Перейти к содержанию
Евгений

Перед тем, как выбрать"надежный антивирус" стоит..

Recommended Posts

Евгений

Доброго дня! Мне на глаза попалась статья - что скажете коллеги?

Почему не срабатывают антивирусы?

Технический прогресс как это ни странно все больше и больше базируется на вере. Мы можем с увлечением читать о квантовой механике или о радиоастрономии, но проверить это уже не в состоянии. Остается только принять (или не принимать) прочитанное на веру.

И дело тут не только в том, что не у каждого есть доступ к радиотелескопу, а скорее в отсутствии необходимой подготовки. Понять ту или иную формулу доступно каждому, а вот проверить ее правильность едва ли. Слишком много связей между различными областями познания. Никакая наука не существует изолированно в "чистом" виде, и ни один человек не способен уместить в голове все достижения цивилизации.

Какой из этого выход? Разумеется разделение специализаций, с последующим обменом научными достижениями, принимая "на веру" достижения коллег. Может быть это немного утрировано, но все же недалеко от истины. Во всяком случае именно такая ситуация сложилась в антивирусной индустрии.

Грамотно пользоваться антивирусом может (и в идеале должен) каждый квалифицированный пользователь и системный администратор. Но при этом ни тот ни другой не обладают достаточной квалификацией что бы проверить достоверность сообщений антивируса. Все что остается им делать - принять последнее на веру. Или использовать статистические подходы - скажем если из трех антивирусов два признали некоторый файл зараженным, то он действительно заражен, ну и соответственно наоборот.

Однако, последнее ничуть не лучше первого, если не сказать наоборот. В конечном счете вера основанная на статистике это все та же вера, которая не дает никаких гарантий, что разработчики антивирусов не ошиблись и учили все возможные ситуации и модификации вирусов. А учитывая скорость пополнения антивирусных баз данных и ничтожно малое время, отводимое специалистам на анализ новых "насекомых" можно без колебаний ожидать, что множество деталей окажутся не замеченными и антивирус будет работать не так как предполагается или вообще не будет работать.

Поэтому следует с большим недоверием относиться к сообщениям антивирусов. Если вирусов не найдено, то это следует понимать буквально - т.е. их и в самом деле просто не найдено,но это не намек что их и в действительно нет. То же относится и к утверждениям о зараженности файлов. Достаточно часто случается, что антивирус находит вирус там, где нет и следа последнего.

Положение усугубляется ошибками разработчиков и пользователей. Очень часто антивирусами пользуются неправильно, чем и объясняется неудовлетворительный результат их работы. При этом руководства пользователя обычно содержат даже больше ошибок и упущений, чем сам продукт. К примеру рассмотрим рекомендацию запуска антивируса с "чистой" дискеты. Безусловно практически всегда так и следует поступать, потому что в противном случае трудно гарантировать,что антивирус корректно нейтрализует резидентную часть вируса. Несмотря на то, что современные антивирусы обычно это делают достаточно качественно, в некоторых случаях подобная процедура опускается или просто не срабатывает. Если это произойдет с вирусом, заражающим файлы при их открытии (закрытии), то после сканирования окажутся зараженными все проверяемые файлы. Особенно часто это происходит в новыми, не еще детектируемым вирусами, резидентную часть которых гарантированно ни обнаружить, ни нейтрализовать не представляется возможным. В общем случае можно утверждать, что детектированиелечение вируса не должно выполняться при активной резидентной части вируса.

Но не спешите довериться этому объяснению и всегда загружать свой компьютер перед проверкой с эталонной дискеты. Дело в том, что ряд вирусов для своего лечения требует информации, которую антивирус черпает именно из резидентной части. Например, если полиморфный вирус каким-то образом шифрует диск, то для восстановления последнего очевидно необходимо получить алгоритм расшифровки. Учитывая, что он меняется (может меняться) от одной модификации вируса к другой разработчики часто "заимствуют" его непосредственно из тела вируса. Учитывая, что на диске вирусы обычно зашифрованы, а в памяти нет, то логично, что большинство разработчиков берут необходимые данные именно из резидентного модуля. При этом часто не учитывается, что при загрузке с "чистой" дискеты подобное осуществить будет уже невозможно.

Хорошо если данная ситуация отражена в техническом руководстве, но чаще всего пользователь сталкивается с малоинформативным сообщением "вирус вылечить невозможно" или что еще хуже с порчей файлов при попытке лечения или даже всего диска целиком. Последнее хоть и редко, но все же случается.

Любопытно, что в данной ситуации очень трудно найти виноватого. Разработчики редко признают подобные ошибки, отсылая истца к составителям документации, а те в свою очередь сетуют на низкую квалификацию пользователей антивируса.

Действительно, как мы видим использование современных антивирусов дело не простое. Пользователь постоянно оказывается на распутье выбора решения, особенно после сообщений в стиле "по адресу 9876:0102 возможно находится резидентный вирус". Специалисту достаточно по указанному адресу взглянуть дизассемблером, но даже и без оного по приведенным цифрам он уже может многое сказать о резиденте. Так например, расположение в верхних областях нижней памяти уже указывает на нестандартный способ посадки резидентной копии, а смещение 0x102 свидетельствует о том, что резидент с большой вероятностью "вылез" из com-фала - 0x100 - на PSP и 2 байта на короткий переход на процедуру инициализации.

Разумеется, что все это доходчиво объяснить простому пользователю не затратив кучу времени и усилий просто невозможно. Какой из этого выход? Предоставить лечение вирусов специалистам? Фактически так оно и есть, но мало кто может себе позволить оплатить выезд сотрудника антивирусный фирмы, особенно если ценность обрабатываемых данных оказывается меньше или сравнимой с стоимостью подобного сервиса.

Многие все же предпочитают использовать антивирусны средства, что значительно дешевле, хотя и проигрывает в надежности. При этом разработчики последних разрываются между двух крайностей - предоставить пользователю по возможности исчерпывающую информацию о ситуации, а дальше действовать в зависимости от его решения (но знает ли пользователь что ответить?) или свести взаимодействие с последним к минимуму, реализуя полностью автоматическую диагностику и лечение.

Сегодня доминирует последняя тенденция. И даже некогда профессиональный "AVP PRO" сегодня уже лишен многих "вкусностей". Исчезла возможность ручного создания баз, в комплекте отсутствует утилита trsutil (интегрированный отладчикдизассемблер, разработанный для поиска и нейтрализации вирусов). С одной стороны в этом есть свои несомненно положительные черты, но и вместе с возникшей простотой использования (многие пользователи просто не знали что делать с trsutil, а уже вид команд ассемблера и вовсе вызывал полное недоумение) падает качество продукта. Почему? Да потому что автомат. Автомат, который действует каждый раз по одному и тому же шаблону и оказывается бессильным даже в простых, но нестандартных ситуациях. И уже нет никакой возможности "пройтись" по векторам прерываний или хотя бы карте памяти.

При этом пользователь оказывается лишен возможности не только вмешиваться в процесс, но даже контролировать происходящее. Допустим, некий файл подозревается эвристическим анализатором на вирус. Что с ним сделать? Стереть? Но уничтожит ли это вирус и кроме того как быть если отсутствует резервная копия? А вдруг это всего лишь безобидное "ругательство" антивируса? Хорошо бы узнать причину его возникновения. В противном случае подобная информация просто лишена смысла и попросту бесполезна. Большинство пользователей чаще встречаются с ложными срабатываниями эвристических анализаторов, нежели с точными попаданиями и рано или поздно отключают эвристический анализатор (при этом попутно выигрывая и в скорости сканирования).

