Антивирусная защита компании: NIST рекомендует

Антивирусная защита компании: NIST рекомендует

Вадим Грибунин,
кандидат технических наук, эксперт

Не покупкой единой...

Защитой от вирусов1 озабочены в любой компании, независимо от ее размера. И объясняется это не только привычным для любого человека названием этой угрозы, но и наглядным проявлением воздействия вирусов. В самом деле, вы можете никогда не узнать о краже (копировании) важных данных, но их порча будет чувствительным ударом.

В большинстве организаций задача антивирусной защиты решается приобретением того или иного продукта. В наиболее "продвинутых" фирмах знакомы с рекомендациями Microsoft и закупают предназначенные для защиты различных уровней сети антивирусы у разных производителей. Правда, при этом зачастую приобретают "головную боль" одновременной поддержки разноплановых решений.

Во многих сферах деятельности, в том числе и в информационной безопасности, действует закон "80/20". Не является исключением и антивирусная защита: вклад организационных мер в ее эффективность существенно превосходит, на наш взгляд, вклад технических мер. В предлагаемой статье описан подход к организации антивирусной защиты компании, рекомендуемый Национальным институтом стандартов и технологий (NIST) США.

Вирусы: но пасаран

Необходимо выделить две больших проблемы с точки зрения борьбы с вирусами: предотвращение связанных с ними инцидентов и реагирование на эти инциденты, если уж они все-таки произошли. Рассмотрим вначале задачу, связанную с предотвращением проявления вирусов. Как указано в документе NIST, эта задача распадается на четыре подзадачи^ политика безопасности, обучение пользователей, уменьшение уязвимостей ПО, снижение угроз (применение антивирусных средств).

В политике безопасности организации должны быть выделены вопросы антивирусной защиты. Можно создать и отдельную политику по этой проблеме, но надо помнить, что связанные с вирусами вопросы все равно будут "размазаны" по другим политикам (например, управление доступом). Отражаемые в политиках моменты являются основой для всех превентивных мер борьбы с вирусами.

Большое значение имеет обучение пользователей, повышение их осведомленности о вирусных угрозах. Ведь большинство случаев заражения происходит из-за ошибочных действий людей. Особое внимание надо уделить повышению квалификации ИТ-персонала.

Зачастую вирусы используют уязвимости операционных систем, служб и приложений. Поэтому необходимо постоянное отслеживание, анализ и ликвидация уязвимостей, что понижает связанные с вирусами риски. Многие уважаемые фирмы, работающие в области ИБ, предлагают подписаться на их рассылки, и этой возможностью пренебрегать не стоит. И обязательно следует устанавливать предлагаемые вендорами программных продуктов обновления.

Наконец, мы дошли и до чисто технических мер борьбы с вирусами. Конечно же, применение антивирусного/антишпионского ПО, межсетевых экранов, IDS/IPS и т.д. является обязательным.

Вирусы все же прорвались - минимизируем ущерб

Но что же делать, если заражение все же произошло? Отчаиваться не стоит, ведь к этому можно быть готовым. NIST выделяет четыре основные фазы: подготовка к реагированию, обнаружение и анализ, сдерживание, уничтожение и восстановление, послеинцидентная деятельность.

Рассмотренные ранее процедуры предотвращения заражения вирусами выполняются как раз на фазе подготовки к реагированию. Помимо этого здесь же разрабатывается план реагирования на инциденты, ведется подготовка группы реагирования и всех сотрудников, вовлеченных в процесс ликвидации последствий вторжения, распределяются роли и обязанности. Рекомендуется проводить регулярные упражнения и тренировки по борьбе с вирусами, а в состав групп реагирования включать в том числе программистов и специалистов по компьютерным преступлениям. Помимо антивирусов эта группа должна иметь в своем арсенале много других средств, способствующих расследованию инцидента, например снифферы, анализаторы протоколов и т.д.

Если, несмотря на все предпринятые меры, вирусное заражение все же произошло, то важное значение имеет своевременное обнаружение данного факта и его локализация. Необходимо в возможно кратчайшие сроки выяснить тип заражения, его серьезность, масштабы. Отметим, что NIST рассматривает на этой фазе не только обнаружение реально произошедшего заражения, но и выявление предпосылок к заражению. Например, сигнал межсетевого экрана о заблокированной атаке служит таким предупреждением: ведь следующее направление удара может прийтись на незащищенный участок.

Под сдерживанием вирусов понимаются две вещи: предотвращение дальнейшего распространения заразы и дальнейшего краха информационной системы. Необходимо четко понимать разницу между этими понятиями и то, что остановка вирусной эпидемии вовсе не означает спасение зараженного компьютера. Понятно, что сдерживать вирусы при локальном заражении несложно: машина просто-напросто может быть выключена. Хотя если данный компьютер играет важную роль и его нельзя выключить без потерь, то необходимо заранее оценить соответствующие риски. Как раз при создании политики реагирования и принимаются решения по наименьшему из зол: может быть, лучше заразить другие компьютеры, чем выключить важный сервер. Если же заражение принимает глобальный характер, то для успешной борьбы с ним тем более необходимо заранее продумать (и изложить в соответствующей политике) порядок локализации проблемы.

Сдерживание вирусного заражения достигается за счет обязательного участия в этом процессе всех пользователей, а также применения антивирусных средств, запрета определенных сервисов и разрыва сетевых соединений.

Процесс уничтожения вирусов не должен ограничиваться удалением заразы при помощи соответствующих средств. Нельзя забывать и о закрытии уязвимости, которую использовал вирус, и об установке нужных патчей. Зачастую наблюдается следующая картина: не успели удалить вирус, как он опять появился. И патчи вроде бы все установлены. Это сигнал к тому, что в системе, возможно, установлен руткит, работающий с правами администратора. В этом случае NIST рекомендует переустанавливать систему.

Наконец, процесс восстановления после инцидента включает в себя две составляющие: собственно восстановление программ и данных и ликвидацию временно принятых мер.

Происшедший инцидент дает пищу для размышлений, результаты которых воплощаются в пересмотренных инструкции и политиках. Таким образом, круг замкнулся, и мы снова находимся на фазе подготовки к инциденту.

Учиться, учиться и еще раз учиться

Итак, мы рассмотрели вкратце организационные меры по борьбе с вирусами, рекомендуемые NIST. Если вас заинтересовала данная тема, то вы можете ознакомиться с полным, стостраничным текстом этого документа по адресу: http://csrc.nist.gov/publica-tions/nistpubs/800-83/SP800-83.pdf. В нем вы найдете также рассмотрение нескольких практических случаев заражения вирусами и ликвидации его последствий. Ну а если вы решили понадеяться на известное русское "авось" - что ж, ждите, пока вирусы не скажут: "Тогда мы идем к вам!"