Что такое антивирусы


Антивирус – программное средство, предназначенное для борьбы с вирусами, основными задачами которого является:

  • препятствование проникновению вирусов в компьютерную систему;
  • обнаружение наличия вирусов в компьютерной системе;
  • устранение вирусов из компьютерной системы без нанесения повреждений другим объектам системы;
  • минимизация ущерба от действий вирусов.


Технологии обнаружения вирусов

Технологии, применяемые в антивирусах, можно разбить на две группы:

  • технологии сигнатурного анализа;
  • технологии вероятностного анализа.


Технологии сигнатурного анализа
Это метод обнаружения вирусов, заключающийся в проверке наличия в файлах сигнатур вирусов.
Сигнатурный анализ – наиболее известный метод обнаружения вирусов и используется практически во всех современных антивирусах. Для проведения проверки антивирусу необходим набор вирусных сигнатур, который хранится в антивирусной базе.
Антивирусная база – база данных, где хранятся сигнатуры вирусов, и которая нуждается в периодическом обновлении для поддержания актуальности антивируса. Принцип работы сигнатурного анализа дает возможность обнаруживать лишь уже известные вирусы – против новых вирусов сигнатурный сканер бессилен. Однако наличие сигнатур вирусов предполагает возможность лечения инфицированных файлов. Трояны и большинство червей не поддаются лечению по своим конструктивным особенностям, поскольку являются цельными модулями, созданными для нанесения ущерба.
Грамотная реализация вирусной сигнатуры позволяет обнаруживать известные вирусы со стопроцентной вероятностью.


Технологии вероятностного анализа

Существует три типа технологий:

  • Эвристический анализ;
  • Поведенческий анализ;
  • Анализ контрольных сумм.


Эвристический анализ
– технология, основанная на вероятностных алгоритмах, результатом работы которых является выявление подозрительных объектов.
В процессе эвристического анализа проверяется структура файла, его соответствие вирусным шаблонам, содержимое файла на предмет наличия модификаций уже известных сигнатур вирусов и их комбинаций. Это помогает определять гибриды и новые версии ранее известных вирусов без дополнительного обновления антивирусной базы. Он применяется для обнаружения неизвестных вирусов, и, как следствие, не предполагает лечения.
Данная технология не способна на 100% определить вирус перед ней или нет, и как любой вероятностный алгоритм грешит ложными срабатываниями.

Поведенческий анализ – технология, в которой решение о характере проверяемого объекта принимается на основе анализа выполняемых им операций.
Поведенческий анализ узко применим на практике, т.к. большинство действий, характерных для вирусов, могут выполняться и обычными приложениями. Наиболее известными являются поведенческие анализаторы скриптов и макросов, в связи с тем, что соответствующие вирусы практически всегда выполняют ряд однотипных действий.
Поведенческие анализаторы могут отслеживать попытки прямого доступа к файлам, внесение изменений в загрузочную запись дискет, форматирование жестких дисков и т. д.
Поведенческие анализаторы неспособны различать известные и неизвестные вирусы – все подозрительные программы априори считаются неизвестными вирусами, а значит и не предполагают лечения.

Анализ контрольных сумм – это способ отслеживания изменений в объектах компьютерной системы. На основании анализа характера изменений – одновременность, массовость, идентичные изменения длин файлов – можно делать вывод о заражении системы.
Анализаторы контрольных сумм (также используется название «ревизоры изменений») выдают вердикт о наличии вируса в системе исключительно методом экспертной оценки. Сегодня ревизоры изменений утратили свои позиции и используются в антивирусах достаточно редко. Чаще подобные технологии применяются в сканерах при доступе – при первой проверке с файла снимается контрольная сумма и помещается в кэше, перед следующей проверкой того же файла сумма снимается еще раз, сравнивается, и в случае отсутствия изменений файл считается незараженным.


Режимы работы антивирусов

Антивирусы отличаются друг от друга условиями эксплуатации. Анализ задач показывает, что препятствование проникновению вредоносного кода должно осуществляться непрерывно, а обнаружение вредоносного кода в существующей системе – скорее разовое мероприятие. Следовательно, средства, решающие эти две задачи должны функционировать по-разному.