Некоторые антивирусы наподобие F-PROT выдают содержимое внутренних флагов эвристического анализатора, предоставляя пользователю возможность проанализировать причины "неудовольствия" антивируса самостоятельно. К сожалению для многих из них эта информация ни о чем не говорит, и они предпочитают антивирусы, работающие полностью в автоматическом режиме, и не задающие непонятных вопросов. Любопытно, что и у профессиональных пользователей подобные продукты не пользуются успехом. Для вынесения окончательного решения "вирус - не вирус" требуется взглянуть на подозреваемый файл в дизассемблере. Разумеется, что подобное для массового рынка не приемлемо и никогда и никем не было реализовано. (Единственным антивирусов содержащим интегрированный отладчик и ориентированным на профессионального пользователя вероятно является x-safe).

Заметно больше верят дисковым ревизорам, особенно работающими в обход 0x13 (наподобие ADinfo). Считается, что последние практически невозможно "обмануть" и на результаты сканирования можно положиться. Увы - это вывод основан не более чем на безосновательной вере и зиждется на незнании. На самом деле есть множество эффективных алгоритмов, которые позволяют вирусу остаться незамеченным. Например, если файлы будут заражаться через некоторые промежутки времени (скажем в несколько минут), то тогда в течении сканирования могут оказаться зараженными уже проверенные файлы. Запуск с чистой дискеты это мог бы предотвратить, но при этом ADInfo не сможет обнаруживать Staelth-вирусы, да и все же далеко не для всех случает такая загрузка возможна. Например в NT с дисковой системой NTFS грузиться с досовской дискеты просто бессмысленно, поскольку оттуда соответствующие разделы диска просто не будут видны.

При этом вирус Antiх8-ADinfo не смотря на постоянное сканирование диска ревизорами (и удаления всех загаженных файлов) будет обнаруживаться вновь и вновь до той поры пока пользователь в ярости не удалит с диска все файлы или разработчики антивирусов не включат его в базы данных. Впрочем, насколько мне известно последние версии AVP и DrWeb его не детектируют. К счастью пока данное "насекомое" с завидно медленной скоростью кочует с машины на машину, распространясь только через загрузочные сектора жестких дисков, но это не может служить поводом для беспечности. (Любой другой вирус, использующий те же алгоритмы может распространяться не в пример быстрее).

Безосновательная вера в техническую документацию, рекламные проспекты и и авторитет разработчиков все же не лучшее средство в борьбе с вирусами и выборе антивирусного продукта. Чем больше человек верит в собственную неуязвимость, тем тяжелее ему сориентироваться при вирусной атаке. Как правило понадеявшись на антивирус резервное копирование давно не поводилось, права доступа большинству приложений выделены излишне высокие за что теперь приходиться расплачиваться зараженными файлами и потерянной информацией.

Быть может в этом виноваты не разработчики, а рекламные агенты? Ведь именно они, а ни кто другой приписали товару свойства, которыми он мягко говоря и не претендовал обладать. Действительно, искусство рекламы - это умение преподнести дезинформацию ни разу при этом ни солгав. Например, утверждается, что некий эвристический алгоритм находит 97% всех вирусов. Но означает ли это, что хотя бы в девяти из десяти случаев новый вирус будет обнаружен? Это зависит от того как была получена эта цифра "97". На самом деле новыми могут считаться только те вирусы, которые были написаны после выхода данного антивируса "в свет", т.к. большинство вирусописателей заботится об том, что бы их детища попали как раз в те самые "3%", которые эвристик не обнаруживает. Никто не спорит, что это удается не всем и какая-то часть вирусов все же будет обнаружена. Однако, разумеется, что результат будет далек от 97%, особенно учитывая быстрое развитие вирусных технологий и интенсивный обмен удачными решениями между вирусописателями. В последнее время растет доля вирусов, написанных на языках высокого уровня. Пока эвристики не способны различить и процента от таких созданий. Откуда же тогда взялась такая заманчивая цифра 97? Да очень просто - это процент обнаруженных вирусов от всех существующих в коллекции разработчика экземпляров. Разумеется, что большую часть из них представляют "академические" и ныне уже не встречаемые образцы наподобие сотен модификаций классической "Виенны".

Выходит, что приведенные цифры и в мусорную корзину не отправишь, но и к сведению не примешь, поскольку реального положения вещей они не отображают. Неудивительно, что эвристики срабатывают не так часто, как ожидают многие пользователи. Самое парадоксальное, что нельзя обвинить разработчиков в введении клиентов в заблуждение. Если их прямо спросить как были полученные приведенные цифры, то скорее всего они честно ответят. Однако, рекламный расчет строиться на том, что большинству покупателей это просто не придет в голову.

Таким образом, антивирусы на самом деле не так надежны, как этого ожидают приобретающие их пользователи. По настоящему уверенно могут себя чувствовать себе лишь те, за чьими компьютерами неусыпно следят живые специалисты, а не автоматические программы.

К сожалению таковых специалистов никогда не будет достаточно, что бы охватить весь существующий парк компьютеров и на ближайшие несколько лет использование антивирусов это единственный выход для большинства владельцев персоналок.

Что они не надежны мы уже выяснили, остается только решить что делать и как бороться в этой ситуации. В идеале можно было бы засесть за книги по ассемблеру и технические руководства по операционной системе с тем, что бы научиться отлавливать вирусы самостоятельно, манипулируя отладчиком и дизассемблером. К сожалению этот путь для большинства не приемлем. Мало кто располагает свободным временем для подобных занятий. Поэтому приходится искать некий компромис и нехватку собственных знаний компенсировать готовыми автоматическими инструментами.

Действительно, можно обойтись и без знаний ассемблера и умения программировать - достаточно хотя бы в общих чертах понять как функционирует вирус и какими методами его обнаруживают и лечат. Ниже будет показано как вести себя, что бы антивирус ошибался не так часто.

Начнем с того, что главным оружием в борьбе с вредителями должно быть разграничение доступа и резервное копирование. При этом любая атака приносит минимальный ущерб, который без последствий и задержек может быть ликвидирован. Антивирус нужен только для установления факта заражения. Однако объем и периодичность обновления вирусных баз все же не так критична, как это принято считать. Во-первых общее количество детектируемых вирусов еще ни об чем не говорит и не более чем очередная бесполезная рекламная информация.

Так например, очень маловероятно, что пользователи встретятся с многочисленными древними, а ныне "вымершими" да и неработоспособными на современных операционных системах вирусами. И уж совсем ни к чему им искать на своем диске "академические" создания, которые пишутся ради эксперимента и не выходят из стен "лабораторий".

Кроме того количество всегда обратно пропорционально качеству. "Лишние" записи увеличивают вероятность ложных срабатываний, ошибок и сбоев. Да и скорость сканирования к тому же замедляют. При этом на проверку оказывается, что обнаруживаются не все из перечисленных вирусов. И уж тем более не все их модификации. Особенно это характерно для полиморфных и Стелс-вирусов. Учитывая, что разные файлы одним и тем же вирусом поражаются по разному, очевидно, что разработчики иногда упускают последнее из виду и антивирус находит не все зараженные файлы. При этом возникает любопытная ситуация. После каждого лечения источник заражения остается и вирус будет появляться вновь и вносить казалось бы из "ниоткуда".

У ранних версий антивируса Касперского был неприятный баг - с целью оптимизации автор реализовал проверку на вирус по двум контрольным суммам сигнатуры - первоначально сверялась короткая контрольная сумма, если она совпадала, то затем сверялась длинная. Но при разработке была допущена ошибка и при не совпадении второй контрольной суммы, файл считался незараженным вообще. Т.е. если у двух и более записей короткие CRC совпадали, то проверялась только первая из них! Пока объем базы был небольшим, в вероятность совпадения небольшой - этот баг никак внешне не проявлялся. С добавлением новых записей появились и такие, чьи короткие CRC совпадали и новые вирусы перестали определяться.

