Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Тестируем антивирусное ПО

Джим Райан

Если вы имеете дело с новейшей вредоносной программой, то одного неверного шага с вашей стороны может оказаться достаточно, чтобы полностью парализовать работу корпоративной сети. Тщательно протестировав шесть пакетов антивирусного ПО, мы установили, что лучшим из них является продукт Trend Micro.

Прошлое лето не на шутку встревожило успокоившихся было сетевых администраторов, поколебав основы их казавшейся безупречной антивирусной стратегии. “Черви” W32/Blaster, W32/Welchia и Sobig.F один за другим пронизали Интернет, оставляя после себя миллиардные убытки. Они были особенно страшны тем, что их авторы использовали целую комбинацию различных механизмов сетевого взлома и легко обошли обычные антивирусные заслоны, окончательно сбив с толку менеджеров по информационной безопасности бесконечными “заражениями”. Почти одновременно Ассоциация компьютерной и телекоммуникационной индустрии (Computer & Communications Industry Association — CCIA) и компания Gartner заявили о том, что всеобщее увлечение “монокультурой” Microsoft здорово облегчит разработчикам вирусов осуществление их гнусных замыслов (читайте отчет CCIA по адресу http://www.ccianet.org/press/03/0924.pdf).

Полную версию данной статьи смотрите в 4-ом номере журнала за 2004 год.

Столь печальная ситуация не могла не коснуться и нас, и, приступая к тестированию антивирусных продуктов, мы, признаться, втайне лелеяли мечту найти “универсальную вакцину”. Увы! Хотя многие производители добились в этой области значительного прогресса, мы не обнаружили ничего такого, что могло бы обезопасить нашу сеть полностью. Почему? Да потому что предпринимаемые меры борьбы с “червями” и вирусами по-прежнему носят реактивный, а не проактивный характер.

Приуныв, мы решили все-таки выяснить, какой из антивирусных продуктов сможет противостоять будущим поколениям сетевых “червей” и вирусов наилучшим образом. Прежде всего мы попытались найти ответы на два ключевых вопроса. Во-первых, удалось ли производителям интегрировать в своих продуктах стратегии защиты как от традиционных вирусов, так и от “червей” и смешанных угроз? И во-вторых, можно ли как-то обезопасить сеть при возникновении “окна уязвимости” (window of vulnerability), присущего всем противовирусным продуктам, основанным исключительно на реактивной модели сигнатур?

На наше приглашение принять участие в тестировании таких продуктов откликнулись компа-нии Computer Associates, F-Secure, Network Associates, Sophos, Symantec и Trend Micro. Фирмы Panda Software и Global Hauri проявили к тестированию неподдельный интерес, однако не успели предоставить нам свои продукты к его началу.

На первый из двух вышеприведенных вопросов ответ очевиден: вам потребуются интегрированный антивирусный пакет, “перекрывающий” все возможные пути попадания “инфекции” в сеть; хорошо продуманный план реагирования на чрезвычайные ситуации; круглосуточная техническая поддержка со стороны производителя антивирусного ПО; тщательное обучение сетевых администраторов и пользователей. Конечно, такой подход требует гораздо больше работы, чем хотелось бы, зато для многих компаний он оказался достаточно эффективным.

На второй вопрос — о том, как ослабить риск на время существования “окна уязвимости”, — ответить было гораздо сложнее. Практически все производители антивирусов тщательно “отшлифовывают” свои системы противоэпидемической профилактики, которые, будучи правильно реализованными, способны свести к минимуму разрушительные последствия вирусных атак. Базовая модель сигнатур, использовавшаяся во всех протестированных нами продуктах, в лучшем случае является палкой о двух концах. Хотя эта технология работает хорошо, ограждая сети от повторного нашествия вирусов, все действия по защите в ее рамках носят чисто реактивный характер. Между моментом обнаружения нового вируса и моментом инсталляции на настольную систему соответствующей ему сигнатуры всегда проходит какое-то время. Из-за этой временной задержки и образуется так называемое “окно уязвимости” — ахиллесова пята всех программных продуктов, которую создатели вирусов научились применять в своих омерзительных целях. Например, “червь” Sobig.F был снабжен собственным SMTP-сервером, позволявшим инфицировать во время существования “окна уязвимости” миллионы машин.