Тогда антивирусы можно разделить на две большие категории:

  • предназначенные для непрерывной работы – к этой категории относятся средства проверки при доступе, почтовые фильтры, системы сканирования проходящего трафика Интернет, другие средства, сканирующие потоки данных;
  • предназначенные для периодического запуска – различного рода средства проверки по запросу, предназначенные для однократного сканирования определенных объектов. К таким средствам можно отнести сканер по требованию файловой системы в антивирусном комплексе для рабочей станции, сканер по требованию почтовых ящиков и общих папок в антивирусном комплексе для почтовой системы (в частности, для Microsoft Exchange).


Предотвратить возникновение проблемы гораздо проще, чем пытаться впоследствии ее решить. Поэтому современные антивирусные комплексы в большинстве своем подразумевают непрерывный режим эксплуатации. А средства периодической проверки гораздо эффективнее при борьбе с последствиями заражения и поэтому не менее необходимы.


Антивирусный комплекс

Представляет собой набор антивирусов, использующих одинаковое антивирусное ядро или ядра, предназначенный для решения практических проблем по обеспечению антивирусной безопасности компьютерных систем.
Антивирусное ядро – реализация механизма сигнатурного сканирования и эвристического анализа на основе имеющихся сигнатур вирусов.
Антивирусный комплекс может включать в себя поведенческие анализаторы и ревизоры изменений, которые вовсе не используют антивирусное ядро, и планировщик заданий в качестве вспомогательной утилиты.

Типы антивирусных комплексов:

  • антивирусный комплекс для защиты рабочих станций;
  • антивирусный комплекс для защиты файловых серверов;
  • антивирусный комплекс для защиты почтовых систем;
  • антивирусный комплекс для защиты шлюзов;


Антивирусный комплекс для защиты рабочих станций
Предназначен для обеспечения антивирусной защиты рабочей станции, на которой он установлен. Состоит из средств непрерывной работы и предназначенных для периодического запуска, а также средств обновления антивирусных баз.

К средствам непрерывной работы относятся:

  • Антивирусный сканер при доступе – антивирусный сканер, осуществляющий проверку файлов, к которым обращается операционная система (напрямую, либо опосредованно через пользователя). Для ускорения процесса работы сканера часто применяется возможность отключения средств эвристического анализа;
  • Антивирусный сканер локальной почтовой системы – антивирусный сканер, предназначенный для автоматической проверки всей входящей и исходящей из системы почтовой корреспонденции до получения ее пользователем/исходящим почтовым сервером. Выделяют два вида сканеров локальной почтовой системы – использующие и не использующие привязку к почтовому клиенту. Первый тип характеризуется большим числом поддерживаемых почтовых протоколов, однако использует конкретный почтовый клиент.


Второй тип, поддерживает более ограниченный набор протоколов (обычно, SMTP и POP3), однако делает это для любых почтовых клиентов. Возможно использование обоих типов сканеров в рамках одного антивирусного комплекса.

Средства периодического запуска:

  • Антивирусный сканер по требованию – антивирусный сканер, осуществляющий проверку файлов по запросу пользователя либо третьей программы (например, планировщика);


Антивирусный комплекс для защиты файловых серверов
Предназначен для обеспечения антивирусной защиты сервера, на котором установлен. Платформа, использующаяся на сервере, является определяющей характеристикой при выборе средств защиты файлового сервера (сетевого).

Антивирусный комплекс для защиты файловых серверов обычно состоит из:

  • Антивирусного сканера при доступе – аналогичен сканеру при доступе для рабочей станции;
  • Антивирусного сканера по требованию – аналогичен сканеру по требованию для рабочей станции;
  • Средства обновления антивирусных баз.


Антивирусный комплекс для защиты почтовых систем

Антивирусный комплекс не предназначен для защиты почтовой системы от поражения вирусами, его назначение – препятствовать доставке зараженных сообщений пользователям сети.
Антивирусный комплекс включает антивирусы обоих типов.