Таким образом лучше остановиться на антивирусе с небольшой, но качественной и тщательно протестированной базой. К сожалению последнее выбрать трудно. Обычно на качество тестирования баз фирмы-производители внимания не заостряют, прячась за фразами, что ошибки бывают у каждого и в этом мире от них никто не застрахован. К тому же если число якобы детектируемых вирусов вполне осязаемо (например, число записей в базе), то качество и надежность понятия уже субъективные и практически не проверяемые.

Остается надеяться только на результаты тестирования независимых лабораторий. Периодически отчеты последних появляются на страницах различных журналов и изданий.

Дисковые ревизоры имеют гораздо более высокую вероятность обнаружения новых вирусов и при этом обычно достаточно быстро работают. К сожалению главный их недостаток - невозможность распознать вирус в изначально зараженном файле (за тем исключением, когда он заражен Стелс вирусом). Это очевидно приводит к тому, что хотя бы один файл остается зараженным, образуя активный очаг распространения "инфекции". А учитывая, что практически все вирусы мы как правило получаем через "вновь прибывшие файлы" становится ясно, что ревизор будет бессилен различить в каком из них сидит "зараза".

Поэтому необходимо использовать ревизоры совместно с полифагами и эвристическими анализаторами. При этом действия пользователя должны выглядеть так: диск периодически проверяется ревизором на предмет поиска изменений (сканировать его полифагом не нужно, т.к. это ни к чему). Вновь прибывшие файлы проверяются антивирусом на заражение и если оное не обнаружено, то "выпускают" их на диск.

Если в одном их них находился вирус, то спустя некоторое время многие файлы на диске окажутся измененными. Необходимо хотя бы один из них передать разработчикам антивируса для анализа. Только после этого последний сможет определить в каком файле гнездилась "зараза".

Поскольку мы затронули получение программного обеспечения, то остановимся на этом моменте. Все наши беды происходят от того, что тот, у кого мы "скачиваем" файлы оказывается не "стерильным" человеком и вместе с собой заражает еще и нас. Уж сколько раз твердили миру - не копируйте файлы из ненадежных источников. Приобретайте ПО только у производителей и крупных диллеров. Избегайте BBS и не скачивайте все, что не встретиться из Интернета. К сожалению этими рекомендациями практически всегда пренебрегают, надеясь на "авось пронесет".

Заметим, что сегодня даже у крупных пиратов ПО большей частью свободно от вирусов и они в этом отношении ничуть не уступают легальным производителям, поскольку и тем и другим приходится бороться за свой авторитет. К сожалению того же нельзя сказать о многих "Домашних страничках" и держателей BBS. И те и другие уязвимы для взлома и подмены расположенного на них ПО, чем с успехом пользуются многие вирусописатели. Про конференции даже и говорить не стоит. Риск подхватить вируса или троянца в распространяемых вместе с письмами файлах невероятно велик.

Антивирус как и любое другое ПО точно так же может быть заражен. При этом злоумышленник мог отключить встроенный контроль своей целостности, так что бы конечный пользователь ничего не заподозрил. Поэтому ни в коем случае не рекомендуется копировать антивирус с непроверенных источников. Менее очевидным покажется запрет на копирование любого компонента антивирусного пакета - будь то пополнение базы или даже файл помощи! Дело в том, что в большинстве случает "апдейты" содержат бинарный код, в котором злоумышленник мог разместить все что угодно. Аналогично и файл помощи, в котором возможно наличие исполняемого бинарного кода. Например в Антивирусной Энциклопедии Касперского используется очень витиеватый формат файла помощи, который помимо текста может содержать ссылки на произвольные ресурсы, в том числе и исполняемый код.

К сожалению многие это упускают из виду и уже неоднократно происходили случае массового заражения, когда злоумышленники от имени разработчиков распространяли вредоносные "апдейты". При этом возможны любые проявления - от форматирования диска, до блокирования способностей антивируса находить любых "насекомых". Последние в силу своей скрытости являются даже более коварными и трудно обнаружаемыми.

Вообще вопрос необходимости установки обновлений непростой. С одной стороны бесспорно, что устаревший антивирус просто бесполезен, но с другой стороны периодические обновления обычно тестируются поверхностно при этом мало того, что они не обнаруживают ожидаемых вирусов, но и блокируют другие записи в базах в результате чего антивирус может перестать находить сотни (или даже тысячи) других вирусов.

Дело в том, что в большинстве случаев используется алгоритм "сетчатой решетки". Т.е. если некий объект обладает определенными признаками, то он "захватывается" узлом решетки или "проваливается" для уточненного анализа. В результате ошибок некая запись может захватить признаки остальных. Теоретически при этом объект должен "провалиться" для уточнения, но если в этом месте будет допущена ошибка, то этого не произойдет и остальные записи базы просто не получат управления! Рассмотрим это на следующем (хотя и "искусственном") примере. Пусть будет создана запись, которая, реагирует на сингартуру 'MZ' (заголовок любого exe файла). И пусть она отрапортует антивирусу, "этот файл вируса не содержит, и больше проверять его не надо". Или как вариант - "это не исполняемый файл", "это не exe файл, а com".

Может показаться странным наличие такого "глобального" кода возврата, поскольку это противоречит идеологии ООП, где каждая запись отвечает только за саму себя не не может воздействовать на другие. Но на самом деле, программа написанная в "каноническом" ООП работала невероятно медленно. Огромное число записей в базе заставляет подумать о самоорганизующемся древовидном поиске, а это значит, что каждый метод решает самостоятельно кому он передаст управление. Например, метод распаковки файла, передает управление вновь на вершину дерева. Это очень удобно, т.к. мы получаем гомогенную базу в которой все записи равноправны и программируются одинаково (а добавляются автоматически). Обратной стороной этого алгоритма является уязвимость к ошибкам. Записи не изолированы друг от друга и одна некорректная запись может нарушить работу остальных.

Между прочим это достаточно распространенный случай и легко проверяемый на больших коллекциях вирусов, которые сегодня можно свободно распространяются как на лазерных дисках, так и в Интернете. Попробуйте протестировать свой антивирус с подключенными "еженедельными" базами и без оных. Наверняка результат не заставит себя ждать. Самое интересное, что сообщив разработчику о найденной ошибке, вы услышите лишь обещания устранить оную в следующей версии антивируса. Действительно, кто же будет заниматься исправлением еженедельных баз?

Это типичная иллюстрация парадокса. Мы находимся между двух кучек сена и не знаем какую из них выбрать. Если не использовать обновления, мы рискуем пропустить новые вирусы, а установив их можем оказаться еще в худшей ситуации. Единственным разумным решением будет двойная проверка - с подключенными обновлениями и без. Как бы этого не казалось утомительным, но лучшего способа (за исключением быть может вышеупомянутого тестирования) пока еще никто не предложил.

Кроме того некоторые вирусы содержат интересный деструктивный алгоритм, который заставляет некоторые антивирусы испортить диск пользователя. Достигается это очень просто - вирус содержит в себе штамм другого вируса, поэтому неправильно определяется, а значит и и лечиться антивирусом. Иногда последствия последнего становятся очень печальными.

Немаловажным моментом является и носитель антивируса. Загружать "рабочую" копию с жесткого диска довольно небезопасно. Вирусу или троянской программе ничего не стоит модифицировать последний в своих интересах. Очень хорошо, если антивирус позволяет себя запускать непосредственно с лазерного диска, хотя и это не обеспечивает должной гарантии его целостности, т.к. в этом случае он может быть изменен еще на стадии загрузки в оперативную память. Поэтому перспективными выглядят методы удаленного детектирования вирусов, особенно если учесть, что большинство машин объединено в локальные сети и практически всегда один компьютер можно выделить под подобные нужны.

Некоторые антивирусы даже умеют работать по модему и TCP/IP протоколу. При этом они могут быть размещены на сервере (который при правильной политике администрирования всегда остается незараженным) и проверяют файлы на рабочих станциях. При этом гарантируется целостность и неискаженность кода антивируса (разве что какой-то гипнотический вирус возьмет на себя обработку TCP/IP протокола для стелсирования на его уровне), но к сожалению подобные технологии все же не получили пока массового распространения и признания.

Так же появилась информация об антивирусах, реализованных аппаратно и работающих через параллельный порт, однако пройдет еще немало времени пока они выйдут из лабораторий в массовое употребление. Будем надеяться, что их надежность заметно превзойдет лучшие программные реализаций, иначе их просто не будут покупать. Самое интересное, что это похоже на правду. В предлагаемой реализации есть по меньшей мере одна ошибка - с LPT порта невозможно взаимодействовать с жестким диском непосредственно, поэтому необходим драйвер, обеспечивающий такой обмен данными. Разумеется последний реализовывается чисто программно и легко может быть модифицирован вирусом. Трудно поверить, что разработчики об этом не догадываются - скорее всего просто они поступают так под давлением обстоятельств, ибо любое другое решение заметно удорожает конечный продукт (например, можно было его выполнить в виде PCI платы расширения).

Т.е. выходит что все существующие и ожидаемые разработки антивирусов потенциально уязвимы и не ошибаться просто не могут. При этом последнее обычно умалчивается и в документации и рекламных проспектах. Афишируются только новые технологии, которые не безгрешны и плохо согласуются с остальными компонентами системы. Взять хотя бы уже упомянутый пример рекомендации загрузки с чистой дискеты. Сегодня это уже невозможно по той причине, что современные антивирусы не то что не "влезают" в такой скудный объем, но и требуют для своей работы операционной системы, как правило win32, которую на дискете никак не разместишь.

Впрочем, некоторые разработчики, учитывая такую ситуацию выпускают облегченные DOS-версии своих продуктов. К сожалению они оказываются бессильны, если используемая файловая система не поддерживается "чистой" MS-DOS, а необходимыми драйверами для ее чтения разработчики нас как всегда снабдить забывают.Поэтому пользователи просто вынуждены запускать антивирус с жесткого диска. Вообще-то это нормально, т.к. разработчики последнее учитывали. Но дело в том, что нормальное функционирование антивируса еще не подразумевает его корректную работу.

На самом деле антивирус использует методы лечения, доставшиеся ему "по наследству" от предыдущих версий. При этом многие из них полагались на "чистый" запуск и не обезвреживали резидентный модуль вируса. Конечно, разработки по возможности учитывают перерабатывают подобные моменты, но маловероятно, что бы они отважились полностью переработать все базы. Слишком утомительно и неэффективно, кроме того всегда остается вероятность, что некоторые записи окажутся упущенными и не переработанными. С другой стороны, а нужно ли win32 антивирусу проверять DOS-файлы?

Можно бесконечно долго перечислять ошибки и недостатки архитектур современных антивирусов, но вряд ли это будет кому-то полезно и интересно. Основную мысль можно выразить в двух словах - ошибки есть даже там, где их нет. А с ростом сложности программ их число только увеличивается.

Вышесказанное относилось большей часть к полифагам, однако верно и для всех других антивирусов. Нет такого продукта, на который можно было бы положиться. Самое удивительное, что часто несложные и компактные утилиты малоизвестных фирм справляются с вирусами иной раз лучше, чем популярные пакеты (например KPRO, занимая всего 3 с небольшим килобайта, надежно удаляет все стелс вирусы из загрузочных секторов), используя их свойство маскировки или просто перезаписывают загрузчики на стандартные через порты вводавывода, т.е. таким способом, перехватить который вирус уже не в состоянии. С другой стороны как и любой другой продукт малоизвестных фирм этот антивирус не без ошибок, так например, пропущен один CLI в MBR-загрузчике и регион HMA отнесено почему-то к BIOS, поэтому этот антивирус начинает работать некорректно, если DOS загружена в верхнюю память.

Заканчивая эту статью можно сказать, что не бывает программы без ошибок, бывает плохо искали. Поэтому наилучшим антивирусом окажется тот, чей производитель обеспечивает лучшую поддержку пользователя и оперативнее реагирует на жалобы и замечания. К сожалению сегодня гораздо чаще разработчики ищут оправдания, чем пытаются исправить ситуацию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко

Сколько лет этой статье?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Денис Лебедев

Слуш-те, а в кратце кто-нить в двух словах может рассказать про что там? 8) :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Пит
Слуш-те, а в кратце кто-нить в двух словах может рассказать про что там?

Бесконечность и хаос... :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Евгений
Сколько лет этой статье?

Вобшем статья минувших лет... :) и прошу прошения, что разместил столь длинный пост... но прочитать стоит... хотя для обшего развития не помешает.

Но насколько сейчас ситуация менее плачевная? Да сейчас многое доработали, но так же не мало недостатков и основные проблемы несмотря на старания антивирусных вендоров остаются актуальными.

Лично из своего опыта (F-Secure, NOD32 Enterprice, Trend Micro (OfficeSCAN), Panda (AdminSecure Corporate) + KAV 6 ) - все рано или поздно либо збоит на уровне сисемных ошибок, либо либо начинают выпускать обновления которые приводят в лучшем случае к отключению антивируса. За последние 5 лет наметились тенденции на улучшение, но до сих пор нет продукта, который бы обеспечивал должную зашиту, скорость работы и не возникало бы ситуаций с проблемными обновлениями....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Рагозин

Ну что ж, Евгений, я думаю что к Вашему списку антивирусов, проверенных лично, следует добавить еще какие-нибудь (благо выбор большой), может в этом случае Вам больше повезет.

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Николай Головко
Сколько лет этой статье?

Вобшем статья минувших лет... :) и прошу прошения, что разместил столь длинный пост... но прочитать стоит... хотя для обшего развития не помешает.

Но насколько сейчас ситуация менее плачевная? Да сейчас многое доработали, но так же не мало недостатков и основные проблемы несмотря на старания антивирусных вендоров остаются актуальными.

Лично из своего опыта (F-Secure, NOD32 Enterprice, Trend Micro (OfficeSCAN), Panda (AdminSecure Corporate) + KAV 6 ) - все рано или поздно либо збоит на уровне сисемных ошибок, либо либо начинают выпускать обновления которые приводят в лучшем случае к отключению антивируса. За последние 5 лет наметились тенденции на улучшение, но до сих пор нет продукта, который бы обеспечивал должную зашиту, скорость работы и не возникало бы ситуаций с проблемными обновлениями....

Правда? Ну не знаю, не знаю... ;)

Кое в чем автор прав. Например, при рассмотрении взаимодействия с пользователем. Я достаточно хорошо знаю и могу подтвердить: развитие продукта может сдерживаться целевым пользователем. Антивирусная компания не может польностью реализовать потенциал продукта, потому что конечный юзер тупой. Те же, кто решается делать мощный продукт, оказываются банкротами, потому что их программа интересует малочисленных профессионалов. Частично это можно было бы реализовать уровнями защиты, но это опять же делают не все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> рассмотрим рекомендацию запуска антивируса с "чистой" дискеты. Безусловно практически всегда так и следует поступать

Ааа, я в панике, у меня уже года три как нет дисководов во всех системниах. Как же я буду лечить вирье? %-)

ЗЫ: интересно, а можно ли сделать загрузку с "чистого интернета". Даже банальный мегабит будет заметно быстрее дискеты. Надо запантетовать эту идею (хотя наверно уже давно кто-нить подсуетился) и продать ее БГ за безобразные бабки :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
продать ее БГ

Притормози. :)

Имя "БГ" Билли не принадлежит.

Оно ужо давным-давно запатентовано. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr.Golova

> Имя "БГ" Билли не принадлежит.

Какая разница, кому принадлежит и в какой раскладке. Главное кто купит :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • AM_Bot
      Компания «АВ Софт» является российским производителем средств обеспечения информационной безопасности, которые вендор разрабатывает с 2010 г. Портфель продуктов включает в себя систему защиты от целевых атак ATHENA, программный комплекс для имитации корпоративной инфраструктуры LOKI, антивирусный мультисканер OCTOPUS, корпоративный мессенджер BOND и другие продукты, уже зарекомендовавшие себя у российских заказчиков.    ВведениеПозиционирование вендора на рынкеСектор рынкаATHENALOKIOCTOPUSBONDCRIMLABNFIКатегории заказчиковНовые продуктыЗарубежные проектыГибкость и адаптация решенийПартнёрская сетьСертификацияПодведение итоговВыводыВведениеБренд «АВ Софт» придумал Антон Чухнов, основатель компании, имея скромное желание изменить индустрию информационной безопасности в России. Сердце потребителей планировалось пронзить стрелой чего-то нового и оригинального.В 2010 году системы на базе технологии «песочницы» обладали слабой гравитацией на рынке, многим идея казалась неперспективной и странной. Антон пришел от неё в восторг и объединил в первом прототипе системы ATHENA возможность анализировать поведение программного обеспечения с антивирусным мультисканером. Единство технологий принесло первый коммерческий успех, который стал отправной точкой для набора команды и развития продукта.В 2016–2019 гг. палитра предложений компании существенно увеличилась. В ней появились классы решений по маскировке операционных систем, защите мобильных устройств и мониторингу компрометации сетевых устройств. Каждое разработанное решение имеет свой стиль и концептуальное преподнесение. Система ATHENA стала флагманским продуктом и гибко адаптировалась под различные инфраструктурные пожелания заказчиков. Компания стала участником ассоциации АРПП «Отечественный софт», резидентом инновационного центра «Сколково», выиграла несколько конкурсов по инновациям в сфере ИТ и безопасности.В 2020 г. компания «АВ Софт» стала лауреатом гранта российского фонда РФРИТ по разработке системы ложных распределённых целей на базе технологии «deception». Новое решение позволит имитировать ИТ-инфраструктуру организации и заманивать злоумышленников в «ловушки», оберегая реальные устройства от кибератак. Система ATHENA была выбрана для участия в отечественном мультисканере (аналоге VirusTotal), который уже активно проходит тестирование. Также компании удалось развить партнёрскую сеть и реализовать ряд научно-технологических проектов.В команде есть всё необходимое для развития и роста: концентрация идей, потенциал для создания новых продуктов и самый важный бриллиант для любого вендора — доверие заказчиков.Позиционирование вендора на рынкеОбъективная оценка вендора на рынке играет важную роль для потребителей продуктов и услуг в области информационной безопасности. Управление рисками при выборе поставщика решений для защиты ИТ-инфраструктуры требует высоких профессиональных компетенций. Базовая оценка контрагента, выполняемая финансовым отделом, может упустить важные аспекты этой весьма наукоёмкой сферы.Можно выделить следующие направления анализа организаций, специализирующихся на разработке программного обеспечения и оказании услуг в области информационной безопасности:сектор рынка,категории заказчиков,создание новых продуктов,зарубежные проекты,гибкость и адаптация решений,партнёрская сеть,сертификация.Оценка всегда предполагает градацию её уровней, поэтому была разработана шкала присвоения веса по каждому параметру оценки. Таблица 1. Параметры оценки вендора№Параметр1 балл2 балла3 балла1.Сектор рынкаНаправление продуктов всего одноЕсть 2–3 направления продуктовЕсть больше 3-х направлений продуктов2.Категории заказчиковТолько государственные организацииПрисутствуют государственные и коммерческие организацииПрисутствуют государственные, коммерческие и зарубежные заказчики3.Новые продуктыНовые продукты создаются реже чем раз в 5 летНовые продукты создаются раз в 2–3 годаНовые продукты создаются каждый год4.Зарубежные проектыЕсть 1 зарубежный проектЕсть 2–5 зарубежных проектовЕсть более 5-ти зарубежных проектов5.Гибкость и адаптация решенийРешения очень редко допускают индивидуализациюДопускается частичная индивидуализацияВсе решения могут гибко адаптироваться под нужды заказчика6.Партнёрская сетьЕсть 1–2 партнёраПартнёрская сеть невелика и находится в развитииРазвитая партнёрская сеть (более 10-ти партнёров)7.СертификацияКомпания имеет 1 сертификатЧасть продуктов компании имеет сертификациюВсе продукты компании имеют сертификацию Сектор рынкаЗдесь важно учесть возможность не только начитаться маркетинговых материалов на сайте, но и получить пробную версию или возможность организации «пилота», который не потерпит крушение, что достоверно подтвердит наличие самих продуктов.У компании «АВ Софт» есть следующие направления решений:антивирусный мультисканер,песочница (sandbox),ловушки (deception),контроль сетевого взаимодействия устройств,криминалистический анализ,безопасная коммуникация.Разнообразие направлений продуктов в компании даёт представление о системном охвате рынка, развитии смежных компетенций у специалистов и потенциальной возможности построения сложных конструкций в ИТ-инфраструктуре.Пробные версии показывают возможности продуктов компании, о которых будет рассказано далее.ATHENAФлагманский продукт по защите от целенаправленных атак AVSOFT ATHENA SANDBOX с помощью методов поведенческого анализа и искусственного интеллекта способен проверять всю входящую в компанию информацию на наличие опасного и вредоносного содержимого.Внутри системы ATHENA присутствует множество инструментов проверки, которые можно разделить на два больших блока анализа: статический и динамический. Рисунок 1. Интерфейс системы ATHENA При прохождении файлом или веб-ссылкой статического вида анализа выполняется проверка контента на наличие известных сигнатур множеством локальных антивирусных ядер, синтаксическими анализаторами (парсерами) и искусственным интеллектом, а также осуществляется сбор информации по исследуемому объекту во внешних репутационных базах данных.При динамической проверке осуществляется анализ поведения файла в имитационной среде — «песочнице» (она может быть как виртуальной, так и физической), которая соответствует реальному рабочему месту пользователя или серверу компании. В ней происходят запуск файла, провоцирование его на вредоносные действия, сбор событий о его поведении и вынесение вердикта на основе результатов аналитического блока и поведенческих сигнатур, которые разработаны командой аналитиков «АВ Софт».Стоит отметить, что в системе ATHENA присутствует широкая линейка поддерживаемых в песочницах операционных систем, включающая отечественные ОС:Microsoft Windows;Linux:Astra Linux,RedOS,Alt Linux,Red Hat Enterprise Linux,Debian,Ubuntu,openSUSE,CentOS;Android.