На главную страницу
На главную страницу Карта сайта Поиск по сайту Обратная связь
На страницы учебного центра
Организационно-правовые вопросы
Экономическая безопасность
Безопасность КИС
Защита речевой информации
Техническая защита объектов
Сертификация и лицензирование
Кадровая безопасность
Преступления в сфере высоких технологий
Нормативные документы
Полезные ресурсы

 

Можно ли отказаться от антивирусной защиты на конечных точках?

 

 

Михаил Чернышев
ведущий технический специалист
McAfee в России и СНГ
Itsec.Ru

 

Ни один антивирус, пусть даже со скоростью обновления несколько десятков раз в час или сверхкомплексной эвристикой, не может поддерживать приемлемый уровень безопасности. Назрела необходимость в принципиально новых подходах.

Начиная с 1980-х гг., когда появились антивирусы, они позиционировались как основное средство защиты компьютеров от вредоносного кода и различных хакерских атак. Основной упор делался на полноту антивирусной базы и количество уникальных сигнатур вирусов, которые она могла распознать. По мере развития рынка IT и широкого использования компьютеров во всех областях жизни количество вредоносного кода развивалось опережающими темпами, и в попытках догнать непрерывно растущее

Подход, описанный в статье, в силу своей максимальной проактивности позволяет защищать системы и от известных и, что не менее важно, от новых (zero-day) угроз.

количество вирусов компании-производители антивирусного ПО предпринимали попытки либо компенсировать неполноту антивирусных баз дополнительными эвристическими анализаторами (защищенная область памяти для эмуляции кода, так называемая песочница; проприетарные эвристические алгоритмы с минимально раскрытой информацией), либо догнать вирусописателей путем бесконтрольного выпуска антивирусных обновлений. Обе тенденции имеют место и по сей день. И обе, что печально, не обеспечивают по-настоящему полной защиты.

Новые подходы

Согласно последней информации от аналитиков исследовательской лаборатории McAfee, количество уникальных в нее обращений превысило 100 млрд/мес. Из этого становится очевидно, что ни один антивирус, пусть даже со скоростью обновления несколько десятков раз в час или сверхкомплексной эвристикой, не может более поддерживать приемлемый уровень безопасности. Назрела необходимость в принципиально новых подходах, особенно из-за того, что некоторые системы по своей специфике не могут непрерывно обновляться либо из-за риска снятия с гарантии, либо из-за низкой пропускной способности сетевых каналов связи, либо в силу своей критичности для бизнеса/здоровья/государства (банкоматы, киоски, кассовые терминалы, медицинское оборудование, системы промышленной автоматики и пр.).

Согласно последней информации от аналитиков исследовательской лаборатории McAfee, количество уникальных в нее обращений превысило 100 млрд/мес. Из этого становится очевидно, что ни один антивирус, пусть даже со скоростью обновления несколько десятков раз в час или сверхкомплексной эвристикой, не может более поддерживать приемлемый уровень безопасности.

Для перечисленного класса систем сейчас стало не только актуально, но и возможно произвести частичный или полный отказ от антивируса за счет обеспечения нескольких ключевых принципов:

  • контроль изменений всех системных объектов, начиная от файлов ОС и заканчивая библиотеками драйверов либо системным реестром;
  • проверка всех запускаемых кодов на соответствие исходному образу (так называемый динамический белый список). В случае запуска исполняемого кода, не принадлежащего динамическому белому списку, попытка блокируется;
  • защита памяти для разрешенного ПО с целью предотвращения возможности проникновения или заражения за счет атак переполнения буфера обмена;
  • возможность в режиме реального времени осуществить запрос глобальной базы знаний по вирусам, угрозам и уязвимостям с целью оценить степень риска от активности того или иного кода в рамках ОС.

При соблюдении данных условий на системах, на которых работа антивируса невозможна по ряду перечисленных причин, отказ от антивирусного пакета возможен без компромиссов с безопасностью.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2012

 

| Начало | Новости | О проекте | О ЦПР | Правовая информация | Сотрудничество | Наши партнеры | Координаты |

Copyright © 2004-2016 ЧОУ ДПО «ЦПР». Все права защищены
info@cprspb.ru