Средства непрерывной работы:

  • Фильтр почтового потока – осуществляет проверку на наличие вирусов всего принимаемого и отправляемого почтового потока сервера, на котором установлен комплекс;
  • Сканер общих папок (баз данных) – осуществляет проверку на наличие вирусов баз данных и общих папок пользователей в режиме реального времени (в момент обращения к этим папкам или базам). В зависимости от реализации технологии перехвата сообщений/обращений к папкам и передачи на проверку, может составлять единое целое с фильтром почтового потока.


Средства периодического запуска:

  • Антивирусный сканер по требованию – осуществляет проверку на наличие вирусов почтовых ящиков пользователей и общих папок в случае использования таковых на почтовом сервере. Проверка осуществляется по требованию администратора антивирусной безопасности либо в фоновом режиме. Если проверка выполняется в фоновом режиме, сканер также относится к средствам периодического запуска, поскольку ничем не отличается от сканера по требованию в комплексе для рабочей станции.


Антивирусный комплекс для защиты шлюзов
Предназначен для проверки на наличие вирусов данных, передаваемых через этот шлюз.
Основными каналами доставки вирусов в локальную сеть являются SMTP, HTTP и FTP-потоки, а значит, данный комплекс включает средства непрерывной работы. Антивирусы периодического запуска используются, преимущественно, для защиты файловой системы сервера, на котором установлен комплекс:

  • сканер HTTP-потока — предназначен для проверки данных, передаваемых через шлюз по протоколу HTTP;
  • сканер FTP-потока — предназначен для проверки данных, передаваемых через шлюз по протоколу FTP. В случае использования FTP over HTTP FTP-запросы будут проверяться сканером HTTP-потока;
  • сканер SMTP-потока — предназначен для проверки данных, передаваемых через шлюз по SMTP.


Комплексная система защиты информации

Задача защиты от вредоносных программ решается с помощью регулярной установки заплат безопасности, выпускаемых производителем (обычно – Microsoft) для операционной системы, для защиты рабочей станции – установить антивирусный комплекс и соблюдать общие правила безопасности. Для защиты сети нужно принимать во внимание:

  1. Трудоемкость обслуживания — установка антивирусного комплекса без удаленного управления на каждую из станций сети, что заставит администратора совершать регулярные обходы всех станций с целью проверки актуальности антивирусных баз, отсутствия вирусных инцидентов, наличия заплат безопасности и работоспособности антивирусного комплекса.
  2. Отказоустойчивость — так или иначе, в любой системе могут произойти сбои. Система антивирусной защиты, как и любая другая система обеспечения безопасности информации, должна работать непрерывно.
  3. Большая критичность системы — как правило, ценность информации, хранящейся в сети организации выше, чем у информации, хранящейся в компьютере домашнего пользователя. Отсюда – повышенные требования к системе антивирусной защиты.
  4. Человеческий фактор– наиболее критичный для системы антивирусной защиты момент. Пользователь должен пассивно участвовать в работе системы антивирусной защиты, т.е. не препятствовать, и соблюдать установленные нормы и правила. Категории пользователей в проекции на антивирусную защиту и их отношению к ней:
    • не интересующиеся антивирусной защитой — пользователь некомпетентен в вопросе, не интересуется и не хочет заниматься антивирусной защитой, мешать работе администратора антивирусной защиты не станет. К этой категории относится большинство пользователей;
    • интересующиеся антивирусной защитой, однако, некомпетентные — пользователь интересуется антивирусной защитой, считает своим долгом помочь организации, в которой работает. В силу своей некомпетентности иногда способны навредить больше чем пользователи, считающие, что антивирусная защита мешает работе;
    • интересующиеся антивирусной защитой и компетентные — к сожалению, абсолютное меньшинство;
    • считающие, что антивирусная защита только мешает — пользователь не интересуется антивирусной защитой и считает, что она мешает его работе. После установки антивирусного комплекса возможны попытки со стороны пользователя остановить его работу либо полностью деинсталлировать. Также возможно большое количество жалоб на существенные замедления в работе после установки антивирусного комплекса. Вообще, если пользователь такой категории знает, что на его рабочей станции установлен антивирусный комплекс – этот комплекс в обязательном порядке будет первопричиной всех проблем, которые у пользователя произойдут в будущем. В общем случае категорию следует разделять на подкатегории в зависимости от уровня подготовки пользователей – на практике от некоторых достаточно спрятать иконку антивируса в системной панели и жалобы и попытки пропадут – пользователь будет не в курсе того, что у него функционирует антивирус;
    • также необходимо упомянуть злоумышленников — пользователи сети, считающие, что антивирусная защита мешает. Помимо отключения антивирусной защиты, злоумышленник способен запустить в сеть вредоносную программу при наличии у него соответствующих прав.