Что нас интересовало

Протестированные нами антивирусные системы наделены множеством функций. Однако нас прежде всего интересовало то, ради чего эти продукты, собственно, и покупаются, а именно: удобные средства инсталляции, конфигурирования и управления; сканеры электронной почты, файловых серверов и настольных систем; сканеры периметра (если они имеются); средства профилактики, развертывания и обновления антивирусного ПО и БД сигнатур, а также управления политикой безопасности.

Мы скрупулезно исследовали не только сами продукты, но и стратегии их производителей, чтобы оценить, насколько соответствуют действительности рекламные заявления последних. Например, если у специалистов по маркетингу спрашивают о профилактике заражений, они без запинки отвечают: “Конечно, наш продукт наделен такими возможностями!” Но при этом располагают ли производители инфраструктурой, позволяющей реализовать их рекомендации по защите от очередной угрозы в течение нескольких часов? Следует также обратить внимание на то, что основным фактором, определяющим масштабируемость антивирусных продуктов, является поддержка ими реляционных баз данных. Антивирусные пакеты компаний Computer Associates, Network Associates и Trend Micro все, как один, поддерживают реляционные БД.

Хотя в продуктах при их тестировании мы не нашли чудодейственного средства от всех видов вирусов и “червей”, зато обнаружили в них ряд значительных усовершенствований. Это:

• Расширение профилактики заражений. Если вирус обнаруживается впервые, его базовый механизм заражения становится понятным еще до того, как делаются доступными соответствующие ему сигнатуры. Уже в пределах часа после обнаружения вирусной атаки производители могут выпустить шаблоны настройки правил полити-ки безопасности, предотвращающие распространение вируса. Например, вирус приходит по электронной почте в виде вложения (допустим, в виде инкапсулированного в zip-архив файла с расширением .vbs), в этом случае политика профилактики заражений (оutbreak policy) несколько дней до появления сигнатуры будет рекомендовать удаление на почтовом сервере или МЭ всех заархивированных файлов с расширением .vbs, даже если обычная политика безопасности компании этого не требует. Можно надеяться, что профилактика заражений в течение ближайшего года станет стандартной возможностью, предоставляемой всеми производителями антивирусных продуктов.

• Расширение использования персональных сетевых экранов. Контролируя “смешанные” угрозы, некоторые производители полагаются на персональные сетевые экраны, которыми можно управлять с единой центральной консоли. Однако такие сетевые экраны — источник возникновения дополнительных проблем. С одной стороны, должно быть исключено их конфигурирование пользователем, с другой — всякий раз, когда легитимному приложению потребуется доступ к сети, сетевой экран будет запрашивать у пользователя разрешение доступа, и тому придется давать утвердительный ответ. Мы считаем, что совсем скоро могут разгореться жаркие споры относительно того, стоит ли использовать персональные сетевые экраны в антивирусных пакетах.

• Аппаратные акселераторы. Около двух лет назад аппаратная акселерация позволила революционизировать технологии межсетевого экранирования и обнаружения вторжений. Сегодня она начинает использоваться и в антивирусных пакетах. Например, компания Trend Micro выпускает сервер-посредник HTTP, реализованный на антивирусном акселераторе фирмы Tarari с целью значительного снижения времени задержки трафика, которая является настоящим бичом антивирусных продуктов.

