Колонка эксперта

Как это ни парадоксально, но я до сих пор регулярно слышу в качестве совета по борьбе с вредоносным ПО рекомендацию по использованию современного антивируса и его регулярному обновлению. Такое впечатление, что последние истории с WannaCry и Petya/Nyetya произошли в каком-то своем мире, отличном от того, в котором живут те, кто до сих пор считает, что антивирус – это все, что нужно для борьбы с вредоносным ПО. Даже хороший антивирус. Даже с эвристическими механизмами. Даже если они еще и работают, а не просто являются маркетинговой заманухой. Пора уже для себя сформулировать простой вывод: борьба с современным вредоносным ПО требует целостной стратегии и сбалансированного применения различных технологий, направленных на обнаружение и предотвращение использования вредоносным кодом различных способов проникновения и заражения. И чтобы понять, какие это могут быть технологии, достаточно просто посмотреть на то, какие вредоносные программы бывают и как они распространяются. Да, есть старые вирусы, которые хорошо детектируются стандартными и широко распространенными на рынке антивирусами. Их, наверное, около 80% в общем числе плохих программ. А остальные 20%? Они используют известные и не очень эксплойты, а то и вовсе 0-Day. Они постоянно модифицируются, используют механизмы обфускации, не используют ранее использованные в других атаках фрагменты кода, реализуют специальные техники обхода средств защиты. И попадают они на компьютеры пользователей не только через e-mail, но и через браузер, флешки, уязвимости в SMB/NetBIOS и т.п. Можно ли побороть такие творения одним антивирусом и настройкой портов на периметре? Увы. Для борьбы с этой заразой нужен целый комплекс, который должен включать в себя: МСЭ и системы обнаружения вторжений, средства защиты е-mail (SEG) и Web (SWG или SIG), средства анализа сетевого трафика (NTA) и "песочницы", средства контроля поведения (UEBA) и расширенной защиты оконечных устройств (EDR и EPP). Ну и, конечно, не забыть про регулярное обновление операционной системы, приложений и плагинов защищаемых узлов. Добавьте к своему антивирусы, названные технологии, и вы сможете существенно повысить эффективность предотвращения, обнаружения и реагирования на современный вредоносный код.