Проектирование системы антивирусной защиты сети предполагает наличие всех перечисленных ранее категорий пользователей. Это еще раз подчеркивает усложнение задачи, стоящей перед проектировщиком системы, а учитывая важность поставленной задачи заставляет говорить о необходимости создания комплексной системы антивирусной защиты.

Комплексная система антивирусной защиты — совокупность организационных, правовых и программно-аппаратных мер и средств, направленных на обеспечение эффективной антивирусной защиты информации в локальной сети. Комплексность системы заключается в достижении контроля всех информационных потоков протекающих в локальной сети и согласованием между собой разнородных методов и средств, обеспечивающих антивирусную защиту всех элементов локальной сети.


Программные средства

КСАЗ должна контролировать и осуществлять проверку всех информационных потоков, циркулирующих в локальной сети и представляющих угрозу как потенциальный канал для распространения вирусов. Значит, перед проектированием КСАЗ необходимо произвести анализ сети и циркулирующих в ней информационных потоков, определить защищаемые узлы и узлы, на которые будут установлены антивирусные комплексы.

Типовая локальная сеть содержит следующие типы узлов:

  • Рабочие станции;
  • Файловые сервера;
  • Почтовые сервера;
  • Шлюзы.


Рабочая станция
принимает участие в следующих информационных потоках: пользователь имеет интерактивный доступ к ресурсам Интернет (http/ftp-протоколы), работает с электронной почтой (smtp/pop/imap-протоколы либо протокол передачи данных системы групповой работы), взаимодействует с файловыми серверами (как с файловыми хранилищами, так и с серверами баз данных), а также с другими станциями сети. Помимо перечисленных, рабочая станция содержит различные дисководы и возможно подключение к ней сменных носителей – дискет, компакт-дисков, flash-накопителей.

Файловый сервер в общем случае взаимодействует только с другими файловыми серверами и рабочими станциями, редко используются сменные носители.

Почтовый сервер принимает и отсылает напрямую либо через шлюз корреспонденцию (smtp-протокол), а также передает доставленные письма клиентам (pop/imap/другой протокол).

Через шлюз проходят запросы пользователей к внешним ресурсам при работе с Интернет (http/ftp) и почтовый поток к и от почтового сервера (smtp).

Все эти потоки являются типовыми, даже из уже перечисленных узлов рабочие станции могут не участвовать в некоторых потоках. Исходя из характеристик узлов и информационных потоков, в которых эти узлы участвуют, и производится классификация узлов всей сети.

Для типовой локальной сети, структурно КСАЗ можно разделить на следующие уровни:

  • уровень защиты рабочих станций и файловых серверов;
  • уровень защиты почтовых серверов;
  • уровень защиты шлюзов.


Каждый из уровней организуется при помощи описанных антивирусных комплексов. Дополнительные требования налагаются на комплекс для защиты рабочих станций и файловых серверов. Учитывая большое количество узлов таких типов и трудозатраты на обслуживание одного узла, а также в целях экономии Интернет-канала, комплекс для защиты рабочих станций и файловых серверов в дополнение должен содержать средство централизованного управления, позволяющее:

  • централизованно управлять настройками клиентского АПО, распределять клиентов по группам администрирования;
  • проводить централизованное обновление антивирусных баз для всех клиентов из единого локального источника;
  • получать информацию о событиях, происходящих на клиентах, связанную как с вирусными инцидентами, так и с функционированием АПО;
  • создавать сводные отчеты о состоянии антивирусной защиты уровня.


