UTM как средство защиты от вредоносных программ на примере Juniper SRX с встроенным Антивирусом Касперского

[AM_Bot 48]

На наши вопросы согласился ответить Павел Лунин, технический директор компании Senetsy, и Константин Матюхин, менеджер по работе с технологическими партнерами в странах развивающихся рынков, Лаборатория Касперского. Это интервью продолжает цикл публикаций "Индустрия в лицах".

подробнее

[Сергей Ильин 1538]

Интересное интервью, особенно в части механизма Full AV и опции Express AV (основана на технологии Kaspersky SafeStream).

Уровень обнаружения Express AV ниже, чем у полного антивируса, однако Express AV успешно обнаруживает наиболее распространённые зловреды.

Не очень понятно, как определяется состав БД для режима Express AV. В базах остаются только записи за последнее время, т.е. режется старье? Или принцип несколько другой на базе статистики KSN?

[Константин Матюхин 0]

Интересное интервью, особенно в части механизма Full AV и опции Express AV (основана на технологии Kaspersky SafeStream).

Не очень понятно, как определяется состав БД для режима Express AV. В базах остаются только записи за последнее время, т.е. режется старье? Или принцип несколько другой на базе статистики KSN?

Спасибо. Рад, что тема оказалась интересной и несколько новой.

Касательно состава баз для Express AV. Говоря кратко, антивирусные сигнатуры формируются только на основе статистики KSN. Как показало время, именно этот способ даёт наиболее репрезентативную картину. В базы для Juniper Express AV попадают только самые опасные и распространенные зловреды по данным KSN. Напомню, что сейчас в KSN участвуют около 30 миллионов пользователей во всем мире. Этого более чем достаточно, чтобы понимать, от чего конкретно нужно быть защищенным в каждый определенный момент времени.

Таким образом, Express AV позволяет защищать от того, что актуально сейчас, и получить бОльшую производительность на Juniper SRX. Ведь такие базы меньше по объему, а, значит, меньше занимают в памяти устройства.

[Сергей Ильин 1538]

Full AV снижает производительность в среднем в 4 раза по сравнению с приведенными выше цифрами.

Full AV - дорогое удовольствие получается. Не слишком ли много в 4 раза зарезать производительность appliance только за счет антивируса? Выглядит пугающе, хотя я понимаю, что тут скорее надо читать как "всего в 4 раза"

[Константин Матюхин 0]

Full AV - дорогое удовольствие получается. Не слишком ли много в 4 раза зарезать производительность appliance только за счет антивируса? Выглядит пугающе, хотя я понимаю, что тут скорее надо читать как "всего в 4 раза"

Да, эти цифры если не пугают, то настораживают почти всех, кто интересуется Juniper SRX UTM или AV. Вопросы по производительности, наверно, самые часто задаваемые. Но на практике всё ни так страшно. Нужно смотреть на сам трафик, какой трафик отдается на сканирование антивирусу. SRX UTM/AV хорошо справляется с защитой небольших офисов и отделений, где ставить отдельный шлюз слишком дорого. Полезно также посмотреть на опыт внедрений. Думаю, этот момент лучше всего прокомментирует Павел.