Антивирусное решение уровня Enterprise (часть II)

Вторая по счету публикация на тему корпоративных антивирусных систем, применяемых на больших предприятиях. В этой части автором сформулирован перечень основных требований к системе антивирусной безопасности предприятия, представлено их детальное описание и анализ.

В предыдущей статье мы определились с тем, что по оценкам специалистов, риск возникновения вирусной эпидемии в корпоративной сети достаточно высок, тем более, если не принимать никаких мер по его предупреждению. Помимо этого, была построена функциональная модель корпоративной сети, по которой совершенно очевидно определяются точки антивирусной защиты. В конечном итоге было сформулировано главное требование к антивирусным системам подобного уровня – наличие центральной консоли управления антивирусным комплексом всего предприятия.

1. Требования, предъявляемые к антивирусной системе

Для того, что бы окончательно определиться – какой должна быть система антивирусной защиты предприятия, необходимо задуматься, что еще она «должна уметь». Для начала я предлагаю рассмотреть те требования, которые предъявляет к подобным системам международный, наиболее авторитетный, стандарт в области управления информационной безопасностью – ISO 17799.

1.1. Требования стандарта ISO-17799 (BS7799)

Если проанализировать данный стандарт, то можно выделить ряд требований, предъявляемых к самой системе антивирусной безопасности и к необходимым возможностям по управлению данной системой:

  • многоплатформенность;
  • отказоустойчивость;
  • масштабируемость, интегрируемость и возможность централизованного управления и обновления;
  • работа антивирусных средств в режиме реального времени и по расписанию;
  • оценка нанесенного ущерба и восстановление системы:
    • обнаружение и уничтожение опасных остатков вирусов, в том числе и ликвидация изменений в системах, выполненных вредоносным кодом;
    • выявление незащищенных объектов сети и обеспечение немедленной их защиты;
    • подробные, разноуровневые (например, отчеты для технических специалистов в данной области, для технических менеджеров (руководителей) и отчеты для руководителей высшего звена) отчеты, по работе всего антивирусного комплекса
  • контроль над жизненным циклом эпидемии и своевременное информирование персонала;
  • способность перекрывать все потенциальные каналы проникновения вирусов в корпоративную сеть;
  • предоставления комплексного решения для гетерогенной корпоративной сети.

Безусловно, в любом из общих стандартов по информационной безопасности, невозможно полностью отразить все требования, для каждой из подсистем защиты, вследствие чего, существует необходимость в дополнении и более подробном описании каждого из указанных выше требований.

1.2. Детализация требований к решениям уровня Enterprise

Конечно, есть требования (может быть даже субъективные), которые не описаны стандартами, но на них всегда обращают при построении любой из корпоративных систем. В первую очередь идет речь, например, о производительности и удобности эксплуатации антивирусных решений. Конечно, данные требования никто в стандарт по безопасности вносить не будет, но они существуют и играют не последнюю роль при выборе конкретных решений. Их обобщение я постарался привести в таблице ниже.

Функциональные возможности Важность для корпоративного пользователя
Стоимость решения Конечно, стоимость довольно часто играет одну из главных ролей при выборе решения, ведь это прямые затраты, которые должны обеспечить надежное функционирование всей корпоративной сети предприятия.
При этом многие упускают из виду то, что все антивирусные решения продаются на ограниченный период времени, затем необходимо или обновлять лицензии, или продлевать техническую поддержку (что на практике, в общем-то, одно и то же). В конечном счете, довольно привлекательное решение в ценовом варианте, может оказаться значительно дороже конкурентных предложений.
Лицензионная политика производителя Очень важно сразу обратить внимание на лицензионную политику производителя. Некоторые из производителей до сих пор в продукты, предназначенные для сегмента корпоративных предприятий, включают «License Force Check». И может оказаться так, что, купив какое-то количество лицензий, антивирус откажется защищать все объекты сети вашего предприятия, т.к. их окажется чуть больше, вследствие использования каких-либо служебных почтовых ящиков или временных тестовых стендов.
Эффективность обнаружение вирусов Достаточно важна, поскольку напрямую оправдывает финансовые затраты на приобретение и эксплуатацию антивирусного ПО.
Обнаружение вредоносного кода любого типа Безусловно, на данный момент практически отсутствуют антивирусы, которые не обнаруживают весь спектр вредоносного кода. Но, тем не менее, необходимо обращать на это внимание, например, антивирус, устанавливаемый для защиты Lotus Domino, должен обладать возможностью блокирования скриптов, позволяющих выполнить неавторизованные действия от имени пользователя.
Производительность Если антивирусная защита «конфликтует» с производительностью системы, доставкой почты или другими ключевыми аспектами современного процесса делового общения, у конечного пользователя появляется желание ее отключить. Вследствие чего, в любом случае рекомендуется перед полноценным внедрением антивирусной системы выполнить «пилотное» тестирование на небольшом участке сети.
Готовность быстрого реагирования на появление новых угроз Никто не станет отрицать, что одно из важных свойств продукта (а точнее производителя) – способность своевременно и быстро реагировать на появление новых угроз.
Сопровождение и техническая поддержка Как правило, для пользователя важны ответы на следующие вопросы: «Какие составляющие входят в базовую конфигурацию?», «Что можно получить дополнительно?», «Какие услуги входят в стоимость годовой технической поддержки?»
Помимо этого надо помнить о качестве оказываемой технической поддержки, можно обещать многое, но не выполнять из этого списка практически ничего или выполнять не качественно.
Управляемость всем антивирусным комплексом Возможность централизованного администрирования антивирусного программного обеспечения чрезвычайно актуальна, так как нельзя полагаться на то, что конечные пользователи будут поддерживать работоспособность и обновление антивирусной защиты на своих рабочих станциях.
При этом бывает так, что в результате системного сбоя (не обязательно самого антивирусного ПО) происходит сбой системы обновления. А это уязвимость во всей системе. Даже подобные единичные случаи, среди сотен защищаемых объектов могут привести к непоправимым последствиям.
Управление антивирусной защитой удаленных пользователей Сейчас появилось большое количество пользователей, которые выполняют свою работу дома, подключаясь к ресурсам корпорации удаленно, создавая тем самым новые точки проникновения вирусов. Поэтому администратору необходимо поддерживать их на том же уровне антивирусной защиты, что и локальных пользователей.
Автоматическое распространение и обновление Сегодня администраторы могут быть ответственны за сотни рабочих станций и десятки различных сегментов сети предприятия, проверить каждый объект сети самостоятельно невозможно. Поэтому понятно требование администратора, который хочет при помощи антивирусного ПО автоматизировать процесс распространения и обновления. При этом максимально минимизировать трафик и время распространения обновлений.
Использование технологии Push в данном вопросе наиболее актуально.
Централизованное уведомление и оповещение Я думаю, все прекрасно понимают, что если администратор антивирусной системы не сможет получить мгновенную единую картину всех уязвимых точек сети, то они могут упустить из виду потенциальную и, как правило, реальную вирусную атаку.
Удобность администрирования Если администратор сам является удаленным пользователем, интерфейс броузера (как административной консоли) дает ему возможность администрирования всего предприятия независимо от своего местонахождения.
При этом Web интерфейс оказывается наиболее привычным, по сравнению с обычным GUI интерфейсом, т.к. довольно часто дизайнерские способности производителей антивирусов оставляют желать лучшего. А Web интерфейс достаточно прост и удобен.
Возможность четкой и детальной настройки антивирусной системы Что отличает антивирусное программное обеспечение для корпоративного использования, от программного обеспечения для домашнего использования – необходимость в наличие большей детализации настроек. Это связано с тем, что требования для разных объектов сети зачастую сильно разнятся.
К сожалению, многие антивирусные производители не считают необходимым расширять возможности по настройке всего комплекса.

В данном разделе я попытался обобщить требования к системе антивирусной безопасности. Конечно, требования могут меняться, в зависимости от условий эксплуатации самой системы. Кому-то очень важна производительность системы (старый парк машин), кто-то не желает глубоко разбираться с администрированием – задачи и требования всегда будут различны. И каждый для себя выбирает то, что ему наиболее удовлетворяет.

Автор: Николай Терещенко
Эксперт Anti-Malware.ru

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru