В рамках рубрики Клуб экспертов мы продолжаем публикацию книги А.В.Лукацкого Мифы и заблуждения информационной безопасности
Алексей Лукацкий — менеджер по развитию бизнеса Cisco Systems
Абсолютное большинство традиционных антивирусов обнаруживает вирусы по известным сигнатурам. Это быстро, легко и просто, но… Обнаружить можно только то, для чего уже написана сигнатура.
А написать сигнатуру можно только после изучения кода вируса. Возникает парадокс — антивирус начнет решать поставленную перед ним задачу только после того, как кто-то проведет доскональный анализ вредоносной программы. А если этот кто-то не успеет?
Или он вообще не узнает о новом вирусе? Или у него не хватит квалификации?
Во всех этих случаях антивирус будет бессилен перед неизвестной угрозой.
Не успеет… В условиях реактивного подхода (т.е. действий постфактум), любой антивирусный производитель обновляет свои продукты через какое-то время после начала эпидемии.
По данным компании Cisco разрыв между началом эпидемии вредоносной программы и выпуском для нее сигнатуры, в среднем составляет 6 часов — какие-то производители выпускают сигнатуры быстрее, какие-то с большим опозданием (эту тему мы уже рассмотрели ранее). И в течение этих 6 часов потребитель остается беззащитным перед лицом новой угрозы.
Ситуация может усугубляться отсутствием у антивирусной компании ловушек по всему Интернету, своевременно обнаруживающих эпидемию еще в начале ее победоносного шествия по миру. Например, если эпидемия началась в Малайзии, а антивирусная лаборатория находится только в США, то вирус успеет заразить всю Азию, Европу и Африку (если «пойдет» на Запад), прежде чем им займутся антивирусные аналитики.
Поэтому любой серьезный разработчик (Trend Micro, Symantec, McAfee, Лаборатория Касперского и прочие) раскидывают по часовым поясам сеть ловушек, в которые и попадаются ничего не подозревающие вредоносные программы. Задача уменьшения интервала между появлением вируса и разработкой сигнатуры для него является одной из первоочередных для любой компании, специализирующейся в области защиты от вредоносной активности.
Искоренение ведущих причин смерти (русская озвучка)
Но этим список приоритетных задач не ограничивается.
Допустим, антивирусная компания настолько профессиональна, что всегда заранее узнает обо всех новых вирусах (хотя заранее о вирусах можно знать, только если писать их самим, а это широкое заблуждение). Но… Давайте вспомним осенне-зимний период.
В октябре-ноябре средства массовой информации начинают рекламную кампанию новых иммуномодуляторов, лекарств от простуды и гриппа и т.п. В ряде компаний проводятся даже повсеместные вакцинации сотрудников.
Но что если вы так и не поддались на уговоры рекламы и не воспользовались новым чудодейственным препаратом? Если ваш иммунитет ослаблен, то Вы будете бессильны против нового штамма гриппа и сляжете на неделю в постель.
Аналогичная ситуация наблюдается и в компьютерном мире. Мало разработать противоядие; нужно доставить его до каждого пользователя антивируса.
Для этого существуют даже специальные программные решения (как самостоятельные продукты, так и встроенные в антивирусы), которые берут на себя весь груз забот по автоматической доставке сигнатур до всех средств защиты, снимая бремя этой ответственности с пользователя, который обычно забывает обновить вверенное ему программное обеспечение системы защиты, сводя «на нет» все благие намерения по защите своего компьютера.
Могу привести пример из жизни. Пару недель назад одна из моих коллег попросила разобраться с ее домашним компьютером, который постоянно перегружался.
Ее знаний хватило на то, чтобы предположить, что речь идет о вирусе, но вот дальше было уже интереснее. Антивирус на ее компьютере был установлен при покупке, но оказывается, что она ни разу его не обновляла, не глядя закрывая окно, предупреждающее об устаревании антивирусной базы.
И, наконец, последняя проблема – отсутствие антивирусов для ряда платформ. Если говорить о Windows, то тут проблема решена, но как быть с отдельными клонами Linux, Mac OS, мобильными платформами, не говоря уже о других устройствах, которые могут стать разносчиком заразы.
Поэтому вывод из этого заблуждения один — не доверяйте слепо антивирусам. Сам по себе он не решает задачу. Как это не смешно звучит, но необходимо уметь пользоваться имеющимся ПО, хотя бы на уровне новичка.
И это при условии, что мы пока опускаем тему невозможности антивирусом обнаружения 100% вирусов, который я посвящу отдельный материал. В целом же рекомендация будет звучать достаточно стандартно для специалиста по ИБ – используйте комплексный подход, заключающейся не только в установке и настройке антивируса, но и во внедрении других защитных технологий – персональных системы предотвращения атак и персональных межсетевых экранов, систем управления патчами (обновлениями) и т.п.
