Динамическая эшелонированная антивирусная защита

Данная статья представляет собой подробное описание концепции нового сервиса Динамической Эшелонированной Антивирусной Защиты, разработанного в рамках проекта Anti-Malware.ru, который предполагает снижение нагрузки на различные узлы сети предприятия или провайдера за счет оптимизации процедуры антивирусной проверки.

Содержание

1. Обозначения, сокращения и термины

2. Позиционирование

3. Индекс антивирусной защиты

4. Схема работы на корпоративном уровене

5. Схема работы на уровне Интернет-провайдеров (ISP)

6. Обеспечение достоверности индекса антивирусной защиты

7. Выводы

 

1. Обозначения, сокращения и термины

 

БД База данных
ИСП (ISP) Интернет-провайдер
КИС Корпоративная информационная система
Р/С Рабочая станция
ЦП Цифровая подпись
SMB Small and Medium Baseness
SSL Secure Socket Layer

 

2. Позиционирование

Для использования подобного корпоративного сервиса (уровень Интернет сервис провайдеров рассмотрим ниже) будем рассматривать корпоративную сеть, защищенную Enterprise антивирусом – т.е. на всех защищаемых объектах сети установлены антивирусные продукты одного производителя.

Стандартная защищенная КИС представляет собой:

  • Защита на уровне рабочих станций;
  • Защита на уровне серверов;
  • Защита на уровне корпоративной почтовой системы;
  • Защита на уровне межсетевого экрана (http/smtp).

Данный сервис, назовем его Динамическая Эшелонированная Антивирусная Защита, предлагает снижение нагрузки с антивирусного программного обеспечения, за счет контроля антивирусом, источников (здесь и далее под источником будем понимать участника корпоративной сети (р/с, сервер, почтовый сервер и т.д.), от которого получен объект (файл) который необходимо проверить на наличие вирусов) получения данных. То есть предлагается не проверять, данные, которые получены от защищенных источников (ими уже проверены), если антивирусная защита этих источников не ниже локальной.

 

3. Индекс антивирусной защиты

При сравнении уровня антивирусной защиты разных источников предполагается вычислять некий «Индекс антивирусной защиты» источника. Это можно выполнять разными способами, например, весовой или абсолютный (описание приведено ниже). Важно что бы при сравнении индексов можно было четко установить, какой из источников имеет более адекватную (или равную между собой) защиту.

3.1. Весовой Индекс антивирусной защиты

Для формирования индекса выбирается несколько параметров антивируса, которым присваиваются определенные веса в зависимости от их состояния, например, будем использовать следующие параметры:

  • Дата выпуска БД антивирусных сигнатур используемой антивирусом;
  • Дата выпуска сканирующего ядра используемого антивирусом;
  • Состояние сканера реального времени антивируса (работает или отключен).

Далее каждому параметру присваиваем свой вес, из расчета:

  • Если дата выпуска БД антивирусных сигнатур находится в пределах часа от настоящего времени, то данному параметру присваивается вес 100. За каждое отставание на час параметр теряет вес по 1 (значение веса может быть и отрицательным).
  • Для второго параметра то же, что и для первого, только период времени отставания равен 24 часа (-1 за каждые сутки).
  • И третий параметр – при включенном сканировании в реальном времени имеет вес 200, при отключенном имеет вес -200.

После этого все веса суммируются, и получаем индекс антивирусной защиты, который характеризует защищенность источника (степень доверия данным, полученным от этого источника, которые были проверенны установленным на нем антивирусом).

В результате максимальное значение индекса 400 – соответствует наиболее актуальной антивирусной защите (Включен сканер реального времени, дата последнего обновления антивирусной БД в пределах часа, дата последнего обновления сканирующего ядра в пределах суток). Считаем, достаточным для сравнения антивирусной защищенности, ограничить индекс снизу значением в -400.

Что характерно для предложенной схемы вычисления индекса антивирусной защиты – возможность сравнивать защищенность участников корпоративной сети, на которых установлены антивирусы от различных производителей (конечно, это возможно лишь при одинаковой эффективности антивирусов в единицу времени).