Этапность работ
На первом этапе разрабатываются документы – Концепция и Политика антивирусной безопасности.

Концепция антивирусной безопасности – принятая организацией система взглядов на цели, задачи и принципы обеспечения антивирусной безопасности в своей локальной сети, в которой определяются объекты антивирусной безопасности в локальной сети, возможные источники угрозы, методы предотвращения и нейтрализации этих угроз, а также основы согласованной политики в области антивирусной безопасности в локальной сети Заказчика.

Политика антивирусной безопасности определяет совокупность правил, задающих и ограничивающих виды деятельности объектов и участников, комплексной системы антивирусной защиты, ее основные цели и область ее применения.
Разработка политики проводится после обследования, которое заключается в выявлении и анализе информационных потоков, протекающих в организации, категорировании узлов сети по возможности реализации вирусной угрозы, составления матрицы – категория/возможность реализации для данного информационного потока.
На основании Политики антивирусной безопасности составляется Техническое задание на создание КСАЗ. Техническое задание – основной документ для выполнения работ по обеспечению антивирусной защиты информации. Именно на основе технического задания осуществляется разработка Технического проекта КСАЗ и приемка будущей системы в эксплуатацию.

Технический проект – документ, содержащий подробное описание проектируемой КСАЗ, состав и назначение подсистем, схему их взаимодействия, способы организации обновлений подсистем, схему управления КСАЗ, требования к персоналу, устанавливающему и обслуживающему систему.
Далее необходимо разработать эксплуатационную документацию. К эксплуатационной документации относятся инструкции администратора и пользователя КСАЗ.

Инструкция пользователя – документ, регламентирующий действия пользователей локальной сети по отношению к КСАЗ.

Инструкция администратора – документ, регламентирующий типовые действия администратора по поддержанию работоспособности КСАЗ.

Внедрение комплексной системы антивирусной защиты в любой существующей сети процесс кропотливый и достаточно трудоемкий, требующий значительных затрат ресурсов, впрочем, как и внедрение любой автоматизированной системы. Внедрение КСАЗ в большинстве случаев выявляет необходимость проведения работ по установке заплат безопасности к операционным системам. Отсутствие заплат существенно понижает, а в ряде случаев сводит на нет эффективность антивирусной защиты.


Выбор антивирусных комплексов

Помимо схемы построения и разработки проектной и эксплуатационной документации возникает вопрос выбора производителя антивирусных комплексов, которые будут использоваться в рамках КСАЗ.
Существует два подхода к выбору – одновендорный и многовендорный. В первом случае на всех уровнях КСАЗ используются средства одного производителя, в другом – различных. Оба подхода имеют преимущества и недостатки.


Одновендорные системы

Преимущества: Главное преимущество одновендорных систем состоит в единообразии решений. А именно:

  1. Совместимость – совместимость между собой антивирусных продуктов от одного производителя вызовет меньше конфликтов, чем от разных;
  2. Общие антивирусные базы – часто продукты одного вендора используют одинаковое антивирусное ядро и, как следствие, одинаковый набор антивирусных баз. Таким образом, в одновендорной системе антивирусной защиты нагрузка на сеть за счет выполнения обновления будет ниже;
  3. Единая система управления – как правило, большинство продуктов одного вендора могут управляться при помощи поставляемой этим же вендором системы удаленного и централизованного управления, как минимум этой системой могут управляться продукты для защиты серверов и рабочих станций Windows. Соответственно в одновендорной системе централизованность управления и концентрация информации о защищенности сети будет выше, что способствует более полному анализу и пониманию возникающих проблем, а также большей эффективности управления;
  4. Единая точка обслуживания – система антивирусной защиты требует поддержки со стороны производителя, и чем сложнее сеть, тем более нетривиальные проблемы в ней могут возникать, в том числе и проблемы связанные с работой антивирусных средств. В этой ситуации наличие единой точки входа для всех обращений по любым вопросам, связанным с работой системы антивирусной защиты, в случае одновендорной системы существенно упрощает работу обслуживающего персонала системы;
  5. Обучение специалистов – схожесть интерфейсов и принципов управления продуктами одного вендора облегчает освоение их персоналом, а часто имеющиеся комплексные программы обучения сокращают время и усилия направленные на подготовку специалистов, которые будут обслуживать систему антивирусной защиты.


