В статье Как ответить на вопрос — что такое «компьютерный вирус» мы рассмотрели эволюцию данного понятия. В этот раз рассмотрим вариант построения эшелонированной антивирусной защиты.
Сразу отметим, что в статье вы не найдёте:
- сравнения существующих на рынке решений с целью «найти самый-самый лучший антивирус». Такими сравнениями успешно занимаются маркетологи, найти подобные «исследования» не сложно;
- инструкций по настройкам конкретного программного продукта, которые обеспечат 100% (или 99.999… %) защиту от всех угроз.
Очевидно, что построение комплексной защиты требует не только установки антивирусного ПО, но и проведение, в т.ч. на регулярной основе, целого ряда мероприятий:
- разработка и актуализация политик, инструкций, регламентов (реакции на инциденты, по распределению прав доступа, требований к паролям и др., как бы кто ни относился к такой «бумажной безопасности», но это важный, а иногда и обязательный компонент);
- обучение пользователей;
- патч-менеджмент;
- резервное копирование информации;
- внедрение дополнительных систем (IPS/IDS, сканеры уязвимостей, сервисы фильтрации DNS трафика и др.)
- возможно привлечение независимых подрядчиков для проведения аудита/пентеста.
Чтобы «не прыгать в ширину», оставим эти вопросы для следующего раза, сосредоточившись на построении именно эшелонированной антивирусной защиты.
Рассмотрим упрощенную схему сети предприятия. В ней, как правило, присутствуют рабочие станции пользователей, серверы для внутренних сервисов (AD, file-server, print-server, ERP и т.д.) и серверы обеспечивающие связь с внешним миром (Mail, Proxy, FTP и т.д.). На схеме следует учесть такое явление как BYOD.
На какие параметры смотрим
При выборе антивирусного решения полагаем обязательным наличие единой консоли управления всеми продуктами, в которой можно отслеживать состояние и собирать статистику со всех узлов, распространять и контролировать состояние обновлений баз и других компонент, возможно централизованное распространение антивируса (для большинства платформ).
Далее, помимо стоимости, целесообразно обратить внимание на следующие параметры:
- покрытие используемых на предприятии платформ (типов и версий версий ОС, аппаратного обеспечения);
- влияние на производительность основных задач;
- качество обнаружения (с учетом сферы бизнеса организации и страны её расположения);
- качество лечения (этот параметр часто забывают);
- наличие квалифицированной тех.поддержки, желательно на родном языке;
- наличие сертификатов — при наличии соответствующих требований.
При внимательном рассмотрении перечисленных параметров становится ясно, что выбор только усложняется: WinXP не спешит уходить, в тоже время, от его поддержки производители отказываются, даже у мировых лидеров рынка поддержка некоторых платформ может быть «для галочки» (линейка Windows может поддерживаться начиная уже только с Win7, не на все дистрибутивы Linux / Unix удастся установить продукт, специальные версии продуктов для мобильных платформ или систем виртуализации), сравнений антивирусов много и часто только по критерию обнаружения, но достоверность сравнений и применимость полученных результатов в вашей ситуации может вызывать вопросы.
Единое антивирусное решение
Владение одним антивирусным решением, по объективным показателям, таким как стоимость лицензий, обучение персонала, выделение ресурсов для консоли администрирования, обычно выходит дешевле. Но это верно при отсутствии заражений, а оценить заранее масштабы последствий практически невозможно.
Отметим только, что в случае заражения новым вредоносным кодом локализовать его распространение практически невозможно, а выявить источник и справиться с последствиями может помочь служба поддержки и вирлаб, именно для такой ситуации важны поддержка на родном языке и функционал лечения.
Эшелонированное антивирусное решение
Предлагаем рассмотреть и оценить подход, когда в ущерб простоты управления системой антивирусной защиты и стоимости владения предлагается использовать эшелонированную антивирусную защиту, которая включает в себя решения от нескольких производителей.
Компьютеры, серверы и другие устройства целесообразно разделить на классы по их основному использованию. Для приведенной ранее схемы предприятия это будут:
- серверы, обеспечивающие коммуникации с внешним миром;
- серверы, обеспечивающие внутренние сервисы;
- рабочие станции пользователей (сюда же отнесем BYOD).
При разделении на классы не следует увлекаться, одновременная поддержка более 4 решений может приводить к низким знаниям каждой из применяемых систем.
Прямой обмен данными (файлами) между устройствами одного класса должен быть запрещен и ограничен техническими мерами. В таком случае данные (файлы) от точки попадания в защищаемую систему до использования на следующем устройстве будут проверены двумя антивирусами:
- Интернет — [антивирус на mail/proxy сервере] — [антивирус на рабочей станции];
- Зараженный сменный носитель — [антивирус на АРМ] — [антивирус на сервере] — [антивирус на АРМ];
- Зараженный сменный носитель — [антивирус на АРМ] — [антивирус на mail/proxy сервере];
- и т.д.
Это, естественно, не дает 100% гарантий от заражений, но снижает риск эпидемий, способствует локализации и своевременному выявлению заражения.
При выборе антивирусного решения для отдельного класса устройств, который явно меньше, чем весь парк компании, упрощается выбор решений по критерию поддержки применяемых платформ.
Отдельное внимание хочется обратить на то, что для класса «серверы, обеспечивающие коммуникации с внешним миром», в отличие от других классов, функционал лечения практически не имеет значения, а обнаружение — особенное высокое.
А не слишком ли надумано это всё
Вполне резонный вопрос — зачем усложнять и теоретизировать, придумывать классы, внедрять несколько антивирусных решений, с учетом потенциального увеличения стоимости владения?
Практика применения нескольких антивирусных решений по приведенной или схожей схеме встречается и, как правило, обоснована теми же соображениями, которые приведены в статье.
ссылка на оригинал статьи https://habrahabr.ru/post/318436/
Добавить комментарий