Антивирус, настройка политик, или *NIX. Что лучше?

Количество вопросов, задаваемых нашим инженерам и менеджерам по поводу выбора антивирусов, превышает несколько десятков каждый день. Нередка ситуация, когда люди приходят и спрашивают – «а может поставить *nix, и все проблемы решатся сами собой? Или настроить права доступа в Windows?» В этой статье мы дадим рекомендации, ну а выбор – за вами. Статься в большей мере предназначена для корпоративных пользователей, а не домашних. Мы намеренно не указываем производителей ПО и их продукты, следуя принципу – «на вкус и цвет товарищей нет». Каждый взрослый человек сам выбирает необходимый ему продукт.

Самое главное: ни один антивирус не дает 100% защиты. Вообще ни один. Ни одни настройки прав также не дают гарантий. Эксплойты создаются каждый день, и способы проникновения становятся все изощреннее и сложнее. Использование систем на *nix и им подобным также не панацея, истории их взлома периодически проникают в СМИ, и мы все о них неоднократно слышали.

Для начала рассмотрим работу антивирусов.

Первое, что нужно усвоить – антивирус на файл-сервере обязателен. Антивирус на прокси – обязателен. Независимо от установленных на них ОС. Это как «отче наш».

Антивирус на файл-сервере дает вам возможность, помимо непосредственно защиты, найти юзера, принесшего заразу, плюс не дать распространиться вирусам по сети. Антивирус на прокси проверяет трафик, не давай пролезть вирусам также и через почту. Есть часть профессионалов, устанавливающих либо продукты типа GDATA, либо несколько совместимых антивирусов на одну машину (физическую или пул виртуальных, если позволяют финансы и ресурсы). Антивирусы в данном случае отбираются по возможности максимально отличные друг от друга (разные принципы работы, разные методы наполнения баз, разные регионы). Уровень защиты в данном случае увеличивается не прямо пропорционально декларируемому вендорами проценту обнаружения, а ближе к квадратичной зависимости, что, несомненно, лучше. С результатами тестирования по данной методике вы можете ознакомиться на нашем сайте.

Нужен ли антивирус на рабочих станциях? Как основное средство защиты — его недостаточно. Очень желательно ставить IDS/IPS/IS и фаервол (программы желательно брать от разных вендоров). Таким образом, повышается защита от 0-day эксплойтов (защититься от которых на 100% все равно невозможно в принципе, например вирус, сидящий в  ring0, может изменять eprocess, и вы не увидите ничего в списке процессов,  может ходить в сеть через собственный NDIS в обход фаера, и это еще не полный перечень возможностей). Обновления ОС – также обязательно, что в последнее время возможно только при наличии легальной лицензии.

Насколько будет тормозить такой бутерброд – могу сказать лишь одно: лучше потратить бюджет на хорошее железо и софт, чем искать новую работу, плюс получить отсутствие рекомендаций работодателя, а в небольшом городе еще и известность как «человек, который сломал все». Мотивация руководства компании на повышенные затраты также проста – всем известно, что убытки от вирусов и неграмотных юзеров в десятки раз превышают затраты на превентивные меры.

Перейдем к рассмотрению настроек безопасности.

При любой настройке системы, мы всегда держим в голове неприятный факт – можно ограничить  привилегии, разрешения NTFS, настроить политики – но это не защитит от сетевого 0-day эксплойта, проникшего через прокси. Все мы помним про старый добрый мсбласт.