Недостатки:
Сужение круга систем при выборе оптимального антивирусного решения для защиты сети – количество одновендорных систем заведомо меньше чем мультивендорных, а значит, степень соответствия требованиям лучшего одновендорного решения будет потенциально ниже, чем лучшего мультивендорного;
Проблемы с антивирусными базами – проблемы с получением обновлений, ошибки в базах, долгая реакция вендора на появление нового вируса – сказываются сразу на всей системе антивирусной защиты, ставя под угрозу безопасность всех участков сети.


Мультивендорные системы

Преимущества:

  1. Повышенная вероятность обнаружения – за счет использования продуктов разных вендоров, вероятность не обнаружения зараженного файла ни одним из них, равна произведению вероятностей пропуска для каждого из вендоров. Вероятности пропуска обычно значительно меньше 1, значит, суммарная вероятность пропустить вирус уменьшается на порядок или даже на несколько порядков;
  2. Локализация заражения – поскольку продуктом одного вендора в мультивендорной системе защищена не вся сеть, а только ее часть, то в случае вирусного заражения, под угрозу будет поставлена только та ее часть, которая защищена проблемным антивирусом;
  3. Более полное соответствие требованиям – поскольку для защиты каждой из подсистем сети антивирусный продукт можно выбирать независимо, без оглядки на то, чтобы все продукты были от одного производителя, можно полнее удовлетворить требованиям к системе в целом, т.е. использовать сильные стороны отдельных продуктов при построении мультивендорной системы.


Недостатки:

  1. Сложность в освоении – изучение и освоение несколько непохожих продуктов, исповедующих разные подходы к построению интерфейса и управлению;
  2. Независимое управление – персоналу придется работать с несколькими параллельными системами управления, что снижает оперативность и усложняет процесс обслуживания системы антивирусной защиты;
  3. Использование различных антивирусных баз – использование нескольких продуктов от разных производителей подразумевает загрузку и распространение нескольких наборов обновлений антивирусных баз, что неизбежно повышает нагрузку на сеть;
  4. Возможные конфликты между продуктами – часто один и тот же сервер выполняет несколько ролей и входит в состав нескольких подсистем, подлежащих антивирусной защите – например, в подсистему серверов и рабочих станций Microsoft Windows и в почтовую систему Microsoft Exchange. В этом случае требуется установка на сервер два или больше антивирусных продукта разных производителей, что грозит проблемами совместимости;
  5. Сложности при поддержке – при возникновении проблем, для их решения обслуживающему персоналу придется общаться с несколькими службами технической поддержки, а в случае конфликта совместимости двух антивирусных продуктов ставит специалистов, обслуживающих систему, в незавидное положение.


При защите небольших и несложных по структуре систем, у одновендорных систем больше преимуществ.

При защите сложной гетерогенной сети возникает целый ряд факторов:

  • при необходимости защиты или обеспечения совместимости с одной или несколькими редко используемыми системами, подходящего одновендорного решения может просто не существовать;
  • когда на первый план выходит качество защиты, мультивендорные системы обладают преимуществами, которые часто перевешивают их относительные недостатки;
  • постоянное соблюдение принципа одновендорности в процессе эволюции сети и ее системы антивирусной защиты, является недостатком, т.к. гораздо проще заменить один из продуктов при появлении лучшего, чем регулярно менять систему целиком;
  • разные антивирусные базы для разных продуктов одного вендора (бывает и такое);
  • разные системы управления для разных продуктов одного вендора и отсутствие общей централизованной системы управления;
  • проблемы совместимости продуктов одного вендора.