Корпоративный антивирус. Компоненты и разработки, их необходимость и вредность.

Это копия записи в блоге Алекса. Хотелось бы более широкую аудиторию, для самый разных мнений.

Уже продолжительное время я возвращаюсь к одним и тем же мыслям: какие компоненты и разработки нужны АВ в SMB. Именно SMB: отличаем от SOHO, и не затрагиваем гигантов. Попробую привести список тех компонентов и разработок, которые пихают более-менее часто и мое отношение к ним:

— Файловый АВ. Безусловно нужен. AOS — основа защиты в real-time.

— Веб АВ. Хорошо. Далеко не все могут позволить себе ставить на проксях решения для проверки web трафика. В общем, нужный компонент.

— Почтовый АВ. Также не все могут позволить себе решения для почтовых серверов. Да чего там — не все могут позволить себе почтовые серверы! Не потому что денег нет (бесплатность не отбрасываем), а потому что нет специалистов, ну не предусмотрены штатным расписанием. Либо они такие, будто взяли... "Сын у Васьки шарит в компах чо-то. Мож его?".

— ODS. Даже не обсуждается, нужно.

— Анти-Спам. Аналогично Почтовому АВ.

— Сетевой экран + IDS. Вот к этим компонентам у меня крайне отрицательное отношение в SMB. Многие ли организации выходят в Инет без какого-либо программно-аппаратного решения? Любого. В некоторых ситуациях этот компонент может быть даже вреден. IDS может сфолсить так или иначе и застопорить работу одного или нескольких сотрудников. А уж в зависимости от их важности — целых отделов. IDS может сфолсить даже на удаленную печать. Да, этот компонент может помочь свести к минимуму последствия жизни червя, но это форс-мажор. Возникает, чаще всего, из-за халатности админа и тупоголовости офисного планктона. В общем, лишний, ненужный, опасный компонент для SMB и выше.

— Поведенческий блокиратор. Ну это вообще наказание! Он может обозвать кейлоггером и новый драйвер клавы, и новую быдло-аську. Он может заорать на скрытую установку драйвера, когда админ явно запускает установку, собственно, драйвера какого-то девайста или проги. Он может обматерить руткитом уже работающий полезный драйвер какого-то ПО. И прочее, прочее, прочее. Опаснейший, «фолсивейший» компонент. Должен использоваться либо с крайней осторожностью, либо не использоваться вовсе.

— Эмулятор. В SMB эмуль — штука минимум лишняя. Он тоже подвержен фолсам (да, четкая сигнатура тоже, но все-таки несравненно реже), а состав используемого ПО в каждой отдельной организации — это почти константа. Исключение — бухгалтерия, секретари и пр., гоняющие очередную Зуму. Но с ними должен быть отдельный разговор, с подписанием бумажек.

— Device lock. Бесспорно, нужная штука.

— Контроль веб-контента. Нужно. Блочим и зайцев, и фишки, и быдлоклассников, и прон, и другие радости. Я бы даже сказал, он дожен работать только по белому списку. Блочим и по адресам, и по маскам, и по расширениям скачиваемых файлов, и по контексту.

— Системы резервного копирования данных. А нужная штука, между прочим. Только должны заниматься этим поделия от Акрониса до Симантека. Т.е. в антивирусе они ни к чему (если вообще есть :)).

— Ежедневные (иногда многоразовые) обновления сигнутур вредоносов и атак. Вот двояки эти частые апдейты. Частый — значит недостестированный. Сфолсит у юзверя Пети на ломанный винрар, ну и черт с ним, через пару часов поправят. А сфолсит у главбуха Таисьи Андреевны на какую-нибудь библиотеку 1С-ки? Да в день выдачи зарплаты?.. ИМХО, апдейты раз в сутки для SMB — это самое оно. Чаще не стоит, чаще — опасно.

К чему я это все говорю. К тому, что чем меньше компонентов, чем меньше технологий, тем меньше багов. Тем меньше затрат на разработку, на тестирование, тем меньше себестоимость. Тем проще внедрение Продукта, обучение админа. Имеем ряд весомых плюсов, которым, ИМХО, не могут противостоять пиар-лозунги: "У нас есть супер-эмуль, ловит 75% вредоносов" (знаю, тупой и незаконченный, но почти реальный).

Итак. Зачем тратить свои силы, время и средства на разработку и тестирование? Зачем мучать админов опасным функционалом? Какой в этом смысл?