• Обнаружение и подавление работы потенциально опасных машин. Компания McAfee совместно с производителями оборудования выработала требования к оснащению сетевых машин антивирусным ПО. Машинам, не имеющим такого ПО, запрещается устанавливать сетевые соединения. Этот насильственный, но оправданный подход к запиранию “потайных дверей” в сеть станет, по-видимому, обычной практикой. Некоторые университеты уже применяют такой метод. Например, политика безопасности сети Сиракузского университета требует, чтобы пользователи всегда запускали антивирусное ПО. Если применяется антивирусный пакет компании McAfee, то БД сигнатур обновляется централизованно посредством ее же продукта e-Policy Orchestrator. Пользователи, работающие с другим антивирусным ПО, должны брать ответственность за его своевременное обновление на себя, равно как и соглашаться с риском быть отключенными от сети в том случае, если их настольные системы окажутся инфицированными.

• Технология виртуальных машин. Компания Norman Data Defense впервые использовала данную технологию с целью предотвращения вирусных атак. Суть ее заключается в том, что сначала вы выполняете подозрительный код на виртуальной машине и смотрите, не проявит ли он враждебный характер, а уже после этого решаете, можно ли его загружать на физические машины.

Краткий анализ результатов

Мы оценивали антивирусные продукты, руководствуясь следующими критериями:

• Диапазон целевых платформ. Этот критерий отражает охват производителем всех возможных направлений заражения. Поддержка разнообразных целевых платформ является важным фактором, определяющим коммерческий успех продукта. Хотя большинство протестированных нами продуктов контролируют все, что нужно, мы были весьма удивлены тем, что пакеты некоторых производителей, таких, как Network Associates и Symantec, не поддерживают ОС Linux, что существенно повлияло на набранные ими баллы.

• Управление. К другим критическим с точки зрения успеха факторам можно отнести автоматическую инсталляцию клиентского ПО, автоматизированное обновление БД сигнатур и непрерывное управление политикой безопасности. Компания Sophos предоставляет наиболее интуитивно понятный интерфейс, тогда как пакеты компаний F-Secure и Trend Micro имеют весьма удобные в использовании инструментальные средства управления. Фирмы Network Associates и Symantec претендовали на высокие оценки за реализованные в их пакетах функции управления. Если у вас огромная сеть, то вам, может быть, как раз и потребуются предоставляемые ими опции. Однако на поверку пакеты обоих производителей оказались трудными в инсталляции, а их “интегрированность” — это не более чем маркетинговая приманка.

• Стратегия — это не что иное, как наличие у производителя эффективного плана предотвращения вторжений. Хотите вы того или нет, но защита от вирусов является одним из видов “электронной войны”. Ни один генерал не начнет битвы без хорошо проработанного стратегического плана. К счастью, у поставщиков всех протестированных нами продуктов такие планы есть, хотя реализации продуктов одних производителей, таких, как Trend Micro, лучше соответствуют этим планам, чем реализации других. Не менее важными являются и антивирусные стратегии корпоративных пользователей. Надеемся, что таковая имеется и у вас.

• Профилактика заражения. Помимо стратегии, у производителя должен быть выработан эффективный тактический план минимизации разрушений в случае вторжения вируса в сеть. Такой план может оказаться спасительным, если учесть изначальную неполноценность технологии сигнатур. Мы присвоили этому критерию самую высокую значимость, поскольку сами были свидетелями того, как 100 тыс. человек бездельничали несколько дней по причине приостановки на время “окна уязвимости” работы фирм, использующих некоторые из тех продуктов, которые мы тестировали. Одним из лидеров в данной категории, как и в ряде других, стала компания Trend Micro. Неудивительно, что именно ей мы присудили титул победителя.

Завершают наш список критериев категории Инсталляция и документация и Цена. Хотя значимость первой составляет всего 10%, тем не менее они дорогого стоят. Что же касается цены, мы обращаем ваше внимание на то, что эти продукты состоят из множества компонентов, поэтому модель их ценообразования является чрезвычайно запутанной. Ниже мы рассматриваем пакеты, занявшие в наших испытаниях первое, второе и третье места. Результаты же тестирования всех продуктов приведены в таблице.

