Эшелонированная антивирусная защита в корпоративной среде
Хотелось бы затронуть тему построения эшелонированной антивирусной защиты предприятия. В нынешних реалиях антивирусной защиты фактически мало не бывает. Эффективность любого антивируса можно примерно оценить в 85% от идеала. Почему 85%? Потому что антивирусы работают постфактум и 15% отставания на мой взгляд вполне реальная цифра. С начало появляются вирусы, а уже потом появляется защита от них, никак не наоборот. Если антивирус имеет только сигнатурную защиту то процент эффективности можно снизить ещё на 10-15% и на мой взгляд это будет трезвая оценка. Все эти цифры мои личные критерии оценки и опираюсь я на них исходя из своего практического опыта. Но многие предприятия стараясь минимизировать затраты порой просто исключают антивирусную защиту из бюджетов, считая пустой тратой денег.
Что подразумевается под понятием эшелонированной защиты? Вкладывается в это понятие многоуровневая система защиты от вредоносного ПО. На данный момент мы выделим два уровня защиты:
Почему производится разделение на два уровня защиты? Все очень просто – это именно те уровни, через которые происходит проникновение вредоносного ПО в локальные сети. На уровне шлюза – это трафик из интернета, на уровне конечных точек – переносные носители информации.
«Все это и так понятно» – скажете Вы – «купили у вендора решения для защиты прокси и конечных станций и все уровни под защитой» В какой то мере я с этим соглашусь, но не во всем. Да решения для защиты как рабочих станций, так и прокси серверов и почтовых серверов необходимы, но закупать их у одного и того же вендора по-моему мнению не очень разумно. Почему? Все очень просто, часты ситуации, что один антивирус обнаруживает определенное вредоносное ПО другой не обнаруживает, следовательно использование двух антивирусов разных вендоров увеличит вероятность обнаружения и обезвреживания вредоносного ПО.
Как подходить к выбору ПО для защиты на разных уровнях защиты? Лично я бы рекомендовал произвести оценку ПО в вашей инфраструктуре, то есть банально запросить у вендора триал образцы ПО и протестировать на совместимость с вашей инфраструктурой. Есть варианты где можно просто установить модуль антивирусной защиты непосредственно на прокси сервер или почтовый сервер. Есть варианты где такой подход не имеет права на жизнь и в этом случае необходимо оборудование, которое будет в режиме реального времени вычищать поток от вредоносного ПО или в случае с почтовым сервером это будет отдельное оборудование в режиме МТА, которое будет отлавливать вирусы и спам и антивирус на самом корпоративном почтовом сервере и сервере документооборота. То есть варианты защиты на уровне шлюза у вендоров есть в наличии и на них необходимо обратить внимание и изучить вопрос.
Выбор ПО для конечных точек:
Мы подошли к моменту – все хорошо выбрали, установили, настроили и … А вот тут начинается очень интересный момент. Многие на этом моменте просто все бросают на самотек. Антивирусная защита живет сама по себе. Это неправильно, нужен контроль, контроль за вирусной активностью в сети, контроль за регулярными обновлениями, контроль за настройками, разбор инцидентов и конечно работа по устранению возникших инцидентов заражения. Если эта работа ведется, то значит уже ваша инфраструктура защищена, администраторы способны контролировать ситуацию и потери связанные с вредоносным ПО сведены к разумному минимуму. Конечно, до идеала дойти скорее всего не получится, но стремиться надо.
Что подразумевается под понятием эшелонированной защиты? Вкладывается в это понятие многоуровневая система защиты от вредоносного ПО. На данный момент мы выделим два уровня защиты:
- Защита конечных точек (сервера и рабочие станции)
- Защита на уровне шлюза (трафик получаемый из вне)
Почему производится разделение на два уровня защиты? Все очень просто – это именно те уровни, через которые происходит проникновение вредоносного ПО в локальные сети. На уровне шлюза – это трафик из интернета, на уровне конечных точек – переносные носители информации.
«Все это и так понятно» – скажете Вы – «купили у вендора решения для защиты прокси и конечных станций и все уровни под защитой» В какой то мере я с этим соглашусь, но не во всем. Да решения для защиты как рабочих станций, так и прокси серверов и почтовых серверов необходимы, но закупать их у одного и того же вендора по-моему мнению не очень разумно. Почему? Все очень просто, часты ситуации, что один антивирус обнаруживает определенное вредоносное ПО другой не обнаруживает, следовательно использование двух антивирусов разных вендоров увеличит вероятность обнаружения и обезвреживания вредоносного ПО.
Как подходить к выбору ПО для защиты на разных уровнях защиты? Лично я бы рекомендовал произвести оценку ПО в вашей инфраструктуре, то есть банально запросить у вендора триал образцы ПО и протестировать на совместимость с вашей инфраструктурой. Есть варианты где можно просто установить модуль антивирусной защиты непосредственно на прокси сервер или почтовый сервер. Есть варианты где такой подход не имеет права на жизнь и в этом случае необходимо оборудование, которое будет в режиме реального времени вычищать поток от вредоносного ПО или в случае с почтовым сервером это будет отдельное оборудование в режиме МТА, которое будет отлавливать вирусы и спам и антивирус на самом корпоративном почтовом сервере и сервере документооборота. То есть варианты защиты на уровне шлюза у вендоров есть в наличии и на них необходимо обратить внимание и изучить вопрос.
Выбор ПО для конечных точек:
- ПО должно быть от другого вендора
- ПО должно содержать сканеры эвристического и сигнатурного анализа
- ПО должно иметь функции firewall
- ПО должно управляться централизованно
- ПО должно иметь защиту от несанкционированных изменений настроек пользователями
Мы подошли к моменту – все хорошо выбрали, установили, настроили и … А вот тут начинается очень интересный момент. Многие на этом моменте просто все бросают на самотек. Антивирусная защита живет сама по себе. Это неправильно, нужен контроль, контроль за вирусной активностью в сети, контроль за регулярными обновлениями, контроль за настройками, разбор инцидентов и конечно работа по устранению возникших инцидентов заражения. Если эта работа ведется, то значит уже ваша инфраструктура защищена, администраторы способны контролировать ситуацию и потери связанные с вредоносным ПО сведены к разумному минимуму. Конечно, до идеала дойти скорее всего не получится, но стремиться надо.
0 комментариев