Исследование уровня защиты и эффективности применения средств защиты корпоративных сетей (стр. 11 из 21)

Важно отметить, что при начальном построении системы антивирусной безопасности важно точно определить точки, которые мы будем защищать и свести огромную архитектуру сети к четкой функциональной модели.

Пример простейшей функциональной модели приведен на рисунке 2.4.

Рисунок 2.3. Функциональная модель корпоративной сети

На данной модели не показан, например, сервисный и сетевой уровень, т.е. если имеется необходимость обеспечения антивирусного контроля на данных уровнях автоматизированной системы, то необходимо добавить их в функциональную модель.

Взглянув на конкретную функциональную модель, становится, очевидно, что антивирусную безопасность в данной корпоративной сети не обеспечить за счет антивирусов устанавливаемых на рабочих станциях и серверах. Да, бесспорно, есть решения, включающие несколько антивирусных продуктов (для разных точек проникновения), но нет одного продукта, который бы мог контролировать все участки корпоративной сети [25].

При таком положении дел важно помнить о централизованном контроле и управлении всеми антивирусными продуктами, которые используются на предприятии.

Необходимо, чтобы администратор мог с единой консоли отслеживать все точки проникновения вирусов и, эффективно управлять всеми присутствующими в сети предприятия точками антивирусной защиты. В нынешних условиях развития вирусной индустрии, отсутствие подобного рычага у администратора приведет в лучшем случае к потере контроля над несколькими объектами сети предприятия (устаревшие базы вирусных сигнатур, отключенный режим сканирования в реальном времени, вообще не установленное антивирусное ПО), а в худшем – к потере контроля вообще над частью системы антивирусной защиты. И, как правило, это происходит в момент появления новой уязвимости и в то же время червя, который использует данную уязвимость – так называемая угроза «Zero-day» [25].

Сложность создания комплексного централизованного управления и является нелегкой задачей для успешного создания эффективных корпоративных систем антивирусной защиты, что, в конечном счете, и приводит к столь вероятной угрозе проникновения компьютерных вирусов в корпоративные сети.

Для того, что бы окончательно определиться – какой должна быть система антивирусной защиты КИС, необходимо задуматься, что еще должно в ходить в ее функциональность. Для начала используем те требования, которые предъявляет к подобным системам международный, наиболее авторитетный, стандарт в области управления информационной безопасностью – ISO 17799 [10].

Если проанализировать данный стандарт, то можно выделить ряд требований, предъявляемых к самой системе антивирусной безопасности и к необходимым возможностям по управлению данной системой:

· многоплатформенность;

· отказоустойчивость;

· масштабируемость, интегрируемость и возможность централизованного управления и обновления;

· работа антивирусных средств в режиме реального времени и по расписанию;

· оценка нанесенного ущерба и восстановление системы:

-обнаружение и уничтожение опасных остатков вирусов, в том числе и ликвидация изменений в системах, выполненных вредоносным кодом;

-выявление незащищенных объектов сети и обеспечение немедленной их защиты;

-подробные, разноуровневые (например, отчеты для технических специалистов в данной области, для технических менеджеров (руководителей) и отчеты для руководителей высшего звена) отчеты, по работе всего антивирусного комплекса

· контроль над жизненным циклом эпидемии и своевременное информирование персонала;

· способность перекрывать все потенциальные каналы проникновения вирусов в корпоративную сеть;

· предоставления комплексного решения для гетерогенной корпоративной сети.

Безусловно, в любом из общих стандартов по информационной безопасности, невозможно полностью отразить все требования, для каждой из подсистем защиты, вследствие чего, существует необходимость в дополнении и более подробном описании каждого из указанных выше требований.

Конечно, есть требования (может быть даже субъективные), которые не описаны стандартами, но на них всегда обращают при построении любой из корпоративных систем. В первую очередь идет речь, например, о производительности и удобности эксплуатации антивирусных решений. Конечно, данные требования никто в стандарт по безопасности вносить не будет, но они существуют и играют не последнюю роль при выборе конкретных решений. Список и раскрытие этих требований перечислены ниже [25].

