Можно ли отказаться от антивирусной защиты на конечных точках?
Михаил Чернышев
ведущий технический специалист
McAfee в России и СНГ
Itsec.Ru
Ни один антивирус, пусть даже со скоростью обновления несколько десятков раз в час или сверхкомплексной эвристикой, не может поддерживать приемлемый уровень безопасности. Назрела необходимость в принципиально новых подходах.
Начиная с 1980-х гг., когда появились антивирусы, они позиционировались как основное средство защиты компьютеров от вредоносного кода и различных хакерских атак. Основной упор делался на полноту антивирусной базы и количество уникальных сигнатур вирусов, которые она могла распознать. По мере развития рынка IT и широкого использования компьютеров во всех областях жизни количество вредоносного кода развивалось опережающими темпами, и в попытках догнать непрерывно растущее
| Подход, описанный в статье, в силу своей максимальной проактивности позволяет защищать системы и от известных и, что не менее важно, от новых (zero-day) угроз. |
количество вирусов компании-производители антивирусного ПО предпринимали попытки либо компенсировать неполноту антивирусных баз дополнительными эвристическими анализаторами (защищенная область памяти для эмуляции кода, так называемая песочница; проприетарные эвристические алгоритмы с минимально раскрытой информацией), либо догнать вирусописателей путем бесконтрольного выпуска антивирусных обновлений. Обе тенденции имеют место и по сей день. И обе, что печально, не обеспечивают по-настоящему полной защиты.
Новые подходы
Согласно последней информации от аналитиков исследовательской лаборатории McAfee, количество уникальных в нее обращений превысило 100 млрд/мес. Из этого становится очевидно, что ни один антивирус, пусть даже со скоростью обновления несколько десятков раз в час или сверхкомплексной эвристикой, не может более поддерживать приемлемый уровень безопасности. Назрела необходимость в принципиально новых подходах, особенно из-за того, что некоторые системы по своей специфике не могут непрерывно обновляться либо из-за риска снятия с гарантии, либо из-за низкой пропускной способности сетевых каналов связи, либо в силу своей критичности для бизнеса/здоровья/государства (банкоматы, киоски, кассовые терминалы, медицинское оборудование, системы промышленной автоматики и пр.).
Согласно последней информации от аналитиков исследовательской лаборатории McAfee, количество уникальных в нее обращений превысило 100 млрд/мес. Из этого становится очевидно, что ни один антивирус, пусть даже со скоростью обновления несколько десятков раз в час или сверхкомплексной эвристикой, не может более поддерживать приемлемый уровень безопасности. |
Для перечисленного класса систем сейчас стало не только актуально, но и возможно произвести частичный или полный отказ от антивируса за счет обеспечения нескольких ключевых принципов:
- контроль изменений всех системных объектов, начиная от файлов ОС и заканчивая библиотеками драйверов либо системным реестром;
- проверка всех запускаемых кодов на соответствие исходному образу (так называемый динамический белый список). В случае запуска исполняемого кода, не принадлежащего динамическому белому списку, попытка блокируется;
- защита памяти для разрешенного ПО с целью предотвращения возможности проникновения или заражения за счет атак переполнения буфера обмена;
- возможность в режиме реального времени осуществить запрос глобальной базы знаний по вирусам, угрозам и уязвимостям с целью оценить степень риска от активности того или иного кода в рамках ОС.
При соблюдении данных условий на системах, на которых работа антивируса невозможна по ряду перечисленных причин, отказ от антивирусного пакета возможен без компромиссов с безопасностью.
Опубликовано:
Журнал "Information Security/ Информационная безопасность" #4, 2012