После завершения всех видов анализа система ATHENA отображает подробный отчёт. Рисунок 2. Отчёт по проверке в системе ATHENA Рисунок 3. Отчёт по проверке сетевого трафика в системе ATHENA Важно обращать внимание на современность и удобство интерфейсов систем, которые вы берёте попробовать. Сейчас уже вполне устойчиво сформировались общепризнанные требования и правила по эргономике, грамотному использованию цветовых палитр, а также интерактивным возможностям современного программного обеспечения. Если вы осознаёте, что интерфейс часто вводит вас в заблуждение или недоумение, т. е. вы не понимаете, куда нужно двигаться и что делать, и вместо службы доставки вкусного ужина пытаетесь дозвониться до службы поддержки вендора, то что-то идёт не так. Любое нарушение графическими интерфейсами устоявшихся сценариев поведения пользователей тормозит бизнес-процессы компании.LOKIПрограммный комплекс AVSOFT LOKI DECEPTION имитирует корпоративную инфраструктуру на базе технологии «deception» и позволяет виртуально моделировать на различном уровне любое устройство в организации, включая оборудование IoT и IIoT (контроллеры АСУ ТП). Рисунок 4. Интерфейс системы LOKI Имитация устройств осуществляется с помощью ловушек (honeypot) и песочниц (sandbox). На рабочих местах сотрудников и серверах разворачиваются приманки, которые ведут в ловушки и песочницы, уводя вектор атаки от реальных устройств.Использовать систему LOKI несложно, достаточно сделать 4 шага:Просканировать подсети для определения состава активных устройств.Система сама предложит ловушки к ним, можно будет просто согласиться с её выбором.Развернуть ловушки в выбранной подсети одной кнопкой.Скачать приманки на рабочие места и установить их. Рисунок 5. Панель статистики системы LOKI Сейчас линейка имитируемых устройств в системе LOKI уже включает в себя большой список типов и моделей, который активно пополняется: рабочие станции, серверы, маршрутизаторы, межсетевые экраны, IP-телефоны, IP-камеры, принтеры и сканеры, PoS-терминалы, ЧПУ-станки. Рисунок 6. Карта сети ловушек и реальных устройств в системе LOKI При работе с программным продуктом не стоит забывать о простоте его использования, чтобы любой шаг был естественен и логично следовал из предыдущего. В системе LOKI есть эта особенность, хотя изначально концепция идеи может сформировать представление о чём-то громоздком и сложном. Конечно, комплексы, автоматизирующие процессы в информационной безопасности, имеют большие функциональные возможности, но продукт должен стараться исключать людей из процесса, выполняя по максимуму всё самостоятельно, т. к. человеческий фактор — это всегда риск.OCTOPUSСистема AVSOFT OCTOPUS MULTISCANNER — это антивирусный мультисканер, который может быстро обрабатывать большие объёмы трафика и подходит в том числе для небольших компаний за счёт невысокой стоимости.Внутри системы — больше 20-ти локальных антивирусных ядер, при желании можно добавить и больше. Помимо этого есть модули статического анализа файлов, модели на базе машинного обучения, интеграция с внешними репутационными сервисами.Можно отправить на проверку самые разнообразные типы файлов: исполняемые, офисные, скрипты, мобильные приложения, архивы, включая многотомные и закрытые паролем, и др. Рисунок 7. Страница проверки файлов в системе OCTOPUS При оценке любой современной системы важно учитывать скорость обработки данных; если вендор предлагает решить её только за счёт «железа», то это — порочная практика, т. к. она всегда ставит перед заказчиком вопрос о дополнительных затратах. Важно уточнять у вендора, как происходит обработка очередей и больших объёмов задач, чтобы подстраховать себя от незапланированных финансовых потоков во внешний мир.BONDAVSOFT BOND MESSENGER — мессенджер для безопасного корпоративного общения. Он позволяет управлять всей коммуникацией в компании через собственный сервер. После развёртывания мессенджера в инфраструктуре никто кроме уполномоченных администраторов из персонала заказчика не имеет доступа к серверу, включая самих разработчиков программы. Рисунок 8. Интерфейс мессенджера BOND Получение быстрого доступа к продукту, как в случае с мессенджером, который можно просто скачать и поставить, даёт возможность сразу оценить его характеристики и принять решение. Если приходится пройти сражение с драконом или спасти принцессу, чтобы получить «пилот» или пробный доступ, то стоит задуматься, стоит ли ввязываться в этот бой, поскольку так же сложно могут быть выстроены и другие процессы, связанные с поддержкой или инсталляцией в инфраструктуру.CRIMLABКриминалистическая лаборатория AVSOFT CRIMLAB ANALYTICS предоставляет инструменты для детального анализа файлов и разнообразной агрегации собранных данных: сравнение исследований, создание коллекций, формирование базы знаний и др. Решение актуально для центров мониторинга информационной безопасности (SOC) и компаний, которые хотят развить компетенции своих специалистов в данной области. Рисунок 9. Схема работы CRIMLAB Решение позволяет проводить детальный анализ содержимого любого типа файлов, изучать его поведение в виртуальных и физических песочницах, тонко индивидуализировать параметры среды исследования и добавлять инструменты исследований, а также осуществлять ретроспективный анализ. Рисунок 10. Подробный отчёт по файлу Возможность тонкой индивидуализации внутренних функций и настроек системы всегда говорит о её гибкости и адаптивности, это уже стало базовым качеством многих современных программных продуктов. Не стоит забывать, что осуществление индивидуализации не должно быть сложным или запутанным, т. к. это повышает риск ошибок, система должна запрещать пользователю выполнять заведомо некорректные настройки.NFIНебольшой программно-аппаратный комплекс AVSOFT NFI контролирует взаимодействие сетевых устройств с внешней сетью (интернетом). NFI представляет собой устройство, которое берёт в кольцо сетевые пакеты, работая на 3-м уровне модели OSI. Инспектор способен оперативно выявить и заблокировать компрометацию любого сетевого устройства и оповестить об этом службу безопасности. Рисунок 11. Схема работы AVSOFT NFI NFI имеет графический интерфейс, в котором можно задавать правила фильтрации и управлять устройством. Рисунок 12. Интерфейс программно-аппаратного устройства NFI Итак, компанией охвачены востребованные направления на рынке информационной безопасности и этих направлений больше 5-ти, что даёт основание присвоить ей 3 балла по принятой методике оценки.Категории заказчиковДля вендора большую роль играет получение опыта с разными категориями заказчиков. Все осознают, что государственные и коммерческие организации — это два больших разных «королевства» со своими требованиями и правилами. Непрерывная реконструкция и анализ многогранных кейсов с клиентами может помочь пересмотреть процесс реализации новых проектов. Заказы от коммерческих компаний преимущественно ориентированы на скорость и оптимизацию затрат, от государственных структур — на соблюдение требований регуляторов, а качество, конечно, интересует всех.Компания «АВ Софт» работает как с государственными, так и с коммерческими заказчиками. Веер направлений деятельности клиентов включает в себя промышленность, транспорт, оказание услуг по безопасности и задачи связанные с обороной. Не присутствуют пока зарубежные заказчики, что позволяет поставить по методике оценки 2 балла.Новые продуктыОриентация на создание новых продуктов — обязательный талисман для всех, кто планирует расти. Сфера кибератак развивается со скоростью гепарда, поэтому вендорам важно не упускать шанса моделировать инструменты охоты, которых ни у кого нет или которым есть куда стремиться по уровню качества. Конкуренты всегда помогают в развитии, никогда не сидят спокойно и ждут возможности забрать себе кусочек того, что кто-то потерял, потому что отстал в развитии. Если компания постоянно генерирует новые идеи и не жалеет ресурсов на развитие новых продуктов, то это выделяет её с точки зрения планирования долгосрочной стратегии.Команда «АВ Софт» почти каждый год выпускает новый продукт, и основная концепция компании как таковая базируется на непрерывном выпуске новых продуктов. По методике можно присвоить ей 3 балла.Зарубежные проектыКогда вендор вращается только в своей домашней зоне, это не даёт ему возможности развиться до уровня международных конкурентов, и тем самым он обрекает себя на стагнацию, которая наступит рано или поздно. Очень важно стремиться расширять круг заказов за границами комфортного «стеклянного шара», адаптируя свои решения под требования заказчиков из других стран.Опыта зарубежных проектов компания «АВ Софт» пока не имела шанса получить, поэтому по методике ей ставим 0 баллов.Гибкость и адаптация решенийСпособность продуктов гибко трансформироваться не всегда удобна вендорам, потому что это влечёт за собой дополнительные ресурсы на поддержку и сопровождение. Но желания заказчиков никто не отменял, и пока они не удовлетворены — это всегда отличный повод для действия. Клиентоориентированный подход уже пронизывает все сферы рынка и требует покориться ему в том числе и от поставщиков решений по информационной безопасности.Индивидуализация продуктов компании «АВ Софт» возможна и является одним из обязательных условий работы с заказчиками, взятых на себя командой. Высокая адаптивность продуктов — это всегда отчасти и риск, но при должной оптимизации этого процесса он даёт гораздо больше, чем ограничения клиентов. Формируется совершенно иной уровень доверия, появляется возможность реализовать действительно полезные проекты. По методике мы можем поставить в данной категории 3 балла.Партнёрская сетьРазвитая партнёрская сеть свидетельствует о доверии и устойчивой позиции вендора на рынке. Если среди партнёров есть крупные интеграторы и дистрибьюторы, то это показывает, что компания получила признание у сильных игроков.У компании «АВ Софт» — больше 15-ти партнёров, что даёт основание выставить ей по методике ещё 3 балла.СертификацияПолучение сертификации — ювелирная работа, которая требует в первую очередь стабильности продуктов и чёткого их соответствия заявленным требованиям. При наличии лицензий можно сделать вывод о том, что присутствует баланс между разработкой новых функций и их устойчивым состоянием.Часть продуктов компании «АВ Софт» имеет сертификацию, остальные находятся в процессе её получения, поэтому в нашей финальной метрике мы можем выставить 2 балла.Подведение итоговВ итоговой таблице компания «АВ Софт» получает 16 баллов, что вполне неплохо, но значит, что есть куда стремиться. Цветом выделены баллы, которые компания получила в результате прохождения оценки в рамках настоящего материала. Таблица 2. Методика оценки вендора№Параметр1 балл2 балла3 балла1.Сектор рынкаНаправление продуктов всего одноЕсть 2–3 направления продуктовЕсть больше 3-х направлений продуктов2.Категории заказчиковТолько государственные организацииПрисутствуют государственные и коммерческие организацииПрисутствуют государственные, коммерческие и зарубежные заказчики3.Новые продуктыНовые продукты создаются реже чем раз в 5 летНовые продукты создаются раз в 2–3 годаНовые продукты создаются каждый год4.Зарубежные проектыЕсть 1 зарубежный проектЕсть 2–5 зарубежных проектовЕсть более 5-ти зарубежных проектов5.Гибкость и адаптация решенийРешения очень редко допускают индивидуализациюДопускается частичная индивидуализацияВсе решения могут гибко адаптироваться под нужды заказчика6.Партнёрская сетьЕсть 1–2 партнёраПартнёрская сеть невелика и находится в развитииРазвитая партнёрская сеть (более 10-ти партнёров)7.СертификацияКомпания имеет 1 сертификатЧасть продуктов компании имеет сертификациюВсе продукты компании имеют сертификацию ВыводыОценка вендора может быть адаптирована под потребности конкретной организации и особенности защиты её ИТ-инфраструктуры. Рекомендуется также выстраивать управление рисками в части поставки решений по информационной безопасности и методику оценки качества продуктов и услуг вендора. Читать далее
    • andery777
    • Guffy
    • andery777
      Только для 10? Как думаете с 7 совместима?
    • AM_Bot
      Продукт, известный сейчас как Ideco UTM, произошёл из Ideco ICS (Internet Control Server), первый выпуск которого состоялся в 2005 г. За 15 лет продукт поменял название, расширил список функциональных возможностей и стал называться Ideco UTM. В конце 2020 года состоялся релиз новой, 9-й версии; слоганом презентации стало «Дальше только космос». Рассмотрим, какие изменения произошли по сравнению с предыдущей, 8-й версией.    ВведениеНовые возможности Ideco UTM 9Системные требования Ideco UTM 9 для разного количества пользователейПреимущества Ideco UTM 9 перед конкурентамиКонцепция постоянных обновлений Ideco UTM 9Принцип «всегда на связи»ВыводыВведениеIdeco UTM представляет собой шлюз безопасности типа Unified Threat Management (система единообразной обработки угроз) российского разработчика «Айдеко». Предыдущая, 8-я, версия этого шлюза рассматривалась на нашем сайте весьма подробно. Новая редакция продукта обладает широкими функциональными возможностями за счёт использования таких модулей и механизмов, как защита от несанкционированного доступа и внешних угроз (межсетевой экран, WAF, контроль приложений и другие), контроль доступа, контентная фильтрация, антивирусная проверка трафика, антиспам (на основе технологий «Лаборатории Касперского»), возможности работы в качестве VPN-, DNS-, DHCP- и даже почтового сервера.Исходя из перечисленных функций можно сказать, что Ideco UTM уже вышел за рамки привычного класса устройств для сетевой безопасности и представляет собой экосистему, работающую не только для организации и защиты сети, но также для частичного построения серверной инфраструктуры.За прошедшие 15 лет это решение стали использовать такие компании и ведомства, как Федеральная таможенная служба, холдинг «Вертолёты России», ArcelorMittal. В целом более 14 000 организаций используют в своих сетях решение Ideco UTM.Ещё одним преимуществом рассматриваемого решения является его наличие в Едином реестре российских программ для электронных вычислительных машин и баз данных. Это позволяет использовать Ideco UTM 9 для целей обеспечения государственных и муниципальных нужд в соответствии с постановлением Правительства Российской Федерации № 1236 от 16 ноября 2015 г., а также в рамках программы импортозамещения, что важно в свете планируемого перевода субъектов КИИ на российские продукты.Новые возможности Ideco UTM 9Ideco UTM 9 основана на новейшем ядре Linux 5.11. В этой версии обновлены многие системные пакеты, увеличена производительность, включена поддержка новых платформ.Переработан веб-интерфейс администратора. Теперь он ещё удобнее с точки зрения структуры и работает быстрее, чем раньше. Рисунок 1. Интерфейс администратора Ideco UTM 9 Добавлена ролевая модель администраторов. Теперь благодаря ей доступ разделён на две категории: полный доступ и только чтение, что позволяет предоставлять его обучающимся или неопытным пользователям. Рисунок 2. Добавление учётной записи администратора Реализован раздельный доступ в консоль по SSH под логинами администраторов. Это позволяет настроить сети, из которых возможен доступ по SSH. Раньше была возможность подключаться только к веб-интерфейсу шлюза. Рисунок 3. Управление доступом по SSH В обновлённой версии шлюза безопасности добавлена установка пароля администратора при развёртывании сервера. Данная возможность исключает использование стандартных паролей и делает необходимой их ручную смену после установки продукта. Это позволяет избавиться от типичной проблемы использования нестойких и подверженных взлому паролей в привилегированных учётных записях.