NeaTSuite компании Trend Micro

Компания Trend Micro победила в наших испытаниях потому, что, отвечая на оба наших ключевых вопроса, попала, что называется, “в самое яблочко”. Отправной точкой ее стратегии защиты предприятия (Enterprise Protection Strategy — EPA) является следующий тезис: ориентации на одно лишь антивирусное ПО недостаточно. Признавая слабые места технологии сигнатур, компания разработала набор продуктов, сервисов, тактических приемов и инструментальных средств управления, позволяющих максимально уменьшить потери от вторжения вирусов. Кроме того, из всех протестированных нами продуктов пакет Trend Micro обеспечивает самую эффективную профилактику заражений: он контролирует все основные каналы возможного проникновения вирусов (периметр, почтовые, файловые серверы и настольные системы) и в то же время им легко управлять посредством интуитивно понятной Web-консоли Control Manager.

Хотя нам пришлось самим инсталлировать буквально каждый из программных компонентов NeaTSuite, агенты Control Manager обеспечили нас удобными средствами централизованного управления ими. Инсталляция ПО на серверах и настольных системах прошла без особых трудностей.

Ключевой компонент пакета Trend Micro — модуль профилактики заражений, предназначенный для минимизации разрушений в период существования “окна уязвимости”. При выявлении нового вируса программа профилактики заражений автоматически загружает с сервера технической поддержки Trend Micro набор шаблонов управления политикой безопасности. Эти шаблоны специаль-но создаются для нейтрализации потенциальной вирусной атаки. Мы смогли сделать так, чтобы эти шаблоны либо немедленно инсталлировались на контролируемые системы, либо устанавливались на них после того, как мы их отредактировали. Хотя в большинстве организаций, наверное, предпочтут редактировать и инсталлировать эти шаблоны вручную, нам было отрадно сознавать, что антивирусные продукты в принципе могут заделывать “дыры” автоматически. Другие производители тоже создают аналогичные шаблоны, но мы считаем, что Trend Micro почти достигла совершенства в этом.

Быстрый рост продаж компании Trend Micro, наблюдающийся в последние годы, не случайность. Компания фокусирует свое внимание на антивирусных технологиях и выпускает превосходный интегрированный набор инструментальных средств, который позволяет блокировать всевозможные “очаги заражения” и в полной мере реализовать профилактику вирусных атак.

McAfee System Protection компании Network Associates

Многолетний опыт присутствия на рынке антивирусного ПО компании Network Associates позволил ей создать продукты со стратегической архитектурой, не только охватывающей все требующие защиты от вирусов сетевые ресурсы, но и способной к почти неограниченному масштабированию. Ее продукт McAfee Active Virus Defense Suite обеспечивает надежную защиту всевозможных участков потенциального проникновения вирусов, а пакет VirusScan Enterprise — защиту от вирусов настольных систем и мобильных устройств. Превосходно интегрированный с ePolicy Orchestrator, он предоставляет функцию nag (“ворчание”), от которой мы пришли в полный восторг: она стимулирует владельцев ноутбуков к обновлению их антивирусных БД прежде, чем они соединятся с корпоративной сетью.

Как и многие производители антивирусов, Network Associates “проталкивает” на рынке свой межсетевой экран McAfee для настольных систем (опять же интегрированный с ePolicy Orchestrator), обеспечивающий блокировку “смешанных” угроз.

Мы также протестировали устройство защиты периметра McAfee WebShield e500, сканирующее не только входящий и исходящий трафик SMTP, но и входящие сообщения POP3 и трафик HTTP и FTP. В корпусе высотой 1U этого устройства размещаются два 1-ГГц процессора Pentium III, ОЗУ объемом 256 Мбайт и два зеркально отображаемых и заменяемых в “горячем” режиме жестких диска SCSI. Такая аппаратная конфигурация весьма близка к той, какую рекомендуют два других производителя, продукты которых мы испытывали, для хостинга серверного ПО периферийных шлюзов их же производства. Что нам особенно запомнилось, так это предельно простая процедура инсталляции WebShield e500. Чтобы подготовить и запустить устройство с предустановленным ПО в работу, нам потребовалось всего несколько минут и столько же, чтобы сконфигурировать его посредством Web-интерфейса. Управление устройством e500 с центральной консоли ePolicy Orchestrator тоже является простым и интуитивно понятным процессом.