Тем не менее, как мы можем защититься:

  1. Вирусы, которые остаются в системе после перезапуска ПК (т.е. физически расположенные на дисках). Если запретить запуск таких файлов, то проблема будет решена. В Windows это настройка политик запуска приложений. Ставим разрешение на запуск только тех программ (и библиотек!!!), которые нужны юзеру (например, для рядового бухгалтера это 1С (или аналог) и текстовый/табличный процессор (MS Office, OO, LibreOffice и т.п.)). Есть подводные камни – некоторые вирусы вполне удачно заменяют собою нормальную программу. Не стоит забывать и про скрипты – нужен запрет.
  2. Настройка доступа: те папки, в которые юзеру разрешено писать, закрыты для запуска приложений, а те папки/файлы, из которых производится запуск, закрыты для записи. И да, в данном числе количество конфликтов и неработающих программ при первоначальной настройке будет огромно. Каждую программу и параметры придется кропотливо настраивать. В случае обновления софта – тоже. Каждый раз… Через групповые политики апдейты, конечно, ставятся, но каждый раз ручками все равно придется поработать.

Может быть и проблема с ярлыками.

Кстати, такой вариант весьма неплох для терминалок – снижается риск запуска софта, сжирающего ресурсы.

Проблемы, возникающие в случае таковых настроек на серверах, особенно почтовых и приложений — …

Итак, в данном случае, если вы сисадмин, следующий правилу «поставил и забыл» — этот вариант не для вас. Каждый день придется бегать/подключаться и настраивать нервным юзерам их неработающий софт.
И, наконец, третий вариант — работа на *nix – системах.

На фоне широко распространенного мнения, что вирусов для них не существует (хотя они есть), данные системы подвержены атакам иногда в большей мере именно из-за человеческой психологии: «у меня несокрушимая система, можно делать все что хочу, особых настроек не требуется». Случаи взлома известны всем.

Не стоит забывать. что вирусы могут внедриться в незащищённые системы на *nix. Даже если вы сидите не под рутом, вирус может перехватывать пароли, данные кредиток и т.п., рассылать спам, участвовать в DDOS, пересылать  файлы из пользовательских каталогов (личные фото, файлы с паролями и т.п.). А эксплойты позволяют повышать права. Уязвимости, конечно, быстро закрываются в силу развитого коммьюнити, но нужно помнить —  *nix безопасен только в руках опытных пользователей. Обычные юзеры совершают те же ошибки, что и в Windows.

Также, есть свои плюсы и минусы при использовании программно-аппаратных комплексов, например всем известного недешевого производителя сетевого оборудования. Атакам подвержены и такие системы.

Резюмируя, я расскажу, как мы защищаем свою инфраструктуру.

Так как мы компания, занимающаяся продажей ПО, через нас проходит гигантское количество этого самого софта, и за годы работы мы выбрали для себя ряд программных решений, подходящих именно под наши потребности. Да, есть ПО, обладающее потрясающими характеристиками, но и стоит оно как неплохая иномарка (за одну лицензию). Мы выбрали свой софт, он на 90% платный (для нас большая часть это NFR, т.к. сертифицированные партнеры получают софт бесплатно).

Коротко:

Хорошее современное железо, на котором крутятся в виртуалках:

1. Прокси – Linux, (один из них с двумя движками, т.е. в итоге 3 движка), настройки безопасности, IPS.

2. ФС – Win, два антивируса (отечественный и зарубежный), безопасность аналогично прокси.

3. Сервера приложений и RDS  — на Win, 2 антивира (2 движка), так же максимальные ограничения.

4. Почта – Win, 1 антивир, антиспам, так же максимальные ограничения.

5. Рабочие станции в основном на толстых клиентах под Win, есть часть тонких на Ubuntu, на каждой 1 антивирус, фаер, IPS, контроль ПК через антивирусный сервер, безопасность – максимальные ограничения.

P.S.: Не так давно в интернете проходил слух о том, что появляются вирусы, распространяющиеся через железо, непосредственно располагаясь в прошивках, т.е. в чипах… Слишком сюрреалистично, чтобы быть правдой – но кто знает, что произойдет в будущем, возможно и существуют такие разработки, пока еще не «in-wild». Пока еще.

Данная статья является интеллектуальной собственностью ООО «Алгоритм». При размещении на других ресурсах ссылка на источник обязательна, с указанием на странице или в тегах следующего текста: «ООО Алгоритм softself.ru».

1 comment

  1. Dao

Leave a Reply