В межсетевой экран добавлены счётчики срабатывания правил, что позволяет эффективнее управлять правилами, удаляя или дорабатывая правила файрвола не имеющие срабатываний. Рисунок 4. Управление правилами файрвола В Ideco UTM 9 появился почтовый узел («релей») с возможностью работы в качестве полноценного почтового сервера с модулем антиспама от «Лаборатории Касперского». Рисунок 5. Основные настройки почтового релея Почтовый релей может подписывать исходящие письма DKIM-ключом, который используется почтовыми сервисами для идентификации и классификации электронной почты. Рисунок 6. Включение функции DKIM В продукте обновлён модуль системы предотвращения вторжений. Теперь он более эффективен в выявлении и предотвращении атак.Добавлена возможность отправки оповещений о событиях на сервере с помощью телеграм-бота. Рисунок 7. Настройка телеграм-бота Системные требования Ideco UTM 9 для разного количества пользователейIdeco UTM — это программное решение, что весьма выгодно с точки зрения отсутствия необходимости покупать продукт вместе с аппаратной частью. Достаточно выделить соответствующие ресурсы из уже имеющихся. Несмотря на новые функции, появившиеся в версии 9, требования к аппаратному обеспечению не изменились по сравнению с 8-й версией. Таблица 1. Минимальные системные требования, предъявляемые Ideco UTM 9Минимальные системные требованияПримечаниеПлатформаОбязательна поддержка UEFI Гипервизор2-е поколение виртуальных машин HyperV (с отключённым SecurityBoot) ПроцессорIntel Pentium G / i3 / i5 / Xeon E3 / Xeon E5 с поддержкой инструкций SSE 4.2Требования могут варьироваться в зависимости от сетевой нагрузки и используемых сервисов, таких как контентная фильтрация, антивирусы и система предотвращения вторжений. Для работы системы требуется минимум два, лучше четыре ядра процессора.Объём оперативной памяти8 ГБ (16 ГБ при количестве пользователей более 75)Дисковая подсистемаЖёсткий диск (магнитный или SSD) объёмом 64 ГБ или больше с интерфейсом SATA, SAS либо совместимый аппаратный RAID. В случае использования почтового сервера — второй жёсткий диск.Не поддерживаются программные RAID-контроллеры (интегрированные в чипсет или материнскую плату). При использовании аппаратных RAID-контроллеров настоятельно рекомендуется использовать плату с установленным аккумулятором, иначе высока вероятность краха RAID-массива. Не поддерживаются диски объёмом выше 2 ТБ.Сетевые адаптерыДва сетевых адаптераРекомендуются сетевые адаптеры, основанные на чипсетах 3Com, Broadcom, Intel или Realtek со скоростью 100/1000 Mбит/с.ДополнительноМонитор, клавиатураДля установки и работы Ideco UTM не требуются предустановленная ОС и дополнительное программное обеспечение. Ideco UTM устанавливается на выделенный сервер с загрузочного компакт-диска или USB-накопителя, при этом автоматически создаётся файловая система и устанавливаются все необходимые компоненты. Ниже в таблице представлены несколько типов конфигураций, которые зависят от количества пользователей. Таблица 2. Минимальные характеристики сервера для Ideco UTM 9 в зависимости от количества пользователей в сетиКоличество пользователей2550–200200–50010002000Модель процессораIntel Pentium Gold G5400 или совместимыйIntel i3 8100 или совместимыйIntel i5, i7, Xeon E3 от 3 ГГц или совместимыйIntel Xeon E3, E5 или совместимыйIntel Xeon E5 или совместимый 8-ядерныйОбъём оперативной памяти4 ГБ (рекомендуется 8 ГБ)8 ГБ16 ГБ16 ГБ32 ГБДисковая подсистема64 ГБ64 ГБHDD 500 ГБ либо SSD 256 ГБ2x1000 ГБ, аппаратный RAID либо SSD 1 ТБ2x1000 ГБ, аппаратный RAID либо SSD 1 ТБСетевые адаптерыДва сетевых адаптера Преимущества Ideco UTM 9 перед конкурентамиIdeco UTM имеет немало особенностей и отличий. Как было сказано выше, это — программное решение, поддерживаемое всеми гипервизорами, без привязки к конкретным аппаратным платформам. Благодаря этому можно разворачивать продукт как на собственных мощностях, так и в облаке.Настройка шлюза упрощена за счёт большей автоматизации процесса. Рисунок 8. Настройка контроля приложений Время внедрения системы в организации минимизировано благодаря интеграции с Active Directory, SIEM, DLP-системами, а также предпродажной (presale) поддержке от производителя решения. Рисунок 9. Настройка интеграции с Active Directory Рисунок 10. Настройка отправки отчётов в SIEM Рисунок 11. Настройка интеграции Ideco UTM с сервисами ICAP (DLP, антивирусы и т. д.) В Ideco UTM есть все модули глубокого анализа трафика, как в классических UTM- / NGFW-решениях, что позволяет предотвращать многие атаки на корпоративные ресурсы компании-покупателя.Одна из концепций «Айдеко» — использование опенсорс-продуктов в совокупности со своими разработками. Компания не скрывает факта использования программ с открытым исходным кодом: ядра Linux, Suricata, Nginx, Squid и других. «Айдеко» дорабатывает их и делится этими доработками с сообществом. Собственные разработки «Айдеко» касаются создания правил для определения и предотвращения атак.Отметим усовершенствованную систему справки — рядом с каждым пунктом меню веб-интерфейса продукта есть иконка, нажав на которую администратор перейдёт к соответствующему пункту документации. Рисунок 12. Иконка вызова документации Рисунок 13. Переход в документацию Быстрые релизы и постоянное развитие продукта — принцип «agile» в действии. Также отдельного упоминания заслуживают мгновенные ответы техподдержки по различным каналам коммуникации.Давайте рассмотрим последние два принципа чуть подробнее.Концепция постоянных обновлений Ideco UTM 9Компания «Айдеко» уделяет огромное внимание управлению изменениями своего продукта. С момента выхода 9-й версии в конце 2020 года выпущено уже 8 релизов. Средний интервал между ними составляет около 2 недель.Обновления касаются не только исправления выявленных ошибок, но и улучшения используемых модулей (например, в редакции от 19 марта обновлён модуль системы предотвращения вторжений Suricata до версии 6.0.2), а также ввода новой функциональности (в релизе от 5 февраля добавлены новые возможности, касающиеся учёта и отчётов по веб-трафику).Таким образом, компания заботится о том, чтобы решение было удобно для организаций и действительно работало так, как это нужно пользователям.Принцип «всегда на связи»Забота о клиентах проявляется не только в том, что компания регулярно обновляет свой продукт, но и в том, что она обеспечивает его поддержку и собирает обратную связь для выявления потребностей используя абсолютно разные каналы связи. Это — классическая почта и портал технической поддержки, многоканальный телефон, телеграм-бот и канал в Telegram, чат в веб-интерфейсе самого продукта. Также в чат и в телеграм-бот оперативно приходит информация о наличии новой версии Ideco UTM.ВыводыIdeco UTM 9 — это постоянно развивающееся отечественное решение, включившее в себя не только функциональную часть как таковую, но и современный подход к разработке и сопровождению продукта. С одной стороны, это IPS, межсетевой экран, почтовый релей и т. д., а с другой стороны — постоянная обратная связь с производителем решения, регулярные релизы и обновления.С каждой версией производитель всё больше заботится об администраторах с базовыми знаниями сетевых технологий, упрощая процесс настройки шлюза безопасности, структурируя веб-интерфейс и принудительно заставляя уходить от «пустых» паролей и паролей «по умолчанию», что важно для бюджетных организаций и компаний с маленьким штатом ИТ-сотрудников. Читать далее
×