Стоимость решения

Конечно, стоимость довольно часто играет одну из главных ролей при выборе решения, ведь это прямые затраты, которые должны обеспечить надежное функционирование всей корпоративной сети предприятия. При этом многие упускают из виду то, что все антивирусные решения продаются на ограниченный период времени, затем необходимо или обновлять лицензии, или продлевать техническую поддержку (что на практике, в общем-то, одно и то же). В конечном счете, довольно привлекательное решение в ценовом варианте, может оказаться значительно дороже конкурентных предложений.

Лицензионная политика производителя

Очень важно сразу обратить внимание на лицензионную политику производителя. Некоторые из производителей до сих пор в продукты, предназначенные для сегмента корпоративных предприятий, включают «License Force Check». И может оказаться так, что, купив какое-то количество лицензий, антивирус откажется защищать все объекты сети вашего предприятия, т.к. их окажется чуть больше, вследствие использования каких-либо служебных почтовых ящиков или временных тестовых стендов.

Эффективность обнаружение вирусов

Достаточно важна, поскольку напрямую оправдывает финансовые затраты на приобретение и эксплуатацию антивирусного ПО.

Обнаружение вредоносного кода любого типа

Безусловно, на данный момент практически отсутствуют антивирусы, которые не обнаруживают весь спектр вредоносного кода. Но, тем не менее, необходимо обращать на это внимание, например, антивирус, устанавливаемый для защиты Lotus Domino, должен обладать возможностью блокирования скриптов, позволяющих выполнить неавторизованные действия от имени пользователя.

Производительность

Если антивирусная защита «конфликтует» с производительностью системы, доставкой почты или другими ключевыми аспектами современного процесса делового общения, у конечного пользователя появляется желание ее отключить. Вследствие чего, в любом случае рекомендуется перед полноценным внедрением антивирусной системы выполнить «пилотное» тестирование на небольшом участке сети.

Готовность быстрого реагирования на появление новых угроз

Никто не станет отрицать, что одно из важных свойств продукта (а точнее производителя) – способность своевременно и быстро реагировать на появление новых угроз.

Управляемость всем антивирусным комплексом

Возможность централизованного администрирования антивирусного программного обеспечения чрезвычайно актуальна, так как нельзя полагаться на то, что конечные пользователи будут поддерживать работоспособность и обновление антивирусной защиты на своих рабочих станциях. При этом бывает так, что в результате системного сбоя (не обязательно самого антивирусного ПО) происходит сбой системы обновления. А это уязвимость во всей системе. Даже подобные единичные случаи, среди сотен защищаемых объектов могут привести к непоправимым последствиям.

Управление антивирусной защитой удаленных пользователей

Сейчас появилось большое количество пользователей, которые выполняют свою работу дома, подключаясь к ресурсам корпорации удаленно, создавая тем самым новые точки проникновения вирусов. Поэтому администратору необходимо поддерживать их на том же уровне антивирусной защиты, что и локальных пользователей.

Автоматическое распространение и обновление

Сегодня администраторы могут быть ответственны за сотни рабочих станций и десятки различных сегментов сети предприятия, проверить каждый объект сети самостоятельно невозможно. Поэтому понятно требование администратора, который хочет при помощи антивирусного ПО автоматизировать процесс распространения и обновления. При этом максимально минимизировать трафик и время распространения обновлений.

Централизованное уведомление и оповещение

Если администратор антивирусной системы не сможет получить мгновенную единую картину всех уязвимых точек сети, то они могут упустить из виду потенциальную и, как правило, реальную вирусную атаку.

Удобность администрирования

Если администратор сам является удаленным пользователем, интерфейс броузера (как административной консоли) дает ему возможность администрирования всего предприятия независимо от своего местонахождения. При этом Web интерфейс оказывается наиболее привычным, по сравнению с обычным GUI интерфейсом, т.к. довольно часто дизайнерские способности производителей антивирусов оставляют желать лучшего. А Web интерфейс достаточно прост и удобен.

Возможность четкой и детальной настройки антивирусной системы

Что отличает антивирусное программное обеспечение для корпоративного использования, от программного обеспечения для домашнего использования – необходимость в наличие большей детализации настроек. Это связано с тем, что требования для разных объектов сети зачастую сильно разнятся. К сожалению, многие антивирусные производители не считают необходимым расширять возможности по настройке всего комплекса.