3.2. Абсолютный индекс антивирусной защиты

При определении индекса антивирусной защиты можно использовать и абсолютные величины – конкретная версия антивирусной БД, версия сканирующего ядра и состояние сканера реального времени (включен/выключен) антивируса, осуществляющего проверку данных источника.

При использовании данного метода можно точно определить актуальность антивирусной защиты источника, но только при условии использования антивирусов от одного производителя.

 

4. Схема работы на корпоративном уровене

Основная цель данного сервиса снизить нагрузку с антивирусов, установленных на:

  1. Клиентских рабочих станциях;
  2. Серверах, стоящих в кластерах;
  3. Корпоративной почтовой системе (стоящей за шлюзовым антивирусом);
  4. Терминальные решения.

4.1. Клиентские рабочие станции

При работе пользователей с корпоративными файловыми серверами, корпоративной электронной почтой и сетью Интернет, снижается нагрузка на пользовательский антивирус, но при этом мы не отказываемся от эшелонированности (несколько уровней) защиты. Например, при снижении индекса защищенности антивируса на уровне межсетевого экрана, у пользователя автоматически включится проверка всех данных, получаемых из Интернета (проходящих проверку антивирусом, обеспечивающим уровень защиты ниже, чем у антивируса, установленного на р/с пользователя).

Функционально это может происходить следующим образом:

  • При работе с файлами на серверах (скачивание файлов, синхронизация ofline-файлов или просто открытие) локальный антивирус отслеживает их источник и запрашивает индекс антивирусной защиты у источника, если он выше или равен локальному, тогда получаемые данные не проверяются, если ниже, тогда получаемые данные проверяются;
  • При работе с корпоративной почтой и сетью Интернет происходит все таким же образом, только речь идет о запросе индекса у антивируса, установленного на соответствующем источнике сети, который осуществляет антивирусную проверку этих данных.

4.2. Корпоративные файловые серверы

Использование данной технологии для кластерных решений, существенно снижает нагрузку на сервера при репликации данных между ними. В высокой степени эффективно при организации защиты, например, кластеров IBM Lotus Domino, где применяется технология репликации данных.

4.3. Корпоративная почтовая система

При использовании антивирусной защиты на уровне почтового сервера и шлюза Интернет с контролем smtp трафика, по выше описанной схеме, есть возможность достаточно сильно уменьшить нагрузку на сам почтовый сервер и частично на шлюз Интернета (если на нем контролируется исходящий smtp трафик).

Исследование почтового трафика в организации

Далее в качестве примера представлены результаты исследования почтового трафика в организации, состоящей из ~800 человек (пользователи электронной почтой), которое проводилось по реальным данным в период с октября по ноябрь 2005 года:

Таблица 1: Состав и характеристики почтового трафика в организации

Тип почтового трафика Кол-во писем Объем писем
Входящие извне письма на сотрудника (в среднем) 50 писем/сутки ~ 80 кб/письмо
В том числе СПАМ ~70% (35 писем/сутки)
Отправляемые письма в среднем на одного сотрудником (в т.ч. и внутрикорпоративная почта) 20 писем/сутки ~ 140 кб/письмо

 

Итого, без учета СПАМа (он отсеивается до антивирусной проверки), объем передаваемой (и проверяемой антивирусами предприятия) почты в сутки в расчете на одного человека ~ 35 писем, общим объемом ~ 4 Mb.

Суммарно в организации из 800 человек объем передаваемой почты через почтовый сервер равен 3000-3500 Mb/день. Внутренняя почта составляет от 30% до 40% общего почтового трафика.

По данным собранной статистики – за время работы (в течение суток) существует 3 пика активности (длительностью примерно 1 час) в почтовой системе. В течении этих пиков передается примерно 20% суточного трафика – это составляет для исследуемой организации 600 - 700 Mb/час, причем нагрузка эта неравномерна и может достигать в пике 100 - 150 Mb/мин (смотри усредненный график ниже).

Рисунок 1: Распределение почтового трафика по времени суток

В итоге получаем, что объем 2,0-2,5 Gb в день проходит двойную антивирусную проверку – на шлюзе и на почтовом сервере. При этом во время пика, двойную проверку проходят данные объемом 60 - 100 Mb в течение минуты.

Опять же, при использовании кластерных почтовых решений, выгода данного сервиса практически очевидна.

4.4. Терминальные решения

К сожалению ни у одного из антивирусных производителей нет адекватного решения для терминальных серверов с достаточно большой нагрузкой. Изначальное включение описанного сервиса позволит значительно снизить нагрузку на терминальный сервер, при большом количестве пользователей, подключенных к нему одновременно.

 

5. Схема работы на уровне Интернет-провайдеров (ISP)

Безусловно, предоставление антивирусного сервиса самим провайдером, не гарантирует полной защищенности корпоративной сети предприятия, использующего данный сервис. Это обусловлено тем, что есть различные точки проникновения вирусов в корпоративную сеть. Вследствие этого, корпоративные антивирусы будут существовать всегда, но вот применение сервиса снижения нагрузки для предприятий, способно гарантировать и надежность, и быстродействие корпоративных сервисов.

Функционально это может происходить следующим образом:

  • Корпоративные антивирусы граничащие с сетью провайдера запрашивают индекс антивирусной защиты у антивирусных средств провайдера.
  • При использовании на предприятии только пользовательских антивирусов (если рассматривать уровень SMB) можно использовать некий прокси-сервер, который будет контролировать индекс антивирусной защиты провайдера и передавать его на клиентские антивирусы.

Это можно использовать для разработки специального комплексного продукта для ISP.

 

6. Обеспечение достоверности индекса антивирусной защиты

В первую очередь, при организации передачи информации об антивирусной защите источника, необходимо обеспечить достоверность этих данных. Самый простой способ обеспечить доверенность передаваемого индекса антивирусной защиты – криптографически подписать данные. Для этого у источника должна быть возможность сформировать цифровую подпись (ЦП), а у получателя проверить ее. Технически – это можно организовать следующими способами:

  • При установке антивирусного комплекса, организуется генерация пар ключей ЦП для источника и получателя (при помощи, например, Open SSL);
  • Перед передачей индекса источник и получатель вырабатывают общий ключ, например по алгоритму Диффи-Хелмана (данную процедуру возможно выполнять через настраиваемый промежуток времени).

Далее на полученных ключах источник криптографически подписывает индекс антивирусной защиты – формирование хэша с тех данных, которые необходимо передать (индекс антивирусной защиты) и зашифрование полученного хэша (получение ЦП). ЦП передается вместе с индексом антивирусной защиты. Получатель осуществляет формирование хэша с полученного индекса и расшифрование переданного хэша, а затем их сравнение. Если все процедуры прошли успешно, это означает, что индекс антивирусной защиты передан именно от нашего источника и не был фальсифицирован в пути.

 

7. Выводы

Для антивирусной компании, реализация данного сервиса в своих продуктах, безусловно, повысит привлекательность антивирусных решений на их основе. Не раз на конференциях безопасности (например InfoSecurity Moscow 2005) высказывались идеи о необходимости снижения нагрузки на участников корпоративной сети (в связи с тем, что они дублируют друг-друга и при нормальной работе антивирусной системы, нагрузка излишня), но к сожалению они оставались без продолжения …

Используя метод динамической эшелонированной защиты предприятия, конечный потребитель данного сервиса снижает нагрузку на участниках корпоративной сети, но не отказывается от самой эшелонированной защиты, которая активируется при возникновении проблем в каком-либо из эшелонов защиты. Данный сервис сочетает в себе и минимизацию нагрузки, и отказоустойчивость антивирусной защиты.

 

Разработчики сервиса: Николай Терещенко, Сергей Ильин

Концепция разработана в рамках проекта Anti-Malware.ru

06.04.2006

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru