, что в аналитических материалах об угрозах от различных вендоров, опубликованных в открытой печати, отмечается значительное увеличение доли программ-"шпионов" (spyware) и другого злонамеренного кода (adware, malware). Как известно, подобные вредоносные программы не "афишируют" своей деструктивной деятельности (как и самого существования). Именно поэтому упомянутые выше угрозы определяются классическими антивирусными средствами недостаточно эффективно, а так называемые "руткиты" и вовсе плохо. Ущерб же, который может быть нанесен и наносится злонамеренным ПО данного класса, весьма и весьма значителен.

    Исходя из того, что автор выносит за скобки современные виды вредоносного кода, с написанным нельзя не согласиться. И в самом деле, трудно представить себе серьезную систему, построенную без проекта, который является результатом исследования информационной системы заказчика, анализа рисков, подготовки адекватных мер защиты и т. д. Однако, по моему мнению, время традиционных вирусов заканчивается, и система, в которой не предусмотрена защита от современных угроз, обречена быть неэффективной.

    В качестве ремарки отмечу: я считаю не слишком корректным для статей подобного рода в любом контексте называть продукты любого вендора "лидерами" отрасли.

    Практически все известные вендоры имеют интегрированные решения, с той или иной степенью эффективности решающие проблемы защиты на разных участках обороны. Использование решений от разных вендоров, на мой взгляд, почти наверняка приведет к проблемам с интеграцией продуктов и увеличит среднюю стоимость владения. По поводу написанного о спаме: раз уж прозвучало "А", то хотелось бы услышать "Б". Если мы хотим говорить об угрозах, реализуемых посредством спамерских рассылок, думается, что следует перечислить основные из них.

    В заключение хотелось бы отметить, что представленный в статье порядок работы с заказчиком имеет множество спорных мест, а описанные угрозы несколько утратили свою актуальность.

    Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2007

    Приобрести этот номер или подписаться

    Статьи про теме

    Контакты
     
    Подписка

    Мы в соцсетях

    Copyright © 2018-2022, ООО "ГРОТЕК"