Единственный недостаток пакета McAfee — его в целом непростая процедура инсталляции. Протестированные нами компоненты обладали великолепной функциональностью, однако, чтобы заставить их работать вместе, пришлось изрядно повозиться. Как выяснилось, у производителя отсутствует документ, описывающий порядок инсталляции полного пакета, и, оказавшись в тупике, мы были вынуждены заново переинсталлировать его.

Помимо этого, нас очень удивило, что ОС Linux не входит в число целевых платформ продукта McAfee. В настоящее время эту ОС не поддерживают лишь Network Associates и Symantec.

eTrust Antivirus 7 компании Computer Associates International

Обозначенный в заголовке продукт компании Computer Associates (CA) является антивирусным компонентом ее крупномасштабного кроссплатформенного пакета Threat Management, включающего систему обнаружения вторжений, ПО безопасного управления Web-контентом (обеспечивает фильтрацию спама, указателей URL и вирусов) и средства контроля соблюдения политики безопасности. ETrust Antivirus — это простой в управлении пакет масштаба предприятия, обеспечивающий самый широкий среди протестированных нами продуктов охват целевых ОС, включая Windows 9X/NT/2000/XP, Linux, Solaris, NetWare, MacOS, Palm OS и Pocket PC. Так что, если ваша корпоративная инфраструктура является многоплатформенной, можете смело покупать продукт СА.

Что же касается стратегии безопасности, которую реализует в своем пакете компания, то она вполне осознает ограниченность технологии сигнатур. CA удалось выработать одну из наиболее четких и открытых стратегий безопасности, и она делает все возможное для того, чтобы убедить своих потенциальных клиентов в том, что на все ключевые вопросы защиты от вирусов у нее имеются исчерпывающие ответы. Так, она заявила нам, что, по ее мнению, самым слабым звеном любой корпоративной антивирусной политики является пользователь.

Решение компании CA обеспечивает профилактику заражений посредством шаблонов управления политикой безопасности, управляемого обновления БД сигнатур и разнообразных средств оповещения о вирусных атаках, включая широковещание, SNMP, SMTP, пейджеры, сообщения trouble ticket, а также привязку к ПО сетевого управления Unicenter.

Чтобы уменьшить вероятность проникновения вируса в сеть, в продукте eTrust используются два механизма сканирования. (Единственным, кроме CA, производителем, тоже поддерживающим несколько механизмов сканирования, является фирма F-Secure, предоставляющая сразу три таких механизма). Кроме того, eTrust — единственный среди протестированных нами продуктов, в котором предусмотрено бесплатное обновление БД вирусных сигнатур на протяжении всего срока его эксплуатации независимо от статуса контракта на техническое обслуживание — не типичное явление для индустрии, где доходы от подписки на обновление сигнатур составляют солидную долю прибыли поставщика..





  
4 '2004
СОДЕРЖАНИЕ

электронная Россия

• Определяя приоритеты в сфере ИКТ

бизнес

• О бизнесе и бизнесе системной интеграции

инфраструктура

• Паразитный трафик в крупной коммутируемой сети, или К вопросу о необходимости сегментации

• «Тонкие» клиенты как они есть

• Тестируем средства управления настольными системами

• Шлюзы VoIP: выбор велик

• Методы определения топологии сети на уровне 2

• Решения NCPI: простой конструктор или интеграторское искусство?

информационные системы

• Формирование эффективной стратегии сall-центра

сети связи

• Контакт-центры на базе IP

кабельные системы

• Все взаимосвязано

• Сетевое управление на физическом уровне

защита данных

• Тестируем антивирусное ПО

новые продукты

• Голосовые шлюзы AudioCodes, Модульная серверная система от R-Style Computers


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх